电网信息安全督查工具的设计与实现

引言

为切实解决电力公司各级单位信息安全防护体系建设不平衡的问题,缓解信息安全人员数量不足和基层单位技术能力欠缺的情况,确保公司各项信息安全技术措施和管理要求落实到位,顺利完成各特定时期信息安全保障任务,现根据电力公司强化信息安全工作的迫切要求,在信息技术监督体系基础上,利用公司现有技术力量,形成电力公司信息安全技术督查队伍,完善技术督查工作机制,研发信息安全督查工具已成必然趋势。

利用安全督查工具,为公司信息网络安全稳定运行提供有力支撑,准确、全面地督查公司存在的信息安全风险与隐患,全面提升公司信息内外网边界的安全性,加强对公司安全设备的策略监测和管控。

1安全督查工具业务流程

1.1防火墙策略督查工具

防火墙策略督查工具主要通过系统在线采集并解析防火墙设备配置文件,生成防火墙策略。在采集数据的基础上,对防火墙的配置变更进行跟踪,对策略进行比对分析及策略合规性分析。其具体业务流程如图1所示。

1.2信息网拓扑发现工具

信息网拓扑发现工具主要是通过市县公司及广域网核心交换机中的MAC信息,以及对设备的端口与服务进行扫描,从而对设备台账、MAC地址库及开放的端口与服务进行分析。其具体业务流程如图2所示。

1.3基于lP的接入设备台账检查工具

基于IP的接入设备台账检查工具主要是通过接入IP管控、VRV、I6000中的台账信息进行对比,录入完全一致的资产台账,整改冲突或差异的资产台账。其具体流程如图3所示。

2功能说明

2.1防火墙策略督查工具

2.1.1拓扑图元维护

提供自定义拓扑图元类型设置及属性编辑,包括名称、图片、类型等:图元应包括不同网络、网络安全域、防火墙、路由器、网络节点、主机及主机群等主要类型。

2.1.2拓扑图管理

建立全省地市公司信息网络和网络安全域的防火墙拓扑连接图,提供拓扑图在线编辑功能,支持通过拖拽不同防火墙、主机等类型图元,绘制拓扑图连接关系,支持上述拓扑图元与相应台账信息的关联编辑。

2.1.3配置变更跟踪

建立变革时间线,跟踪配置变更情况,并对比前后两个配置的变更差异。

2.1.4配置变更预警

按照区域显示当前配置变更记录,可进一步查看配置变更详细记录。

2.1.5策略合规检查

将防火墙策略需求录入系统,系统自动与实际导出的防火墙策略进行一致性检查,排查与实际需求不一致的防火墙策略,并在页面呈现不一致结果。

2.1.6数据采集并解析

定时在线获取防火墙配置文件,然后依据该品牌防火墙模板定义格式进行解析,生成标准化策略格式并保存到策略库中,形成的标准策略数据项包括源IP、目的IP、服务、方向、动作、端口等。

2.2信息网拓扑发现工具

2.2.1扫描配置

配置的IP地址段对段内的IP地址进行端口扫描以及配置端口,进行端口异常对比。

2.2.2交换机管理

对所有地市公司的交换机信息进行展示,同时可新增、修改、删除信息。

2.2.3发现私有地址

展示发现的私网路由设备及其详细信息,并提供相关预警、统计分析和可视化展现功能。

2.2.4发现未知接入设备

展示发现的未知接入设备及其详细信息,并提供相关预警、统计分析和可视化展现功能。

2.2.5发现未知及不合规端口和服务

展示发现的未知及不合规端口、服务及其详细信息,并提供相关预警、统计分析和可视化展现功能。

2.2.6数据采集、接入

采集MAC表信息及根据IP地址段扫描端口,并将数据录入到数据库。

2.3基于lP的接入设备台账检查工具

2.3.1设备台账管理

加载市县公司的保护设备台账,并对台账进行备注说明,并支持导出功能。

2.3.2保护设备台账

根据地市公司已备注说明的保护设备台账进行展示,保护设备主要包括交换机、打印机等,并支持导出功能。

2.3.3台账对比结果

以MAC地址、IP地址为基础信息,自动核对IP管控、VRV、I6000设备台账信息,完成一致性检查、冲突检查、差异检查,提供对比结果及详细信息,并支持导出功能。

2.3.4数据接入接口

将地市公司的保护设备台账数据及VRV、I6000、IP管控的台账数据接入。

2.3.5数据对比服务

将市县公司的VRV、I6000、IP管控接入的台账数据进行两两对比。

3结语

本文建立了对公司信息内外网边界、拓扑、私网全面监控的统一管理系统,减少了重复性工作,提高了日常督查效率:开展了资产台账对比工作,保障了台账的完整性和一致性,全面提升了公司信息内外网边界的安全性。安全督查工具通过加强对市县公司安全设备的策略监测和管控,实现了对防火墙策略命中情况分析、防火墙策略变更实时监测预警、防火墙策略需求与实际策略一致性检查分析等功能,还能排查信息内网中是否存在私有网段、是否存在未知设备、是否开放未知及不合规端口服务等网络安全隐患。