电力信息网络安全加固解决方案

前言

网络的发展促进了电力工业信息化的深入，但网络安全问题如洪水猛兽难以控制，传统的单点技术防护手段制标难以制本。H3C基于多年电力行业的理解，提出系统化的策略安全防护解决方案。首先将原有内部办公业务和访问internet业务分开，确保内部业务的安全，在网络出口部署安全防护设备，同时重点加强对终端用户的管理，保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，采用统一的安全事件分析与联动机制实现整个安全管控。

1 H3C电力信息网络安全加固解决方案介绍

基于多年参与电力行业信息化的经验，H3C公司推出电力信息网络安全加固解决方案，该解决方案主要由对终端安全防护和安全管理中心等关键部件组成。终端安全防护通过H3C公司的EAD系统实现对用户身份合法性检测、客户端安全状态评估、合法用户的授权访问、用户行为审计，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，同时为网络管理人员提供了有效、易用的管理工具和手段。安全管理中心通过H3C公司的事件管理中心(Seccenter)和响应管理控制中心(iMC SCC)配合并联动，事件管理中心主要完成对全网安全事件的采集、分析、关联、汇聚、报表报告展示，响应控制中心实现了安全事件与网管系统(iMC 平台)、用户管理系统(EAD/UAM)的结合，对需要响应的重要事件可灵活进行短信通知、Email通知、交换机端口控制、用户阻断、加入黑名单、在线提醒等响应操作。

通过部署EAD对终端用户进行严格的安全防护，同时通过Seccenter与Imc SCC进行联动，将不同领域的网络安全部件融合成一个无缝的安全体系，使网络的安全防护水平大大提升。介绍如何实现对用户身份合法性检测，确保安全的用户才能接入网络、以及客户端安全状态评估、合法用户的授权访问、用户行为审计、安全管理中心。

2 用户层安全防护

2.1 用户身份合法性检测――身份认证

一般对用户身份认证最常见的方式是采用“用户名+密码”进行认证，这种身份认证方式安全保障系数低，存在重大的安全漏洞，由于“用户名+密码”的方式的安全防护强度非常，对于黑客和非法入侵者来说只要盗取了相关用户身份凭证，同时由于用户经常采用弱口令，这样黑客和非法入侵者就能以任何一台设备进入网络，从而产生安全问题甚至安全事故;另外，内部员工还可以凭借本人或其他人的用户名及密码利用任一台未经过安全状态检查的设备进行入网络，这台设备就会对整个网络系统的安全产生威胁，因为被利用的设备没有经过安全状态的检查，设备自身存在的病毒、间谍软件、木马程序等恶意程序就可能在网络爆发和泛滥，严重威胁网络系统的安全。

首先在企业网内部，接入终端一般是通过交换机接入企业网络。这些接入终端的安全状态将直接影响整个网络的运行安全。为了确保只有符合企业安全标准的用户接入网络，EAD可以通过交换机的配合，强制用户在接入网络前通过802.1x方式进行身份认证和安全状态评估，帮助管理员实施企业安全策略业内最广泛的接入方式支持。同时EAD端点准入解决方案支持最广泛的接入方式，包括：802.1x、Portal、VPN、无线等多种认证接入方式，是业界目前支持接入方式种类最全的，可以满足用户在各种组网环境下实现用户接入认证

EAD iNode客户端支持无线接入

EAD iNode客户端支持802.1x、VPN、Portal接入

除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性，从而彻底杜绝了帐号盗用和非法接入等情况的出现。下图为EAD安全策略服务器侧的配置界面截图：

另外EAD安全策略服务器具备绑定信息自学习功能，自动学习绑定信息，可以减少管理员手工录入的工作量;支持一个用户绑定多对IP和MAC地址，有效解决单用户多终端问题。

2.2 用户身份合法性检测――内网外联管理

为了提高网络安全防护能力，会将原有内部办公业务和访问internet业务分开，确保内部业务的安全。这样就会形成一个用户有两台电脑来连接不同的网络，会存在用户可能有意或无意将属于不同网络的电脑混用，造成泄密。由于用“用户名+密码”的方式是不能识别设备特征的，为了避免泄密情况的出现，对于用户的身份认证还需要与电脑的硬件信息绑定起来，这样才能避免不同网络的电脑混用的情况。另外还需要可以检测用户私自通过设置代理，双网卡的方式、Modem等方式进行违反安全防护要求的网络访问。

前面介绍里面提到了EAD除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，这样针对每个网络就可以设置不同的信息来与用户名和密码进行绑定，将对用户认证的安全级别和强度大大提高了，这样不同网络的电脑就无法混用了。另外安全策略服务器与安全客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式，包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制，以上的禁止方式，可以进行灵活选择，满足不同组网需要。

这样通过以上两种策略部署就可以彻底杜绝不同网络的电脑进行混用的情况出现。

上一期介绍了信息网络安全加固解决方案中的EAD系统如何对日常用户身份合法性进行检测，通过检测接入网络中用户的身份合法性，使非法用户无法接入网络，同时避免出现用户将属于不同网络的电脑混用带来的安全隐患，确保整个网络的安全。

解决了用户身份合法性的问题，还需要考虑对用户接入网络时的安全状态进行检测，对于不符合安全状态的用户即使通过身份合法性检测，也不能接入到网络，将这些安全状态不符合要求的用户与网络隔离开，待用户将问题修复合才能接入到网络;同时还需要用户的安全状态进行实时的监控，从而确保一旦用户在线出现问题，可以根据事先制定的策略，将不符合安全状态的用户与网络隔离开，确保网络中的其他用户不受到影响，从而使整个网络永远出一个安全的状态。

通过EAD系统对客户端的系统补丁、防病毒软件及病毒库、Windows登陆口令、应用软件安装等情况进行检测和监控，通过对客户端安全状态进行全面的评估确保用户安全的接入网络。同时在客户端安全状态评估后也提供了不同处理方式，使网络安全检查工作部署的更便捷、更人性化。

2.3 客户端安全状态评估――系统补丁、防病毒软件及病毒库检测

目前，网络基础设施成为黑客主要的攻击目标。网络安全形势日渐严峻，病毒、网络蠕虫、恶意软件、特洛伊木马、间谍软件、网络钓鱼陷阱、互联网邮件病毒以及拒绝服务(DOS)攻击等各种安全威胁事件成指数级增长。系统漏洞、IE浏览器漏洞、邮件漏洞也给病毒的传播和攻击的泛滥造成可乘之机。在众多的网络安全事件背后，普遍存在的事实是多数用户终端的安全状态存在安全隐患，用户终端的系统补丁、病毒库版本不及时更新的终端，容易遭受外部攻击，另外已感染病毒的终端，会对网络中的其他设施发起攻击。为了使用户和网络都更加安全，需要对于用户客户端的安全状态进行评估，确保符合网络安全规定的用户才可以接入到网络。

EAD系统首先在用户的身份认证获得通过，再对用户的接入设备进行安全状态评估(包括防病毒软件，系统补丁等)，根据安全状态的检查结果实施接入控制策略，使健康的用户进入网络，不健康的用户放在隔离区强制进行病毒库或补丁的升级，从而使入网的用户和设备有较高的健康度和可信度。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术(802.1x、Portal等)，可以确保接入终端的合法与安全。

EAD系统可以灵活配置安全策略，协助评估客户端安全状态。管理员可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等;为了更好的满足客户的需求，EAD客户端支持和微软SMS(WSUS)、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等国内外主流病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具，由SMS(WSUS)实现各种Windows环境下用户的桌面管理需求：资产管理、补丁管理、软件分发和安装等。

EAD系统同时可以根据实际情况来制定补丁安装的策略，可以做到只安装重要的补丁，另外可以根据日常网络维护的经验将一些安装后容易引起系统问题的补丁不要求安装。下图为EAD系统补丁安装策略操作界面。

2.4 客户端安全状态评估――Windows弱口令检测

很多情况用户对于Windows登陆口令秘密设置的很简单甚至不设置，这样电脑很容易就被入侵，从而使电脑里面的重要资料外泄，针对这点EAD系统可以对用户的Windows登陆口令密码强度进行检测，对于那种简单的密码和不设置密码的用户同样不能接入到网络之中，必须修改密码在符合要求的强度之后才能接入到网络。