管理与技术并重加强终端安全管理

管理与技术并重加强终端安全管理

饶思传1杨文俊1饶渝泽2张悦2

（1国网孝感供电公司湖北孝感432000；2.湖北省电力科学研究院湖北武汉43007）

摘要：由于公司信息网络桌面终端面广、点多，暴露在外的信息网点给公司信息安全带来了一定的安全隐患，特别是网络边缘末梢，给公司信息安全管理工作带来新的挑战。本文通过对公司现有信息网络构架进行分析，结合公司信息运维和安全管理现状，对现有的计算机入网管理办法进行改进，补充端口绑定环节和计算机自动闭锁措施，以解决网络准入管理和桌面终端安全管理的难题。与此同时，研发了一套接入层交换机用户端口绑定程序固化端口绑定环节和计算机自动闭锁装置，确保管理制度和技术措施到位，实现了信息网络准入管理的规范化，提高了信息专业精细化管理水平。

关键词：信息安全终端安全数据外泄计算机自动闭锁

1信息化安全管理概述

公司信息安全管理要求，终端管理达到“两个百分百、两个不发生”，即桌面终端注册率达100%、防病毒软件安装率达100%、不发生操作系统弱口令、不发生违规外联事件。同时，要求加强电脑病毒和恶意代码的防控，严禁带毒带病终端在公司网络内运行。

通过对当前公司网络结构的分析发现，虽然利用标准化注册工作做到了每台入网终端均加固到位，杜绝了用户无意性或习惯性操作而引发的终端安全违规，但由于缺乏有效的网络接入层认证手段，终端用户仍可随意将外来设备通过暴漏在办公场所的信息网点接入公司网络，特别是在集体企业、供电所和变电站等末梢网络环境中，这类现象时有发生，可能引发信息外泄，存在一定的安全风险。因此，迫切需要在网络接入层补充接入设备认证机制和计算机自动闭锁装置，以规避这种风险的发生。

2信息内网安全专业管理的主要做法

为规避现公司网络结构存在的安全风险，提高公司信息安全运行水平，孝感公司领导高度重视，组织多方技术人员成立专题小组，通过理论论证和反复试验，进一步明确分险点，并结合公司信息运维资金少，人力不足，基层单位技术力量不足等现状，选定了合适的网络接入层识别手段，即，在接入交换机上，利用交换机自带功能，进行“IP-MAC-端口-用户”四方绑定，并进一步规范终端接入管理，完善终端接入审批和入网操作流程。并研发一套通用的接入层端口绑定管理程序，利用程序固化管理流程，确保管理落实到位，提高信息网络和在网终端的运行可靠性和安全运行指标。另外我们通过参考变电站“五防闭锁”的原理，采用软、硬件结合的方式，控制内网计算机及时正确的闭锁、解锁。在内网计算机使用人离开计算机时，闭锁计算机，使计算机的键盘、鼠标、USB接口和光驱等接口不可用，从而防止外来人员在内网终端上误连接禁用设备。当使用人回到计算机旁，计算机能迅速解锁，恢复到正常使用的状态。同时，通过实施接入层认证措施，也促使网络和终端管理的精细化，提高了公司信息管理水平。

2.1信息内网终端接入流程定制

为了规范公司信息内网终端接入流程，结合此次网络层加固改进，对原先管理办法进行了改进，见图1国网孝感供电公司信息内网桌面终端接入流程图。

国网孝感供电公司信息内网计算机接入管理流程由审批子流程、端口变更子流程和入网加固子流程组成，分别用于规范计算机入网审批、接入层交换机端口配置变更和计算机入网加固配置流程。

2.1.1终端入网审批子流程

用户填写《国网孝感供电公司信息内网终端接入申请表》，说明主要用途，计算机所在位置，学习信息内网安全相关要求，签写信息安全与保密承诺书。

2.1.2接入交换机端口变更子流程

该部分流程为此次新增流程，将终端接入与网络设备端口相结合。流程如下：信息技术员将用户《申请表》交付网络设备运维员，触发接入交换机端口变更子流程。网络设备运维员根据《申请表》分配信息，通过网络设备远程登录接入交换机，对应交换机端口进行IP-MAC-用户绑定，对不用的端口进行阻断，补充完善《申请单》端口项信息。

2.1.3新计算机入网加固子流程

网络运维员将《申请表》交付终端运维员，触发新计算机入网加固子流程。

终端运维员到申请人的计算机上进行现场操作。首先，进行终端接入交换设备端口及分配IP正确性确认。配置用户终端网络信息，接入网络，PING对应网关地址，确认是否可达，若不可达，则需要网络运维员配合进行网络通道排查。

2.2接入层交换机用户端口绑定程序

新的入网管理流程实施后，基本杜绝了设备随意插接入网情况的发生，但由于网络设备端口绑定命令繁杂、操作流程复杂，特别是现有网络内存在多个厂商网络设备，端口绑定流程不同厂商、不同型号均存在一定的差异，对网络运维人员掌握的技术要求较高，若要全面推广落实，现有的网络运维队伍配备和技术储备无法有效支撑。因此，孝感公司组织技术人员，结合现有接入层网络设备品牌和型号，研发了一套接入层交换机用户端口绑定程序，辅助网络运维员完成终端运维流程，以技术手段固化交换机端口绑定操作，为终端安全管理工作提供技术保障。

图1国网孝感供电公司信息内网桌面终端接入流程图

接入层交换机用户端口绑定程序的实施，将终端接入网络设备层的操作固化，减轻了网络运维员工作量，规范了终端接入网络层准入的管理，为公司信息内网终端标准化入网提供有效的技术保障。

2.3计算机自动闭锁装置确保内网终端信息安全

内网计算机使用人员在离开计算机时，除了关机就是用手工锁定账号保护计算机，避免其他人员使用。但由于短时离开时关机不方便，很多人员没有手工锁定账号的习惯，无法真正杜绝内网终端误连禁用设备的事件发生。

我们通过参考变电站“五防闭锁”的原理，采用软、硬件结合的方式，控制内网计算机及时正确的闭锁、解锁。在内网计算机使用人离开计算机时，闭锁计算机，使计算机的键盘、鼠标、USB接口和光驱等接口不可用，从而防止外来人员在内网终端上误连接禁用设备。当使用人回到计算机旁，计算机能迅速解锁，恢复到正常使用的状态。

硬件部分可选择小型射频识别类器件加装在计算机主机内，内网终端使用人携带身份ID，实现身份与终端唯一验证。

软件部分设计出后台小程序，使得每一台内网终端开机自启，获取计算机MAC地址，唯一匹配使用人身份，配合硬件进行计算机的闭锁和解锁。

2.3.4计算机闭锁装置的研制

表1计算机闭锁装置表

（1）系统功能设计

开始前，根据需求分析确定系统功能，本系统功能如下图所示：

图2系统功能图

（2）硬件选择及安装

要达成快速闭锁计算机终端的目标，在硬件选择方面，要求读卡器可连续长时间工作，并确保读卡器在2m范围内能连续读卡，我们对读卡器的选取进行了比对，最终选取了中短距离读卡器及NFC标签。实物图如下图4所示。

图3读卡器实物图

将读卡器连接计算机主机，如图5所示。

图4读卡器及标签实物图图5读卡器连接计算机主机图

（3）程序编写

管理员发卡程序实现对读卡器、NFC标签预设。

管理员发卡程序——读卡器连接，程序如图6所示。

图6读卡器连接程序图

设置读卡器通信方式：串口通信

设置读卡方式：单卡识别

管理员发卡程序——读卡器参数设置，程序如图7所示。

图7读卡器参数设置程序图

设置读卡器工作模式为：定时读卡，读卡间隔为20ms，从而达到“连续寻卡”的目标。

管理员发卡程序——读写标签，程序如图8所示。

图8读读写标签程序图

将终端使用人的计算机MAC地址转换为数据存入NFC标签的用户区，并设置访问密码，无访问密码时，无法对用户区数据进行读写，确保标签用户区数据安全性。

管理员发卡程序——标签授权，程序如图9所示。

设置标签授权码，只有标签与读卡器授权码相同时，读卡器可读取标签。

图9标签授权程序图

（4）现场测试

测试人员现场反复测试，测试内容：测试人员携带NFC卡靠近终端计算机，检验计算机是否一直可用；测试结果：一直可用当测试人员携带NFC卡离开终端2m距离以外，检验计算机是否在8s内锁定；测试结果：8s内能锁定

计算机锁定时，检验主机外设接口是否禁止连接禁用设备，键盘鼠标输入无效；测试结果：键盘鼠标输入无效。当测试人员携带NFC卡回到计算机旁，计算机能否快速解锁。测试结果：能速解锁。

（5）目标值检查

利用我们研究的计算机自动闭锁装置，达到快速闭锁、解锁计算机，最后实现能在8s内迅速完成计算机闭锁、和解锁过程，达到目标预设。经省电科院信息通信安全技术监督室验证，该装置能起到计算机自动开闭锁功能，在计算机锁屏的状态下，能锁定USB端口。较传统的方法更加确保了内网终端信息安全，安装计算机自动闭锁装置的计算机没有发生违规外联及信息安全事件。

（6）标准化

编写本装置采用方案的技术资料，对方案实施流程进行规范，保证方案实施过程简洁，效果明显。

对配套程序进行规范化管理，对各版本源代码、使用说明等进行电子化并存档，便于进一步改进；同时也在硬件上实现了一对多，多对多的解锁，避免了人员长期出差造成的资源不能共享。

（7）推广使用

本装置解决了公司内网终端管理工作中普遍存在的问题，该问题具有很大的共同性。本装置所采取的方案简便易行，对硬件改动小，投入低，有很大的推广价值。我们在220KV孝感所有运维站及调度控制中心进行了大面积推广使用，反应十分良好，建议在全省进行推广。同时我们还在积极申请专利。

3信息安全管理流程优化

从理论上讲，不存在绝对的安全，风险总是客观存在的。特别是现在这个信息网络爆炸发展的时代，公司信息化的不断深化应用，信息安全形式更为严峻，各种各样的网络威胁迫使信息安全管理不断接受挑战风险评估并不追求零风险、不计成本的绝对安全，或者试图完全消灭风险或避免风险。要在认清风险的基础上，坚持与实际出发，明确哪些是关键风险，必须解决的，以寻求风险与管理成本的最佳平衡点，这体现了信息安全的一个基本原则，因此，利用PDCA原理，不断识别风险，进行风险评估，实施防控措施，避免风险发生，是信息安全管理的主要工作。

通过实施接入层交换机用户端口绑定程序，将新的终端入网流程落实到位，有效地避免了未授权终端设备接入公司网络，降低了网络运行风险，提高了公司信息网络安全管理水平。但同时也发现了新的问题，在办公室调整或人员变动发生的终端迁移时，由于做了接入层的端口绑定，终端变更工位将无法正常通过端口认证，无法正常入网，需要网络运维员重新变更用户绑定关系表，特别是基层单位，用户反响较大。

为了进一步降低引入网络层认证而给终端运维带来的困难，充分分析已入网终端同网段迁移给信息安全带来的风险隐患，建议将部分网络设备权限下移至基层单位终端运维员，允许终端运维员将其运维范围内已正常入网的终端进行位置迁移。因此，下一步将不断改进接入层交换机用户端口绑定程序，细化管理员权限分配，实现终端运维员动态迁移入网用户绑定关系功能，用程序限制运维人员各层级控制范围，进一步固化终端业务流程，实现网上自助申报，管理员核准审批功能，从而进一步降低基层单位终端运维难度，实现终端准入管理的标准化，终端报修业务的规范化，确保入网终端的可控、在控、易控，为公司信息系统安全运行提供有力的保障。

4推广应用可行性分析

计算机接入管理办法和接入层交换机用户端口绑定程序适用于公司信息网络环境，接入层交换机用户端口绑定程序为公司信息网络定制软件以及入层交换机用户端口绑定程序固化端口绑定环节和计算机自动闭锁装置，在国内尚未发现适合公司信息网络及运维现状的此类成熟产品。该程序在国网孝感供电公司部分单位试运行以来，杜绝了外来人员随意插接办公信息网点，与现有标准化注册工具合力，可有效避免公司信息的外泄，具有一定的社会效益。同时，试点单位测试期间网络畅通率明显提升，终端故障报修率显著降低，未发生一起信息违规事件，达到了预期效果。

5结语

接入层交换机用户端口绑定程序及入层交换机用户端口绑定程序固化端口绑定环节和计算机自动闭锁装置在国网孝感供电公司集体企业及部分城区单位进行了试点运行，自2015年10月开始至今，试点单位的信息网络和终端安全问题得到了显著的改善，信息网络设备运行稳定，特别是多经企业和集体企业网络终端安全指标得到了显著改善，达到“两个百分百、两个不发生”终端安全管理要求。

参考文献：

[1]宽带无线Mesh在输电线路在线监测的应用研究[J].李开红，邹冬超，陈宝仁.电力信息与通信技术.2014

[2]终端接入网网管系统研究[J].刘伟，侯思祖.电力信息与通信技术.2014（1）

[3]HSR技术在智能变电站过程层网络的应用探讨[J].黄德文，姚明.电力信息与通信技术.2014（4）

[4]华为新技术在电网智能化建设中的应用探讨[J].赵子超，殷玉楼.电力信息与通信技术.2014（4）[5]网络安全态势感知研究综述[J].管小娟，张涛，马媛媛，邓松.电力信息与通信技术.2014（5）

[6]电力信息网和通信数据网融合的探索[J].黄兴，孟威，董宏宇，王维.电力信息与通信技术.2014（5）[7]信息系统全景可视化监控模型研究[J].孙银博.电力信息与通信技术.2014（5）

[8]电力内网终端的安全接入控制方法研究[J].陈璐，陈华智，邓松，张涛，马媛媛.电力信息与通信技术.2014（6）

[9]移动统一接入平台安全体系研究与应用[J].何慧萍，张华兵，李永攀，黄安子.电力信息与通信技术.2014（6）