隨著國網(wǎng)公司“SG186”工程的實施和信息化建設(shè)逐步深入，遼寧電力公司統(tǒng)一信息化平臺進程不斷推進，盤錦供電公司的信息化建設(shè)也得到了快速發(fā)展。集中化、網(wǎng)絡化已經(jīng)成為信息建設(shè)發(fā)展大趨勢，尤其省級數(shù)據(jù)大集中以后，各種日常工作對信息網(wǎng)絡系統(tǒng)的依賴性日益增強，信息網(wǎng)絡系統(tǒng)運維工作更凸顯重要和急迫。

　　盤錦供電公司（以下簡稱公司）全面貫徹落實國家電網(wǎng)公司、遼寧省電力公司有關(guān)信息安全工作規(guī)定，結(jié)合公司信息系統(tǒng)安全現(xiàn)狀，在風險評估的基礎(chǔ)上精心設(shè)計信息安全整體防護體系，堅持“安全第一、預防為主、綜合防治”的信息安全原則，成立信息安全領(lǐng)導小組，優(yōu)化專業(yè)管理流程，按照省公司統(tǒng)一部署，建立兩級三線運維支持體系，實施雙網(wǎng)雙機、分區(qū)分域、等級保護、橫向隔離、縱向認證、信息設(shè)備安全加固、統(tǒng)一安全策略等防護措施，管控結(jié)合，分步實施，有效降低了信息安全面臨的風險，提高信息安全整體防護能力，確保全公司信息系統(tǒng)安全穩(wěn)定運行，并創(chuàng)造性地提出了“行為管理+策略控制+終端管理”的安全保障體系思想。

行為管理

　　員工是安全的主體，管理是安全的靈魂，技術(shù)是安全的手段。只有將有效的安全管理實踐自始至終貫徹落實于全員信息安全當中，網(wǎng)絡安全的長期性和穩(wěn)定性才能有所保證。

　　堅持不懈地加強信息人員的安全教育，保持信息人員特別是網(wǎng)絡管理人員和安全管理人員的相對穩(wěn)定，防止網(wǎng)絡機密泄露，尤其要注意人員調(diào)離時的網(wǎng)絡機密的泄露。教育員工對各類密碼進行妥善管理，杜絕默認密碼、出廠密碼、無密碼，不使用容易猜測的密碼。在企業(yè)網(wǎng)絡中建立集中管理的數(shù)據(jù)存儲機制，配合以相關(guān)安全權(quán)限管理制度的嚴格執(zhí)行，在存儲介質(zhì)使用的管理上，實行嚴格的管控，定期備份各類工作專用信息數(shù)據(jù)，專人專用，備份品專門集中存放，由最低限度的經(jīng)過安全培訓和安全審查的人員負責監(jiān)護管理。

　　公司網(wǎng)絡安全的最終目標就是建設(shè)安全、高效的企業(yè)信息網(wǎng)，通過網(wǎng)絡的安全配置，硬件防火墻及IDS、IPS的策略配置，安全漏洞掃描、網(wǎng)上行為審計系統(tǒng)應用，對網(wǎng)絡的出入口進行嚴格控制，對網(wǎng)絡中的服務器、網(wǎng)絡設(shè)備進行定期掃描和定期檢測、分析，發(fā)現(xiàn)網(wǎng)絡系統(tǒng)漏洞和隱患，并進行整改，有效地防止外部惡意攻擊和內(nèi)部數(shù)據(jù)泄露，做到網(wǎng)絡堅強、策略得當、信息保密、數(shù)據(jù)完整、接入控制。

　　實施信息內(nèi)外網(wǎng)邊界安全監(jiān)測系統(tǒng)（SMS），通過部署在信息外網(wǎng)各個Internet出口處的日志采集層軟件，將各種網(wǎng)絡出口以及信息外網(wǎng)各邊界處的各類安全設(shè)備的日志進行統(tǒng)一采集，并經(jīng)過日志預處理上傳到公司總部開展相關(guān)分析。同時以網(wǎng)省公司（直屬單位）為基本單元，每個單位部署一套實時展現(xiàn)與分析工具，實現(xiàn)對各種安全日志事件的分層分析即：告警統(tǒng)計、實時監(jiān)測、事件查詢、統(tǒng)計分析、流量分析、設(shè)備管理、系統(tǒng)管理等。

　　通過集中注冊管理平臺,對USB存儲設(shè)備作嚴格的設(shè)備介質(zhì)自由身份認證，數(shù)據(jù)加密等一系列防護操作，避免了工作人員隨意使用USB硬盤、U盤，實現(xiàn)了對內(nèi)網(wǎng)移動介質(zhì)的日常安全管理。通過對移動介質(zhì)的有效管理，完全實現(xiàn)了移動存儲設(shè)備全生命周期管理、合法與非法設(shè)備的有效區(qū)分、設(shè)備的訪問機制控制、數(shù)據(jù)加密保護、設(shè)備使用日志審計、分權(quán)限管理、通信及日志文件加密、客戶端保護機制等功能。

策略控制
　　在網(wǎng)絡邊界上，信息內(nèi)網(wǎng)不同安全域之間均部署防火墻，強化訪問控制策略，僅開放必要的服務端口。信息外網(wǎng)與局域網(wǎng)之間完全隔離，互聯(lián)網(wǎng)間邊界安全防護措施的部署和策略配置情況是:部署防火墻、客戶端認證系統(tǒng)、內(nèi)外網(wǎng)均部署補丁分發(fā)和防病毒系統(tǒng)如圖1所示。

　　在網(wǎng)絡內(nèi)部，按照等級保護的原則根據(jù)業(yè)務系統(tǒng)的重要程度化分成若干個安全域，并有選擇性地進行深度防護。電力二次系統(tǒng)分為生產(chǎn)控制I區(qū)、II區(qū)和管理信息大區(qū)III區(qū)。管理大區(qū)分為內(nèi)網(wǎng)和外網(wǎng)，內(nèi)外系統(tǒng)物理隔離。其中，信息內(nèi)網(wǎng)有財務（資金）管理系統(tǒng)域、營銷管理系統(tǒng)域、辦公自動化系統(tǒng)域、ERP系統(tǒng)域、二級系統(tǒng)域、內(nèi)網(wǎng)桌面終端域；信息外網(wǎng)有外網(wǎng)桌面終端域。從邊界、網(wǎng)絡、主機及應用四個層次設(shè)計安全防護，制訂了《盤錦供電公司信息安全總體防護方案》。財務系統(tǒng)通過前置防火墻進行安全防護；互聯(lián)網(wǎng)出口配置防火墻進行邊界防護；業(yè)務系統(tǒng)通過VLAN，訪問控制策略進行防護；生產(chǎn)控制大區(qū)的I區(qū)、II區(qū)與管理信息大區(qū)的III區(qū)間用物理隔離；管理信息系統(tǒng)的調(diào)度邊界部署防火墻如圖2所示。

　　公司針對內(nèi)部Intranet特點，選用企業(yè)級防火墻NetScreen100建立網(wǎng)絡防火墻系統(tǒng)。在公司的網(wǎng)絡中通過設(shè)置交換機或路由策略劃分VLAN技術(shù)建立服務區(qū)、非服務區(qū)、辦公區(qū)及生活區(qū)，同時使用網(wǎng)絡地址轉(zhuǎn)換（NAT）技術(shù)將受保護區(qū)域的網(wǎng)絡和IP地址進行屏蔽。

　　公司選用Symantec企業(yè)級防毒軟件Norton AntiVirus2011建立了網(wǎng)絡防毒系統(tǒng)。通過多平臺工作站和服務器的病毒碼信息集中部署和產(chǎn)品更新，大幅度降低了部署更新的成本，并簡化了企業(yè)服務器層次規(guī)劃和創(chuàng)建。在該系統(tǒng)中，管理員從一個集中控制臺設(shè)置管理策略，對基于Windows 2000和Windows XP的工作站以及基于Windows NT/Windows 2000 Server和NetWare服務器進行更新和配置。所有客戶機均可鎖定設(shè)置以防用戶修改，也可在管理平臺上對客戶機進行配置并進行監(jiān)控。一旦檢測到病毒，該系統(tǒng)將自動修復并通過控制臺向管理員發(fā)出報警。在該系統(tǒng)中，管理員只需在NAV2011的安裝過程中運行Live并設(shè)置好其自動運行的時間。在以后的運行過程中，當滿足設(shè)定的時間條件時，Live會自動運行并進行病毒碼信息更新如圖3所示。

       終端管理
　　根據(jù)國網(wǎng)公司、省市公司要求公司做好桌面終端管理系統(tǒng)及移動存儲介質(zhì)管理系統(tǒng)的推廣實施工作。截至2010年6月，計算機內(nèi)網(wǎng)終端的560臺，安裝率達到100%。2011年3月開始在信息外網(wǎng)部署桌面終端標準化，計算機外網(wǎng)終端的325臺，安裝率達到100%。桌面終端標準化系統(tǒng)在公司的部署和實施，使公司的信息資源得到了更高效的利用，提高了企業(yè)局域網(wǎng)的安全管理，減輕了桌面終端運行維護人員的工作負擔。

　　員工通過注冊軟件，填寫本機信息，注冊程序自動探測系統(tǒng)硬件信息，連同用戶填寫的信息一同上報區(qū)域管理器。用戶將本機注冊信息發(fā)送到區(qū)域管理器后，區(qū)域管理器自動將客戶端駐留程序應用策略發(fā)送給用戶，并自動更新。在推廣應用桌面計算機安全管理系統(tǒng)后，可以實現(xiàn)本機硬件屬性信息變化監(jiān)視；對本機IP、MAC地址變化審計；本機系統(tǒng)補丁、軟件安裝、運行進程狀況監(jiān)測；探測本機是否有違規(guī)聯(lián)網(wǎng)行為，在內(nèi)網(wǎng)管理中心或外網(wǎng)報警平臺報警；接受Web管理平臺的管理命令；阻斷本機違規(guī)外聯(lián)行為；執(zhí)行Web管理平臺下發(fā)的各種策略操作如圖4所示。

　　IMS信息監(jiān)管平臺采集網(wǎng)絡設(shè)備、服務器、數(shù)據(jù)庫、中間件等網(wǎng)元的實時運行狀態(tài)信息進行統(tǒng)一匯總、整理、存放在網(wǎng)絡管理數(shù)據(jù)庫中，為系統(tǒng)運行分析模塊提供數(shù)據(jù)支持。網(wǎng)管數(shù)據(jù)展示系統(tǒng)從數(shù)據(jù)庫中讀取數(shù)據(jù)進行展示，并將網(wǎng)管系統(tǒng)中產(chǎn)生的事件統(tǒng)一存放在事件管理數(shù)據(jù)庫中。現(xiàn)共有60臺網(wǎng)絡設(shè)備、20臺主機系統(tǒng)納入統(tǒng)一監(jiān)管平臺如圖5所示。

　　通過上述一系列信息安全理論和技術(shù)的運用、信息安全項目建設(shè)與實踐，使公司信息安全防護能力和運行水平得到進一步提高。

　　建立企業(yè)信息系統(tǒng)安全長效機制不僅需要等級保護、風險控制、縱深防御等技術(shù)上的支持，同時也需要組織結(jié)構(gòu)、人員、業(yè)務邏輯、法律規(guī)章等管理上的支持。公司強化運行管理，鞏固安全成果，完善并應用信息運維綜合監(jiān)管系統(tǒng)，使管理與技術(shù)結(jié)合，有效地保護了內(nèi)網(wǎng)信息資源，從根本上杜絕了來自外網(wǎng)的安全威脅，提高了網(wǎng)絡的安全防護能力，對保障企業(yè)運營安全、降低企業(yè)運營風險、提升企業(yè)核心競爭力發(fā)揮了十分重大的作用。

點評
　　信息安全不為獨行而創(chuàng)新，不為取寵而嘩眾，讓安全設(shè)備、體系發(fā)揮實效，難在持久，貴在堅決，重在細節(jié)。而一切都要圍繞業(yè)務需求之中心，管好人，用對策，把住關(guān)，這就是“行為管理+策略控制+終端管理”的要旨，萬綠叢中一點紅。