安全建设在电力企业的作用

一、终端安全管理技术手段及策略分析

1.1终端防护相关技术

终端防护相关技术主要基于传统的桌面管理方面的技术功能，对计算机终端进行全方位的防护。主要有软硬件资产管理、进程管理、补丁管理、防病毒软件的管理、系统安全管理等。

1.2行为管控相关技术

行为管控相关技术包括对终端上操作行为的审计，同时也涵盖网络访问行为的审计和管理。将使用者的行为纳入安全管理范围。

1.3数据安全相关技术

数据安全相关的技术主要用于防止数据泄漏，同事保证敏感数据的权限，对数据全生命周期的流转进行管理和审计。主要技术手段有移动存储介质的管理、敏感信息的检查、光盘刻录审计、文档安全加密以及介质信息消除等。

二、终端安全管理在电力企业中的应用分析

2.1企业终端安全管理功能应用分析

2.1.1软件及进程管理

软件管理所管理的对象包括桌面终端所需要的工具软件、办公软件及管理软件等，提供对其统一管理的功能。软件管理策略轮询频率应该控制在分钟或者小时级别的及时性。

2.1.2主机安全管理

主机安全管理对桌面终端提供安全接入管理、安全访问管理及安全评估管理，对相关安全事件提供告警和审计功能，以保障桌面终端的安全。在企业实际应用比较多得有安全事件采集、终端接入管理、终端安全管理、安全事件审计、安全告警、安全事件统计，以及有些根据企业自身特点进行的二次开发功能。

2.1.3网络行为管理

在网络行为行为管理方面，主要涉及到外网和内网的区别。在企业外网用户应用比较多的功能有网络访问控制、邮件监控、即时通讯工具监控等，保障外网行为的可审计和可追溯，事后有据可查。而在企业内网应用比较多的则是FTP监控、TELNET远程登录监控、IP/MAC绑定监控、网络流量监控。用于对操作行为进行审计，同时通过IP绑定可以实现实名制，通过网络流量监控可以对病毒发包进行定位和报警。

2.1.4补丁分发管理

补丁管理可提供标准的最新的补丁漏洞信息及补丁数据更新服务，并提供第三方的补丁安全性检测以及补丁依赖性及冲突性检测，检测对终端的性能所带来的影响。实际应用中CPU占用率低于5%，内存占用低于30MB。而且可以设置分发方式对分发流量进行控制。

2.1.5可移动存储介质

移动存储管理系统在应用中，通过策略解析对移动存储介质进行认证与控制，其中控制权限分为：读写、只读、拒绝三种。使用同时审计操作信息并上报到服务器，其中审计信息项包括：移动存储介质接入信息，读写文件信息，拷贝、复制文件信息等。

2.1.6终端身份认证及网络接入控制管理

在企业应用中，通过身份认证和网络准入控制实现员工和访客对企业内网的访问，划分内网使用的权限，保障每一台接入的终端都安装有终端管理客户端进行操作行为的审计，且通过身份认证区分员工和访客。

三、终端安全管理建设应用总结

华能集团在经历了从2009年至今的终端安全管理系统建设，不断地对系统进行完善和深化应用，已经由原来的主要用于保障计算机终端安全作用的终端安全管理系统，逐渐的扩展到准入管理、终端安全、身份认证、系统加固、数据安全、运维等多方面。根据电力企业的特点，在终端安全管理系统建设过程中，主要应用的安全策略有一下几类：①网络接入控制策略。基于802.1协议的准入控制策略，杜绝了非法终端随意接入内网。需要接入内网的终端必须安装终端安全管理系统客户端，并且经过身份认证和终端安全检查。才能够接入内网，并且在终端安全管理系统的管理审机之下运行。②终端加固策略。这些策略包括：对杀毒软件是否运行进行监控，防止终端在无防毒软件的情况下脆弱运行；对管理范围内的终端进行补丁分发和管理，防止内网中存在具有严重漏洞的“短板”终端；对注册表等进行防护，整体保证计算机终端的系统具有较高的安全级别；设定软件和进程黑白名单，防止一些非法软件和进程在内网终端内运行。③资产统计策略。主要用于对内网范围内所有计算机终端的软硬兼资产进行收集统计，并能够产生报表和统计图，便于管理者做决策。④行为审计相关策略。对终端使用者的终端操作行为和网络行为进行审计，防止内网终端非法访问外网，同时也能做到发生安全事件之后能够尽快定位和事后调查取证。⑤数据安全相关策略。目前主要涉及在内网终端上使用的移动存储介质进行管理，在内网上仅允许使用专用的安全移动存储介质，使用者实名并编号，并且使用的过程中具有细粒度的审计日志，保证在数据流转过程中的安全，防止数据随意外流。⑥报警管理策略。主要用于对安全和违规事件进行报警定位。目前在实际应用中主要涉及对违规外联、使用非法移动存储介质、硬件变更等进行报警统计。以便管理员对相应行为进行管理和分析。随着以上在以上策略的应用的不断推广和深入，从技术上对整体企业集团从总部到基层单位的内网进行了统一的管控，并且通过技术手段，将计算机的使用者———“人”，纳入管理范围。管理效果十分明显：①管控手段的覆盖范围（即安装了终端管理客户端的内网计算机终端数，也称为注册率）达到了90%以上，个别单位甚至百分之百管控。②实现了实名制认证，所管理的终端的使用者和IP对应，终端安全事件能够很快定位，并且责任落实到人。③使用内网计算机连接外网的行为已经全部杜绝，随意使用移动存储介质的行为也已基本杜绝。通过终端管理系统对违规外联或者随意使用移动存储介质的计算机终端进行警告、断网或者直接禁用USB接口的技术手段，配合审计通报等管理手段，已经完全杜绝了内网计算机连接互联网的行为，杜绝了随意U盘拷贝的行为，保证了内网数据的安全。④内网计算机终端的防病毒安装率提升到了99%，系统漏洞补丁的安装率也达到了90%，整体提升了内网终端的安全基线。⑤企业计算机资产一目了然，硬件配置以及软件、进程等统计报表，可以让管理者很清楚的看出来目前集团的终端现状，便于决策。

本文作者:耿庆峰工作单位:华能新疆能源开发有限公司