國網(wǎng)信息通信分公司打造一體化終端安全防御體系

　　當(dāng)前，網(wǎng)絡(luò)攻擊已成為電網(wǎng)安全的嚴(yán)重威脅。一次網(wǎng)絡(luò)攻擊，無論在網(wǎng)絡(luò)中經(jīng)過多少環(huán)節(jié)、使用多少技術(shù)手段，最終目的都是為了完成某些未經(jīng)授權(quán)的工作，如竊取數(shù)據(jù)、破壞系統(tǒng)，或者潛伏下來以備后用。而這些動(dòng)作的完成大多數(shù)是通過終端實(shí)現(xiàn)的。

　　然而，終端部署分散，且直接接觸用戶，物理環(huán)境、網(wǎng)絡(luò)環(huán)境復(fù)雜多變，是最難實(shí)施有效管理的環(huán)節(jié)，可能成為信息安全體系的薄弱地帶。因此，終端逐漸成為安全事件的目標(biāo)和發(fā)生地，也成為數(shù)據(jù)安全的主戰(zhàn)場。

　　為做好終端安全防護(hù)工作，國家電網(wǎng)有限公司信息通信分公司深入開展終端安全管理一體化防御體系建設(shè)，加快構(gòu)建一套覆蓋事前系統(tǒng)加固、事中攻擊態(tài)勢實(shí)時(shí)感知、事后全面追溯取證反制的終端安全管理模式，通過安全基線管理、入網(wǎng)管理、漏洞管理、軟件管理、病毒防護(hù)、聯(lián)動(dòng)處置、威脅排查取證等管理手段和技術(shù)手段，圍繞終端安全深化管理、制度、工具創(chuàng)新，全面保障了終端的主機(jī)安全、數(shù)據(jù)安全、邊界安全。

　　構(gòu)建“五位一體”體系，推動(dòng)管理提升。國網(wǎng)信通公司構(gòu)建終端安全“五位一體”的運(yùn)營管理體系，從制度、標(biāo)準(zhǔn)、流程、運(yùn)營活動(dòng)、技能培訓(xùn)五個(gè)方面推動(dòng)傳統(tǒng)終端安全防護(hù)體系向智慧化、自動(dòng)化轉(zhuǎn)型。制度方面，參與修編公司通用制度，細(xì)化終端安全管理頂層要求，細(xì)化落地辦公計(jì)算機(jī)安全管理相關(guān)作業(yè)指導(dǎo)書和系統(tǒng)運(yùn)維導(dǎo)則。標(biāo)準(zhǔn)方面，編寫終端安全配置規(guī)范，從多個(gè)方面對終端進(jìn)行統(tǒng)一配置、管理和設(shè)置，定義終端健康性的安全標(biāo)準(zhǔn)，把牢安全基線關(guān)，使終端健康性檢查有據(jù)可依。

　　流程方面，制訂聯(lián)防聯(lián)動(dòng)應(yīng)急處置流程，完善網(wǎng)絡(luò)安全事件通報(bào)、告警日志監(jiān)測分析、安全庫管理、策略變更、系統(tǒng)權(quán)限變更流程，形成全職責(zé)、全業(yè)務(wù)、全流程的“三全”覆蓋。運(yùn)營活動(dòng)方面，規(guī)范系統(tǒng)日常運(yùn)維、終端安全系統(tǒng)指標(biāo)監(jiān)測、終端安全管理月報(bào)、大數(shù)據(jù)平臺分析溯源、安全事件處置、策略優(yōu)化變更、安全庫更新與維護(hù)、重大活動(dòng)保障、攻防演練、安全巡檢等日常運(yùn)營活動(dòng)。技能培訓(xùn)方面，加快網(wǎng)絡(luò)安全培訓(xùn)認(rèn)證，制訂關(guān)鍵崗位分類規(guī)范及能力標(biāo)準(zhǔn)，定期開展網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，打造終端安全運(yùn)維人才梯隊(duì)。

　　技術(shù)升級，創(chuàng)新優(yōu)化終端安全防御體系。國網(wǎng)信通公司將終端病毒防治、補(bǔ)丁修復(fù)、系統(tǒng)維護(hù)等終端安全防護(hù)措施與接入控制、身份認(rèn)證、權(quán)限控制等網(wǎng)絡(luò)準(zhǔn)入控制手段結(jié)合，杜絕孤立的安全防御措施，形成網(wǎng)絡(luò)管理和終端管理一體化安全管控保障體系，構(gòu)建“主動(dòng)防御、整體安全”的終端安全防護(hù)體系。建設(shè)具備計(jì)算常用軟件的下載平臺功能和卸載、重裝功能，為用戶提供自助快捷的軟件安全下載渠道和卸載途徑，避免用戶個(gè)人在外網(wǎng)下載未知安全性的軟件拷貝至公司網(wǎng)絡(luò)，造成感染病毒的風(fēng)險(xiǎn)。規(guī)范用戶安全軟件下載安裝，避免因下載未知軟件帶來的風(fēng)險(xiǎn)。整合現(xiàn)有的多套終端安全防護(hù)應(yīng)用及系統(tǒng)的資源庫和數(shù)據(jù)庫，進(jìn)行挖掘分析，建成終端安全事件聯(lián)動(dòng)處置系統(tǒng)，并通過該系統(tǒng)將最新的攻擊指標(biāo)、信譽(yù)等威脅信息以可機(jī)讀形式實(shí)時(shí)推送給相關(guān)防護(hù)系統(tǒng)，實(shí)現(xiàn)系統(tǒng)聯(lián)動(dòng)防御，提升整體防御能力，同時(shí)實(shí)現(xiàn)無須依賴已知漏洞、無須頻繁升級特征庫，能對漏洞攻擊行為進(jìn)行精準(zhǔn)的識別、攔截、管控。

　　國網(wǎng)信通公司通過建設(shè)終端安全主動(dòng)防御體系，基本實(shí)現(xiàn)事前利用情報(bào)研判威脅、預(yù)置防御策略、主動(dòng)規(guī)避威脅;事中實(shí)時(shí)感知發(fā)展態(tài)勢、及時(shí)調(diào)整防御策略、快速響應(yīng);事后對攻擊行為和攻擊者進(jìn)行全面溯源取證，形成集風(fēng)險(xiǎn)發(fā)現(xiàn)、威脅防御、事件處置、檢驗(yàn)進(jìn)化的一體化終端安全防御體系。

　　自應(yīng)用以來，公司總部終端入網(wǎng)管控能力不斷增強(qiáng)，終端成功查殺病毒數(shù)提升兩倍，高危漏洞補(bǔ)丁安裝率達(dá)到100%，緊急安全事件平均威脅處置時(shí)間從4～8小時(shí)縮短至分鐘級，軟件管理則為公司軟件正版化管理提供了有力支撐。公司打造一體化終端安全防御體系，夯實(shí)網(wǎng)絡(luò)安全基礎(chǔ)，提升了應(yīng)對網(wǎng)絡(luò)安全威脅的技術(shù)能力和管理水平。(李雅西 李楓 劉嬌麗)