当前,网络攻击已成为电网安全的严重威胁。一次网络攻击,无论在网络中经过多少环节、使用多少技术手段,最终目的都是为了完成某些未经授权的工作,如窃取数据、破坏系统,或者潜伏下来以备后用。而这些动作的完成大多数是通过终端实现的。
然而,终端部署分散,且直接接触用户,物理环境、网络环境复杂多变,是最难实施有效管理的环节,可能成为信息安全体系的薄弱地带。因此,终端逐渐成为安全事件的目标和发生地,也成为数据安全的主战场。
为做好终端安全防护工作,国家电网有限公司信息通信分公司深入开展终端安全管理一体化防御体系建设,加快构建一套覆盖事前系统加固、事中攻击态势实时感知、事后全面追溯取证反制的终端安全管理模式,通过安全基线管理、入网管理、漏洞管理、软件管理、病毒防护、联动处置、威胁排查取证等管理手段和技术手段,围绕终端安全深化管理、制度、工具创新,全面保障了终端的主机安全、数据安全、边界安全。
构建“五位一体”体系,推动管理提升。国网信通公司构建终端安全“五位一体”的运营管理体系,从制度、标准、流程、运营活动、技能培训五个方面推动传统终端安全防护体系向智慧化、自动化转型。制度方面,参与修编公司通用制度,细化终端安全管理顶层要求,细化落地办公计算机安全管理相关作业指导书和系统运维导则。标准方面,编写终端安全配置规范,从多个方面对终端进行统一配置、管理和设置,定义终端健康性的安全标准,把牢安全基线关,使终端健康性检查有据可依。
流程方面,制订联防联动应急处置流程,完善网络安全事件通报、告警日志监测分析、安全库管理、策略变更、系统权限变更流程,形成全职责、全业务、全流程的“三全”覆盖。运营活动方面,规范系统日常运维、终端安全系统指标监测、终端安全管理月报、大数据平台分析溯源、安全事件处置、策略优化变更、安全库更新与维护、重大活动保障、攻防演练、安全巡检等日常运营活动。技能培训方面,加快网络安全培训认证,制订关键岗位分类规范及能力标准,定期开展网络安全教育、技术培训和技能考核,打造终端安全运维人才梯队。
技术升级,创新优化终端安全防御体系。国网信通公司将终端病毒防治、补丁修复、系统维护等终端安全防护措施与接入控制、身份认证、权限控制等网络准入控制手段结合,杜绝孤立的安全防御措施,形成网络管理和终端管理一体化安全管控保障体系,构建“主动防御、整体安全”的终端安全防护体系。建设具备计算常用软件的下载平台功能和卸载、重装功能,为用户提供自助快捷的软件安全下载渠道和卸载途径,避免用户个人在外网下载未知安全性的软件拷贝至公司网络,造成感染病毒的风险。规范用户安全软件下载安装,避免因下载未知软件带来的风险。整合现有的多套终端安全防护应用及系统的资源库和数据库,进行挖掘分析,建成终端安全事件联动处置系统,并通过该系统将最新的攻击指标、信誉等威胁信息以可机读形式实时推送给相关防护系统,实现系统联动防御,提升整体防御能力,同时实现无须依赖已知漏洞、无须频繁升级特征库,能对漏洞攻击行为进行精准的识别、拦截、管控。
国网信通公司通过建设终端安全主动防御体系,基本实现事前利用情报研判威胁、预置防御策略、主动规避威胁;事中实时感知发展态势、及时调整防御策略、快速响应;事后对攻击行为和攻击者进行全面溯源取证,形成集风险发现、威胁防御、事件处置、检验进化的一体化终端安全防御体系。
自应用以来,公司总部终端入网管控能力不断增强,终端成功查杀病毒数提升两倍,高危漏洞补丁安装率达到100%,紧急安全事件平均威胁处置时间从4~8小时缩短至分钟级,软件管理则为公司软件正版化管理提供了有力支撑。公司打造一体化终端安全防御体系,夯实网络安全基础,提升了应对网络安全威胁的技术能力和管理水平。(李雅西 李枫 刘娇丽)
评论