国网眉山供电公司信息安全体系建设实践

【摘要】 国网四川省电力公司眉山供电公司于2001年12月26日随眉山建市而成立，是四川省电力公司下属特大型一类供电企业，经营区域覆盖全市一区五县及成都部分地区，供电范围7390余平方公里，服务人口360余万人，接入公司内网的计算机终端达2200余台，网络设备254台，服务器90余台。全网采用全动态路由协议和MPLS VPN 技术组建，各节点形成独立的局域网。本文从局部安全、全局安全、智能安全三个层面，建设一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体，做到信息安全“可控、能控、在控和预控”。

【关键词】 管理 信息安全 准入

一、专业管理理念和目标

1.1 专业管理的理念或策略

信息安全管理的理念为主动作为，从技术上做到信息安全“可控、能控、在控和预控”，实现事前认证、事中监控、事后审计的全流程安全管理。

1.2 专业管理的范围

综合数据网信息安全体系建设涉及公司所有员工。

1.3专业管理的目标

信息安全体系建设的目标为违规外联事件为0，桌面弱口令为0，杀毒软件安装率为100%，桌面管控系统安装率为100%以及不出现其它受到考核的不安全行为和事件。

二、当前的计算机网络安全形势

随着信息化的发展，业务和应用完全依赖于计算机网络和桌面计算机。但是计算机病毒、黑客木马、间谍软件进入桌面计算机，在计算机上安装非法软件，肆意破坏网络和业务系统，外来电脑接入本单位计算机网络等问题时有发生，这些行为非常容易导致桌面计算机和计算机网络系统的瘫痪。最近几年来，网络安全威胁愈演愈烈，网络攻击工具越来越多样，越来越容易获得，所需要的技能越来越低，只需下载一个黑客程序就可以进行攻击，漏洞利用的时间越来越短。攻击的目的性，过去纯粹为了比技术，现在商业目的越来越明显。

三、国网眉山供电公司综合数据网信息安全现状

国网眉山供电公司综合数据网经过2011年到2012年的大规模建设，网络覆盖到了35KV变电站及供电所等机构，形成了规模巨大的数据网络，包含连接各级机关、各个电压等级的变电站和供电所的广域网，以及各个站点的局域网。

综合数据网的建成为所有办公终端提供了高速数据通道，大大提升了信息化水平和办公效率。但也带来了一个严重问题――安全问题。国网眉山供电公司在网的计算机多，爆发的安全问题多，管理难度很大。从国网推广的北信源安全管控系统监控的结果来看，目前内网计算机违规外联、计算机使用弱口令、计算机没有安装防病毒软件等问题还很多，北信源的安全管控系统主要是监控并不能够从技术上进行事前规避。国网眉山供电公司实施了大量的管理措施得了一定的效果，但是没有建立一套全方位的安全技术系统，提升网络的安全性，保护电力公司的信息资产安全。

为了真正提升网络安全性需要建立一个整体安全架构，从局部安全、全局安全、智能安全三个层面，建设一个多层次、全方位的立体防护体系，使网络成为智能化的安全实体。局部安全针对关键问题点进行安全部署，抵御最基础的安全威胁；全局安全利用安全策略完成产品间的分工协作，达到协同防御的目的；智能安全在统一的安全管理平台基础上，借助于开放融合的大安全模型，将网络安全变为从感知到响应的智能实体。

四、国网眉山供电公司综合数据网信息安全体系建设规划

4.1局部安全

目前国网眉山供电公司的网络仅在连接省干网的出口部署了防火墙设备，防火墙能够进行边界保护和基于网络层面的访问控制，但是对应用层的攻击如通过Email携带病毒，通过网页挂木马方式对用户攻击等不能够阻断，应用层攻击行为能够对业务系统造成较大损害。

局部安全建设要对电业局网络进行分区：外联区、服务器区、接入区。外联区：外联区是国网眉山供电公司与省干网连接的边界区域；服务器区：服务器区是国网眉山供电公司的数据中心，存放重要的业务数据；接入区：接入区是各个站点及电力公司的局域网区域；

完成局部安全建设后，本电业局与省公司及其他电业局之间的安全攻击将被隔离，本电业局的攻击不会影响到省公司和其他电业局。本电业局内部的攻击也不会影响到服务器区的业务系统。提升了业务系统的安全性。对于电业局的网络系统基本上没有安全防范的措施，所以需要重建安全技术体系。

4.2全局安全

全局安全是通过网络设备与安全设备的配合提供端到端的安全防护。通过局部安全建设能够抵御内部的安全攻击，但是不能够控制攻击的在内部的泛滥，需要通过网络设备的准入功能，在网络的与用户终端的边界建立准入机制，只允许合法的用户访问网络，且只允许合法用户符合安全要求的终端访问网络，并通过客户端软件强制功能提升终端的自身的安全性。

全局安全的主要建设内容为：

身份认证：变开放的网络为封闭网络防止外来非法计算机访问网络；在网络接入设备上开启网络认证功能，开启该功能后，当计算机接入网络时是无法转发任何数据的，只有认证报文能够通过网络与认证服务器交互，只有合法的员工输入正确的用户名和密码后认证成功，该用户获得第一级访问网络的权限，仅能够访问安全隔离区；外来的非法计算机因没有账号和口令而无法向网络发送任何数据。

安全评估：加强计算机的安全性，只有符合安全规范的计算机才能够访问网络；当合法员工输入正确的账号和口令后获得第一访问网络的权限后，启动对计算机的安全检查，检查内容包括弱口令检查、防病毒软件、操作系统补丁、必须要运行的软件等。弱口令检查是扫描计算机账号的口令，与弱口令字典进行比对，如果存在弱口令则认证失败，要求用户修改口令，直到口令改为强口令，避免被破解口令后远程控制该计算机；防病毒软件检查是扫描系统是否安装防病毒软件以及是否更新病毒库，如果没有安装防病毒软件或者病毒库没有更新，则认证失败。并要求计算机访问安全隔离区进行修复，安装防病毒软件或者进行病毒库升级，保证计算机具有防病毒能力，能够对通过计算机外设及通过网络散播的病毒进行杀毒。

软件管理：目前国网要求所有终端安装北信源的安全管控软件，但是部分终端没有安装，导致无法评估真实网络安全状态，建设全局安全启动了网络准入功能，如果终端不安装北信源软件就无法访问网络，通过技术手段保证每个接入网络的终端必须安装北信源安全管控软件，提升国网考核的注册率。

防内网外联：启用网络准入功能后，准入客户端可以在终端上对网络驱动下发隔离策略，只有被安全认证服务器认证通过的网卡才能够访问网络，而安全认证服务器是在信息内网中的。当终端接入到互联网上时，只有认证数据能够通过，因互联网上没有安全认证服务器所以认证不通过，终端无法获得授权而无法访问网络。在终端运行过程中插入WLAN网卡或者3G网卡也无法联网，因为在互联网上无法进行认证所以网卡被隔离无法访问互联网。

全局安全建设后，对于具有安全隐患的终端将无法接入到网络，大大提高网络的安全性，终端自身也具有了较高的防御性，可以抵御网络中的攻击。

4.3智能安全

局部安全和全局安全建设后，整个网络具有了较高的安全性。但是还不具备足够的智能性。智能安全的目标是动态调整终端安全性、识别安全攻击并快速定位和隔离攻击，将安全事件控制在最小的范围之内。在终端使用过程安全状态会发生变化，智能安全的目标是使得终端具备智能提升安全性能力，通过动态补丁升级服务器可以保证终端缺乏必要安全补丁时能够自动从补丁服务器上获取补丁，避免操作系统受到漏洞攻击；当病毒库版本升级后终端能够自动进行升级。

另外，部署安全审计服务器将整个网络中的网络设备、安全设备、业务服务器等日志能够统一管理，当出现安全事件时能够主动告警并快速定位，并且可以隔离攻击源。

五、总结

国网眉山供电公司综合数据网信息安全体系的建设必须是端到端、全面、智能的安全防护体系，从网络入口开始进行管控和安全防护，保证只有达到一定安全要求的终端才能够接入网络，在终端使用网络过程中能够动态更新自身的安全状态提升自身安全防护能力，终端访问的业务系统受到严密防护。对于网络中出现的安全事件能够快速定位并快速隔离，将安全事件的影响降低到最小。做到事前认证、事中监控、事后审计的全流程安全管理。