引言

網(wǎng)絡(luò)日益成為人們生產(chǎn)生活的重要基礎(chǔ),網(wǎng)絡(luò)安全已超出技術(shù)安全、系統(tǒng)保護的范疇,成為涉及政治、經(jīng)濟、社會等各領(lǐng)域的綜合安全。電網(wǎng)是關(guān)系國計民生和國家能源安全的重要基礎(chǔ)設(shè)施,其生產(chǎn)運行高度依賴網(wǎng)絡(luò)和信息化,一旦外部攻擊突破安全防護體系,將威脅電力系統(tǒng)安全,造成社會重大損失。

為貫徹落實公司本質(zhì)安全工作要求,進一步規(guī)范信息系統(tǒng)遠程訪問端口的管理和使用,滿足業(yè)務(wù)需求和遠程維護需要,保障信息系統(tǒng)運行的可靠安全,國網(wǎng)信通部于2017年12月下發(fā)了《國網(wǎng)信通部關(guān)于進一步規(guī)范信息系統(tǒng)遠程訪問端口管理工作的通知》,并隨文下發(fā)《國家電網(wǎng)公司信息系統(tǒng)遠程訪問端口管理規(guī)范》《國家電網(wǎng)公司信息系統(tǒng)遠程訪問端口治理工作方案》,對網(wǎng)絡(luò)端口業(yè)務(wù)管理提出了明確要求。

目前公司網(wǎng)絡(luò)端口業(yè)務(wù)的管控依托紙質(zhì)申請單,端口策略配置無自動化能力,信息系統(tǒng)端口全貌表缺失,迫切需要一套自動化、智能化的運維輔助工具。為提升國網(wǎng)安徽省電力有限公司本部網(wǎng)絡(luò)端口業(yè)務(wù)安全防護、運行維護、技術(shù)管理的精益化水平,本文對信息網(wǎng)絡(luò)端口業(yè)務(wù)的管控進行了分析研究。

1系統(tǒng)設(shè)計原則

1.1統(tǒng)一標(biāo)準(zhǔn),整體設(shè)計

所有各項軟件開發(fā)工具和系統(tǒng)開發(fā)平臺應(yīng)符合我國國家標(biāo)準(zhǔn)、信息產(chǎn)業(yè)部部頒標(biāo)準(zhǔn)、國家電網(wǎng)公司相關(guān)技術(shù)規(guī)范和要求。項目應(yīng)遵循信息集中管理、統(tǒng)籌規(guī)劃、整體設(shè)計的方針,在系統(tǒng)實施過程中要體現(xiàn)"統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一選型、統(tǒng)一開發(fā)"的"四統(tǒng)一原則"。

1.2兼顧實效性和未來發(fā)展

根據(jù)調(diào)度管理最佳實踐,總結(jié)國內(nèi)外先進企業(yè)建設(shè)經(jīng)驗,結(jié)合國家電網(wǎng)公司發(fā)展目標(biāo)和戰(zhàn)略規(guī)劃,在數(shù)據(jù)模型設(shè)計、管理體系構(gòu)建時,考慮滿足目前安徽省電力有限公司開展業(yè)務(wù)需求的同時,設(shè)計能夠滿足未來管理需要的前瞻性模型。

1.3先進性

先進性除了體現(xiàn)在開發(fā)技術(shù)及使用規(guī)范上以外,針對本次項目更重要的是先進的架構(gòu)設(shè)計。該設(shè)計架構(gòu)對系統(tǒng)整體性能、數(shù)據(jù)共享、信息安全、及時通信等問題有更高要求。因此,應(yīng)根據(jù)項目特點,設(shè)計出符合項目要求和技術(shù)發(fā)展趨勢的產(chǎn)品架構(gòu)。

1.4實用性

在考慮先進性的同時,必須兼顧實用性,不能選擇只有先

進技術(shù)而沒有實用價值的產(chǎn)品。實施的系統(tǒng)所涵蓋的業(yè)務(wù)應(yīng)用應(yīng)符合公司實際業(yè)務(wù)需求,符合各個利益相關(guān)方的價值述求。

2系統(tǒng)總體設(shè)計

2.1技術(shù)架構(gòu)

信息網(wǎng)絡(luò)端口管控工具,建立面向省信通信息網(wǎng)防火墻安全策略的優(yōu)化平臺,實現(xiàn)對省信通信息網(wǎng)內(nèi)所有不同位置、不同品牌防火墻設(shè)備的配置管理、策略分析、策略優(yōu)化和策略翻譯等功能。系統(tǒng)采取多層分布式架構(gòu)搭建,通過動態(tài)與靜態(tài)結(jié)合的方式,從策略自身靜態(tài)配置數(shù)據(jù)采集、策略動態(tài)實際使用情況分析和結(jié)合企業(yè)基礎(chǔ)訪問控制等方面,提供自動化的策略深度審計能力,并豐富、直觀地呈獻給管理人員,實現(xiàn)全網(wǎng)統(tǒng)一的視圖化安全管理。系統(tǒng)架構(gòu)如圖1所示。

2.2部署架構(gòu)

管控工具主要的數(shù)據(jù)來源主要包括3部分:（1）采集靜態(tài)數(shù)據(jù)平臺中的信息系統(tǒng)軟硬件信息和端口信息:（2）集成防火墻策略優(yōu)化工具中的流量分析和合規(guī)性檢查等服務(wù):（3）采集防火墻設(shè)備的臺賬信息、安全域信息和策略信息等。通過對上述所采集信息的整體利用形成系統(tǒng)拓撲圖,生成端口開通腳本,實現(xiàn)防火墻策略的自動生成并下發(fā)。系統(tǒng)部署架構(gòu)如圖2所示。

2.3系統(tǒng)功能設(shè)計

本項目主要涵蓋端口申請管理、防火墻策略管控、拓撲管理、網(wǎng)絡(luò)訪問模擬等功能,以實現(xiàn)對信息終端端口的集中管控,系統(tǒng)功能結(jié)構(gòu)如圖3所示,具體包括以下業(yè)務(wù):

(1）端口申請管理:主要用于對端口業(yè)務(wù)中的策略開通、延續(xù)和關(guān)閉提供線上操作,具體包括端口申請和多維統(tǒng)計分析等功能。

(2）防火墻策略管控:主要包括對集成防火墻策略優(yōu)化工具中的策略分析、策略翻譯、合規(guī)性分析和流量分析等功能,此外還包括策略下發(fā)管理等功能。其中合規(guī)性分析主要包含策略合規(guī)性分析和端口合規(guī)性分析兩部分。

(3）拓撲管理:主要包含拓撲管理、安全域管理、設(shè)備臺賬管理和端口黑名單管理等功能。其中設(shè)備臺賬管理涵蓋防火墻設(shè)備信息管理和信息系統(tǒng)臺賬管理兩部分。其中信息系統(tǒng)臺賬管理通過采集靜態(tài)數(shù)據(jù)平臺中的軟硬件臺賬和端口信息,形成系統(tǒng)集成拓撲圖以及端口全貌表。

(4）網(wǎng)絡(luò)訪問模擬:主要包含端口治理、策略優(yōu)化和端口開放訪問模擬。策略優(yōu)化主要指對于已有的開放端口,綜合端口全貌表和防火墻策略解析結(jié)果模擬得出需開放端口的最優(yōu)策略路徑,判斷現(xiàn)有防火墻策略是否存在冗余情況,提醒管理人員仔細排查。端口治理主要指通過結(jié)合端口全貌表和防火墻策略解析結(jié)果,分析現(xiàn)有信息系統(tǒng)端口的使用情況,對于某些已開放但未有服務(wù)的端口進行提醒。端口開放訪問模擬主要是指結(jié)合防火墻設(shè)備信息,通過選定源1P、目的1P、端口和防火墻,系統(tǒng)自動生成腳本語句,進行防火墻網(wǎng)絡(luò)訪問模擬,分析需進行操作的防火墻。

3結(jié)語

本文通過建設(shè)信息網(wǎng)絡(luò)端口管控工具,集成現(xiàn)有靜態(tài)數(shù)據(jù)采集平臺,獲取信息系統(tǒng)及設(shè)備臺賬、服務(wù)器端口啟用情況,建立信息系統(tǒng)端口全貌表,結(jié)合已有的防火墻策略分析工具,在不同安全區(qū)域模擬訪問應(yīng)用系統(tǒng),繪制訪問路徑,將防火墻策略與系統(tǒng)端口啟用情況緊密結(jié)合,實現(xiàn)端口安全隱患早發(fā)現(xiàn)、早治理,確保端口安全風(fēng)險的可控、在控、能控,夯實信息安全基礎(chǔ),提高本質(zhì)安全水平。