引言

隨著電力信息網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,供電公司面臨的信息安全威脅也越來(lái)越大。為了保證信息網(wǎng)絡(luò)的安全,我公司不斷深化信息安全工作,不斷提升信息安全要求,陸續(xù)發(fā)布了各項(xiàng)信息安全規(guī)章制度,涉及終端系統(tǒng)、安全策略等各方面。其中,終端安全作為企業(yè)信息安全工作的重要組成部分,由于其范圍廣、環(huán)境復(fù)雜、涉及用戶(hù)多、運(yùn)維比較困難等,給企業(yè)的信息安全帶來(lái)一系列風(fēng)險(xiǎn),同時(shí)為了工作便利,人們?cè)诮K端設(shè)備使用過(guò)程中隨意添加系統(tǒng)賬戶(hù)開(kāi)啟服務(wù)和端口等,給整個(gè)信息內(nèi)外網(wǎng)帶來(lái)安全隱患。

針對(duì)上述情況,亟需研制一種終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具,實(shí)現(xiàn)自動(dòng)化精確化自動(dòng)檢測(cè)及監(jiān)控終端設(shè)備,以提高終端的安全性、可靠性,從而保障整個(gè)信息網(wǎng)的安全。

1原理及功能

終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具采用C/s與B/s相結(jié)合的模式,主要包括客戶(hù)端、服務(wù)端、接口。客戶(hù)端:以windows服務(wù)或可視化客戶(hù)端的形式部署于終端設(shè)備中,根據(jù)已設(shè)置的掃描間隔時(shí)間,實(shí)現(xiàn)對(duì)終端設(shè)備的安全審計(jì)項(xiàng)進(jìn)行安全審計(jì)檢測(cè)。服務(wù)端:以網(wǎng)站形式部署于服務(wù)器中,主要實(shí)現(xiàn)終端設(shè)備可視化展示、自定義安全審計(jì)項(xiàng)（包括必裝軟件、不安全端口、不必要服務(wù))補(bǔ)丁管理（包括補(bǔ)丁展示補(bǔ)丁上傳)補(bǔ)丁安裝記錄等功能。接口:采用webservice接口的方式進(jìn)行數(shù)據(jù)傳輸。

該工具總體架構(gòu)如圖1所示。

2技術(shù)架構(gòu)

終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具整合利用現(xiàn)有安全技術(shù)手段,采取在終端設(shè)備安裝客戶(hù)端的方式,實(shí)現(xiàn)對(duì)終端安全審計(jì)項(xiàng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估,并實(shí)現(xiàn)終端設(shè)備的補(bǔ)丁下發(fā)及安裝,同時(shí)聯(lián)動(dòng)IP管控系統(tǒng),實(shí)現(xiàn)異常終端的斷網(wǎng)功能。

根據(jù)終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具的需求,其技術(shù)架構(gòu)如圖2所示。

系統(tǒng)采取多層分布式技術(shù)架構(gòu),從技術(shù)和功能實(shí)現(xiàn)上將整個(gè)系統(tǒng)架構(gòu)分為:對(duì)象層、調(diào)度層、實(shí)施層、應(yīng)用層。

2.1對(duì)象層

對(duì)象層分為windows7與windowsxP兩種網(wǎng)元,由于終端操作系統(tǒng)的不同,擬開(kāi)發(fā)統(tǒng)一版本的客戶(hù)端程序(如windows服務(wù)、可視化客戶(hù)端程序）,對(duì)終端設(shè)備進(jìn)行安裝。2.2調(diào)度層

調(diào)度層主要為數(shù)據(jù)傳輸接口,接口以webservice接口的方式進(jìn)行數(shù)據(jù)傳輸,webservice接口主要分為兩個(gè)方面:

工具的數(shù)據(jù)傳輸(設(shè)備的信息傳輸、補(bǔ)丁下載傳輸）:IP管控系統(tǒng)的異常終端信息傳輸,實(shí)現(xiàn)斷網(wǎng)功能。

2.3實(shí)施層

實(shí)施層通過(guò)webservice接口將數(shù)據(jù)傳輸于IP管控系統(tǒng),通過(guò)對(duì)交換機(jī)中IP地址的綁定與解綁,實(shí)現(xiàn)斷網(wǎng)功能。

2.4應(yīng)用層

應(yīng)用層通過(guò)采用B/s架構(gòu)的方式提供面向管理人員的業(yè)務(wù)管理功能,主要提供終端設(shè)備可視化展示、安全審計(jì)項(xiàng)維護(hù)、補(bǔ)丁管理、補(bǔ)丁安裝記錄等管理功能。

3技術(shù)路線(xiàn)

(1）客戶(hù)端:以windows服務(wù)或可視化客戶(hù)端的形式部署于終端設(shè)備中,根據(jù)設(shè)置的掃描時(shí)間,實(shí)現(xiàn)對(duì)"必裝軟件""系統(tǒng)賬號(hào)""弱口令""不安全端口""不必要服務(wù)"幾項(xiàng)進(jìn)行自動(dòng)檢測(cè)。

(2）服務(wù)端:以網(wǎng)站的形式部署于服務(wù)器中,主要實(shí)現(xiàn)終端設(shè)備可視化展示、自定義安全審計(jì)項(xiàng)(包括必裝軟件、不安全端口、不必要服務(wù)）、補(bǔ)丁管理(包括補(bǔ)丁展示、補(bǔ)丁上傳）、補(bǔ)丁安裝記錄。

(3）接口:采用webservice接口的方式進(jìn)行數(shù)據(jù)傳輸。

4工具功能

終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具系統(tǒng)功能如圖3所示。

終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具通過(guò)C/s的方式提供面向管理人員的安全審計(jì)功能,主要分為以下4個(gè)模塊:

4.1客戶(hù)端自動(dòng)安全審計(jì)

在所有終端設(shè)備中安裝客戶(hù)端,客戶(hù)端以windows服務(wù)或可視化客戶(hù)端的形式運(yùn)行,實(shí)現(xiàn)對(duì)"必裝軟件""系統(tǒng)賬號(hào)""弱口令""不安全端口""不必要服務(wù)"的自動(dòng)檢測(cè)。

4.2安全風(fēng)險(xiǎn)評(píng)估

客戶(hù)端根據(jù)服務(wù)端已自定義配置的安全審計(jì)項(xiàng)一"必裝軟件""系統(tǒng)賬號(hào)""弱口令""不安全端口""不必要服務(wù)"進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。

4.3安全補(bǔ)丁下發(fā)

安全補(bǔ)丁下發(fā)主要是通過(guò)服務(wù)端上傳待安裝的補(bǔ)丁安裝包,客戶(hù)端通過(guò)webservice接口從服務(wù)端獲取待安裝的補(bǔ)丁,實(shí)現(xiàn)補(bǔ)丁下發(fā)及安裝。

4.4安全控制聯(lián)動(dòng)

通過(guò)開(kāi)發(fā)數(shù)據(jù)傳輸webservice接口,將存在安全風(fēng)險(xiǎn)的終端設(shè)備信息傳入IP管控系統(tǒng)中,在IP管控系統(tǒng)中對(duì)該設(shè)備進(jìn)行交換機(jī)解綁,以達(dá)到斷網(wǎng)效果。

5結(jié)語(yǔ)

終端安全風(fēng)險(xiǎn)評(píng)估審計(jì)工具實(shí)現(xiàn)了對(duì)不同類(lèi)型的終端設(shè)備,包括windows7、windowsxP以及windows:1等配置進(jìn)行統(tǒng)一的安全審計(jì)及檢測(cè)。同時(shí),該工具實(shí)現(xiàn)了與不同防火墻以及核心交換機(jī)進(jìn)行聯(lián)動(dòng),阻止終端設(shè)備入網(wǎng)。通過(guò)該工具的使用,增強(qiáng)了信息終端設(shè)備和網(wǎng)絡(luò)的安全性。