基于电力泛终端的准入控制技术与管理研究

(整期优先)网络出版时间:2018-12-22
/ 2

基于电力泛终端的准入控制技术与管理研究

陈悦

(国网杭州市余杭区供电公司浙江杭州311100)

摘要:论文首先深入研究地市公司在泛终端信息安全管理方面所存在问题,并从中吸取经验和教训,以系统整体的视角运用先进的泛终端准入控制技术与管理方式,提出信息安全建设的目标,制定信息安全管理策略,规划准入建设实施步骤,,为供电企业信息安全管理保障体系提出全面的信息安全管理解决方案。意图为地市供电企业构建一个比较完善的泛终端准入管理流程“五步法”,保证供电企业信息系统安全、高效和稳定持续地运行,从而充分发挥信息系统在供电行业竞争中的价值。

关键词:信息安全;供电企业;五步法;体系架构;终端准入

引言

随着网络信息技术发展和“两化”深度融合,网络安全的重要性与日俱增。党中央、国务院高度重视网络信息安全,党的十八大提出建设网络强国的战略目标,将网络安全纳入国家安全的组成部分,全国人民代表大会常务委员会于2016年11月7日发布了《中华人民共和国网络安全法》。

2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上指出“能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护”。国家电网公司也高度重视网络与信息安全。当前公司生产运营高度依赖网络和信息系统,大量移动终端接入使网络边界不断扩大,一旦外部攻击突破安全防护体系,将直接威胁公司业务安全、数据安全和工控系统安全,危及电力系统安全。针对无线终端、移动终端等快速发展,全面梳理涉及营销、运检、基建等相关部门新业务开展情况,发现存在安全漏洞或隐患,着力研究落实补强措施。

以下将地市公司终端管理存在问题和现状进行分析,并采用“五步法”提出解决方案,对今后该工作的应用前景进行展望。

1信息安全现状分析

1.1现有安全防护措施

目前,国网浙江省电力公司采用分区域的多级网络,包括省公司、地市公司、县市公司三级。各级网络边界采取了防火墙等必要的隔离和防护设施,但是由于业务系统集中访问的需要,网络间的防火墙开放了较多数量的地址和端口,导致各级网络在实现互访时存在一定的风险。

公司内外网交换机侧采用IP-MAC绑定的策略实施物理接入控制。该方法通过识别终端的MAC地址进行内网准入控制。终端网络访问采用ACL访问控制列表隔离各类业务数据,根据用户业务访问权限,基于源地址、目的地址、协议、端口等元素在设备上部署与之相应的用户访问acl策略,防止用户越权访问。公司在网络中运行的电脑都安装相应的安装相应的桌面管控软件和防病毒软件,终端实名列表注册管理,并开启管理员审核。对于接入的计算机信息有详细的统计。

1.2现阶段存在问题

首先防火墙和交换机做了大量的安全访问策略但是无法阻止有人冒用IP和MAC进行渗透破坏,国网公司采用IP-MAC绑定防控手段,该手段无法对用户的身份开展合法认证,使入侵人员可以通过变更计算机IP-MAC的方式欺骗交换机接入信息网络,尤其是供电营业厅等面向社会公众服务场所,存在较大的物理接入风险。其次,对于终端开启了注册备案,可是没有采用IP、MAC、用户、网络端口、设备指纹绑定,也不阻断网络连接,只要有人冒用IP、MAC仍能顺利渗透到网络中。

2信息安全防范体系构建

2.1技术原理

网络接入控制系统采用软硬件结合的方式,以终端验证和终端安全为基础,通过身份认证以及安全域控制等手段,从根本上保证接入网络的终端可信程度,并控制可信计算机的访问权限,为企业的终端入网安全管理提供强有效的保障,规避来自于企业内部的信息安全风险。

网络接入控制系统采用分布式部署方式,可以多级部署,纯旁路部署到汇聚交换机,无需修改现有网络结构及配置,不对网络造成任何负面影响的情况下,完成部署并构建网络层管控平台。

2.2准入管理“五步法”

网络接入控制系统遵循终端注册、身份认证、安全检、安全隔离及允许入网、日志审计的控制流程。

2.2.1第一步注册终端信息,做好设备审查。

在终端接入网络后,首先判断终端是否注册,没有注册的终端发起注册请求,进行审核,审核通过后进入身份认证,未通过的禁止入网。

2.2.2第二步用户身份认证,做实用户审查。

为了适应不同模式下的用户业务系统,网络接入控制系统支持多种认证模式,能和当前大多数主流认证系统进行结合与联动,从而以最小的代价实现用户入网统一身份认证,目前主要支持的认证模式包含本地认证、Radius认证、AD域认证、LDAP认证。

2.2.3第三步终端入网安全加固,降低安全风险。

安全检查是计算机终端入网的凭证,不安全的终端接入网络,将可能给网络带来无法估量的损失,例如病毒恶意传播,木马泛滥导致机密泄露,不安全策略配置导致对黑客入侵缺乏抵抗能力等。网络接入控制系统针对以上问题,从终端安全加固做起,对终端可能存在的风险进行评估,并根据评估结果对终端存在的风险进行修复和加固。

2.2.4第四步规范用户权限,专机专用。

对于通过安全检查的终端,可以访问授权区域,未通过的终端只能访问指定的安全控制域,避免因为不安全的终端接入网络而造成的未知风险。

2.2.5第五步用户信息详细登记,操作实时审计。

记录接入网络的源头,所有接入到网络中设备及计算机都要能够监测到,记录什么时间、什么位置、什么人、什么设备接入到网络中。

2.3组织管理流程图

任何信息安全问题是一个系统的、全局的管理问题,网络终端准入管理也一样,终端准入流程管理上的任何一个漏洞,都会成为企业信息安全的隐患,我们意图让公司的信息安全管理更进一步,就必须使用系统工程的观点、方法,分析改善我们终端准入的组织管理流程和规章制度。一个较好的组织管理措施往往是多种方法适当综合的应用结果。一个网络终端准入审批的每个环节的作用和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的结果。

考虑供电企业信息系统的网络特点具有安全域划分的特点,结合安全域概念,在对系统分层分域的控制的要求下,结合供电企业的信息系统特点,结合安全技术和安全管理的“三分技术,七分管理”的参考意见,构建了如下的网络终端准入管理流程图。

如图网络终端准入流程图

3信息安全管理体系深化

目前《中华人民共和国网络安全法》已获全国人大常委会通过,将自2017年6月1日起施行,在当前的新形势下,公司应将信息安全和电网安全放在同一高度,提升全员信息安全意识。业务部门作为业务系统建设开发的组织部门,应侧重宣贯与信息系统相关的安全防护规章制度。此外,信息终端准入组织管理流程是终端入网的必要前提条件,必须加强各业务部门对相关入网组织管理规范的宣贯力度。还应加强全员的终端接入安全意识的宣贯,落实各类终端接入准则。

4结论

综上所述,信息安全是一项技术和管理工作的结合体,是一项长期持久的防御战,建立一个有先进技术构成的公司网络安全的准入防护体系,并不是一劳永逸的,形成一个与技术方案相适应的终端入网组织管理流程,来把控技术防护体系的严密性,完整性,可靠性,是不可或缺的,最后建立保证体系运作规章制度,宣贯法律法规,健全考核机制,使得公司现有条件下获得最大程度的信息安全。