电力业内网安全管理发展趋势及解决方案

电力业内网安全管理发展趋势及解电力业内网安全管理发展趋势及解 决方案决方案 电力行业的内网结构复杂 应用系统众多 网络和应用系 统的运维消耗了管理人员相当的精力 然而 根据统计发现 企业内网和应用系统发生故障的原因很少是由于网络设备和应 用系统自身的问题 更多的是因为企业内网的其它安全因素导 致 如病毒爆发 资源滥用 恶意接入 用户误操作等 而这 些安全因素 则几乎全部来源于用户终端计算机 因此 企业 内网和应用系统的维护管理不是独立的 应该从内网安全管理 的全局出发 从事故发生的根源开始 对内网安全进行通盘考 虑 近年来 电力行业信息化发展迅速 无论是发电企业 业 还是电网 公司 企业内部网络和各类信息化应用系统的建设已 经逐步完善 网络和信息安全防护措施逐渐成熟 可以说 电 力行业的信息化已经从 建设时期 进入了 维护和管理时期 如 何使信息化 建设时期 的投入转化为企业真正的生产力 从而 降低成本 提高效率 是当前电力行业各企业普遍关心并努力 解决的问题之一 电力行业的内网结构复杂 应用系统众多 网络和应用系 统的运维消耗了管理人员相当的精力 然而 根据统计发现 企业内网和应用系统发生故障的原因很少是由于网络设备和应 用系统自身的问题 更多的是因为企业内网的其它安全因素导 致 如病毒爆发 资源滥用 恶意接入 用户误操作等 而这 些安全因素 则几乎全部来源于用户终端计算机 因此 企业 内网和应用系统的维护管理不是独立的 应该从内网安全管理 的全局出发 从事故发生的根源开始 对内网安全进行通盘考 虑 内网安全管理面临的问题 当前电力行业内网安全管理面临不少问题 其中如何有效 地对内网终端计算机进行管理 困扰了相当多的 it 管理人员 这些问题可分为如下几类 1 终端计算机的安全加固 尽管多数电力企业对终端计算机的安全加固已经采取了部 分安全措施 例如安装了防病毒软件和个人防火墙软件 甚至 部署了漏洞扫描系统定期对终端计算机进行漏洞扫描 督促用 户及时更新操作系统补丁 但是 这些努力措施却没有起到应 有的效果 首先 企业管理者不能保证所有的终端用户都安装 了防病毒软件和防火墙软件 其次 即便安装了这些防护软件 用户也常常因为各种原因无法及时更新病毒库 也不知道如何 正确配置防火墙策略 另外 系统漏洞扫描虽然可以获得终端 计算机的补丁缺失情况 但是却缺乏有效的补丁安装手段 所 有这些因素 均导致终端计算机的安全无法保障 2 终端计算机的接入控制 电力行业企业一般来说都属于大中型企业 内网计算机数 量众多 it 管理人员很难统计内网计算机的确切数量 也无法 区分哪些是内网授权使用的计算机 哪些是外来的非授权使用 的计算机 这种状况下 很难控制外来人员随意的计算机接入 很容易导致企业内网机密信息的泄漏 往往等泄密事件发生了 却还无法判断到底是哪一个环节出了差错 另外 对于内网授权使用的计算机 任何一台感染了病毒 和木马 it 管理人员也无法及时定位和自动阻断该计算机的破 坏行为 往往需要花费很长的时间才能判断和定位该计算机 然后再通过手动的方式断网 对安全强度差的终端计算机缺乏 有效的安全状态检测和内网接入控制 是 it 管理人员比较头疼 的问题之一 3 终端计算机的行为监控 在电力行业中 内网的建设和使用的确为企业提供了效率 增长的工具 但是部分企业却发现恰恰正是由于内网的使用 反而导致部分员工的工作效率成倍下降 这主要是由于这些员 工经常利用终端计算机进行与业务无关的互联网访问 文件下 载 网络聊天 玩计算机游戏 看电影等 首先 这些用户行 为给企业造成了生产力损失 降低了工作效率 其次 员工对 互联网的过渡访问会占用企业极大的网络带宽 给正常用户的 网络使用造成冲击 另外 上网会增加终端计算机感染病毒和 木马的可能性 给内网带来新的安全隐患 和风险 因此 如何 规范员工的终端计算机使用 并对其行为进行控制 给 it 管理 人员提出了新的课题 4 终端计算机的配置管理 对于电力行业庞大的企业网络和众多的终端计算机 依靠 传统的资产登记管理办法 根本无法做到对计算机配置信息的 准确掌握 对计算机配置的变化也无法及时跟踪 例如 要准 确掌握每台计算机的软硬件配置信息 通过手工方式将是非常 耗时和繁琐的工作 要想实时并准确地掌握内网终端计算机的 配置状况与配置变更状况 必须通过技术手段和工具来辅助实 现 才能有效节省成本和资源 提高内网管理的效率 5 终端计算机的远程维护 对于网络规模普遍较大的电力企业来说 终端计算机的数 量众多 it 管理人员无法实时掌握每台终端计算机的运行状态 当终端计算机出现故障需要维护时 it 管理人员如果采用现场 维护的方式 一方面增加了人力成本 另外由于人力资源有限 也无法保证维护的及时性 如何实时监视终端计算机的运行状 况 并且方便地对终端计算机进行远程维护 是 it 管理人员迫 切需要解决的问题 内网安全管理解决方案 针对以上几类 it 管理人员面临的终端计算机管理问题 随着近年来网络安全焦点从互联网向企业内网的转移 电力行 业部分企业也采取了一些终端管理措施 并取得了一定的效果 随着企业信息化水平和 it 管理人员技术水平的提升 电力行业 对内网终端计算机的管理逐渐形成了较为完善的 符合本行业 特点的内网安全管理解决方案 在探索内网安全管理解决方案 的同时 也出现了一些新的需求趋势 1 安全加固解决方案 对终端计算机的安全加固可采取的措施有 补丁管理 防 病毒软件监测 主机防火墙 这些措施均增强了终端计算机的 安全性和健壮性 补丁管理 通过补丁管理 能够对内网终端计算机缺失补丁进行定期 检测和自动安装与更新 保证系统与软件缺陷一经发现便可及 时修补 通过补丁分发管理 大大减少了操作系统和应用软件 漏洞被利用所造成的安全隐患和经济损失 同时 it 管理人员 还可以实时统计当前各终端计算机的补丁缺失情况 补丁安装 情况以及补丁安装的进度等 得到全网的终端计算机补丁安装 快照 方便了对补丁分发过程的监控 防病毒软件监测 通过防病毒软件监测 可以判断终端计算机是否安装了防 病毒软件 防病毒软件运行是否正常以及病毒库是否保持最新 等情况 如果以上几条不满足设定的策略要求 监测系统可以 向 it 管理人员发送报警信息 另外 监测系统还可阻断终端计 算机的内网接入和内网访问 确保易被感染的终端计算机无法 使用内网 主机防火墙 通过主机防火墙 一方面 可以阻断来自外部的入侵 防 止外来入侵给终端计算机带来危害 另一方面 也可以对终端 计算机的网络访问行为进行控制 防止内网用户对网络资源的 滥用行为 如 bt 下载导致网络带宽过渡占用 通过以上加固措施 使得终端计算机的安全强度和抵抗安 全风险能力大大提高 更进一步 还可以对未及时更新补丁 未安装防病毒软件的计算机进行网络访问控制和隔离 使其形 成内网中的 孤岛 避免该终端计算机对内网其它主机造成安 全威胁 2 接入控制解决方案 所谓的接入控制 是指对接入内网的终端计算机进行身份 鉴别或者安全状态检查 阻止未授权或不安全的终端计算机接 入内网和访问内网资源 通过接入控制 可以将外来计算机阻 挡在内网之外 也可以将内网中安全性较差 未及时安装补丁 和防火墙软件 的计算机隔离出内网 保证内网整体的安全性 arp 欺骗阻断 对于非授权计算机和不安全的计算机可以采用 arp 欺骗的 方式 用虚假的 mac 地址刷新目标计算机的 arp 缓存 导致该 计算机无法与内网其它设备通讯 达到阻止其访问网络资源的 目的 与交换机联动阻断 更进一步的技术则是通过与交换机的联动 自动判断接入 计算机的交换机接口 如果发现接入计算机未经过授权或者安 全性较差 则通知交换机禁用该计算机所在的端口 彻底阻断 计算机的接入 以上两种方式各有优缺点 如果能够配合使用 则可极大 提高计算机接入控制能力 通过接入控制 可最大限度地保证 内网的整体安全性 3 行为监控解决方案 对于用户数量达到上千的电力企业 如何规范内网用户行 为 是节约成本 提高效率的关键因素之一 对用户行为的监 控 包括用户网络资源的使用是否合理 是否进行了与工作无 关的网络访问等 如 bt 下载 msn qq 聊天 浏览与工作无 关的网站 玩电脑游戏 观看视频 听音乐等 进程监控 通过对终端计算机运行的进程进行监控 可以发现用户正 在运行的程序 可以通过进程黑名单的方式限制用户运行某些 程序 例如游戏 攻击工具 视频播放器 mp3 播放器等 限 制用户利用计算机进行与工作无关的操作 上网控制 通过对终端计算机的上网控制 可以限定终端计算机的网 站访问 网络聊天和 bt 下载行为 使得终端计算机的用户行为 得到有效控制 既可避免用户滥用网络资源 又能降低随意浏 览互联网带来的安全隐患 配置管理解决方案 配置管理主要完成终端计算机的各种信息的收集和系统参 数的配置 通过配置管理 it 管理人员可以准确掌握每台终端 计算机的配置状况和运行参数 并对批量地对终端计算机的运 行参数进行远程修改 主机信息收集 收集终端计算机相关信息 如主机名 ip 地址 网络参数 帐户信息 安装软件清单 硬件清单 驱动程序清单 服务清 单 进程清单 系统日志等 为终端计算机的维护和故障诊断 提供参考 网络参数设定 设置终端计算机的网络参数 包括 ip 地址 网关 dns wins 等 当网络结构发生变动时 可以快速重新变更计 算机网络参数 大大减轻 it 管理人员的网络管理压力 远程维护解决方案 远程维护作为 it 管理人员一项不可缺少的工作 如果没 有良好的技术手段做支撑 仅仅依靠电话 邮件等方式往往无 法解决问题 从而加重了 it 管理人员的负担 远程维护就是依 靠技术手段和工具 远程对终端计算机进行故障诊断 系统修 复和日常维护等 远程协助 通过远程协助 it 管理人员可以响应远程终端计算机的协 助请求 临时接管远程终端计算机 进行本地化操作 例如 开关机 搜索可疑文件 服务 进程查看 系统配置查看 资源 使用监视等 it 管理人员完成维护操作后 释放对终端计算机 的接管 预警平台 预警平台可以为 it 管理人员与终端用户建立一个即时通 讯的平台 通过该平台 it 管理人员可以接受和回复终端用户 的咨询 可以得到终端计算机的安全告警 也可以定期向终端 用户发布安全预警信息和安全管理策略等 方便了 it 管理人员 与用户的交流和交互 内网安全管理新趋势 在电力行业 由于技术和产品的限制 前几年已经采取内 网安全管理措施的企业 大多选用了多个安全产品 通过各产 品间的协同工作 共同完成终端计算机的管理 应该说 这种 方案取得了一定的效果 但是也面临各产品之间的交互以及与 信息共享的难题 由于这些产品由不同安全厂商供应 很难真 正实现产品之间的联动 给 it 管理人员带来不少麻烦 随着技术的进步 目前的电力行业内网安全管理已经呈现 出新的趋势 包括 1 内网安全管理重心继续向终端计算机转移 内网安全管理明显地服务器区域转向了终端计算机 因为 终端计算机数量众多 任何一台出现安全隐患 对整个内网都 可能会产生巨大的冲击和破坏 2 对功能高度集成的终端安全产品提出了需求 企业用户逐渐认识到 内网的安全管理是一个有机的整体 不是靠安全产品的简单堆砌就能解决 采用高度功能集成的安 全产品可能是一个更好的选择 目前 国内已经出现了适合内 网安全管理的功能高度集成的终端安全产品 这类产品的功能 定位逐渐明确 具有适合内网安全管理的鲜明特色 3 终端安全加固与运行维护并重 终端计算机作为员工日常工作的工具 当然要保证其安全 性 不过 企业用户逐渐认识到 终端计算机的使用最终目的 是为了降低成本 提高效率 因此内网既要安全 也要易于维 护 应该通过技术手段提高终端计算机的维护管理水平 目前 内网安全管理已经成为一个专门的安全领域 在该 领域内 逐渐形成了一批有影响力的安全厂商 对于计划考虑 采取内网安全管理措施的企业 目前已经有了更加适合的产品 解决方案 例如 北京圣博润高新技术有限公司推出的 lansecs 内网安全管理系统 针对电力行业终端计算机数量众多 网络 结构复杂的行业特点 有针对性地加强了网络管理功能 并