信息网络端口管控工具的设计与实现

时间：2022-05-16 23:19:24

关键字：端口管控防火墙策略端口全貌表

手机看文章

扫描二维码
随时随地手机看文章

[导读]摘要:针对目前公司网络端口业务管控存在的问题,设计了一套自动化、智能化的信息网络端口管控工具。该端口管控工具集成了现有的静态数据采集平台,获取信息系统及设备台账、服务器端口启用情况,建立了信息系统端口全貌表,结合已有的防火墙策略分析工具,在不同安全区域模拟访问应用系统,绘制访问路径,将防火墙策略与系统端口启用情况紧密结合,实现端口安全隐患早发现、早治理,确保端口安全风险的可控、在控、能控,夯实信息安全基础,提高本质安全水平。

引言

网络日益成为人们生产生活的重要基础,网络安全已超出技术安全、系统保护的范畴,成为涉及政治、经济、社会等各领域的综合安全。电网是关系国计民生和国家能源安全的重要基础设施,其生产运行高度依赖网络和信息化,一旦外部攻击突破安全防护体系,将威胁电力系统安全,造成社会重大损失。

为贯彻落实公司本质安全工作要求,进一步规范信息系统远程访问端口的管理和使用,满足业务需求和远程维护需要,保障信息系统运行的可靠安全,国网信通部于2017年12月下发了《国网信通部关于进一步规范信息系统远程访问端口管理工作的通知》,并随文下发《国家电网公司信息系统远程访问端口管理规范》《国家电网公司信息系统远程访问端口治理工作方案》,对网络端口业务管理提出了明确要求。

目前公司网络端口业务的管控依托纸质申请单,端口策略配置无自动化能力,信息系统端口全貌表缺失,迫切需要一套自动化、智能化的运维辅助工具。为提升国网安徽省电力有限公司本部网络端口业务安全防护、运行维护、技术管理的精益化水平,本文对信息网络端口业务的管控进行了分析研究。

1系统设计原则

1.1统一标准,整体设计

所有各项软件开发工具和系统开发平台应符合我国国家标准、信息产业部部颁标准、国家电网公司相关技术规范和要求。项目应遵循信息集中管理、统筹规划、整体设计的方针,在系统实施过程中要体现"统一规划、统一标准、统一选型、统一开发"的"四统一原则"。

1.2兼顾实效性和未来发展

根据调度管理最佳实践,总结国内外先进企业建设经验,结合国家电网公司发展目标和战略规划,在数据模型设计、管理体系构建时,考虑满足目前安徽省电力有限公司开展业务需求的同时,设计能够满足未来管理需要的前瞻性模型。

1.3先进性

先进性除了体现在开发技术及使用规范上以外,针对本次项目更重要的是先进的架构设计。该设计架构对系统整体性能、数据共享、信息安全、及时通信等问题有更高要求。因此,应根据项目特点,设计出符合项目要求和技术发展趋势的产品架构。

1.4实用性

在考虑先进性的同时,必须兼顾实用性,不能选择只有先

进技术而没有实用价值的产品。实施的系统所涵盖的业务应用应符合公司实际业务需求,符合各个利益相关方的价值述求。

2系统总体设计

2.1技术架构

信息网络端口管控工具,建立面向省信通信息网防火墙安全策略的优化平台,实现对省信通信息网内所有不同位置、不同品牌防火墙设备的配置管理、策略分析、策略优化和策略翻译等功能。系统采取多层分布式架构搭建,通过动态与静态结合的方式,从策略自身静态配置数据采集、策略动态实际使用情况分析和结合企业基础访问控制等方面,提供自动化的策略深度审计能力,并丰富、直观地呈献给管理人员,实现全网统一的视图化安全管理。系统架构如图1所示。

2.2部署架构

管控工具主要的数据来源主要包括3部分:（1）采集静态数据平台中的信息系统软硬件信息和端口信息:（2）集成防火墙策略优化工具中的流量分析和合规性检查等服务:（3）采集防火墙设备的台账信息、安全域信息和策略信息等。通过对上述所采集信息的整体利用形成系统拓扑图,生成端口开通脚本,实现防火墙策略的自动生成并下发。系统部署架构如图2所示。

2.3系统功能设计

本项目主要涵盖端口申请管理、防火墙策略管控、拓扑管理、网络访问模拟等功能,以实现对信息终端端口的集中管控,系统功能结构如图3所示,具体包括以下业务:

(1）端口申请管理:主要用于对端口业务中的策略开通、延续和关闭提供线上操作,具体包括端口申请和多维统计分析等功能。

(2）防火墙策略管控:主要包括对集成防火墙策略优化工具中的策略分析、策略翻译、合规性分析和流量分析等功能,此外还包括策略下发管理等功能。其中合规性分析主要包含策略合规性分析和端口合规性分析两部分。

(3）拓扑管理:主要包含拓扑管理、安全域管理、设备台账管理和端口黑名单管理等功能。其中设备台账管理涵盖防火墙设备信息管理和信息系统台账管理两部分。其中信息系统台账管理通过采集静态数据平台中的软硬件台账和端口信息,形成系统集成拓扑图以及端口全貌表。

(4）网络访问模拟:主要包含端口治理、策略优化和端口开放访问模拟。策略优化主要指对于已有的开放端口,综合端口全貌表和防火墙策略解析结果模拟得出需开放端口的最优策略路径,判断现有防火墙策略是否存在冗余情况,提醒管理人员仔细排查。端口治理主要指通过结合端口全貌表和防火墙策略解析结果,分析现有信息系统端口的使用情况,对于某些已开放但未有服务的端口进行提醒。端口开放访问模拟主要是指结合防火墙设备信息,通过选定源1P、目的1P、端口和防火墙,系统自动生成脚本语句,进行防火墙网络访问模拟,分析需进行操作的防火墙。

3结语

本文通过建设信息网络端口管控工具,集成现有静态数据采集平台,获取信息系统及设备台账、服务器端口启用情况,建立信息系统端口全貌表,结合已有的防火墙策略分析工具,在不同安全区域模拟访问应用系统,绘制访问路径,将防火墙策略与系统端口启用情况紧密结合,实现端口安全隐患早发现、早治理,确保端口安全风险的可控、在控、能控,夯实信息安全基础,提高本质安全水平。