電力信息系統(tǒng)弱口令解決方法淺析

韓昕 沈玉磊

【摘 要】電力企業(yè)信息系統(tǒng)安全是企業(yè)員工可以正常開展工作的基本保證，是維護(hù)電網(wǎng)信息、企業(yè)秘密不被泄露的重要保障。電力企業(yè)終端計(jì)算機(jī)弱口令的使用是信息安全的大忌，亦是導(dǎo)致各種信息安全違規(guī)事件發(fā)生的首要原因，因此，采用行之有效的方法杜絕弱口令違規(guī)事件的發(fā)生是提升整個(gè)電力系統(tǒng)信息安全水平的重要手段。

【關(guān)鍵詞】弱口令；北信源桌面終端系統(tǒng)；安全控制策略

1 引言

隨著互聯(lián)網(wǎng)的快速發(fā)展，信息網(wǎng)絡(luò)的使用越來越廣泛，其在電力系統(tǒng)的使用亦是日趨完善，如智能化變電站、電力調(diào)度監(jiān)控的遙控操作、營(yíng)銷系統(tǒng)的在線數(shù)據(jù)采集等等，各類與工作相關(guān)的電力系統(tǒng)也在不斷地上線運(yùn)行，善于運(yùn)用各類電力信息系統(tǒng)可大大提升工作效率。然而各類電力信息系統(tǒng)的上線與使用，也給信息系統(tǒng)安全帶來了嚴(yán)峻的考驗(yàn)，作為電力信息系統(tǒng)使用的載體——個(gè)人終端計(jì)算機(jī)，便成了安全防范的重要突破點(diǎn)，即終端計(jì)算機(jī)操作系統(tǒng)的安全，作為進(jìn)入計(jì)算機(jī)操作系統(tǒng)大門的鑰匙，用戶的口令就是保障操系統(tǒng)安全壁壘不被打破的重要武器。個(gè)人終端計(jì)算機(jī)的數(shù)量一直呈直線上升，一般地市公司的終端計(jì)算機(jī)數(shù)量均可達(dá)到四千臺(tái)以上，保證接入公司內(nèi)部信息網(wǎng)絡(luò)的每一臺(tái)終端計(jì)算機(jī)進(jìn)入操作系統(tǒng)的口令（簡(jiǎn)稱桌面終端口令）均為強(qiáng)口令是工作的重點(diǎn)，亦是難點(diǎn)，同時(shí)也是提升整個(gè)電力信息系統(tǒng)安全運(yùn)行水平的必要手段。

2 電力信息系統(tǒng)桌面終端弱口令現(xiàn)象分析

2016年年初開始，國(guó)家電網(wǎng)公司加大了對(duì)辦公計(jì)算機(jī)桌面終端賬戶弱口令的檢查和考核力度。根據(jù)江蘇省電力公司下發(fā)的考核標(biāo)準(zhǔn)，桌面終端弱口令的考核力度等同于違規(guī)外聯(lián)。由于桌面終端弱口令導(dǎo)致他人盜取個(gè)人信息，利用他人郵箱收發(fā)非正常郵件，甚至將辦公終端計(jì)算機(jī)接入外網(wǎng)運(yùn)行導(dǎo)致違規(guī)外聯(lián)事件的事情頻有發(fā)生，作為進(jìn)入操作系統(tǒng)的第一道關(guān)卡，計(jì)算機(jī)桌面終端弱口令必須杜絕。通過江蘇省電力公司對(duì)各地市公司桌面終端弱口令的通報(bào)，我公司2016年仍存在個(gè)別桌面終端弱口令現(xiàn)象，該違規(guī)現(xiàn)象對(duì)我公司電力信息系統(tǒng)安全運(yùn)行和電力信息安全指標(biāo)均造成了不良的影響。

桌面終端弱口令的存在對(duì)于電力信息系統(tǒng)安全運(yùn)行有著極其負(fù)面的影響，通過對(duì)省公司通報(bào)的桌面終端弱口令賬戶逐條進(jìn)行電話咨詢與現(xiàn)場(chǎng)查詢，發(fā)現(xiàn)存在計(jì)算機(jī)桌面終端弱口令的現(xiàn)象有兩種情況：

一是部分終端計(jì)算機(jī)用戶為了使用方便，不設(shè)置或設(shè)置簡(jiǎn)單易記的口令，對(duì)于設(shè)置強(qiáng)口令可以保護(hù)個(gè)人工作隱私與企業(yè)秘密的意義不了解；

二是部分用戶的桌面終端賬戶口令并非弱口令，即其登錄操作系統(tǒng)的賬戶口令為強(qiáng)口令，但"GUEST"或"Help Assistant"賬戶未弱口。

通過分析弱口令終端用戶的分布發(fā)現(xiàn)，大部分為農(nóng)電公司與農(nóng)電營(yíng)業(yè)廳用戶，由于工作人員流動(dòng)性較大，想進(jìn)入計(jì)算機(jī)操作系統(tǒng)但桌面終端賬戶口令不知道時(shí)，便通過啟用用戶GUEST賬戶登錄，導(dǎo)致發(fā)生桌面終端弱口令違規(guī)事件。

3 電力信息系統(tǒng)桌面終端弱口令解決方法

3.1 大力宣傳桌面終端口令的重要性

杜絕電力信息系統(tǒng)桌面終端弱口令的發(fā)生，首先要了解其定義：

強(qiáng)口令（strong password）是用來使個(gè)人或程序難以發(fā)現(xiàn)的一種口令。由于口令的目的在于保證只有授權(quán)用戶才能訪問資源，容易猜測(cè)的口令存在安全隱患。強(qiáng)口令的基本元素包括足夠的長(zhǎng)度以及多種字符類型的混合。簡(jiǎn)而言之，強(qiáng)口令必須包含字母、數(shù)字與特殊符號(hào)，并滿足8位及以上。

弱口令（weak password）沒有嚴(yán)格和準(zhǔn)確的定義，通常認(rèn)為容易被別人（他們有可能對(duì)你很了解）猜測(cè)到或被破解工具破解的口令均為弱口令。弱口令通常指的是僅包含簡(jiǎn)單數(shù)字和字母的口令，例如“123”、“abc”等，因?yàn)檫@樣的口令很容易被別人破解，從而使用戶的計(jì)算機(jī)面臨風(fēng)險(xiǎn)，弱口令很容易被他人猜到或破解，所以如果使用了弱口令，就像把鑰匙掛在門上，是非常危險(xiǎn)的。

我們將電力信息系統(tǒng)桌面終端強(qiáng)口令、弱口令的定義及弱口令修改方法通過公司主頁“通知公告”發(fā)布并制作飄浮窗口浮動(dòng)于公司主頁，時(shí)時(shí)提醒終端計(jì)算機(jī)用戶注意桌面終端口令的重要性。對(duì)于每日發(fā)現(xiàn)的計(jì)算機(jī)桌面終端弱口令用戶，及時(shí)電話通知，指導(dǎo)其進(jìn)行修改，修改完畢后通過北信源桌面終端系統(tǒng)后臺(tái)查看其是否已為強(qiáng)口令用戶，并再次與用戶聯(lián)系，形成閉環(huán)管理，確保計(jì)算機(jī)桌面終端弱口令已更改到位。

通過高強(qiáng)度的宣傳與現(xiàn)場(chǎng)巡查工作，計(jì)算機(jī)桌面終端弱口令違規(guī)個(gè)數(shù)直線下降，漸顯成效。

3.2 新裝計(jì)算機(jī)桌面終端口令設(shè)置方法

對(duì)于公司內(nèi)新裝的終端計(jì)算機(jī)或是重裝系統(tǒng)后的終端計(jì)算機(jī)統(tǒng)稱為新裝計(jì)算機(jī)，對(duì)于該類終端計(jì)算機(jī)，可以從源頭上抓起，更好的防止電力信息系統(tǒng)桌面終端弱口令的發(fā)生，當(dāng)終端計(jì)算機(jī)按照國(guó)家電網(wǎng)公司對(duì)信息操作系統(tǒng)安裝要求安裝完畢后，執(zhí)行以下操作：

設(shè)置用戶口令：在“計(jì)算機(jī)管理-本地用戶和組”中，右擊登錄該計(jì)算機(jī)操作系統(tǒng)用戶名并設(shè)置初始強(qiáng)口令，等到將終端計(jì)算機(jī)送給用戶時(shí)告知用戶進(jìn)行修改為其私有強(qiáng)口令；用同樣方法為其他無關(guān)用戶設(shè)置強(qiáng)口令并禁用。為了防止用戶私自將口令改成弱口令，在“本地安全策略-賬戶策略-密碼策略”中開啟密碼復(fù)雜性要求，設(shè)置密碼長(zhǎng)度最小值為8個(gè)字符。

3.3 GUEST賬戶桌面終端弱口令的解決方法

通過分析江蘇省電力公司通報(bào)的“GUEST”等無關(guān)賬戶存在桌面終端弱口令現(xiàn)象，除了進(jìn)行必要的現(xiàn)場(chǎng)排查整改，最行之有效的方法便是通過技術(shù)手段加以整改與杜絕。

杜絕GUEST賬戶桌面終端弱口令的解決方法，便是建立在已進(jìn)行了桌面終端注冊(cè)的所有接入信息網(wǎng)絡(luò)運(yùn)行的終端計(jì)算機(jī)，其方法如下：

第一步：發(fā)布公告將如何禁用GUEST賬戶和設(shè)置強(qiáng)口令的方法按步驟列出。

第二步：通過北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)的策略中心，設(shè)置“更改GUEST密碼并禁用”的組策略，通過桌面管理系統(tǒng)后臺(tái)靜默運(yùn)行，將該軟件分發(fā)給所有接入公司信息網(wǎng)絡(luò)的終端用戶。

編輯更改GUEST密碼并禁用文件，將其保存為.bat文件。

@ECHO OFF

cls

net user guest gwepc345！

net user guest /active：no

第三步：利用桌面終端管理系統(tǒng)策略中心的軟件分發(fā)功能，創(chuàng)建新的策略并將該.bat下發(fā)至所有終端用戶的個(gè)人電腦上進(jìn)行后臺(tái)靜默運(yùn)行，強(qiáng)制將終端用戶的GUEST 用戶密碼更改并禁用。

第四步：該軟件分發(fā)后，通過桌面終端數(shù)據(jù)查詢的“普通文件分發(fā)查詢”功能，可以驗(yàn)證該.bat文件已下發(fā)至所有用戶且已經(jīng)運(yùn)行成功。

軟件分發(fā)并運(yùn)行成功后，我們對(duì)報(bào)出用戶GUEST賬戶用戶存在弱口令的賬戶進(jìn)行了普查，發(fā)現(xiàn)其GUEST賬戶已被禁用且不為空密碼。

利用類似于更改用戶GUEST賬戶密碼并禁用的方法，可以將用戶中不常用但是也會(huì)存在安全隱患的用戶Help Assistant等賬戶設(shè)置密碼并禁用，減少直至杜絕弱口令違規(guī)事件的發(fā)生，提升電力信息系統(tǒng)安全運(yùn)行水平。

4 結(jié)語

電力信息系統(tǒng)桌面終端弱口令的存在會(huì)給信息系統(tǒng)安全運(yùn)行帶來很大的威脅與風(fēng)險(xiǎn)，杜絕桌面終端弱口令的發(fā)生是提升電力信息系統(tǒng)安全運(yùn)行，加快公司信息網(wǎng)絡(luò)發(fā)展的必要條件，只有給終端計(jì)算機(jī)操作系統(tǒng)加上一把嚴(yán)密的大鎖，才能有效地防止病毒入侵，防止公司企業(yè)秘密泄露，整體提升電力系信息系統(tǒng)的安全運(yùn)行水平。

參考文獻(xiàn)：

[1] 北信源桌面終端標(biāo)準(zhǔn)化管理系統(tǒng)簡(jiǎn)介

[2] 國(guó)家電網(wǎng)江蘇省電力公司員工信息安全手冊(cè)

作者簡(jiǎn)介：

韓昕，女，1987.2，江蘇省連云港市，工程師，電力信息通信運(yùn)維。

沈玉磊，男，1979.05，江蘇連云港市，高級(jí)工程師，信息通信專業(yè)。

（作者單位：國(guó)網(wǎng)江蘇省電力有限公司連云港分公司）