“計(jì)算機(jī)終端安全基線(xiàn)平臺(tái)”的研究與應(yīng)用

石磊

摘 要 近年來(lái)，隨著信息技術(shù)的快速發(fā)展，終端安全問(wèn)題引起了越來(lái)越多的關(guān)注，因此，針對(duì)計(jì)算機(jī)終端的安全管理也要深入的進(jìn)行分析和研究，本文主要通過(guò)對(duì)“計(jì)算機(jī)終端安全基線(xiàn)平臺(tái)”的闡述來(lái)詳細(xì)說(shuō)明系統(tǒng)的原理與應(yīng)用。

關(guān)鍵詞 計(jì)算機(jī)終端 安全基線(xiàn)平臺(tái) 應(yīng)用

中圖分類(lèi)號(hào)：TP309.1 文獻(xiàn)標(biāo)識(shí)碼：A

信息化是現(xiàn)代企業(yè)發(fā)展的一個(gè)重要方向。隨養(yǎng)信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)水平的不斷發(fā)展，當(dāng)代企業(yè)信息化程度逐漸加深。信息化極大地提高了企業(yè)工作效率，增加了企業(yè)經(jīng)濟(jì)效能，在企業(yè)生產(chǎn)經(jīng)營(yíng)過(guò)程中扮演養(yǎng)重要角色，成為企業(yè)現(xiàn)代化和先進(jìn)水平的重要標(biāo)志。在企業(yè)信息安全管理工作中，安全基線(xiàn)是一個(gè)基木措施，也是一個(gè)基木概念，它表明信息系統(tǒng)最基木的安全要求。以安全基線(xiàn)為基礎(chǔ)，企業(yè)可以根據(jù)自身采用的信息系統(tǒng)制定不同的漏洞要求和檢查清單要求，進(jìn)而為企業(yè)信息標(biāo)準(zhǔn)化管理提供基木安全框架和原則。安全基線(xiàn)的存在對(duì)于企業(yè)信息安全管理有養(yǎng)巨大的推動(dòng)作用，能夠有效提供企業(yè)信息安全管理水平。由于現(xiàn)代企業(yè)信息工作具有涉及的設(shè)備數(shù)量多、設(shè)備品種規(guī)格復(fù)雜、配置項(xiàng)目繁雜的特點(diǎn)，使得企業(yè)信息工作安全基線(xiàn)管理而臨養(yǎng)很大困難。作為我國(guó)信息化程度較深的行業(yè)之一，電力行業(yè)始終把提高安全基線(xiàn)使用的效率，改善信息系統(tǒng)工作狀態(tài)保障供電安全作為企業(yè)信息安全管理的重要內(nèi)容。

1當(dāng)前終端安全整改工作中存在的主要問(wèn)題

2014年以來(lái)，廣西電網(wǎng)公司加強(qiáng)了計(jì)算機(jī)終端安全管理方面的要求，并在全廣西開(kāi)展了終端安全整治行動(dòng)，在取得成效的同時(shí)暴露了如下幾個(gè)主要問(wèn)題。

1.1安全整改項(xiàng)目繁多，容易出現(xiàn)漏項(xiàng)

以2016版的終端安全基線(xiàn)為例，要求共有接近40項(xiàng)內(nèi)容，加上其他如高危端口、補(bǔ)丁完整性、盜版軟件等要求，維護(hù)人員在開(kāi)展整改工作時(shí)容易出現(xiàn)漏項(xiàng)的情況，在連續(xù)整改超過(guò)30臺(tái)以上電腦時(shí)尤為明顯。

1.2整改時(shí)間長(zhǎng)，耗費(fèi)人力大

由于北信源軟件受終端影響較大，少部分北信源下發(fā)的批處理腳本不能夠正確執(zhí)行，在一些重大檢查來(lái)臨之際，供電局通常還是需要大量人力投入開(kāi)展終端安全整改工作，據(jù)統(tǒng)計(jì)，熟練的維護(hù)人員檢查一臺(tái)機(jī)器大概需要10-15分鐘，整個(gè)網(wǎng)區(qū)需要?jiǎng)佑么罅康娜肆θミM(jìn)行“地毯式”的逐臺(tái)整改。

1.3缺乏考慮整體的檢測(cè)技術(shù)手段

在當(dāng)前，缺乏考慮整體的技術(shù)手段對(duì)終端存在的問(wèn)題進(jìn)行檢測(cè)，維護(hù)人員只能通過(guò)運(yùn)行多個(gè)腳本進(jìn)行檢測(cè)后，逐項(xiàng)進(jìn)行整改；維護(hù)人員必須在一天內(nèi)不斷重復(fù)著機(jī)械的操作，為了完成整改任務(wù)需要注意力高度集中。

2計(jì)算機(jī)終端安全基線(xiàn)平臺(tái)的實(shí)現(xiàn)原理及主要功能

2016年，南寧供電局自主開(kāi)發(fā)了“計(jì)算機(jī)終端安全基線(xiàn)平臺(tái)”的1.0版本；2017年，根據(jù)電網(wǎng)公司的終端安全防護(hù)要求，又推出了2.0版本的“計(jì)算機(jī)終端安全基線(xiàn)平臺(tái)”。平臺(tái)由“終端安全檢查腳本”、“回收展示平臺(tái)”及“自動(dòng)修復(fù)腳本”三部分組成，具體實(shí)現(xiàn)原理如下：

2.1“終端安全檢查腳本”實(shí)現(xiàn)終端安全檢查項(xiàng)的全覆蓋

“終端安全檢查腳本”包含了加域檢查、安全基線(xiàn)檢查、危險(xiǎn)端口檢查、盜版軟件安裝情況檢查、補(bǔ)丁安裝情況檢查、北信源及瑞星版本檢查等六部份檢查內(nèi)容，通過(guò)運(yùn)行腳本，15秒內(nèi)會(huì)形成一個(gè)HTML格式的終端安全報(bào)告，所有的不合規(guī)部分都會(huì)進(jìn)行標(biāo)紅處理，同時(shí)列舉出正確的參考值。目前南寧供電局是通過(guò)北信源對(duì)網(wǎng)區(qū)內(nèi)所有終端進(jìn)行下發(fā)，從而獲取對(duì)應(yīng)終端的安全基線(xiàn)情況。

2.2“回收展示平臺(tái)”實(shí)現(xiàn)對(duì)所有終端安全情況的展示

“回收展示平臺(tái)”通過(guò)FTP服務(wù)器進(jìn)行“終端安全檢查腳本”運(yùn)行后產(chǎn)生的HTML文件，根據(jù)HTML的文件名，按IP地址分組展示，展示的字段主要包括IP，所在區(qū)域，登錄域名，是否有問(wèn)題（1則是有問(wèn)題，0則是沒(méi)有）。對(duì)有問(wèn)題的終端IP會(huì)標(biāo)紅提示。

2.3“自動(dòng)修復(fù)功能”基本實(shí)現(xiàn)對(duì)問(wèn)題終端的自動(dòng)修復(fù)

“自動(dòng)修復(fù)功能”則對(duì)標(biāo)紅提示對(duì)應(yīng)的終端進(jìn)行腳本下發(fā)，因?yàn)槟壳鞍踩€(xiàn)基本上由域進(jìn)行管理和控制。對(duì)安全基線(xiàn)的修復(fù)基本以更新組策略為主（部分加域機(jī)器由于策略未及時(shí)更新依然存在不滿(mǎn)足要求的情況）；而封閉危險(xiǎn)端口則以腳本的關(guān)停服務(wù)功能實(shí)現(xiàn)；補(bǔ)丁部分需要結(jié)合北信源下發(fā)相應(yīng)的補(bǔ)丁來(lái)實(shí)現(xiàn)；盜版軟件目前也是通過(guò)北信源的下發(fā)卸載策略實(shí)現(xiàn)。

3實(shí)際應(yīng)用情況

在南寧供電局本部實(shí)行過(guò)程當(dāng)中，開(kāi)發(fā)組根據(jù)實(shí)際情況對(duì)腳本進(jìn)行了多次修改，同時(shí)對(duì)FTP的上傳速度和平臺(tái)頁(yè)面的刷新速度進(jìn)行了調(diào)整，使得平臺(tái)能夠在短時(shí)間內(nèi)進(jìn)行頁(yè)面準(zhǔn)實(shí)時(shí)刷新，方便維護(hù)人員及時(shí)查看整改效果。

4當(dāng)前需要改進(jìn)的問(wèn)題

（1）由于采用的是北信源進(jìn)行推送，如果部分北信源存在失聯(lián)，則無(wú)法獲取到所有終端的數(shù)據(jù)，存在著無(wú)法100%全覆蓋的隱患。

（2）補(bǔ)丁目前只能顯示重要補(bǔ)丁是否打上，無(wú)法通過(guò)補(bǔ)丁數(shù)來(lái)判斷機(jī)器補(bǔ)丁完整率情況。

（3）瑞星和北信源的版本統(tǒng)一以后，需要和服務(wù)器的版本號(hào)產(chǎn)生對(duì)應(yīng)，目前只能通過(guò)手工調(diào)整腳本來(lái)實(shí)現(xiàn)。

（4）自動(dòng)修復(fù)功能判斷還不夠智能，需要配合北信源下發(fā)一起使用。

參考文獻(xiàn)

[1] 張賀，張麗滿(mǎn).終端安全管理系統(tǒng)及其應(yīng)用[J].電子技術(shù)與軟件工程，2014（02）.

[2] 郭美冉，馬兆豐，黃勤龍.涉密計(jì)算機(jī)移動(dòng)存儲(chǔ)介質(zhì)管理技術(shù)研究[A].第十屆中國(guó)通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集[C].2014.

[3] 余娟娟.淺析“云安全”技術(shù)[J].計(jì)算機(jī)安全，2011（09）.

[4] 唐彥，楊艦友.新一代云安全技術(shù)淺析和應(yīng)用探討[J].數(shù)字通信，2011（02）.endprint