電力信息網(wǎng)絡(luò)安全加固解決方案
網(wǎng)絡(luò)的發(fā)展促進(jìn)了電力工業(yè)信息化的深入,但網(wǎng)絡(luò)安全問題如洪水猛獸難以控制,傳統(tǒng)的單點(diǎn)技術(shù)防護(hù)手段制標(biāo)難以制本。H3C基于多年電力行業(yè)的理解,提出系統(tǒng)化的策略安全防護(hù)解決方案。首先將原有內(nèi)部辦公業(yè)務(wù)和訪問internet業(yè)務(wù)分開,確保內(nèi)部業(yè)務(wù)的安全,在網(wǎng)絡(luò)出口部署安全防護(hù)設(shè)備,同時重點(diǎn)加強(qiáng)對終端用戶的管理,保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò),對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制,采用統(tǒng)一的安全事件分析與聯(lián)動機(jī)制實現(xiàn)整個安全管控。
1 H3C電力信息網(wǎng)絡(luò)安全加固解決方案介紹
在于多年參與電力行業(yè)信息化的經(jīng)驗,H3C公司推出電力信息網(wǎng)絡(luò)安全加固解決方案,該解決方案主要由對終端安全防護(hù)和安全管理中心等關(guān)鍵部件組成。終端安全防護(hù)通過H3C公司的EAD系統(tǒng)實現(xiàn)對用戶身份合法性檢測、客戶端安全狀態(tài)評估、合法用戶的授權(quán)訪問、用戶行為審計,對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實施企業(yè)安全策略,嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為,有效地加強(qiáng)了用戶終端的主動防御能力,同時為網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。安全管理中心通過H3C公司的事件管理中心(Seccenter)和響應(yīng)管理控制中心(iMC SCC)配合并聯(lián)動,事件管理中心主要完成對全網(wǎng)安全事件的采集、分析、關(guān)聯(lián)、匯聚、報表報告展示,響應(yīng)控制中心實現(xiàn)了安全事件與網(wǎng)管系統(tǒng)(iMC 平臺)、用戶管理系統(tǒng)(EAD/UAM)的結(jié)合,對需要響應(yīng)的重要事件可靈活進(jìn)行短信通知、Email通知、交換機(jī)端口控制、用戶阻斷、加入黑名單、在線提醒等響應(yīng)操作。
通過部署EAD對終端用戶進(jìn)行嚴(yán)格的安全防護(hù),同時通過Seccenter與Imc SCC進(jìn)行聯(lián)動,將不同領(lǐng)域的網(wǎng)絡(luò)安全部件融合成一個無縫的安全體系,使網(wǎng)絡(luò)的安全防護(hù)水平大大提升。介紹如何實現(xiàn)對用戶身份合法性檢測,確保安全的用戶才能接入網(wǎng)絡(luò)、以及客戶端安全狀態(tài)評估、合法用戶的授權(quán)訪問、用戶行為審計、安全管理中心。
2用戶層安全防護(hù)
2.1 用戶身份合法性檢測――身份認(rèn)證
一般對用戶身份認(rèn)證最常見的方式是采用“用戶名+密碼”進(jìn)行認(rèn)證,這種身份認(rèn)證方式安全保障系數(shù)低,存在重大的安全漏洞,由于“用戶名+密碼”的方式的安全防護(hù)強(qiáng)度非常,對于黑客和非法入侵者來說只要盜取了相關(guān)用戶身份憑證,同時由于用戶經(jīng)常采用弱口令,這樣黑客和非法入侵者就能以任何一臺設(shè)備進(jìn)入網(wǎng)絡(luò),從而產(chǎn)生安全問題甚至安全事故;另外,內(nèi)部員工還可以憑借本人或其他人的用戶名及密碼利用任一臺未經(jīng)過安全狀態(tài)檢查的設(shè)備進(jìn)行入網(wǎng)絡(luò),這臺設(shè)備就會對整個網(wǎng)絡(luò)系統(tǒng)的安全產(chǎn)生威脅,因為被利用的設(shè)備沒有經(jīng)過安全狀態(tài)的檢查,設(shè)備自身存在的病毒、間諜軟件、木馬程序等惡意程序就可能在網(wǎng)絡(luò)爆發(fā)和泛濫,嚴(yán)重威脅網(wǎng)絡(luò)系統(tǒng)的安全。
首先在企業(yè)網(wǎng)內(nèi)部,接入終端一般是通過交換機(jī)接入企業(yè)網(wǎng)絡(luò)。這些接入終端的安全狀態(tài)將直接影響整個網(wǎng)絡(luò)的運(yùn)行安全。為了確保只有符合企業(yè)安全標(biāo)準(zhǔn)的用戶接入網(wǎng)絡(luò),EAD可以通過交換機(jī)的配合,強(qiáng)制用戶在接入網(wǎng)絡(luò)前通過802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評估,幫助管理員實施企業(yè)安全策略業(yè)內(nèi)最廣泛的接入方式支持。同時EAD端點(diǎn)準(zhǔn)入解決方案支持最廣泛的接入方式,包括:802.1x、Portal、VPN、無線等多種認(rèn)證接入方式,是業(yè)界目前支持接入方式種類最全的,可以滿足用戶在各種組網(wǎng)環(huán)境下實現(xiàn)用戶接入認(rèn)證
EAD iNode客戶端支持無線接入
EAD iNode客戶端支持802.1x、VPN、Portal接入
除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定,支持智能卡、數(shù)字證書認(rèn)證,增強(qiáng)身份認(rèn)證的安全性,從而徹底杜絕了帳號盜用和非法接入等情況的出現(xiàn)。下圖為EAD安全策略服務(wù)器側(cè)的配置界面截圖:
另外EAD安全策略服務(wù)器具備綁定信息自學(xué)習(xí)功能,自動學(xué)習(xí)綁定信息,可以減少管理員手工錄入的工作量;支持一個用戶綁定多對IP和MAC地址,有效解決單用戶多終端問題。
2.2 用戶身份合法性檢測――內(nèi)網(wǎng)外聯(lián)管理
為了提高網(wǎng)絡(luò)安全防護(hù)能力,會將原有內(nèi)部辦公業(yè)務(wù)和訪問internet業(yè)務(wù)分開,確保內(nèi)部業(yè)務(wù)的安全。這樣就會形成一個用戶有兩臺電腦來連接不同的網(wǎng)絡(luò),會存在用戶可能有意或無意將屬于不同網(wǎng)絡(luò)的電腦混用,造成泄密。由于用“用戶名+密碼”的方式是不能識別設(shè)備特征的,為了避免泄密情況的出現(xiàn),對于用戶的身份認(rèn)證還需要與電腦的硬件信息綁定起來,這樣才能避免不同網(wǎng)絡(luò)的電腦混用的情況。另外還需要可以檢測用戶私自通過設(shè)置代理,雙網(wǎng)卡的方式、Modem等方式進(jìn)行違反安全防護(hù)要求的網(wǎng)絡(luò)訪問。
前面介紹里面提到了EAD除基于用戶名和密碼的身份認(rèn)證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設(shè)備IP、接入設(shè)備端口號等信息進(jìn)行綁定,這樣針對每個網(wǎng)絡(luò)就可以設(shè)置不同的信息來與用戶名和密碼進(jìn)行綁定,將對用戶認(rèn)證的安全級別和強(qiáng)度大大提高了,這樣不同網(wǎng)絡(luò)的電腦就無法混用了。另外安全策略服務(wù)器與安全客戶端配合可以對各種外聯(lián)或代理進(jìn)行禁止。無論用戶采用何種方式,包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶通過Modem上網(wǎng)等都可以進(jìn)行控制,以上的禁止方式,可以進(jìn)行靈活選擇,滿足不同組網(wǎng)需要。
這樣通過以上兩種策略部署就可以徹底杜絕不同網(wǎng)絡(luò)的電腦進(jìn)行混用的情況出現(xiàn)。
上一期介紹了信息網(wǎng)絡(luò)安全加固解決方案中的EAD系統(tǒng)如何對日常用戶身份合法性進(jìn)行檢測,通過檢測接入網(wǎng)絡(luò)中用戶的身份合法性,使非法用戶無法接入網(wǎng)絡(luò),同時避免出現(xiàn)用戶將屬于不同網(wǎng)絡(luò)的電腦混用帶來的安全隱患,確保整個網(wǎng)絡(luò)的安全。
解決了用戶身份合法性的問題,還需要考慮對用戶接入網(wǎng)絡(luò)時的安全狀態(tài)進(jìn)行檢測,對于不符合安全狀態(tài)的用戶即使通過身份合法性檢測,也不能接入到網(wǎng)絡(luò),將這些安全狀態(tài)不符合要求的用戶與網(wǎng)絡(luò)隔離開,待用戶將問題修復(fù)合才能接入到網(wǎng)絡(luò);同時還需要用戶的安全狀態(tài)進(jìn)行實時的監(jiān)控,從而確保一旦用戶在線出現(xiàn)問題,可以根據(jù)事先制定的策略,將不符合安全狀態(tài)的用戶與網(wǎng)絡(luò)隔離開,確保網(wǎng)絡(luò)中的其他用戶不受到影響,從而使整個網(wǎng)絡(luò)永遠(yuǎn)出一個安全的狀態(tài)。
通過EAD系統(tǒng)對客戶端的系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫、Windows登陸口令、應(yīng)用軟件安裝等情況進(jìn)行檢測和監(jiān)控,通過對客戶端安全狀態(tài)進(jìn)行全面的評估確保用戶安全的接入網(wǎng)絡(luò)。同時在客戶端安全狀態(tài)評估后也提供了不同處理方式,使網(wǎng)絡(luò)安全檢查工作部署的更便捷、更人性化。
2.3 客戶端安全狀態(tài)評估――系統(tǒng)補(bǔ)丁、防病毒軟件及病毒庫檢測
目前,網(wǎng)絡(luò)基礎(chǔ)設(shè)施成為黑客主要的攻擊目標(biāo)。網(wǎng)絡(luò)安全形勢日漸嚴(yán)峻,病毒、網(wǎng)絡(luò)蠕蟲、惡意軟件、特洛伊木馬、間諜軟件、網(wǎng)絡(luò)釣魚陷阱、互聯(lián)網(wǎng)郵件病毒以及拒絕服務(wù)(DOS)攻擊等各種安全威脅事件成指數(shù)級增長。系統(tǒng)漏洞、IE瀏覽器漏洞、郵件漏洞也給病毒的傳播和攻擊的泛濫造成可乘之機(jī)。在眾多的網(wǎng)絡(luò)安全事件背后,普遍存在的事實是多數(shù)用戶終端的安全狀態(tài)存在安全隱患,用戶終端的系統(tǒng)補(bǔ)丁、病毒庫版本不及時更新的終端,容易遭受外部攻擊,另外已感染病毒的終端,會對網(wǎng)絡(luò)中的其他設(shè)施發(fā)起攻擊。為了使用戶和網(wǎng)絡(luò)都更加安全,需要對于用戶客戶端的安全狀態(tài)進(jìn)行評估,確保符合網(wǎng)絡(luò)安全規(guī)定的用戶才可以接入到網(wǎng)絡(luò)。
EAD系統(tǒng)首先在用戶的身份認(rèn)證獲得通過,再對用戶的接入設(shè)備進(jìn)行安全狀態(tài)評估(包括防病毒軟件,系統(tǒng)補(bǔ)丁等),根據(jù)安全狀態(tài)的檢查結(jié)果實施接入控制策略,使健康的用戶進(jìn)入網(wǎng)絡(luò),不健康的用戶放在隔離區(qū)強(qiáng)制進(jìn)行病毒庫或補(bǔ)丁的升級,從而使入網(wǎng)的用戶和設(shè)備有較高的健康度和可信度。EAD通過對終端安全狀態(tài)的檢查,使得只有符合企業(yè)安全標(biāo)準(zhǔn)的終端才能正常訪問網(wǎng)絡(luò),同時,配合不同方式的身份驗證技術(shù)(802.1x、Portal等),可以確保接入終端的合法與安全。
EAD系統(tǒng)可以靈活配置安全策略,協(xié)助評估客戶端安全狀態(tài)。管理員可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號配置等;為了更好的滿足客戶的需求,EAD客戶端支持和微軟SMS(WSUS)、LANDesk、BigFix等業(yè)界桌面安全產(chǎn)品的配合使用,支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國內(nèi)外主流病毒廠商聯(lián)動。例如EAD可充分利用微軟成熟的桌面管理工具,由SMS(WSUS)實現(xiàn)各種Windows環(huán)境下用戶的桌面管理需求:資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等。
EAD系統(tǒng)同時可以根據(jù)實際情況來制定補(bǔ)丁安裝的策略,可以做到只安裝重要的補(bǔ)丁,另外可以根據(jù)日常網(wǎng)絡(luò)維護(hù)的經(jīng)驗將一些安裝后容易引起系統(tǒng)問題的補(bǔ)丁不要求安裝。下圖為EAD系統(tǒng)補(bǔ)丁安裝策略操作界面。
2.4 客戶端安全狀態(tài)評估――Windows弱口令檢測
很多情況用戶對于Windows登陸口令秘密設(shè)置的很簡單甚至不設(shè)置,這樣電腦很容易就被入侵,從而使電腦里面的重要資料外泄,針對這點(diǎn)EAD系統(tǒng)可以對用戶的Windows登陸口令密碼強(qiáng)度進(jìn)行檢測,對于那種簡單的密碼和不設(shè)置密碼的用戶同樣不能接入到網(wǎng)絡(luò)之中,必須修改密碼在符合要求的強(qiáng)度之后才能接入到網(wǎng)絡(luò)。
責(zé)任編輯:黎陽錦
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會保電進(jìn)行時丨陜西電力部署6項重點(diǎn)任務(wù)
-
發(fā)電電力輔助服務(wù)營銷決策模型
2019-06-24電力輔助服務(wù)營銷 -
繞過安卓SSL驗證證書的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級安卓漏洞 “寄生獸”影響數(shù)千萬手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司