基于Window论文_陈少怀,肖静薇,赖培荣

(汕头供电局 广东汕头 515041)

摘要:为了解决汕头供电局电力监控系统非实时区无法统一管理这一问题,本文提出了利用Windows AD域+wusa代理方式,实现电力监控系统非实时区统一管理以及加固信息的及时推送,节省大量的人工,提升运维人员的工作效率以及技术水平。

关键词:Window AD域;系统加固;统一管理

一、引言

电力监控系统以计算机、通讯设备、测控单元为基本工具,为变配电系统的实时、非实时数据采集、开关状态检测及远程控制提供了基础平台,它可以和检测、控制设备构成任意复杂的监控系统,在变配电监控中发挥了核心作用,可以帮助企业消除孤岛、降低运作成本,提高生产效率,加快变配电过程中异常的反应速度。

汕头电力监控系统的设备类型丰富、网络结构复杂,近年来,随着汕头电力系统的飞速发展,电力二次系统规模不断扩大,设备类型日趋丰富、网络结构日益复杂,同时,针对电力监控系统的安全问题日益凸显,而目前的管理模式主要是采用人工逐一对单站点进行安全加固,费时费力,其次,大量设备登录均使用系统管理员权限,单一用户登录,一旦密码泄露,很难追溯操作者;第三,系统重要安全补丁不定时发布,这一方面要求网络能做到安全隔离,另一方面又要求补丁更新要及时。如何高效、灵活、可靠、方便地对电力监控系统实现信息安全管理,成为一个越来越重要的问题。

针对上述三个问题,可采用Windows AD域+wusa代理方式来解决,利用Windows现有的软件,对电力监控系统进行统一加固管理,既不需要增加第三方软件,防止信息泄露,且兼容性好,稳定安全有效。

二、Windows AD域、Wusa代理技术简介

Active Directory是微软Windows Server中,负责架构中大型网络环境的集中式目录管理服务(Directory Services),它处理在组织中的网络对象,对象可以是用户,组群,电脑,网域控制站,邮件,配置文件,组织单元,树系等等,只要是在活动目录结构定义档(schema)中定义的对象,就可以存储在活动目录数据档中,并利用活动目录Service Interface来访问。主要是利用共享账号,计算机账号和安全策略这些特性,将域中用户账号,计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中,使用域系统管理员,将统一配置的安全策略推送至域中的每个用户,实现统一管理。

Wusa是windows系统中更新独立安装程序,使用其安装更新包,Wusa.exe会使用.msu文件中Windows Update元数据搜索可应用的更新,并将可应用更新的内容复制到Windows Update沙盒中。再根据启动模式调用Windows Update代理API中的相应函数。当Windows Update向导完成安装时,Windows Update代理API会返回一个状态。然后,Wusa.exe与Windows Update代理API同步进行工作。

三、基于Window AD域管理模式实现电力监控系统非实时区统一管理的解决方案

针对目前汕头供电局电力电力监控系统非实时区的管理现状,提出如下解决方案:借鉴Window AD域管理工具,将利用共享账号,计算机账号和安全策略这些特性,将域中用户账号,计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中,使用域系统管理员,将统一配置的安全策略推送至域中的每个用户,实现统一管理,同时,利用Wusa代理方式,实现Windows系统的安全补丁自动更新。其网络拓扑图如图1所示。

图1电力监控系统非实时区的Window AD域网络拓扑图

采用的措施如下:

1、AD域策略管理,采用策略分发的形式,将各种系统加固要求批量下发;

2、用户权限管理,设置安全组,限制用户修改Windows相关配置,确保前期加固成功不被篡改,同时通过用户权限分离,使不同人员有不同级别权限,方便管理和事件回溯;

3、通过Wusa代理进行windows更新,一是要按照图1的拓扑进行部署,使其满足电力安全二三区的安全要求,二是结合AD域,进行有选择的分批次补丁分发,可以方便测试、回滚,同时对全局补丁更新情况进行监控。

四、系统搭建过程的注意事项

该系统的搭建过程需注意以下四个方面:

1.安装域控服务器的角色和管理工具

在安装服务器,选择其角色为“Active Directory域服务”,根据提示添加相应组件,按照其安装向导,逐步完成域、林、DNS服务器、密码等信息的设置,在将本机网卡DNS服务器设置为本机ip。

系统可使用本地管理员登录,为避免权限过大,应使权限分离,在域创建完之后,必要的域内用户为域系统管理员,可选用户为入域专用用户,各个系统专用登录用户,用户创建在Active Directory用户和计算机中配置。

2.组策略编辑

组策略(Group Policy)是Microsoft Windows系统管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。

根据《电力行业信息系统安全等级保护基本要求》,对病毒查杀完成后的Windows操作系统进行加固配置,主要加固包括身份鉴别、访问控制、安全审计、入侵防御等,其中大部分加固配置均可以通过组策略来统一配送,可在在域控服务器中打开组策略编辑器,按照加固要求分类,建立组策略对象,再一一进行配置。

3.二次安防调试

由于整个工具部署在非控制区当中,因此要在安全性上面有严格的要求,在满足功能需求的前提下,尽量少用甚至不用高危端口,通过wireshark数据包分析,以及对windows系统netbt.sys的反编译,在设备入域的时候必须满足域控服务器与入域设备的联通条件,确定必要开通端口,例如:端口53,用于应用发布AD域DNS,而某些135,445等必要使用的TCP端口号属于高危端口,在接入过程中需要严格把控。

上述端口中,业务端口在满足安全要求的前提下,主站与子站的二次安防设备策略可以长期开启,而与AD域的入域与组策略发布相关的端口,只需要在入域(或需要批量更新组策略)时才需要用到。因此,在接入过程中,可以按照以下方式进行:

(1)保证域控服务器与入域设备网络连通性;

(2)开启主站子站两端二次安防设备全部必要端口,做好严格的地址限制;

(3)设备入域与第一次组策略更新,拿到统一的域账户与安全加固策略;

(4)使用统一域账户登录,查看加固情况,检查业务功能;

(5)关闭主站子站AD域相关端口,保留业务端口;

(6)在需要对所有入域设备做组策略更新时,再短暂开放推送,组策略更新完毕后马上删除策略关闭相关端口。

4.工作站入域验证

工作站入域验证的配置主要分为两部分:

(1)工作站需配置DNS服务器为域控服务器地址,修改主机名与开启远程控制,以及更新组策略;

(2)域控服务器需将新入域工作站拖曳至对应分组下,使工作站能够匹配得到专用组策略。

五、结束语

采用Window AD域+wusa代理管理模式来实现电力监控系统非实时区(安全II区)的统一管理,方便集中管理用户权限,限制访问网络权限,增加安全性,提高信息系统加固的便利性。预计完成部署AD域后的电力监控系统,将大幅减少汕头电力自动化专业人员的运维难度,提高系统的安全性能以及企业的竞争力。

参考文献

[1]龙玉龙,王皓然基于微软AD域账号及PKI证书为身份的电网实名制准入平台研究和实践探讨贵州电力2014,Vol,17,No.18

[2]中国南方电网电力监控系统安全防护技术规范Q/CSG1204009 -2015

论文作者:陈少怀,肖静薇,赖培荣

论文发表刊物:《电力设备》2018年第26期

论文发表时间:2019/1/16

标签:;  ;  ;  ;  ;  ;  ;  ;  

基于Window论文_陈少怀,肖静薇,赖培荣
下载Doc文档

猜你喜欢