科學(xué)簡(jiǎn)化信息中心日常安全運(yùn)維工作之實(shí)踐

摘要：本文結(jié)合太平灣發(fā)電廠信息中心簡(jiǎn)化日常安維工作的實(shí)踐，對(duì)如何在確保網(wǎng)絡(luò)安全的基礎(chǔ)上，以各類(lèi)安全功能與安全運(yùn)維向單一的網(wǎng)關(guān)設(shè)備集中為原則，提高企業(yè)局域網(wǎng)日常安維工作效率，進(jìn)行了初步探討，并總結(jié)了安全運(yùn)維工作簡(jiǎn)化后取得的實(shí)際效果。

關(guān)鍵詞：信息中心；安全維護(hù)；工作實(shí)踐

中圖分類(lèi)號(hào)：TP335 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9599 （2012） 18-0000-02

1 太平灣發(fā)電廠網(wǎng)絡(luò)概況

我廠企業(yè)網(wǎng)絡(luò)覆蓋了丹東綜合辦公及生活基地（丹東綜合辦公樓、泰鑫辦公樓、多經(jīng)辦公樓、誼江佳園和新世紀(jì)花園兩個(gè)生活區(qū)等）、太平灣電站（副廠房、水調(diào)樓、綜合樓、基地管理處辦公樓及生活區(qū)其它辦公場(chǎng)所）、長(zhǎng)甸電站（廠房、通訊樓、綜合樓等）的“兩站三地”，網(wǎng)絡(luò)核心及匯聚設(shè)備集中在丹東綜合辦公樓、太站副廠房、長(zhǎng)站通訊樓等三個(gè)網(wǎng)絡(luò)機(jī)房?jī)?nèi)，聯(lián)網(wǎng)信息點(diǎn)總數(shù)約1500個(gè)，是東北電網(wǎng)公司系統(tǒng)中網(wǎng)絡(luò)覆蓋面積最大、聯(lián)網(wǎng)用戶(hù)最多、網(wǎng)絡(luò)結(jié)構(gòu)最復(fù)雜的局域網(wǎng)，也是業(yè)務(wù)應(yīng)用系統(tǒng)最多、實(shí)用化程度最高、日常維護(hù)工作量最大的單位。

2 信息中心日常安維工作現(xiàn)狀

我廠在2001年就已建成了自己的信息中心負(fù)責(zé)信息工作，近幾年，隨著計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的日益廣泛，廠信息系統(tǒng)不斷充實(shí)、完善，信息中心工作量日益增加，但信息中心負(fù)責(zé)日常安全運(yùn)維的工作人員卻相對(duì)較少。據(jù)我粗略統(tǒng)計(jì)，全廠僅日常計(jì)算機(jī)維護(hù)工作每天就不少于20臺(tái)·次，如果再發(fā)生一些新病毒爆發(fā)、電源不穩(wěn)定、應(yīng)用軟件升級(jí)、硬件換代、上級(jí)檢查等臨時(shí)事件，那么整個(gè)信息中心的技術(shù)人員都要連續(xù)多日甚至數(shù)周加班加點(diǎn)逐個(gè)終端進(jìn)行調(diào)整。而且，由于我廠信息化工作進(jìn)程的持續(xù)推進(jìn)，無(wú)紙化辦公的最終實(shí)現(xiàn)，廠信息系統(tǒng)的重要性得到了更大提高，已經(jīng)從企業(yè)運(yùn)行管理的輔助性手段變?yōu)楹诵氖侄?。同時(shí)，各類(lèi)黑客手段迅猛發(fā)展、新的網(wǎng)絡(luò)病毒不斷出現(xiàn)，對(duì)信息系統(tǒng)的攻擊變得更加隱蔽，攻擊工具的學(xué)習(xí)應(yīng)用變得更加簡(jiǎn)單，新的攻擊技術(shù)的應(yīng)用變得更加迅速，攻擊危害變得更加復(fù)雜。信息中心的工作量、工作強(qiáng)度與日俱增，技術(shù)人員疲于應(yīng)付日常安維，很難有時(shí)間進(jìn)行網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)優(yōu)化改造的研究與規(guī)劃。

現(xiàn)實(shí)環(huán)境督促信息中心進(jìn)一步提高工作效率。為此，我經(jīng)過(guò)深入的調(diào)查研究，與廠有關(guān)領(lǐng)導(dǎo)、產(chǎn)品供應(yīng)商和信息中心同事共同對(duì)簡(jiǎn)化日常安維工作進(jìn)行了初步實(shí)踐。

3 對(duì)簡(jiǎn)化信息中心日常安維工作的分析與實(shí)踐

3.1 信息中心日常安維工作內(nèi)容與工作量分析

3.1.1 服務(wù)器安全維護(hù)，工作量比較小；

3.1.2 網(wǎng)絡(luò)設(shè)備安全維護(hù)，工作量比較大；

3.1.3 終端安全維護(hù)，這方面工作量極大，占信息中心日常工作量80%以上。

通過(guò)以上分析，可以看到信息中心絕大多數(shù)的工作時(shí)間都消耗在了終端維護(hù)上，如果我們能通過(guò)適當(dāng)?shù)募夹g(shù)和設(shè)備手段，將盡量多的終端維護(hù)工作集中在網(wǎng)關(guān)節(jié)點(diǎn)上，那么網(wǎng)絡(luò)終端的安全維護(hù)工作量就必然大大降低，信息中心的日常工作內(nèi)容就能得到極大簡(jiǎn)化，工作效率就會(huì)進(jìn)一步提高。

3.2 對(duì)簡(jiǎn)化信息中心日常安維工作的實(shí)踐

根據(jù)以上分析結(jié)果，信息中心以大幅度提升工作效率為目標(biāo)，以各類(lèi)安全功能與安全運(yùn)維向單一網(wǎng)關(guān)設(shè)備集中為原則，對(duì)簡(jiǎn)化日常安維工作進(jìn)行了積極實(shí)踐，其中主要包括：

3.2.1 強(qiáng)制要求安裝終端管理軟件

終端管理軟件的安裝在以下五方面簡(jiǎn)化了安維工作：

一是其他安全軟件的部署簡(jiǎn)化。一些需要在一定范圍內(nèi)安裝的軟件，原來(lái)需要一臺(tái)臺(tái)計(jì)算機(jī)去部署，現(xiàn)在可通過(guò)終端管理軟件直接推送并安裝。

二是及時(shí)進(jìn)行補(bǔ)丁升級(jí)，降低病毒事件發(fā)生頻率。原來(lái)由于員工個(gè)人電腦知識(shí)參差不齊，使操作系統(tǒng)補(bǔ)丁無(wú)法及時(shí)升級(jí)，頻繁引發(fā)病毒事件，現(xiàn)統(tǒng)一進(jìn)行補(bǔ)丁推送，可大幅度減少此類(lèi)事件。

三是遠(yuǎn)程維護(hù)減少了去現(xiàn)場(chǎng)時(shí)間。很多計(jì)算機(jī)問(wèn)題都是非常簡(jiǎn)單的，大量時(shí)間都消耗在去現(xiàn)場(chǎng)的路上。通過(guò)遠(yuǎn)程維護(hù)，節(jié)約了去現(xiàn)場(chǎng)的時(shí)間，而且終端管理軟件提供了豐富的統(tǒng)計(jì)與報(bào)表功能，有利于及時(shí)發(fā)現(xiàn)共性問(wèn)題，提前制定解決方案。

四是帶寬控制限制網(wǎng)絡(luò)濫用。當(dāng)一臺(tái)電腦中病毒或進(jìn)行P2P下載時(shí)，會(huì)嚴(yán)重占用全網(wǎng)資源，安裝終端管理軟件前，我們采用通過(guò)對(duì)程序特征識(shí)別來(lái)阻斷的方式解決這一問(wèn)題，實(shí)現(xiàn)起來(lái)既復(fù)雜準(zhǔn)確率又低，并且容易造成員工反感。安裝軟件后，通過(guò)帶寬限制，很好的預(yù)先解決了這個(gè)問(wèn)題。

五是安全基線應(yīng)用。通過(guò)評(píng)估，我們預(yù)先制定了各部門(mén)的安全基線規(guī)則，不滿(mǎn)足安全基線的計(jì)算機(jī)將被內(nèi)網(wǎng)管理代理程序斷開(kāi)，有效避免了高危主機(jī)的問(wèn)題向全網(wǎng)泛濫。

3.2.2.通過(guò)準(zhǔn)入控制杜絕部署漏洞

網(wǎng)絡(luò)與終端的雙重限制簡(jiǎn)化了安維工作，但是推廣中又發(fā)現(xiàn)了一些不足，如：部分員工計(jì)算機(jī)出現(xiàn)問(wèn)題時(shí)，自己重裝系統(tǒng)，經(jīng)常不安裝終端管理軟件客戶(hù)端；個(gè)別員工認(rèn)為終端管理軟件破壞了自己的正常使用習(xí)慣和隱私，不愿安裝或私自卸載管理軟件；外來(lái)人員臨時(shí)將自己未安裝終端管理軟件的便攜電腦連入我廠網(wǎng)絡(luò)。目前，這些問(wèn)題我們已經(jīng)可以通過(guò)交換機(jī)終端準(zhǔn)入來(lái)解決。

一是網(wǎng)絡(luò)準(zhǔn)入。對(duì)于沒(méi)有安裝終端管理客戶(hù)端的機(jī)器，通過(guò)交換機(jī)的硬件端口的起、宕，進(jìn)行控制。通過(guò)802.1X協(xié)議和EOU協(xié)議，可以有效的在交換機(jī)上進(jìn)行控制，使沒(méi)有安裝終端管理客戶(hù)端的機(jī)器被禁止連入網(wǎng)絡(luò)。

二是應(yīng)用準(zhǔn)入。網(wǎng)絡(luò)準(zhǔn)入對(duì)于既不支持802.1X協(xié)議又不支持EOU協(xié)議的交換機(jī)無(wú)法起到有效的作用，這時(shí)可通過(guò)對(duì)應(yīng)用的訪問(wèn)限制進(jìn)行準(zhǔn)入控制。即：在運(yùn)行應(yīng)用和訪問(wèn)應(yīng)用的必經(jīng)之路上部署準(zhǔn)入組件，使未安裝客戶(hù)端的計(jì)算機(jī)在訪問(wèn)這些應(yīng)用時(shí)，會(huì)被準(zhǔn)入組件檢查到并阻斷。

三是客戶(hù)端準(zhǔn)入。一臺(tái)未安裝客戶(hù)端的機(jī)器，如不能連接到任何應(yīng)用服務(wù)器，那么他就只能訪問(wèn)網(wǎng)內(nèi)的其他計(jì)算機(jī)了，這時(shí)，如果其他計(jì)算機(jī)安裝了內(nèi)網(wǎng)管理客戶(hù)端，那么也會(huì)阻斷沒(méi)安裝客戶(hù)端的計(jì)算機(jī)的訪問(wèn)。

通過(guò)以上方法，可以確保未安裝客戶(hù)端的計(jì)算機(jī)無(wú)法在網(wǎng)內(nèi)行動(dòng)，其不安全的因素也就不會(huì)影響網(wǎng)絡(luò)其他部分。

3.2.3 大規(guī)模部署的簡(jiǎn)化

一套有效的手段，會(huì)在更廣的范圍進(jìn)行部署，另一方面，如果有大范圍計(jì)算機(jī)更新的時(shí)候，也需要重新部署，這時(shí)部署客戶(hù)端軟件對(duì)人員消耗極大，因此就需要從全網(wǎng)的角度對(duì)內(nèi)網(wǎng)管理軟進(jìn)行改進(jìn)：在準(zhǔn)入組件上增加客戶(hù)端自動(dòng)下載安裝功能，這樣沒(méi)有安裝客戶(hù)端的員工在使用時(shí)都會(huì)得到提示：“需要安裝客戶(hù)端”，只要點(diǎn)擊“同意”，即可自動(dòng)下載安裝，不需技術(shù)人員安裝。

此部分的難點(diǎn)在于：此功能暫時(shí)只能在提供WEB服務(wù)的應(yīng)用系統(tǒng)上實(shí)現(xiàn)，而且對(duì)于一般員工，開(kāi)機(jī)后并不是一定要使用某個(gè)內(nèi)部應(yīng)用，這樣，最佳的方式是將升級(jí)的準(zhǔn)入組件與客戶(hù)端程序部署在網(wǎng)關(guān)設(shè)備上，而對(duì)于網(wǎng)關(guān)廠商來(lái)說(shuō)，更改硬件系統(tǒng)成本巨大，今后我們將繼續(xù)與合作廠商溝通、協(xié)商，早日進(jìn)行硬件改造，滿(mǎn)足以上要求。

4 簡(jiǎn)化信息中心日常安維工作的影響

應(yīng)用新的安全技術(shù)與流程，簡(jiǎn)化日常安維工作，極大的提高了信息中心的工作效率，使得技術(shù)人員能將更多精力放在整體架構(gòu)設(shè)計(jì)、系統(tǒng)優(yōu)化和新技術(shù)的學(xué)習(xí)上來(lái)，對(duì)全廠網(wǎng)絡(luò)系統(tǒng)的建設(shè)和發(fā)展有著長(zhǎng)遠(yuǎn)的意義。同時(shí)，我們也明白信息技術(shù)迅猛發(fā)展，信息化進(jìn)程不斷深入，今后我們還要繼續(xù)不斷學(xué)習(xí)，不斷進(jìn)步，讓信息系統(tǒng)在企業(yè)管理中發(fā)揮更大的作用。

參考文獻(xiàn)：

[1]彭麗葉，王乃遷，劉振生.淺談企業(yè)級(jí)信息中心機(jī)房監(jiān)控系統(tǒng)的建設(shè)[J].計(jì)算機(jī)光盤(pán)軟件與應(yīng)用，2010（6）.

[2]李純?nèi)A.煙草行業(yè)信息安全系統(tǒng)建設(shè)策略[J].魅力中國(guó)，2009（29）.

[3]信息與網(wǎng)絡(luò)安全研究新進(jìn)展.全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集.第二十二卷[C].合肥：中國(guó)科技大學(xué)出版社，2007.

[作者簡(jiǎn)介]

趙盈晨（1976.8-），男，籍貫吉林省吉安市，就職于遼寧省丹東市太平灣發(fā)電廠，安全監(jiān)察部專(zhuān)工，工程師