电力行业内网安全管理发展趋势及解决方案
来源:中国电子政务网 更新时间:2012-04-14

近年来,电力行业信息化发展迅速,无论是发电企业还是电网公司,企业内部网络和各类信息化应用系统的建设已经逐步完善,网络和信息安全防护措施逐渐成熟。可以说,电力行业的信息化已经从“建设时期”进入了“维护和管理时期”。如何使信息化“建设时期”的投入转化为企业真正的生产力,从而降低成本、提高效率,是当前电力行业各企业普遍关心并努力解决的问题之一。
 
    电力行业的内网结构复杂、应用系统众多,网络和应用系统的运维消耗了管理人员相当的精力。然而,根据统计发现,企业内网和应用系统发生故障的原因很少是由于网络设备和应用系统自身的问题,更多的是因为企业内网的其它安全因素导致,如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素,则几乎全部来源于用户终端计算机。因此,企业内网和应用系统的维护管理不是独立的,应该从内网安全管理的全局出发,从事故发生的根源开始,对内网安全进行通盘考虑。

    内网安全管理面临的问题

    当前电力行业内网安全管理面临不少问题,其中如何有效地对内网终端计算机进行管理,困扰了相当多的IT管理人员。这些问题可分为如下几类:

    1) 终端计算机的安全加固

    尽管多数电力企业对终端计算机的安全加固已经采取了部分安全措施,例如安装了防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对终端计算机进行漏洞扫描,督促用户及时更新操作系统补丁。但是,这些努力措施却没有起到应有的效果。首先,企业管理者不能保证所有的终端用户都安装了防病毒软件和防火墙软件;其次,即便安装了这些防护软件,用户也常常因为各种原因无法及时更新病毒库,也不知道如何正确配置防火墙策略;另外,系统漏洞扫描虽然可以获得终端计算机的补丁缺失情况,但是却缺乏有效的补丁安装手段。所有这些因素,均导致终端计算机的安全无法保障。

    2) 终端计算机的接入控制

    电力行业企业一般来说都属于大中型企业,内网计算机数量众多。IT管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下,很难控制外来人员随意的计算机接入。很容易导致企业内网机密信息的泄漏,往往等泄密事件发生了,却还无法判断到底是哪一个环节出了差错。
另外,对于内网授权使用的计算机,任何一台感染了病毒和木马,IT管理人员也无法及时定位和自动阻断该计算机的破坏行为。往往需要花费很长的时间才能判断和定位该计算机,然后再通过手动的方式断网。对安全强度差的终端计算机缺乏有效的安全状态检测和内网接入控制,是IT管理人员比较头疼的问题之一。

    3) 终端计算机的行为监控

    在电力行业中,内网的建设和使用的确为企业提供了效率增长的工具,但是部分企业却发现恰恰正是由于内网的使用,反而导致部分员工的工作效率成倍下降。这主要是由于这些员工经常利用终端计算机进行与业务无关的互联网访问、文件下载、网络聊天、玩计算机游戏。看电影等。首先,这些用户行为给企业造成了生产力损失,降低了工作效率;其次,员工对互联网的过渡访问会占用企业极大的网络带宽,给正常用户的网络使用造成冲击;另外,上网会增加终端计算机感染病毒和木马的可能性,给内网带来新的安全隐患和风险。因此,如何规范员工的终端计算机使用,并对其行为进行控制,给IT管理人员提出了新的课题。

    4) 终端计算机的配置管理

    对于电力行业庞大的企业网络和众多的终端计算机,依靠传统的资产登记管理办法,根本无法做到对计算机配置信息的准确掌握,对计算机配置的变化也无法及时跟踪。例如,要准确掌握每台计算机的软硬件配置信息,通过手工方式将是非常耗时和繁琐的工作。要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况,必须通过技术手段和工具来辅助实现,才能有效节省成本和资源,提高内网管理的效率。

    5) 终端计算机的远程维护

    对于网络规模普遍较大的电力企业来说,终端计算机的数量众多,IT管理人员无法实时掌握每台终端计算机的运行状态。当终端计算机出现故障需要维护时,IT管理人员如果采用现场维护的方式,一方面增加了人力成本,另外由于人力资源有限,也无法保证维护的及时性。如何实时监视终端计算机的运行状况,并且方便地对终端计算机进行远程维护,是IT管理人员迫切需要解决的问题。

    内网安全管理解决方案

    针对以上几类IT管理人员面临的终端计算机管理问题,随着近年来网络安全焦点从互联网向企业内网的转移,电力行业部分企业也采取了一些终端管理措施,并取得了一定的效果。随着企业信息化水平和IT管理人员技术水平的提升,电力行业对内网终端计算机的管理逐渐形成了较为完善的、符合本行业特点的内网安全管理解决方案。在探索内网安全管理解决方案的同时,也出现了一些新的需求趋势。

    1) 安全加固解决方案

    对终端计算机的安全加固可采取的措施有:补丁管理、防病毒软件监测、主机防火墙。这些措施均增强了终端计算机的安全性和健壮性。 

    补丁管理

    通过补丁管理,能够对内网终端计算机缺失补丁进行定期检测和自动安装与更新,保证系统与软件缺陷一经发现便可及时修补。通过补丁分发管理,大大减少了操作系统和应用软件漏洞被利用所造成的安全隐患和经济损失。同时,IT管理人员还可以实时统计当前各终端计算机的补丁缺失情况、补丁安装情况以及补丁安装的进度等,得到全网的终端计算机补丁安装快照。方便了对补丁分发过程的监控。

    防病毒软件监测

    通过防病毒软件监测,可以判断终端计算机是否安装了防病毒软件、防病毒软件运行是否正常以及病毒库是否保持最新等情况。如果以上几条不满足设定的策略要求,监测系统可以向IT管理人员发送报警信息。另外,监测系统还可阻断终端计算机的内网接入和内网访问,确保易被感染的终端计算机无法使用内网。

    主机防火墙

    通过主机防火墙,一方面,可以阻断来自外部的入侵,防止外来入侵给终端计算机带来危害;另一方面,也可以对终端计算机的网络访问行为进行控制,防止内网用户对网络资源的滥用行为,如BT下载导致网络带宽过渡占用。
通过以上加固措施,使得终端计算机的安全强度和抵抗安全风险能力大大提高。更进一步,还可以对未及时更新补丁、未安装防病毒软件的计算机进行网络访问控制和隔离,使其形成内网中的“孤岛”。避免该终端计算机对内网其它主机造成安全威胁。

    2) 接入控制解决方案

    所谓的接入控制,是指对接入内网的终端计算机进行身份鉴别或者安全状态检查,阻止未授权或不安全的终端计算机接入内网和访问内网资源。通过接入控制,可以将外来计算机阻挡在内网之外,也可以将内网中安全性较差(未及时安装补丁和防火墙软件)的计算机隔离出内网,保证内网整体的安全性。

    ARP欺骗阻断

    对于非授权计算机和不安全的计算机可以采用ARP欺骗的方式,用虚假的MAC地址刷新目标计算机的ARP缓存,导致该计算机无法与内网其它设备通讯,达到阻止其访问网络资源的目的。

    与交换机联动阻断

    更进一步的技术则是通过与交换机的联动,自动判断接入计算机的交换机接口,如果发现接入计算机未经过授权或者安全性较差,则通知交换机禁用该计算机所在的端口。彻底阻断计算机的接入。

    以上两种方式各有优缺点,如果能够配合使用,则可极大提高计算机接入控制能力。通过接入控制,可最大限度地保证内网的整体安全性。

    3) 行为监控解决方案

    对于用户数量达到上千的电力企业,如何规范内网用户行为,是节约成本、提高效率的关键因素之一。对用户行为的监控,包括用户网络资源的使用是否合理、是否进行了与工作无关的网络访问等。如:BT下载、MSN/QQ聊天、浏览与工作无关的网站、玩电脑游戏、观看视频、听音乐等。

    进程监控
 
    通过对终端计算机运行的进程进行监控,可以发现用户正在运行的程序。可以通过进程黑名单的方式限制用户运行某些程序,例如游戏、攻击工具、视频播放器、MP3播放器等。限制用户利用计算机进行与工作无关的操作。

    上网控制

    通过对终端计算机的上网控制,可以限定终端计算机的网站访问、网络聊天和BT下载行为,使得终端计算机的用户行为得到有效控制,既可避免用户滥用网络资源,又能降低随意浏览互联网带来的安全隐患。

    配置管理解决方案

    配置管理主要完成终端计算机的各种信息的收集和系统参数的配置。通过配置管理,IT管理人员可以准确掌握每台终端计算机的配置状况和运行参数,并对批量地对终端计算机的运行参数进行远程修改。

    主机信息收集

收集终端计算机相关信息,如主机名、IP地址、网络参数、帐户信息、安装软件清单、硬件清单、驱动程序清单、服务清单、进程清单、系统日志等。为终端计算机的维护和故障诊断提供参考。

    网络参数设定

    设置终端计算机的网络参数,包括IP地址、网关、DNS、WINS等。当网络结构发生变动时,可以快速重新变更计算机网络参数。大大减轻IT管理人员的网络管理压力。

    远程维护解决方案

    远程维护作为IT管理人员一项不可缺少的工作,如果没有良好的技术手段做支撑,仅仅依靠电话、邮件等方式往往无法解决问题。从而加重了IT管理人员的负担。远程维护就是依靠技术手段和工具,远程对终端计算机进行故障诊断、系统修复和日常维护等。

    远程协助

    通过远程协助,IT管理人员可以响应远程终端计算机的协助请求,临时接管远程终端计算机,进行本地化操作。例如:开关机、搜索可疑文件、服务/进程查看、系统配置查看、资源使用监视等。IT管理人员完成维护操作后,释放对终端计算机的接管。
    预警平台

    预警平台可以为IT管理人员与终端用户建立一个即时通讯的平台,通过该平台,IT管理人员可以接受和回复终端用户的咨询,可以得到终端计算机的安全告警,也可以定期向终端用户发布安全预警信息和安全管理策略等。方便了IT管理人员与用户的交流和交互。

    内网安全管理新趋势 

    在电力行业,由于技术和产品的限制,前几年已经采取内网安全管理措施的企业,大多选用了多个安全产品,通过各产品间的协同工作,共同完成终端计算机的管理。应该说,这种方案取得了一定的效果。但是也面临各产品之间的交互以及与信息共享的难题。由于这些产品由不同安全厂商供应,很难真正实现产品之间的联动,给IT管理人员带来不少麻烦。

    随着技术的进步,目前的电力行业内网安全管理已经呈现出新的趋势,包括:

    1) 内网安全管理重心继续向终端计算机转移

    内网安全管理明显地服务器区域转向了终端计算机,因为终端计算机数量众多,任何一台出现安全隐患,对整个内网都可能会产生巨大的冲击和破坏。

    2) 对功能高度集成的终端安全产品提出了需求

    企业用户逐渐认识到,内网的安全管理是一个有机的整体,不是靠安全产品的简单堆砌就能解决,采用高度功能集成的安全产品可能是一个更好的选择。目前,国内已经出现了适合内网安全管理的功能高度集成的终端安全产品。这类产品的功能定位逐渐明确,具有适合内网安全管理的鲜明特色。

    3) 终端安全加固与运行维护并重

    终端计算机作为员工日常工作的工具,当然要保证其安全性。不过,企业用户逐渐认识到,终端计算机的使用最终目的是为了降低成本、提高效率。因此内网既要安全,也要易于维护。应该通过技术手段提高终端计算机的维护管理水平。
    目前,内网安全管理已经成为一个专门的安全领域。在该领域内,逐渐形成了一批有影响力的安全厂商。对于计划考虑采取内网安全管理措施的企业,目前已经有了更加适合的产品解决方案。例如,北京圣博润高新技术有限公司推出的LanSecS内网安全管理系统,针对电力行业终端计算机数量众多,网络结构复杂的行业特点,有针对性地加强了网络管理功能。并将终端管理与网络管理有机结合在一起,提出了“单点防护、网络联动、全面管理”的内网安全管理新思路,进一步完善了内网安全管理理念。通过终端加固、终端监控、终端维护、接入控制、网络管理、资产管理等功能的协同与交互,帮助电力行业用户利用单一产品就可实现全面的内网安全管理。不仅大大节省了企业的投资、也减轻了IT管理人员的内网管理负担,提高了工作效率。目前在电力行业中,该产品已经拥有东北电网、包头供电局、云南大朝山水电有限公司、锦州东港电力、山东荷泽供电公司等几十家成功案例。为电力行业的内网安全管理做出了应有的努力。