引言

為切實解決電力公司各級單位信息安全防護(hù)體系建設(shè)不平衡的問題,緩解信息安全人員數(shù)量不足和基層單位技術(shù)能力欠缺的情況,確保公司各項信息安全技術(shù)措施和管理要求落實到位,順利完成各特定時期信息安全保障任務(wù),現(xiàn)根據(jù)電力公司強化信息安全工作的迫切要求,在信息技術(shù)監(jiān)督體系基礎(chǔ)上,利用公司現(xiàn)有技術(shù)力量,形成電力公司信息安全技術(shù)督查隊伍,完善技術(shù)督查工作機制,研發(fā)信息安全督查工具已成必然趨勢。

利用安全督查工具,為公司信息網(wǎng)絡(luò)安全穩(wěn)定運行提供有力支撐,準(zhǔn)確、全面地督查公司存在的信息安全風(fēng)險與隱患,全面提升公司信息內(nèi)外網(wǎng)邊界的安全性,加強對公司安全設(shè)備的策略監(jiān)測和管控。

1安全督查工具業(yè)務(wù)流程

1.1防火墻策略督查工具

防火墻策略督查工具主要通過系統(tǒng)在線采集并解析防火墻設(shè)備配置文件,生成防火墻策略。在采集數(shù)據(jù)的基礎(chǔ)上,對防火墻的配置變更進(jìn)行跟蹤,對策略進(jìn)行比對分析及策略合規(guī)性分析。其具體業(yè)務(wù)流程如圖1所示。

1.2信息網(wǎng)拓?fù)浒l(fā)現(xiàn)工具

信息網(wǎng)拓?fù)浒l(fā)現(xiàn)工具主要是通過市縣公司及廣域網(wǎng)核心交換機中的MAC信息,以及對設(shè)備的端口與服務(wù)進(jìn)行掃描,從而對設(shè)備臺賬、MAC地址庫及開放的端口與服務(wù)進(jìn)行分析。其具體業(yè)務(wù)流程如圖2所示。

1.3基于lP的接入設(shè)備臺賬檢查工具

基于IP的接入設(shè)備臺賬檢查工具主要是通過接入IP管控、VRV、I6000中的臺賬信息進(jìn)行對比,錄入完全一致的資產(chǎn)臺賬,整改沖突或差異的資產(chǎn)臺賬。其具體流程如圖3所示。

2功能說明

2.1防火墻策略督查工具

2.1.1拓?fù)鋱D元維護(hù)

提供自定義拓?fù)鋱D元類型設(shè)置及屬性編輯,包括名稱、圖片、類型等:圖元應(yīng)包括不同網(wǎng)絡(luò)、網(wǎng)絡(luò)安全域、防火墻、路由器、網(wǎng)絡(luò)節(jié)點、主機及主機群等主要類型。

2.1.2拓?fù)鋱D管理

建立全省地市公司信息網(wǎng)絡(luò)和網(wǎng)絡(luò)安全域的防火墻拓?fù)溥B接圖,提供拓?fù)鋱D在線編輯功能,支持通過拖拽不同防火墻、主機等類型圖元,繪制拓?fù)鋱D連接關(guān)系,支持上述拓?fù)鋱D元與相應(yīng)臺賬信息的關(guān)聯(lián)編輯。

2.1.3配置變更跟蹤

建立變革時間線,跟蹤配置變更情況,并對比前后兩個配置的變更差異。

2.1.4配置變更預(yù)警

按照區(qū)域顯示當(dāng)前配置變更記錄,可進(jìn)一步查看配置變更詳細(xì)記錄。

2.1.5策略合規(guī)檢查

將防火墻策略需求錄入系統(tǒng),系統(tǒng)自動與實際導(dǎo)出的防火墻策略進(jìn)行一致性檢查,排查與實際需求不一致的防火墻策略,并在頁面呈現(xiàn)不一致結(jié)果。

2.1.6數(shù)據(jù)采集并解析

定時在線獲取防火墻配置文件,然后依據(jù)該品牌防火墻模板定義格式進(jìn)行解析,生成標(biāo)準(zhǔn)化策略格式并保存到策略庫中,形成的標(biāo)準(zhǔn)策略數(shù)據(jù)項包括源IP、目的IP、服務(wù)、方向、動作、端口等。

2.2信息網(wǎng)拓?fù)浒l(fā)現(xiàn)工具

2.2.1掃描配置

配置的IP地址段對段內(nèi)的IP地址進(jìn)行端口掃描以及配置端口,進(jìn)行端口異常對比。

2.2.2交換機管理

對所有地市公司的交換機信息進(jìn)行展示,同時可新增、修改、刪除信息。

2.2.3發(fā)現(xiàn)私有地址

展示發(fā)現(xiàn)的私網(wǎng)路由設(shè)備及其詳細(xì)信息,并提供相關(guān)預(yù)警、統(tǒng)計分析和可視化展現(xiàn)功能。

2.2.4發(fā)現(xiàn)未知接入設(shè)備

展示發(fā)現(xiàn)的未知接入設(shè)備及其詳細(xì)信息,并提供相關(guān)預(yù)警、統(tǒng)計分析和可視化展現(xiàn)功能。

2.2.5發(fā)現(xiàn)未知及不合規(guī)端口和服務(wù)

展示發(fā)現(xiàn)的未知及不合規(guī)端口、服務(wù)及其詳細(xì)信息,并提供相關(guān)預(yù)警、統(tǒng)計分析和可視化展現(xiàn)功能。

2.2.6數(shù)據(jù)采集、接入

采集MAC表信息及根據(jù)IP地址段掃描端口,并將數(shù)據(jù)錄入到數(shù)據(jù)庫。

2.3基于lP的接入設(shè)備臺賬檢查工具

2.3.1設(shè)備臺賬管理

加載市縣公司的保護(hù)設(shè)備臺賬,并對臺賬進(jìn)行備注說明,并支持導(dǎo)出功能。

2.3.2保護(hù)設(shè)備臺賬

根據(jù)地市公司已備注說明的保護(hù)設(shè)備臺賬進(jìn)行展示,保護(hù)設(shè)備主要包括交換機、打印機等,并支持導(dǎo)出功能。

2.3.3臺賬對比結(jié)果

以MAC地址、IP地址為基礎(chǔ)信息,自動核對IP管控、VRV、I6000設(shè)備臺賬信息,完成一致性檢查、沖突檢查、差異檢查,提供對比結(jié)果及詳細(xì)信息,并支持導(dǎo)出功能。

2.3.4數(shù)據(jù)接入接口

將地市公司的保護(hù)設(shè)備臺賬數(shù)據(jù)及VRV、I6000、IP管控的臺賬數(shù)據(jù)接入。

2.3.5數(shù)據(jù)對比服務(wù)

將市縣公司的VRV、I6000、IP管控接入的臺賬數(shù)據(jù)進(jìn)行兩兩對比。

3結(jié)語

本文建立了對公司信息內(nèi)外網(wǎng)邊界、拓?fù)洹⑺骄W(wǎng)全面監(jiān)控的統(tǒng)一管理系統(tǒng),減少了重復(fù)性工作,提高了日常督查效率:開展了資產(chǎn)臺賬對比工作,保障了臺賬的完整性和一致性,全面提升了公司信息內(nèi)外網(wǎng)邊界的安全性。安全督查工具通過加強對市縣公司安全設(shè)備的策略監(jiān)測和管控,實現(xiàn)了對防火墻策略命中情況分析、防火墻策略變更實時監(jiān)測預(yù)警、防火墻策略需求與實際策略一致性檢查分析等功能,還能排查信息內(nèi)網(wǎng)中是否存在私有網(wǎng)段、是否存在未知設(shè)備、是否開放未知及不合規(guī)端口服務(wù)等網(wǎng)絡(luò)安全隱患。