引言

隨著電力信息網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,供電公司面臨的信息安全威脅也越來越大。為了保證信息網(wǎng)絡(luò)的安全,我公司不斷深化信息安全工作,不斷提升信息安全要求,陸續(xù)發(fā)布了各項(xiàng)信息安全規(guī)章制度,涉及終端系統(tǒng)、安全策略等各方面。其中,終端安全作為企業(yè)信息安全工作的重要組成部分,由于其范圍廣、環(huán)境復(fù)雜、涉及用戶多、運(yùn)維比較困難等,給企業(yè)的信息安全帶來一系列風(fēng)險(xiǎn),同時為了工作便利,人們在終端設(shè)備使用過程中隨意添加系統(tǒng)賬戶開啟服務(wù)和端口等,給整個信息內(nèi)外網(wǎng)帶來安全隱患。

針對上述情況,亟需研制一種終端安全風(fēng)險(xiǎn)評估審計(jì)工具,實(shí)現(xiàn)自動化精確化自動檢測及監(jiān)控終端設(shè)備,以提高終端的安全性、可靠性,從而保障整個信息網(wǎng)的安全。

1原理及功能

終端安全風(fēng)險(xiǎn)評估審計(jì)工具采用C/s與B/s相結(jié)合的模式,主要包括客戶端、服務(wù)端、接口。客戶端:以windows服務(wù)或可視化客戶端的形式部署于終端設(shè)備中,根據(jù)已設(shè)置的掃描間隔時間,實(shí)現(xiàn)對終端設(shè)備的安全審計(jì)項(xiàng)進(jìn)行安全審計(jì)檢測。服務(wù)端:以網(wǎng)站形式部署于服務(wù)器中,主要實(shí)現(xiàn)終端設(shè)備可視化展示、自定義安全審計(jì)項(xiàng)（包括必裝軟件、不安全端口、不必要服務(wù))補(bǔ)丁管理（包括補(bǔ)丁展示補(bǔ)丁上傳)補(bǔ)丁安裝記錄等功能。接口:采用webservice接口的方式進(jìn)行數(shù)據(jù)傳輸。

該工具總體架構(gòu)如圖1所示。

2技術(shù)架構(gòu)

終端安全風(fēng)險(xiǎn)評估審計(jì)工具整合利用現(xiàn)有安全技術(shù)手段,采取在終端設(shè)備安裝客戶端的方式,實(shí)現(xiàn)對終端安全審計(jì)項(xiàng)進(jìn)行安全風(fēng)險(xiǎn)評估,并實(shí)現(xiàn)終端設(shè)備的補(bǔ)丁下發(fā)及安裝,同時聯(lián)動IP管控系統(tǒng),實(shí)現(xiàn)異常終端的斷網(wǎng)功能。

根據(jù)終端安全風(fēng)險(xiǎn)評估審計(jì)工具的需求,其技術(shù)架構(gòu)如圖2所示。

系統(tǒng)采取多層分布式技術(shù)架構(gòu),從技術(shù)和功能實(shí)現(xiàn)上將整個系統(tǒng)架構(gòu)分為:對象層、調(diào)度層、實(shí)施層、應(yīng)用層。

2.1對象層

對象層分為windows7與windowsxP兩種網(wǎng)元,由于終端操作系統(tǒng)的不同,擬開發(fā)統(tǒng)一版本的客戶端程序(如windows服務(wù)、可視化客戶端程序）,對終端設(shè)備進(jìn)行安裝。2.2調(diào)度層

調(diào)度層主要為數(shù)據(jù)傳輸接口,接口以webservice接口的方式進(jìn)行數(shù)據(jù)傳輸,webservice接口主要分為兩個方面:

工具的數(shù)據(jù)傳輸(設(shè)備的信息傳輸、補(bǔ)丁下載傳輸）:IP管控系統(tǒng)的異常終端信息傳輸,實(shí)現(xiàn)斷網(wǎng)功能。

2.3實(shí)施層

實(shí)施層通過webservice接口將數(shù)據(jù)傳輸于IP管控系統(tǒng),通過對交換機(jī)中IP地址的綁定與解綁,實(shí)現(xiàn)斷網(wǎng)功能。

2.4應(yīng)用層

應(yīng)用層通過采用B/s架構(gòu)的方式提供面向管理人員的業(yè)務(wù)管理功能,主要提供終端設(shè)備可視化展示、安全審計(jì)項(xiàng)維護(hù)、補(bǔ)丁管理、補(bǔ)丁安裝記錄等管理功能。

3技術(shù)路線

(1）客戶端:以windows服務(wù)或可視化客戶端的形式部署于終端設(shè)備中,根據(jù)設(shè)置的掃描時間,實(shí)現(xiàn)對"必裝軟件""系統(tǒng)賬號""弱口令""不安全端口""不必要服務(wù)"幾項(xiàng)進(jìn)行自動檢測。

(2）服務(wù)端:以網(wǎng)站的形式部署于服務(wù)器中,主要實(shí)現(xiàn)終端設(shè)備可視化展示、自定義安全審計(jì)項(xiàng)(包括必裝軟件、不安全端口、不必要服務(wù)）、補(bǔ)丁管理(包括補(bǔ)丁展示、補(bǔ)丁上傳）、補(bǔ)丁安裝記錄。

(3）接口:采用webservice接口的方式進(jìn)行數(shù)據(jù)傳輸。

4工具功能

終端安全風(fēng)險(xiǎn)評估審計(jì)工具系統(tǒng)功能如圖3所示。

終端安全風(fēng)險(xiǎn)評估審計(jì)工具通過C/s的方式提供面向管理人員的安全審計(jì)功能,主要分為以下4個模塊:

4.1客戶端自動安全審計(jì)

在所有終端設(shè)備中安裝客戶端,客戶端以windows服務(wù)或可視化客戶端的形式運(yùn)行,實(shí)現(xiàn)對"必裝軟件""系統(tǒng)賬號""弱口令""不安全端口""不必要服務(wù)"的自動檢測。

4.2安全風(fēng)險(xiǎn)評估

客戶端根據(jù)服務(wù)端已自定義配置的安全審計(jì)項(xiàng)一"必裝軟件""系統(tǒng)賬號""弱口令""不安全端口""不必要服務(wù)"進(jìn)行安全風(fēng)險(xiǎn)評估。

4.3安全補(bǔ)丁下發(fā)

安全補(bǔ)丁下發(fā)主要是通過服務(wù)端上傳待安裝的補(bǔ)丁安裝包,客戶端通過webservice接口從服務(wù)端獲取待安裝的補(bǔ)丁,實(shí)現(xiàn)補(bǔ)丁下發(fā)及安裝。

4.4安全控制聯(lián)動

通過開發(fā)數(shù)據(jù)傳輸webservice接口,將存在安全風(fēng)險(xiǎn)的終端設(shè)備信息傳入IP管控系統(tǒng)中,在IP管控系統(tǒng)中對該設(shè)備進(jìn)行交換機(jī)解綁,以達(dá)到斷網(wǎng)效果。

5結(jié)語

終端安全風(fēng)險(xiǎn)評估審計(jì)工具實(shí)現(xiàn)了對不同類型的終端設(shè)備,包括windows7、windowsxP以及windows:1等配置進(jìn)行統(tǒng)一的安全審計(jì)及檢測。同時,該工具實(shí)現(xiàn)了與不同防火墻以及核心交換機(jī)進(jìn)行聯(lián)動,阻止終端設(shè)備入網(wǎng)。通過該工具的使用,增強(qiáng)了信息終端設(shè)備和網(wǎng)絡(luò)的安全性。