引言

網(wǎng)絡日益成為人們生產生活的重要基礎,網(wǎng)絡安全已超出技術安全、系統(tǒng)保護的范疇,成為涉及政治、經(jīng)濟、社會等各領域的綜合安全。電網(wǎng)是關系國計民生和國家能源安全的重要基礎設施,其生產運行高度依賴網(wǎng)絡和信息化,一旦外部攻擊突破安全防護體系,將威脅電力系統(tǒng)安全,造成社會重大損失。

為貫徹落實公司本質安全工作要求,進一步規(guī)范信息系統(tǒng)遠程訪問端口的管理和使用,滿足業(yè)務需求和遠程維護需要,保障信息系統(tǒng)運行的可靠安全,國網(wǎng)信通部于2017年12月下發(fā)了《國網(wǎng)信通部關于進一步規(guī)范信息系統(tǒng)遠程訪問端口管理工作的通知》,并隨文下發(fā)《國家電網(wǎng)公司信息系統(tǒng)遠程訪問端口管理規(guī)范》《國家電網(wǎng)公司信息系統(tǒng)遠程訪問端口治理工作方案》,對網(wǎng)絡端口業(yè)務管理提出了明確要求。

目前公司網(wǎng)絡端口業(yè)務的管控依托紙質申請單,端口策略配置無自動化能力,信息系統(tǒng)端口全貌表缺失,迫切需要一套自動化、智能化的運維輔助工具。為提升國網(wǎng)安徽省電力有限公司本部網(wǎng)絡端口業(yè)務安全防護、運行維護、技術管理的精益化水平,本文對信息網(wǎng)絡端口業(yè)務的管控進行了分析研究。

1系統(tǒng)設計原則

1.1統(tǒng)一標準,整體設計

所有各項軟件開發(fā)工具和系統(tǒng)開發(fā)平臺應符合我國國家標準、信息產業(yè)部部頒標準、國家電網(wǎng)公司相關技術規(guī)范和要求。項目應遵循信息集中管理、統(tǒng)籌規(guī)劃、整體設計的方針,在系統(tǒng)實施過程中要體現(xiàn)"統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)一選型、統(tǒng)一開發(fā)"的"四統(tǒng)一原則"。

1.2兼顧實效性和未來發(fā)展

根據(jù)調度管理最佳實踐,總結國內外先進企業(yè)建設經(jīng)驗,結合國家電網(wǎng)公司發(fā)展目標和戰(zhàn)略規(guī)劃,在數(shù)據(jù)模型設計、管理體系構建時,考慮滿足目前安徽省電力有限公司開展業(yè)務需求的同時,設計能夠滿足未來管理需要的前瞻性模型。

1.3先進性

先進性除了體現(xiàn)在開發(fā)技術及使用規(guī)范上以外,針對本次項目更重要的是先進的架構設計。該設計架構對系統(tǒng)整體性能、數(shù)據(jù)共享、信息安全、及時通信等問題有更高要求。因此,應根據(jù)項目特點,設計出符合項目要求和技術發(fā)展趨勢的產品架構。

1.4實用性

在考慮先進性的同時,必須兼顧實用性,不能選擇只有先

進技術而沒有實用價值的產品。實施的系統(tǒng)所涵蓋的業(yè)務應用應符合公司實際業(yè)務需求,符合各個利益相關方的價值述求。

2系統(tǒng)總體設計

2.1技術架構

信息網(wǎng)絡端口管控工具,建立面向省信通信息網(wǎng)防火墻安全策略的優(yōu)化平臺,實現(xiàn)對省信通信息網(wǎng)內所有不同位置、不同品牌防火墻設備的配置管理、策略分析、策略優(yōu)化和策略翻譯等功能。系統(tǒng)采取多層分布式架構搭建,通過動態(tài)與靜態(tài)結合的方式,從策略自身靜態(tài)配置數(shù)據(jù)采集、策略動態(tài)實際使用情況分析和結合企業(yè)基礎訪問控制等方面,提供自動化的策略深度審計能力,并豐富、直觀地呈獻給管理人員,實現(xiàn)全網(wǎng)統(tǒng)一的視圖化安全管理。系統(tǒng)架構如圖1所示。

2.2部署架構

管控工具主要的數(shù)據(jù)來源主要包括3部分:（1）采集靜態(tài)數(shù)據(jù)平臺中的信息系統(tǒng)軟硬件信息和端口信息:（2）集成防火墻策略優(yōu)化工具中的流量分析和合規(guī)性檢查等服務:（3）采集防火墻設備的臺賬信息、安全域信息和策略信息等。通過對上述所采集信息的整體利用形成系統(tǒng)拓撲圖,生成端口開通腳本,實現(xiàn)防火墻策略的自動生成并下發(fā)。系統(tǒng)部署架構如圖2所示。

2.3系統(tǒng)功能設計

本項目主要涵蓋端口申請管理、防火墻策略管控、拓撲管理、網(wǎng)絡訪問模擬等功能,以實現(xiàn)對信息終端端口的集中管控,系統(tǒng)功能結構如圖3所示,具體包括以下業(yè)務:

(1）端口申請管理:主要用于對端口業(yè)務中的策略開通、延續(xù)和關閉提供線上操作,具體包括端口申請和多維統(tǒng)計分析等功能。

(2）防火墻策略管控:主要包括對集成防火墻策略優(yōu)化工具中的策略分析、策略翻譯、合規(guī)性分析和流量分析等功能,此外還包括策略下發(fā)管理等功能。其中合規(guī)性分析主要包含策略合規(guī)性分析和端口合規(guī)性分析兩部分。

(3）拓撲管理:主要包含拓撲管理、安全域管理、設備臺賬管理和端口黑名單管理等功能。其中設備臺賬管理涵蓋防火墻設備信息管理和信息系統(tǒng)臺賬管理兩部分。其中信息系統(tǒng)臺賬管理通過采集靜態(tài)數(shù)據(jù)平臺中的軟硬件臺賬和端口信息,形成系統(tǒng)集成拓撲圖以及端口全貌表。

(4）網(wǎng)絡訪問模擬:主要包含端口治理、策略優(yōu)化和端口開放訪問模擬。策略優(yōu)化主要指對于已有的開放端口,綜合端口全貌表和防火墻策略解析結果模擬得出需開放端口的最優(yōu)策略路徑,判斷現(xiàn)有防火墻策略是否存在冗余情況,提醒管理人員仔細排查。端口治理主要指通過結合端口全貌表和防火墻策略解析結果,分析現(xiàn)有信息系統(tǒng)端口的使用情況,對于某些已開放但未有服務的端口進行提醒。端口開放訪問模擬主要是指結合防火墻設備信息,通過選定源1P、目的1P、端口和防火墻,系統(tǒng)自動生成腳本語句,進行防火墻網(wǎng)絡訪問模擬,分析需進行操作的防火墻。

3結語

本文通過建設信息網(wǎng)絡端口管控工具,集成現(xiàn)有靜態(tài)數(shù)據(jù)采集平臺,獲取信息系統(tǒng)及設備臺賬、服務器端口啟用情況,建立信息系統(tǒng)端口全貌表,結合已有的防火墻策略分析工具,在不同安全區(qū)域模擬訪問應用系統(tǒng),繪制訪問路徑,將防火墻策略與系統(tǒng)端口啟用情況緊密結合,實現(xiàn)端口安全隱患早發(fā)現(xiàn)、早治理,確保端口安全風險的可控、在控、能控,夯實信息安全基礎,提高本質安全水平。