(华电国际邹县发电厂 山东省邹城市 273522)
摘要:随着企业规模的扩大,信息化管理水平日渐提高,企业的信息化终端数量也越来越多,终端品类也多式多样。如何对这些信息化终端进行更完善的资产管控,保证企业固定资产不流失;同时还要确保企业内部办公网络的安全运行,以及防止企业内部机密信息资料泄露。作者从资产台账、远程运维、网络准入、行为管理、终端安全等多方面阐述加强企业信息化终端管控的有效措施。
关键词:网络安全、终端管控、资产台账、网络准入
一、课题背景简介
(一)国家与华电集团公司将信息安全纳入战略规划。
2017年2月集团公司下发《中国华电集团公司2017年网络安全与信息化工作要点》;4月份召开网络安全工作专题座谈会,对等保测评等网络安全工作进行战略部署;6月1日《中华人民共和国网络安全法》正式实行;截止到2017年9月,已有88配套法律法规正式发布,内容涉及信息安全、网络安全、终端安全、个人数据安全等多个方面。
(二)终端安全形势面临严峻的挑战。
勒索病毒及其变种的频繁出现,严重威胁到普通用户的上网安全。根据腾讯电脑管家检测到的敲诈勒索病毒显示,2017全年总计已发现敲诈勒索病毒样本数量660万个,平均每月检测到敲诈勒索病毒数量近55万个。Q3季度为4个季度中检测病毒的高峰,检测量为180万个。
(三)终端运行环境已成为企业发展的基础。数字电厂建设进入发展深水区,资源整合力度将增大,逐步由数据展示转向经营分析与决策支持,这都对健康、稳定、安全的终端运行环境提出了新的要求。
(四)终端管控效能需要全方位优化与提升。终端管控包括设备管理与安全管控两方面内容。随着电厂信息化的发展,对设备资产管理水平、资源管控能力、运维消缺效率要求逐年提高,对准入管理方式、行为管理水平、安全加固能力有了更深入的要求。
图1.1 终端管控结构图
二、现状诊断
课题运用现况调查表、头脑风暴、对标分析等多种精益诊断工具,对终端管控体系进行全方位的分析。诊断资产管理、资源管控、运维消缺、准入管理、行为管理、安全加固等环节中存在的问题,并分析造成终端管控效能低的具体原因。
(一)资产管理方式不合理
1.资产台账准确率偏低
电厂资产台账包括设备台账和网络地址台账。其中,设备台账主要用于统计计算机硬件信息,网络台账记录用户网络配置信息。2017年底,使用现场抽样的方式,随即抽取50台设备,共抽样三次,设备台账准确率仅82%,网络地址台账准确率仅86%。
图2.1 2017年底台账核对准确率图
2.资产台账校对效率低
电厂台账核对采用部门统计上报与管理员现场排查的方式,2017年底进行了一次全面的台账排查工作用时两个多月,打印表格200余份,仍会出现部分设备无法找到的情况,造成资产流失。
(二)运维管理效率较低
1.运维响应耗时长
目前,网络与应用消缺主要采用四种方式:电话咨询、mstsc远程控制、第三方远程工具、现场消缺。
图2.2 三种运维方式耗时
图2.3 2017年12月故障数目统计图
2.出现运维等待情况
因工作时间冲突等问题,会出现用户需要等待运维人员,运维人员等待用户的情况,造成整个消缺时间持续较长,影响双方的正常工作。
(三)准入控制方式不合理
1.无法对用户进行身份识别
广域网与内网访问控制:用户计算机设备连上已开通的网口即可访问;
互联网访问控制:需要用户手动配置拥有上网权限的静态IP地址。
(1)外来人员笔记本电脑可轻松访问厂内网络,安全隐患较大,易造成资料泄密,易出现木马病毒入侵。
(2)无互联网权限人员只要设置具有权限的IP地址就可以访问互联网,造成网络权限不准确。
2.网络冲突现象时有发生
用户可以随意的更改设备的网络地址,网络地址具有唯一性,同一网段内出现两个相同地址时,就会出现网络冲突,造成网络中断现象,影响用户正常工作。
(四)行为管理不够精细
通过头脑风暴法发现煤炭存储环节存在以下三方面问题:
一是对整体流量进行管理、分析和限制,对终端流量和行为管理不够精细。
二是无法对U盘等移动设备进行审计,可能会出现泄密的情况发生。
三是缺少对网盘的管控,缺少文件上传下载审计功能,易造成资料泄露。
(五)安全加固耗时长
根据国家能源局国有企业重要信息系统等级保护要求,电厂MIS系统所有微机均需按照《Windows主机操作系统加固规范》要求进行加固。
系统加固策略专业性相对较强,操作失误会引起系统错误,终端用户进行加固操作困难较大,目前采用信息人员一对一加固的方式。
由于人手短缺,只能在在设备下发或维护时,进行处理,效率很低。而已下发、未维护的设备暂时无暇进行加固。
三、问题分析
针对诊断出的问题,课题组利用思维导图分析工具对各环节问题的原因进行分析,并使用5W工具对问题进行深入研究,找出其末端因素,如图所示:
图3.1 末端信息查找图
(一)资产台账管理方式不合理的原因分析
一是资产台账系统需要管理员手动录入,存在操作失误、信息录入错误的情况;
二是当设备变更时,运维人员无法及时的获取变化信息,用户与运维人员缺少高效的信息传递方式,使数据更新的时延较大;
三是台账核对缺少高效的线上核对方式,核对耗时较大。
(二)运维管理效率较低原因分析
表3.1 透视表分析
1.电话指导
在进行电话指导用户消缺的过程中,因表达方式、专业用语等,易出现故障现象表述不清,沟通时间较长,消缺效率较低。
图3.2 电话消缺耗时情况
2.远程控制
需要用户关闭防火墙、开启远程协助、告知管理员开机用户名和密码,操作相对较复杂,消缺准备时间占比高。
3.第三方工具消缺
第三方工具需要用户具有互联网访问权限,且需要安装软件,使用限制较大,不能进行全网推广。
4.现场消缺
多数时间消耗在途中,真正用于消缺的时间较少。
图3.3 现场消缺耗时情况
(三)准入控制方式不合理原因分析
1.无法对用户进行身份识别
当前内网用户没有准入机制,缺少入网审核流程。
2.网络冲突现象时有发生
网络地址分配策略存在问题,应对用户更改网络地址的行为进行限制,使其无法更改网络地址,或更改后不能再访问网络。
(四)行为管理不够精细原因分析
电厂使用网络行为管理设备进行上网行为记录与分析,该设备更适合于对全厂网络行为和流量进行分析,对于终端安全行为的识别能力较薄弱,该设备仅能定位至IP地址,无法直接关联用户,不适合于终端安全领域。
(五)安全加固手段单一原因分析
系统加固需要管理员在设备回收或去现场进行处理,需对每台设备进行单独处理,缺少批处理能力;终端安全由360天擎进行保证,无法保证全网覆盖。
四、改善措施
上线终端管控及网络准入系统,同时通过增加交换机防护策略、优化DHCP分配策略等措施,全面提升信息资产管控力度。
(一)改变资产台账录入方式,资产准确度显著提升
1.通过终端管控系统,自动读取设备信息并上报台账系统,避免人工操作。
2.人员信息与人资薪酬库联动,保持用户数据的准确性。
3.取消原有的依靠网络地址控制用户上网权限的方式,改为由MAC地址进行控制,根源上解决了IP台账不准确的情况。
4.周期性对设备进行轮询或手动进行轮询,收集设备变动信息,自动更改设备台账并记录日志。
图4.1 台账改善效果图
(二)优化远程运维功能,系统运维效率获得较大提高
向用户提供远程协助功能,用户可以看到管理员在线情况,主动发起远程协助请求。若管理员均不在线,请求会自动挂起,管理员上线后,可以及时执行已挂起的远程请求,协助处理故障。
图4.2 运维改善效果图
(三)规范网络准入审核流程
业务流程优化:入网需进行审核,权限依人员进行划分。
新设备入网,需要输入工号与身份证后六位进行认证,与人资薪酬库联动审核通过后,可以接入网络;外来人员设备入网,需填写访客信息,以及接待人员信息,验证通过后可获取到一周的网络访问权限,且网络访问内容受限制与监管。
图4.3 入网注册审核
(四)优化IP分配策略,IP冲突再未发生
通过DHCP分配IP地址和交换机层面结合防护,有效提高在网终端与IP地址绑定台账准确性、唯一性和可控性。有效防止用户私设IP地址,阻止非法自设IP入网,有效防止非法dhcp接入。由于终端入网不需要用户参与设置IP地址,由系统管理人员统一进行分配IP,从而减少因IP地址设置错误不能入网等故障现象运维。
(五)规范终端用户上网行为,资料保护能力进一步增强
用户执行某些敏感操作,如上传文件至网盘,打印敏感文档,网络共享某些加密文件时,系统会自动发出预警,阻止用户上述行为,并形成审计日志。
(六)增强终端安全保护功能,安全加固能力显著提升
终端开机或网络连接成功后,会自动下载服务器安全策略,并执行,对不符合安全要求的设置强制用户进行修改。
例如用户端策略,要求用户开机密码必须满足强度需求;
U盘规范策略,对移入U盘的文档进行审计,敏感资料会上报至服务器,并报警;
硬件变化审计策略,对现有设备进行深度检测,是否有硬件发生变动,以便于及时修改资产台账系统;
永恒之蓝免疫工具自动运行,检测终端内是否有勒索病毒出现。
(六)课题的顺利实施,取得了较大的价值
1.经济价值
终端管控系统实时数据统计,设备闲置情况较为严重,造成了极大的电量浪费,统计了一天中五个时段的设备状态,发现设备闲置状况较高,特别是非工作期间,闲置设备比例较高。
图4.4 设备闲置情况图
表4.1 能耗计算表
非工作时间,设备正常关机比例约为45.26%,在线设备比率约为53.74%,其中处于开机空闲状态设备比例约为88.3%。非工作区间若仅关闭闲置计算机中的80%,可使全厂每年减少耗电量939×53.74%×80%×16小时×0.2KW.h × 365=471515.6KW.h,每年节省23.58万元电量成本。
2.社会价值
电厂作为电力生产单位,一直是国家与社会关注的焦点企业。互联网快速发展的今天,信息泄露的风险越来越大,数据资产已经成为企业的重要资产。本次课题的顺利实施,标志着信息安全体系得到了全面的补充和提升,充分保护了企业信息资产安全,为维护企业的设备形象提供了安全保证。
3.时间价值
课题的顺利实施,极大的提升了终端运维的效率,减少了因终端故障造成的工作中断,项目的实施,使运维人员的每日工作量减少了0.8-0.9h左右。
表4.2 运维节省工时统计表
五、标准化
为使得改善成果及改善措施能长期有效执行,我们相关制度进行了标准化,制定了《网络接入控制系统管理员操作规程》《终端管控管理员操作手册》,具体如下:
(一)编制功能手册,介绍系统功能
图5.1 系统功能手册
(二)修订入网流程,编制操作手册
图5.2 入网流程
六、课题思考及结论
通过本次大课题活动,使用终端管控技术提高了桌面运维效率,节省了较大工时,取得了一定的效益。系统功能上仍有部分模块不完善,例如:对于XP系统,远程运维速度较慢,需要进一步提升。
桌面运维技术仍然在不断发展,我们要努力提高自身技术水平,做好人员培训工作。
下一步,我们将在巩固现有成果基础上,继续做好终端管控效能提升工作,通过吸取先进成熟的管控技术,继续丰富我厂的终端安全管理体系。
参考文献:
[1]董勇,张弛,叶水勇,王文林,张婷,宋浩杰,成秋芬.电力企业终端信息安全风险分析与管控[J].电力与能源,2018,39(02):295-298.
[2]邹萍,黎浩,李刚.强化桌面终端安全管控 提升企业信息安全运行水平[J].江西电力,2016,40(07):51-52.
[3]杜海峰.企业级应用场景下移动智能终端的安全管控[J].计算机安全,2014(06):48-50+61.
论文作者:刘希伟
论文发表刊物:《电力设备》2018年第36期
论文发表时间:2019/7/5
标签:终端论文; 台账论文; 设备论文; 用户论文; 网络论文; 资产论文; 系统论文; 《电力设备》2018年第36期论文;