國網(wǎng)眉山供電公司信息安全體系建設(shè)實踐

【摘要】 國網(wǎng)四川省電力公司眉山供電公司于2001年12月26日隨眉山建市而成立，是四川省電力公司下屬特大型一類供電企業(yè)，經(jīng)營區(qū)域覆蓋全市一區(qū)五縣及成都部分地區(qū)，供電范圍7390余平方公里，服務(wù)人口360余萬人，接入公司內(nèi)網(wǎng)的計算機終端達(dá)2200余臺，網(wǎng)絡(luò)設(shè)備254臺，服務(wù)器90余臺。全網(wǎng)采用全動態(tài)路由協(xié)議和MPLS VPN 技術(shù)組建，各節(jié)點形成獨立的局域網(wǎng)。本文從局部安全、全局安全、智能安全三個層面，建設(shè)一個多層次、全方位的立體防護體系，使網(wǎng)絡(luò)成為智能化的安全實體，做到信息安全“可控、能控、在控和預(yù)控”。

【關(guān)鍵詞】 管理 信息安全 準(zhǔn)入

一、專業(yè)管理理念和目標(biāo)

1.1 專業(yè)管理的理念或策略

信息安全管理的理念為主動作為，從技術(shù)上做到信息安全“可控、能控、在控和預(yù)控”，實現(xiàn)事前認(rèn)證、事中監(jiān)控、事后審計的全流程安全管理。

1.2 專業(yè)管理的范圍

綜合數(shù)據(jù)網(wǎng)信息安全體系建設(shè)涉及公司所有員工。

1.3專業(yè)管理的目標(biāo)

信息安全體系建設(shè)的目標(biāo)為違規(guī)外聯(lián)事件為0，桌面弱口令為0，殺毒軟件安裝率為100%，桌面管控系統(tǒng)安裝率為100%以及不出現(xiàn)其它受到考核的不安全行為和事件。

二、當(dāng)前的計算機網(wǎng)絡(luò)安全形勢

隨著信息化的發(fā)展，業(yè)務(wù)和應(yīng)用完全依賴于計算機網(wǎng)絡(luò)和桌面計算機。但是計算機病毒、黑客木馬、間諜軟件進入桌面計算機，在計算機上安裝非法軟件，肆意破壞網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)，外來電腦接入本單位計算機網(wǎng)絡(luò)等問題時有發(fā)生，這些行為非常容易導(dǎo)致桌面計算機和計算機網(wǎng)絡(luò)系統(tǒng)的癱瘓。最近幾年來，網(wǎng)絡(luò)安全威脅愈演愈烈，網(wǎng)絡(luò)攻擊工具越來越多樣，越來越容易獲得，所需要的技能越來越低，只需下載一個黑客程序就可以進行攻擊，漏洞利用的時間越來越短。攻擊的目的性，過去純粹為了比技術(shù)，現(xiàn)在商業(yè)目的越來越明顯。

三、國網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)信息安全現(xiàn)狀

國網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)經(jīng)過2011年到2012年的大規(guī)模建設(shè)，網(wǎng)絡(luò)覆蓋到了35KV變電站及供電所等機構(gòu)，形成了規(guī)模巨大的數(shù)據(jù)網(wǎng)絡(luò)，包含連接各級機關(guān)、各個電壓等級的變電站和供電所的廣域網(wǎng)，以及各個站點的局域網(wǎng)。

綜合數(shù)據(jù)網(wǎng)的建成為所有辦公終端提供了高速數(shù)據(jù)通道，大大提升了信息化水平和辦公效率。但也帶來了一個嚴(yán)重問題——安全問題。國網(wǎng)眉山供電公司在網(wǎng)的計算機多，爆發(fā)的安全問題多，管理難度很大。從國網(wǎng)推廣的北信源安全管控系統(tǒng)監(jiān)控的結(jié)果來看，目前內(nèi)網(wǎng)計算機違規(guī)外聯(lián)、計算機使用弱口令、計算機沒有安裝防病毒軟件等問題還很多，北信源的安全管控系統(tǒng)主要是監(jiān)控并不能夠從技術(shù)上進行事前規(guī)避。國網(wǎng)眉山供電公司實施了大量的管理措施得了一定的效果，但是沒有建立一套全方位的安全技術(shù)系統(tǒng)，提升網(wǎng)絡(luò)的安全性，保護電力公司的信息資產(chǎn)安全。

為了真正提升網(wǎng)絡(luò)安全性需要建立一個整體安全架構(gòu)，從局部安全、全局安全、智能安全三個層面，建設(shè)一個多層次、全方位的立體防護體系，使網(wǎng)絡(luò)成為智能化的安全實體。局部安全針對關(guān)鍵問題點進行安全部署，抵御最基礎(chǔ)的安全威脅；全局安全利用安全策略完成產(chǎn)品間的分工協(xié)作，達(dá)到協(xié)同防御的目的；智能安全在統(tǒng)一的安全管理平臺基礎(chǔ)上，借助于開放融合的大安全模型，將網(wǎng)絡(luò)安全變?yōu)閺母兄巾憫?yīng)的智能實體。

四、國網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)信息安全體系建設(shè)規(guī)劃

4.1局部安全

目前國網(wǎng)眉山供電公司的網(wǎng)絡(luò)僅在連接省干網(wǎng)的出口部署了防火墻設(shè)備，防火墻能夠進行邊界保護和基于網(wǎng)絡(luò)層面的訪問控制，但是對應(yīng)用層的攻擊如通過Email攜帶病毒，通過網(wǎng)頁掛木馬方式對用戶攻擊等不能夠阻斷，應(yīng)用層攻擊行為能夠?qū)I(yè)務(wù)系統(tǒng)造成較大損害。

局部安全建設(shè)要對電業(yè)局網(wǎng)絡(luò)進行分區(qū)：外聯(lián)區(qū)、服務(wù)器區(qū)、接入?yún)^(qū)。外聯(lián)區(qū)：外聯(lián)區(qū)是國網(wǎng)眉山供電公司與省干網(wǎng)連接的邊界區(qū)域；服務(wù)器區(qū)：服務(wù)器區(qū)是國網(wǎng)眉山供電公司的數(shù)據(jù)中心，存放重要的業(yè)務(wù)數(shù)據(jù)；接入?yún)^(qū)：接入?yún)^(qū)是各個站點及電力公司的局域網(wǎng)區(qū)域；

完成局部安全建設(shè)后，本電業(yè)局與省公司及其他電業(yè)局之間的安全攻擊將被隔離，本電業(yè)局的攻擊不會影響到省公司和其他電業(yè)局。本電業(yè)局內(nèi)部的攻擊也不會影響到服務(wù)器區(qū)的業(yè)務(wù)系統(tǒng)。提升了業(yè)務(wù)系統(tǒng)的安全性。對于電業(yè)局的網(wǎng)絡(luò)系統(tǒng)基本上沒有安全防范的措施，所以需要重建安全技術(shù)體系。

4.2全局安全

全局安全是通過網(wǎng)絡(luò)設(shè)備與安全設(shè)備的配合提供端到端的安全防護。通過局部安全建設(shè)能夠抵御內(nèi)部的安全攻擊，但是不能夠控制攻擊的在內(nèi)部的泛濫，需要通過網(wǎng)絡(luò)設(shè)備的準(zhǔn)入功能，在網(wǎng)絡(luò)的與用戶終端的邊界建立準(zhǔn)入機制，只允許合法的用戶訪問網(wǎng)絡(luò)，且只允許合法用戶符合安全要求的終端訪問網(wǎng)絡(luò)，并通過客戶端軟件強制功能提升終端的自身的安全性。

全局安全的主要建設(shè)內(nèi)容為：

身份認(rèn)證：變開放的網(wǎng)絡(luò)為封閉網(wǎng)絡(luò)防止外來非法計算機訪問網(wǎng)絡(luò)；在網(wǎng)絡(luò)接入設(shè)備上開啟網(wǎng)絡(luò)認(rèn)證功能，開啟該功能后，當(dāng)計算機接入網(wǎng)絡(luò)時是無法轉(zhuǎn)發(fā)任何數(shù)據(jù)的，只有認(rèn)證報文能夠通過網(wǎng)絡(luò)與認(rèn)證服務(wù)器交互，只有合法的員工輸入正確的用戶名和密碼后認(rèn)證成功，該用戶獲得第一級訪問網(wǎng)絡(luò)的權(quán)限，僅能夠訪問安全隔離區(qū)；外來的非法計算機因沒有賬號和口令而無法向網(wǎng)絡(luò)發(fā)送任何數(shù)據(jù)。

安全評估：加強計算機的安全性，只有符合安全規(guī)范的計算機才能夠訪問網(wǎng)絡(luò)；當(dāng)合法員工輸入正確的賬號和口令后獲得第一訪問網(wǎng)絡(luò)的權(quán)限后，啟動對計算機的安全檢查，檢查內(nèi)容包括弱口令檢查、防病毒軟件、操作系統(tǒng)補丁、必須要運行的軟件等。弱口令檢查是掃描計算機賬號的口令，與弱口令字典進行比對，如果存在弱口令則認(rèn)證失敗，要求用戶修改口令，直到口令改為強口令，避免被破解口令后遠(yuǎn)程控制該計算機；防病毒軟件檢查是掃描系統(tǒng)是否安裝防病毒軟件以及是否更新病毒庫，如果沒有安裝防病毒軟件或者病毒庫沒有更新，則認(rèn)證失敗。并要求計算機訪問安全隔離區(qū)進行修復(fù)，安裝防病毒軟件或者進行病毒庫升級，保證計算機具有防病毒能力，能夠?qū)νㄟ^計算機外設(shè)及通過網(wǎng)絡(luò)散播的病毒進行殺毒。

軟件管理：目前國網(wǎng)要求所有終端安裝北信源的安全管控軟件，但是部分終端沒有安裝，導(dǎo)致無法評估真實網(wǎng)絡(luò)安全狀態(tài)，建設(shè)全局安全啟動了網(wǎng)絡(luò)準(zhǔn)入功能，如果終端不安裝北信源軟件就無法訪問網(wǎng)絡(luò)，通過技術(shù)手段保證每個接入網(wǎng)絡(luò)的終端必須安裝北信源安全管控軟件，提升國網(wǎng)考核的注冊率。

防內(nèi)網(wǎng)外聯(lián)：啟用網(wǎng)絡(luò)準(zhǔn)入功能后，準(zhǔn)入客戶端可以在終端上對網(wǎng)絡(luò)驅(qū)動下發(fā)隔離策略，只有被安全認(rèn)證服務(wù)器認(rèn)證通過的網(wǎng)卡才能夠訪問網(wǎng)絡(luò)，而安全認(rèn)證服務(wù)器是在信息內(nèi)網(wǎng)中的。當(dāng)終端接入到互聯(lián)網(wǎng)上時，只有認(rèn)證數(shù)據(jù)能夠通過，因互聯(lián)網(wǎng)上沒有安全認(rèn)證服務(wù)器所以認(rèn)證不通過，終端無法獲得授權(quán)而無法訪問網(wǎng)絡(luò)。在終端運行過程中插入WLAN網(wǎng)卡或者3G網(wǎng)卡也無法聯(lián)網(wǎng)，因為在互聯(lián)網(wǎng)上無法進行認(rèn)證所以網(wǎng)卡被隔離無法訪問互聯(lián)網(wǎng)。

全局安全建設(shè)后，對于具有安全隱患的終端將無法接入到網(wǎng)絡(luò)，大大提高網(wǎng)絡(luò)的安全性，終端自身也具有了較高的防御性，可以抵御網(wǎng)絡(luò)中的攻擊。

4.3智能安全

局部安全和全局安全建設(shè)后，整個網(wǎng)絡(luò)具有了較高的安全性。但是還不具備足夠的智能性。智能安全的目標(biāo)是動態(tài)調(diào)整終端安全性、識別安全攻擊并快速定位和隔離攻擊，將安全事件控制在最小的范圍之內(nèi)。在終端使用過程安全狀態(tài)會發(fā)生變化，智能安全的目標(biāo)是使得終端具備智能提升安全性能力，通過動態(tài)補丁升級服務(wù)器可以保證終端缺乏必要安全補丁時能夠自動從補丁服務(wù)器上獲取補丁，避免操作系統(tǒng)受到漏洞攻擊；當(dāng)病毒庫版本升級后終端能夠自動進行升級。

另外，部署安全審計服務(wù)器將整個網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)服務(wù)器等日志能夠統(tǒng)一管理，當(dāng)出現(xiàn)安全事件時能夠主動告警并快速定位，并且可以隔離攻擊源。

五、總結(jié)

國網(wǎng)眉山供電公司綜合數(shù)據(jù)網(wǎng)信息安全體系的建設(shè)必須是端到端、全面、智能的安全防護體系，從網(wǎng)絡(luò)入口開始進行管控和安全防護，保證只有達(dá)到一定安全要求的終端才能夠接入網(wǎng)絡(luò)，在終端使用網(wǎng)絡(luò)過程中能夠動態(tài)更新自身的安全狀態(tài)提升自身安全防護能力，終端訪問的業(yè)務(wù)系統(tǒng)受到嚴(yán)密防護。對于網(wǎng)絡(luò)中出現(xiàn)的安全事件能夠快速定位并快速隔離，將安全事件的影響降低到最小。做到事前認(rèn)證、事中監(jiān)控、事后審計的全流程安全管理。