國網(wǎng)信息通信分公司打造一體化終端安全防御體系

　　當前，網(wǎng)絡(luò)攻擊已成為電網(wǎng)安全的嚴重威脅。一次網(wǎng)絡(luò)攻擊，無論在網(wǎng)絡(luò)中經(jīng)過多少環(huán)節(jié)、使用多少技術(shù)手段，最終目的都是為了完成某些未經(jīng)授權(quán)的工作，如竊取數(shù)據(jù)、破壞系統(tǒng)，或者潛伏下來以備后用。而這些動作的完成大多數(shù)是通過終端實現(xiàn)的。

　　然而，終端部署分散，且直接接觸用戶，物理環(huán)境、網(wǎng)絡(luò)環(huán)境復(fù)雜多變，是最難實施有效管理的環(huán)節(jié)，可能成為信息安全體系的薄弱地帶。因此，終端逐漸成為安全事件的目標和發(fā)生地，也成為數(shù)據(jù)安全的主戰(zhàn)場。

　　為做好終端安全防護工作，國家電網(wǎng)有限公司信息通信分公司深入開展終端安全管理一體化防御體系建設(shè)，加快構(gòu)建一套覆蓋事前系統(tǒng)加固、事中攻擊態(tài)勢實時感知、事后全面追溯取證反制的終端安全管理模式，通過安全基線管理、入網(wǎng)管理、漏洞管理、軟件管理、病毒防護、聯(lián)動處置、威脅排查取證等管理手段和技術(shù)手段，圍繞終端安全深化管理、制度、工具創(chuàng)新，全面保障了終端的主機安全、數(shù)據(jù)安全、邊界安全。

　　構(gòu)建“五位一體”體系，推動管理提升。國網(wǎng)信通公司構(gòu)建終端安全“五位一體”的運營管理體系，從制度、標準、流程、運營活動、技能培訓(xùn)五個方面推動傳統(tǒng)終端安全防護體系向智慧化、自動化轉(zhuǎn)型。制度方面，參與修編公司通用制度，細化終端安全管理頂層要求，細化落地辦公計算機安全管理相關(guān)作業(yè)指導(dǎo)書和系統(tǒng)運維導(dǎo)則。標準方面，編寫終端安全配置規(guī)范，從多個方面對終端進行統(tǒng)一配置、管理和設(shè)置，定義終端健康性的安全標準，把牢安全基線關(guān)，使終端健康性檢查有據(jù)可依。

　　流程方面，制訂聯(lián)防聯(lián)動應(yīng)急處置流程，完善網(wǎng)絡(luò)安全事件通報、告警日志監(jiān)測分析、安全庫管理、策略變更、系統(tǒng)權(quán)限變更流程，形成全職責、全業(yè)務(wù)、全流程的“三全”覆蓋。運營活動方面，規(guī)范系統(tǒng)日常運維、終端安全系統(tǒng)指標監(jiān)測、終端安全管理月報、大數(shù)據(jù)平臺分析溯源、安全事件處置、策略優(yōu)化變更、安全庫更新與維護、重大活動保障、攻防演練、安全巡檢等日常運營活動。技能培訓(xùn)方面，加快網(wǎng)絡(luò)安全培訓(xùn)認證，制訂關(guān)鍵崗位分類規(guī)范及能力標準，定期開展網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，打造終端安全運維人才梯隊。

　　技術(shù)升級，創(chuàng)新優(yōu)化終端安全防御體系。國網(wǎng)信通公司將終端病毒防治、補丁修復(fù)、系統(tǒng)維護等終端安全防護措施與接入控制、身份認證、權(quán)限控制等網(wǎng)絡(luò)準入控制手段結(jié)合，杜絕孤立的安全防御措施，形成網(wǎng)絡(luò)管理和終端管理一體化安全管控保障體系，構(gòu)建“主動防御、整體安全”的終端安全防護體系。建設(shè)具備計算常用軟件的下載平臺功能和卸載、重裝功能，為用戶提供自助快捷的軟件安全下載渠道和卸載途徑，避免用戶個人在外網(wǎng)下載未知安全性的軟件拷貝至公司網(wǎng)絡(luò)，造成感染病毒的風險。規(guī)范用戶安全軟件下載安裝，避免因下載未知軟件帶來的風險。整合現(xiàn)有的多套終端安全防護應(yīng)用及系統(tǒng)的資源庫和數(shù)據(jù)庫，進行挖掘分析，建成終端安全事件聯(lián)動處置系統(tǒng)，并通過該系統(tǒng)將最新的攻擊指標、信譽等威脅信息以可機讀形式實時推送給相關(guān)防護系統(tǒng)，實現(xiàn)系統(tǒng)聯(lián)動防御，提升整體防御能力，同時實現(xiàn)無須依賴已知漏洞、無須頻繁升級特征庫，能對漏洞攻擊行為進行精準的識別、攔截、管控。

　　國網(wǎng)信通公司通過建設(shè)終端安全主動防御體系，基本實現(xiàn)事前利用情報研判威脅、預(yù)置防御策略、主動規(guī)避威脅;事中實時感知發(fā)展態(tài)勢、及時調(diào)整防御策略、快速響應(yīng);事后對攻擊行為和攻擊者進行全面溯源取證，形成集風險發(fā)現(xiàn)、威脅防御、事件處置、檢驗進化的一體化終端安全防御體系。

　　自應(yīng)用以來，公司總部終端入網(wǎng)管控能力不斷增強，終端成功查殺病毒數(shù)提升兩倍，高危漏洞補丁安裝率達到100%，緊急安全事件平均威脅處置時間從4～8小時縮短至分鐘級，軟件管理則為公司軟件正版化管理提供了有力支撐。公司打造一體化終端安全防御體系，夯實網(wǎng)絡(luò)安全基礎(chǔ)，提升了應(yīng)對網(wǎng)絡(luò)安全威脅的技術(shù)能力和管理水平。(李雅西 李楓 劉嬌麗)