電力企業(yè)終端信息安全風(fēng)險(xiǎn)分析與管控

董 勇，張 弛，葉水勇，王文林，張 婷，宋浩杰，成秋芬

(國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000)

隨著信息化建設(shè)的全面推廣，信息系統(tǒng)的安全建設(shè)已經(jīng)從過(guò)去的局部?jī)?yōu)化階段進(jìn)入了整體完善階段，國(guó)網(wǎng)黃山供電公司對(duì)信息系統(tǒng)安全防護(hù)需求日益增強(qiáng)，在IT信息安全領(lǐng)域面臨比以往更為復(fù)雜的局面。這既有來(lái)自于企業(yè)和組織外部的層出不窮的入侵和攻擊，也有來(lái)自于企業(yè)和組織內(nèi)部的違規(guī)和泄漏[1-2]。

1 信息網(wǎng)絡(luò)主要存在的問(wèn)題

公司信息網(wǎng)絡(luò)主要包括信息外網(wǎng)、信息內(nèi)網(wǎng)、調(diào)度三區(qū)網(wǎng)絡(luò)三個(gè)部分。從地市公司層面來(lái)看，信息安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面內(nèi)容。

(1)網(wǎng)絡(luò)邊界防護(hù)管理漏洞較多，各類邊界防火墻ACL策略存在安全隱患，如無(wú)效過(guò)期策略、策略交叉、IP范圍過(guò)大策略、未指定端口策略，以及135、139、3389、22、21等高危險(xiǎn)任意開放等。

(2)信息外網(wǎng)終端用戶，大量使用U盤進(jìn)行文件傳輸、WIFI熱點(diǎn)的濫用、藍(lán)牙設(shè)備的應(yīng)用給企業(yè)的敏感信息泄露提供了溫床；終端接入使用私有地址、路由器等，避開VRV桌面管理系統(tǒng)監(jiān)控不安裝防病毒軟件，用手機(jī)或無(wú)線網(wǎng)卡實(shí)現(xiàn)違規(guī)外聯(lián)行為。終端補(bǔ)丁未按照策略要求進(jìn)行分發(fā)安裝[3]。

(3)由于OTN網(wǎng)絡(luò)改造，市公司網(wǎng)絡(luò)架構(gòu)調(diào)整，信息內(nèi)網(wǎng)從市公司層面直接可以訪問(wèn)國(guó)網(wǎng)公司、各網(wǎng)省公司，因此地市公司可以作為黑客的直接跳板；地市公司安全監(jiān)測(cè)、檢查技術(shù)力量較為薄弱，信息內(nèi)網(wǎng)部分主機(jī)、系統(tǒng)可能存在弱口令、賬號(hào)權(quán)限設(shè)置不合理、安全配置未加固等問(wèn)題；機(jī)房、變電站、供電所等物理訪問(wèn)控制管理不嚴(yán)格，非工作人員與外部運(yùn)維人員可能進(jìn)行物理攻擊或非法接入內(nèi)、外網(wǎng)。

(4)終端較多、分布的地理范圍較廣、環(huán)境相對(duì)復(fù)雜，如變電站、供電所、營(yíng)業(yè)廳、電力工區(qū)等位置，存在一機(jī)多用，多人共用同一密碼現(xiàn)象，終端安全管理較為困難；終端用戶文化水平層次不齊、相對(duì)信息安全意識(shí)較弱，訪問(wèn)掛馬網(wǎng)頁(yè)、下載未知附件、IM工具傳輸文件等行為帶來(lái)一定的安全風(fēng)險(xiǎn)[4]。

針對(duì)存在的各類信息安全問(wèn)題，需開展信息安全全面整治工作，以防范可能出現(xiàn)的各類信息安全事件，進(jìn)一步提高公司信息安全管理水平。

2 研發(fā)過(guò)程及主要做法

2.1 安全邊界風(fēng)險(xiǎn)管理

圖1 黃山供電公司安全防護(hù)拓?fù)鋱D

安全邊界風(fēng)險(xiǎn)管理為明確安全防護(hù)范圍，確定安全防護(hù)重點(diǎn)，公司組織對(duì)信息內(nèi)外網(wǎng)各安全邊界范圍、防火墻策略及現(xiàn)有安全防護(hù)體系進(jìn)行梳理[5-6]。本次梳理對(duì)公司4個(gè)信息網(wǎng)絡(luò)邊界、158條ACL訪問(wèn)控制列表進(jìn)行了逐一核對(duì)，關(guān)閉16條ACL策略，對(duì)49條開放不規(guī)范的ACL策略進(jìn)行了修改，進(jìn)一步縮小了安全域，減少了安全風(fēng)險(xiǎn)，提高了公司信息網(wǎng)絡(luò)的安全性。安全防護(hù)拓?fù)鋱D如圖1所示。

公司通過(guò)梳理所有信息網(wǎng)絡(luò)邊界防火墻設(shè)置情況對(duì)源地址為ALL的策略、目標(biāo)地址端口不明確、老舊策略、策略開放范圍過(guò)大、服務(wù)器區(qū)域與辦公區(qū)域通信等策略進(jìn)行整改，杜絕安全邊界過(guò)大。

(1)利用ScanPort工具，對(duì)服務(wù)器開放的端口進(jìn)行排查，檢查本單位端口開放情況。檢查端口開放情況如圖2所示。

圖2 檢查端口開放情況圖

(2)在各桌面域邊界進(jìn)行高危端口的限制，主要有：TCP 135、139、445、593、1025端口和UDP 135、137、138、445端口，一些流行病毒的后門端口(如TCP 2745、3127、6129端口)，以及遠(yuǎn)程服務(wù)訪問(wèn)端口3389。對(duì)內(nèi)外網(wǎng)服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等，均設(shè)置IP地址白名單，僅針對(duì)有管理需求的終端開放TCP 22、3389、21、1433等端口。

(3)對(duì)于檢查發(fā)現(xiàn)ACL策略條目有交叉、重復(fù)的進(jìn)行優(yōu)化處理，根據(jù)實(shí)際開放需求進(jìn)行整理，縮小開放的范圍[7]。對(duì)檢查發(fā)現(xiàn)策略過(guò)期的、命中數(shù)為0的ACL條目進(jìn)行清理。

(4)對(duì)于策略IP地址開放范圍過(guò)大、未指定到端口的策略、源地址和目的地址為ANY的策略，進(jìn)行逐條分析，刪除后按需開放。聯(lián)合省公司層面、推進(jìn)運(yùn)維審計(jì)平臺(tái)的應(yīng)用，加強(qiáng)對(duì)運(yùn)維操作的審計(jì)。

2.2 終端風(fēng)險(xiǎn)管理

終端風(fēng)險(xiǎn)作為信息風(fēng)險(xiǎn)管理的重要組成部分，對(duì)地市公司來(lái)說(shuō)更為重要。為提高公司信息網(wǎng)絡(luò)安全性，應(yīng)從源頭做好信息安全管理工作。公司對(duì)所屬32個(gè)變電站、12個(gè)營(yíng)業(yè)廳及市縣公司辦公場(chǎng)所的所有客戶端進(jìn)行了摸排，具體做法如下。

(1)利用VRV系統(tǒng)配置策略方式實(shí)現(xiàn)對(duì)各單位各部門客戶端使用WIFI非法接入信息網(wǎng)絡(luò)情況進(jìn)行禁用。同時(shí)，在各單位組織對(duì)非法使用WIFI、HUB與設(shè)置路由器等問(wèn)題安全大檢查，通過(guò)現(xiàn)場(chǎng)檢查終端是否插入WIFIAP、用手機(jī)搜索附近的信號(hào)來(lái)排查是否自建互聯(lián)網(wǎng)出口行為[8]。利用VRV策略實(shí)現(xiàn)對(duì)信息外網(wǎng)終端USB存儲(chǔ)進(jìn)行禁用，杜絕木馬擺渡方式攻擊。

(2)對(duì)于部分微軟已不再提供補(bǔ)丁程序的系統(tǒng)(如XP等)，嚴(yán)格按國(guó)網(wǎng)公司要求安裝內(nèi)部XP專用補(bǔ)丁程序。

(3)梳理現(xiàn)有內(nèi)外網(wǎng)站終端IP地址，檢查是否納入桌面管理系統(tǒng)的監(jiān)控范圍[9]。梳理所有客戶端是否按要求安裝了安全管理軟件(趨勢(shì)防病毒軟件、VRV桌面管控軟件等)，對(duì)于未安裝安全管理軟件客戶端將采用斷網(wǎng)整改處理。嚴(yán)格執(zhí)行省公司信息安全相關(guān)要求，杜絕“一機(jī)多用”現(xiàn)象，對(duì)于部分責(zé)任歸屬不明確的終端采用斷網(wǎng)處理，確需使用終端必須明確責(zé)任到人，保障信息責(zé)任制度落實(shí)。

(4)通過(guò)深信服行為管理設(shè)備從地市公司出口設(shè)置了外網(wǎng)終端用戶行為安全策略，如即時(shí)通信工作傳送文件阻斷、常用WEB郵箱阻斷(含sgcc郵箱)、代理工具、木馬控制工具、P2P下載工具、IM遠(yuǎn)程協(xié)助功能、FTP協(xié)議、遠(yuǎn)程登錄軟件、敏感信息關(guān)鍵字阻斷等。

(5)通過(guò)VRV下發(fā)補(bǔ)丁自動(dòng)更新腳本實(shí)現(xiàn)所有內(nèi)外網(wǎng)客戶連接省公司W(wǎng)SUS服務(wù)器的方式進(jìn)行客戶端安全更新[10]。對(duì)信息內(nèi)外網(wǎng)終端感染病毒情況進(jìn)行了初步排查，攻擊發(fā)現(xiàn)內(nèi)網(wǎng)感染病毒較多終端34臺(tái)，外網(wǎng)感染病毒終端8臺(tái)，全部斷網(wǎng)進(jìn)行操作系統(tǒng)重裝。

(6)執(zhí)行“信息安全日清日結(jié)”制度，對(duì)當(dāng)天安全系統(tǒng)巡檢發(fā)現(xiàn)的終端弱口令、防病毒軟件未安裝情況、未注冊(cè)等問(wèn)題，當(dāng)天必須完成整改。所有終端用戶需在下班時(shí)按要求關(guān)閉所用內(nèi)外網(wǎng)信息終端，減少終端被攻擊的可能。

2.3 應(yīng)用系統(tǒng)風(fēng)險(xiǎn)管理

由于應(yīng)用系統(tǒng)已經(jīng)在省公司集中部署，地市公司內(nèi)網(wǎng)只有少量的級(jí)聯(lián)監(jiān)控類系統(tǒng)，主要涉及X86服務(wù)器和SQL SERVER數(shù)據(jù)庫(kù)。公司目前約有服務(wù)器16臺(tái)，通過(guò)梳理排查加固主機(jī)16臺(tái)。

開展內(nèi)網(wǎng)系統(tǒng)安全加固檢查。利用綠盟漏洞掃描設(shè)備開展全公司信息系統(tǒng)弱口令、常見(jiàn)漏洞排查。發(fā)現(xiàn)了windows服務(wù)器的常見(jiàn)漏洞如MS-08-067、MS-06-040、MS-12-020、MS15-020漏洞、SMB枚舉共享、LINUX openssh、shell shock，SNMP弱口令、主機(jī)管理員弱口令、FTP弱口令、匿名賬號(hào)，對(duì)發(fā)現(xiàn)的問(wèn)題及時(shí)進(jìn)行了整改。為保障應(yīng)用系統(tǒng)穩(wěn)定可靠運(yùn)行，對(duì)公司所有應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)程序制訂相應(yīng)的備份策略，保證系統(tǒng)受到破壞時(shí)，系統(tǒng)能正常恢復(fù)，并對(duì)備份介質(zhì)安排專人管理[11]。

2.4 安全監(jiān)測(cè)與審計(jì)

開展地市公司層面的安全監(jiān)測(cè)工作，市公司層面監(jiān)測(cè)主要有邊界防火墻、IDS設(shè)備、防病毒系統(tǒng)具體監(jiān)控安排如下。

(1)對(duì)于防病毒系統(tǒng)發(fā)現(xiàn)的病毒事件進(jìn)行統(tǒng)計(jì)，對(duì)于感染病毒較多的終端進(jìn)行重點(diǎn)整改，確保當(dāng)天到位后再次入網(wǎng)，未能及時(shí)整改終端將不予入網(wǎng)使用。每天安排專人對(duì)公司所有安全設(shè)備與系統(tǒng)進(jìn)行安全巡查與分析，確保及時(shí)發(fā)現(xiàn)攻擊行為。

(2)對(duì)于防火墻系統(tǒng)進(jìn)行及時(shí)監(jiān)控，發(fā)現(xiàn)異常命中策略及時(shí)與安全運(yùn)維人員、業(yè)務(wù)系統(tǒng)相關(guān)人員進(jìn)行聯(lián)動(dòng)，確保盡早發(fā)現(xiàn)攻擊行為，阻斷網(wǎng)絡(luò)攻擊[12]。細(xì)化運(yùn)維審計(jì)系統(tǒng)時(shí)間策略，梳理運(yùn)維審計(jì)人員有效性，減少冒名使用情況。重點(diǎn)分析IDS系統(tǒng)日志，及時(shí)更新IDS特征庫(kù)，確保IDS設(shè)備對(duì)于最新攻擊行為的感知。

2.5 其他安全措施

(1)強(qiáng)化辦公場(chǎng)所人員進(jìn)出管理，杜絕非本單位人員進(jìn)出公司辦公區(qū)域。強(qiáng)化機(jī)房準(zhǔn)入機(jī)制，嚴(yán)格執(zhí)行一單兩票制度，杜絕非工作人員混入機(jī)房，進(jìn)而破壞信息系統(tǒng)。加強(qiáng)檢修工作的監(jiān)管力度，主業(yè)人員需全程監(jiān)護(hù)檢修人員開展工作。嚴(yán)格控制外來(lái)人員私自接入信息內(nèi)外網(wǎng)。

(2)嚴(yán)格執(zhí)行信息通信系統(tǒng)運(yùn)行“零報(bào)告”制度，由信息調(diào)度每日17：00向相關(guān)領(lǐng)導(dǎo)、省公司信息調(diào)度、報(bào)告信息系統(tǒng)監(jiān)控情況。信息網(wǎng)絡(luò)及系統(tǒng)安全突發(fā)事件要按照要求實(shí)行快報(bào)，重大事件1 h內(nèi)直報(bào)相關(guān)領(lǐng)導(dǎo)與安全專責(zé)。

(3)檢查落實(shí)外委人員VRV系統(tǒng)、防病毒系統(tǒng)安裝情況，宣貫安全意識(shí)，強(qiáng)化異常情況實(shí)時(shí)匯報(bào)制度，做好調(diào)度運(yùn)行與值班安排。護(hù)網(wǎng)保障期間安排人員在崗值班，同時(shí)安排好應(yīng)急值班崗位與三線技術(shù)支撐保障。邀請(qǐng)省公司紅隊(duì)對(duì)信息網(wǎng)絡(luò)進(jìn)行安全檢查，并進(jìn)行漏洞檢查，協(xié)助省公司藍(lán)隊(duì)進(jìn)行安全防護(hù)，為省公司藍(lán)隊(duì)提供技術(shù)支撐與技術(shù)援助。

3 結(jié)語(yǔ)

公司通過(guò)參與“護(hù)網(wǎng)”行動(dòng)，對(duì)公司信息安全邊界安全防護(hù)、安全設(shè)備配置、終端安全管理及安全審計(jì)等方面進(jìn)行了自查與整改，減少了公司信息網(wǎng)絡(luò)中存在的安全風(fēng)險(xiǎn)，為信息系統(tǒng)正常運(yùn)行、信息數(shù)據(jù)保密工作、信息安全工作正常開展提供了良好地保障，取得良好地效果。

參考文獻(xiàn)：

[1] 范萍, 李罕偉. 基于ACL的網(wǎng)絡(luò)層訪問(wèn)權(quán)限控制技術(shù)研究[J]. 華東交通大學(xué)學(xué)報(bào), 2004,21(4): 89-92.

FAN Ping, LI Hanwei. Research on technique to control access to network layer based on ACL[J]．Journal of East China Jiaotong University，2004，21(4)：89-92．

[2]莫林利. 使用ACL技術(shù)的網(wǎng)路安全策略研究及應(yīng)用[J]. 華東交通大學(xué)學(xué)報(bào)，2009,26(6): 79-82.

MO Linli. Research and application of network security policies with ACL[J]．Journal of East China Jiaotong University，2009，26(6)：79-82．

[3]唐子蛟，李紅蟬. 基于ACL的網(wǎng)絡(luò)安全管理的應(yīng)用研究[J]. 四川理工學(xué)院學(xué)報(bào)(自然科學(xué)版), 2009, 22(1): 48-51.

TANG Zijiao, LI Hongchan. Application of network security management based on ACL[J].Journal of Sichuan University of Science & Engineering:Natural Science Editton,2009,22(1): 48-51.

[4]孫翠玲，顧建華. 利用ACL技術(shù)對(duì)園區(qū)網(wǎng)絡(luò)實(shí)現(xiàn)精細(xì)化控制[J]. 電腦知識(shí)與技術(shù), 2006(36): 72-73.

SUN Cuiling, GU Jianhua. Drawing upon ACL to realize finely garden area network control[J]．Computer Knowledge and Technology, 2006( 36)：72-73，95．

[5]葉競(jìng)，葉水勇，陳清萍，等. 應(yīng)對(duì)企業(yè)中的第三方應(yīng)用程序漏洞探討[J]. 電力信息與通信技術(shù), 2016, 14(5): 147-151.

[6]胡海璐，陳曙暉，蘇金樹. 路由器訪問(wèn)表技術(shù)研究[J]. 計(jì)算機(jī)科學(xué), 2001, 28(4): 94-96.

HU Hailu, CHEN Shuhui, SU Jinshu. On router access control list technology[J]．Computer Science,，2001，28(4)：94-96．

[7]陳琳，朱紹文，陳緒君，等. 新型Access-list技術(shù)應(yīng)用研究[J]. 計(jì)算機(jī)應(yīng)用, 2002,22(8): 69-71.

CHEN Lin, ZHU Shaowen, CHEN Xujun. et al. Research on application of new type access-list in network security[J]．Computer Applications，2002，22(8)：69-71．

[8]王芳，韓國(guó)棟，李鑫. 路由器訪問(wèn)控制列表及其實(shí)現(xiàn)技術(shù)研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2007, 28(23): 5638-5639.

WANG Fang, HAN Guodong, LI Xin. Access control list of router and research of realization[J].Computer Engineering and Design,2007,28(23):5638-5639,F0003.

[9]馮登國(guó)，張陽(yáng)，張玉清. 信息安全風(fēng)險(xiǎn)評(píng)估綜述[J]. 通信學(xué)報(bào)，2004, 25(7): 10-18.

FENG Dengguo, ZHANG Yang, ZHANG Yuqing. Survey of information security risk assessment[J].Journal on Communications,2004,25(7):10-18.

[10]沈健，周興社，張凡，等. 基于網(wǎng)絡(luò)處理器的防火墻優(yōu)化設(shè)計(jì)與研究[J]. 計(jì)算機(jī)工程, 2007, 33(10): 172-174.

SHEN Jian, ZHOU Xingshe, ZHANG Fan, et al. Optimized design and research of firewall based on network processor[J].Computer Engineering,2007,33(10):172-174.

[11]于本成，慕東周，陸玉陽(yáng). 中小型企業(yè)網(wǎng)絡(luò)控制方案的分析與設(shè)計(jì)[J]. 計(jì)算機(jī)安全, 2011, 31(7): 72-74.

YU Bencheng, MU Dongzhou, LU Yuyang. Small and medium enterprises network control program analysis and design[J].Network & Computer Security,2011(7):72-74.