杜慧珺 卢一鸣 周佳 杜海婷 王晓
国网山东省电力公司泰安供电公司
基于准入系统的信息安全防护管理
杜慧珺 卢一鸣 周佳 杜海婷 王晓
国网山东省电力公司泰安供电公司
在全球信息化的推动下,电力系统也越来越依赖于信息网络与信息系统,在这样的环境下保障电力企业信息安全也成为每个供电公司的重要任务。本文阐述了国网泰安供电公司基于准入系统的信息安全防护管理,主要包括了终端管理,主机及办公终端的加固,违规事件检测以及策略下发等方面的内容,目前公司在内外网统一部署了网络准入系统,并已运行一年多的时间,围绕准入系统开展信息安全防护工作,在为运维人员带来便捷的同时,也让运维工作变的更加准确、高效。先进的技术和高效的运维在用户内外网接入前,形成了一道可靠地屏障。
准入控制 安全防护 终端加固
信息安全防护管理工作是泰安供电公司的关键工作之一,它影响范围大,涵盖范围广,运维难度高,因此也是公司需要高度重视的工作。信息安全防护工作包括对信息系统和网络两大方面的安全防护,运维工作包括对终端设备、网络设备、安全设备、主机设备等硬件的维护,以及对操作系统软件、业务应用软件等软件的维护。
基于准入系统的信息安全防护管理是以网络准入系统为基础进行的终端管理,主机及办公终端的安全加固,违规事件检测以及策略下发等防护工作。利用先进的技术手段,使防护工作更加省时、准确、高效,从而达到缩短终端及网络设备故障排查与处理的时间,并杜绝违规事件的发生。
2.1基于准入系统的信息安全防护管理流程
公司基于网络准入系统,建立起一套信息安全防护工作的工作流程,如图1所示。
图1 基于准入系统的信息安全防护管理流程
通过这一工作流程,公司可以轻松完成一些防护工作。例如未安装防病毒,未注册,弱口令,补丁的下发与安装等等,运维人员可以远程进行终端问题排查与管理,提高了运维效率,减轻了运维负担。
2.2策略的制定与下发
在部署网络准入系统后,公司根据省公司要求,并结合自身需要,设定办公终端及主机入网前的安全检查策略,并设定关键项和非关键项,关键项检测未通过,设备无法正常入网,非关键项未通过设备可以接入网络,但有一定的整改时间,整改时间内未修复,设备会断开网络(公司整改时间一般设为7天)。
设定的策略检查都通过后,设备可以正常连接网络。为了保证主机及办公终端的信息安全,网络准入系统会定时在后台运行并进行安全检查,一旦发生安全问题,会立刻断开网络,并提示用户修复。对出现的问题,用户可以一键修复,操作简单明了,这也有效避免了公司员工因在信息技术接受能力上的不同而造成的信息安全事件。
在策略下发过程中也会出现一些问题。
问题一:在公司的实际使用中,公司的自助售电终端,网络打印机等类似设备,无法通过安全检测,对于这类设备需要对IP地址进行例外或可信设置,这样终端设备可以绕过安全监测,进行正常入网,但同样可以远程监测及管理。
问题二:对于一小部分终端,易出现无论怎样修复都无法通过安全检查,例如补丁安装不上,密码策略无法修复等,这类终端多使用的是盗版XP或GHOST系统版本,因此需要对这部分终端统一更换XP或WIN7正版系统。
问题三:对于一小部分终端,出现针对客户端运行状态异常并无法修复的问题,经检查发现为与北信源桌面兼容性问题,将安全准入小助手与北信源桌面客户端卸载后按步骤安装即可通过安全检查。
2.3主机及办公终端加固
2.3.1办公终端加固
基于网络准入系统的策略检测,可以对终端弱口令、屏幕保护、是否注册桌面系统、远程桌面、安装防病毒、账号禁用、补丁安装等问题进行修复。不仅如此,对定期下载最新系统补丁库,也可以利用公司网络准入设备,进行补丁的分发和安装。
2.3.2主机加固
主机加固方法与终端类似,但是对加固工作要求更高,在准入系统的基础上,对于BVS检测出来的一些问题需要运维人员参照安全配置作业指导书进行手动修复,对扫描出现的问题不断进行整改,最终将主机得分提升到满分。
3.1远程终端故障排查案例
当用户报修终端故障无法连接网络时,运维人员通过网络准入系统对这一故障进行问题排查:
首先,运维人员询问用户IP地址,然后进入网络准入系统的管理界面,输入IP地址进行搜索,我们可以得到该用户的一些信息,在这些信息中包含该用户终端在最后一次正常入网时所在交换机及其端口,根据这些信息,我们可以进入相应交换机排查交换机是否正常,包括交换机是否正常工作,交换机配置或端口配置是否正确,IP与MAC地址是否绑定等。如果这些问题都被一一排除后,则进入下一部排查工作。
我们点击操作以查看用户详细信息,下面有用户最新认证与安检结果,如果进入后显示存在安全隐患,则说明因策略检查未通过而无法联网,这时运维人员可以根据具体情况指导用户进行策略修复。如果进入后显示“认证超时,设备可能无法正常上网,这时在交换机正常的前提下,则可以断定为终端网卡故障、网线故障和墙体模块故障三个问题,这时运维人员可以有针对性的进行现场故障处理工作。
3.2违规事件检测案例
3.2.1对违规私接集线器、路由器设备的检测
随着公司人事变动,经常会出现办公场所网络接口不够用的情况,有些人会采用加集线器、路由器等设备来拓展网络接口。这样的做法会对信息安全会造成较大的安全隐患,也是公司不允许的行为。
私接集线器、路由器的危害有很多。一方面,如果存在多个集线器,容易因人为原因将集线器连接成环路,引起广播风暴,此时几个小集线器就会影响整个公司的网络稳定;另一方面,路由器,甚至无线路由器易被不法分子利用,轻松地介入公司内网,造成公司秘密泄露。
网络准入系统可以检测到违规私接的集线器、路由器设备,这样可以使信息运维人员及时发现并对这些违规行为进行制止,从而消除安全隐患,保障公司信息安全。
3.2.2对违规外联事件的检测
网络准入系统可以检测到一些试图连接到外部网络的进程,而后快速断开用户网络。但是,违规外联事件具有不预判性和触发原因多样性的特点,因此网络准入系统并不能完全阻止违规事件的发生,需要公司加大信息安全宣传力度,做好信息安全培训,提高全体员工的信息安全意识。通过管理与技术并重的方法,来彻底杜绝违规外联事件的发生。
基于准入系统的信息安全防护管理可以让运维工作更加省时、高效,并且对于安全基线加固工作有很大的帮助。此外,准入系统还带有违规事件监测功能,对于一些违规事件的发生起到很好的防护作用,形成了一道坚固的安全防护高墙,保证公司信息安全工作的顺利进行。
4.1缩短终端及网络设备故障排查与处理时间
网络准入系统使运维人员的工作更加规范化、流程化,也加强了对终端及网络设备进行集中监控和维护的能力,使网络运行稳定性和设备故障检修效率大幅提高。
公司在2014年底购买并成功部署了网络准入系统,运维人员对比了2013年与2014年的信息设备故障处理时间,发现故障处理时间有明显降低,效率得到大幅度提升。
4.2不断做好主机及办公终端的加固工作
网络准入系统的使用也对公司开展安全基线加固工作提供了便利,充分利用准入系统安全策略检查功能和批处理程序下发功能,不断做好泰安公司的主机及办公终端的加固工作。
4.3杜绝违规事件的发生
网络准入系统的部署可以很好地避免一些违规事件的发生:
①入网前的安全检查功能,可以避免弱口令、防病毒未安装、未注册等安全事件的发生;
②定期循环检查功能,可以防止用户在接入网络后私自修改安全设置;
③安全报警功能,可以监测端口私接路由器、集线器等设备,并且对违规进程触发的违规外联事件具有较好的防范作用。
总体而言,网络准入系统使得信息安全防护工作更加有效、坚固,它不仅是一套系统那么简单,而是可以让我们形成一套高效、省时的工作流程,为我们的工作提供了新的思路,在今后,泰安公司的信息安全防护水平也会更上一层楼。
[1] 孙庆恭,基于多层准入控制构建的安全合规内网[J],现代计算机(专业版),2010(03)
[2] 马智勇,基于多层准入控制构建的安全合规内网[J],信息技术,2012(09)
[3] 陈赛,实施准入控制保护内网健康[J],中国教育网络,2009(05)
[4] 葛春,张强,张洪杰,王虹,基于内网的信息安全防护系统设计与实现[J],科技创新导报,2009(33)
个人简介
杜慧珺,1990- ,助理工程师,从事公司内外网网络运维工作。