引言

随着电力信息网络规模的不断扩大,供电公司面临的信息安全威胁也越来越大。为了保证信息网络的安全,我公司不断深化信息安全工作,不断提升信息安全要求,陆续发布了各项信息安全规章制度,涉及终端系统、安全策略等各方面。其中,终端安全作为企业信息安全工作的重要组成部分,由于其范围广、环境复杂、涉及用户多、运维比较困难等,给企业的信息安全带来一系列风险,同时为了工作便利,人们在终端设备使用过程中随意添加系统账户开启服务和端口等,给整个信息内外网带来安全隐患。

针对上述情况,亟需研制一种终端安全风险评估审计工具,实现自动化精确化自动检测及监控终端设备,以提高终端的安全性、可靠性,从而保障整个信息网的安全。

1原理及功能

终端安全风险评估审计工具采用C/s与B/s相结合的模式,主要包括客户端、服务端、接口。客户端:以windows服务或可视化客户端的形式部署于终端设备中,根据已设置的扫描间隔时间,实现对终端设备的安全审计项进行安全审计检测。服务端:以网站形式部署于服务器中,主要实现终端设备可视化展示、自定义安全审计项（包括必装软件、不安全端口、不必要服务)补丁管理（包括补丁展示补丁上传)补丁安装记录等功能。接口:采用webservice接口的方式进行数据传输。

该工具总体架构如图1所示。

2技术架构

终端安全风险评估审计工具整合利用现有安全技术手段,采取在终端设备安装客户端的方式,实现对终端安全审计项进行安全风险评估,并实现终端设备的补丁下发及安装,同时联动IP管控系统,实现异常终端的断网功能。

根据终端安全风险评估审计工具的需求,其技术架构如图2所示。

系统采取多层分布式技术架构,从技术和功能实现上将整个系统架构分为:对象层、调度层、实施层、应用层。

2.1对象层

对象层分为windows7与windowsxP两种网元,由于终端操作系统的不同,拟开发统一版本的客户端程序(如windows服务、可视化客户端程序）,对终端设备进行安装。2.2调度层

调度层主要为数据传输接口,接口以webservice接口的方式进行数据传输,webservice接口主要分为两个方面:

工具的数据传输(设备的信息传输、补丁下载传输）:IP管控系统的异常终端信息传输,实现断网功能。

2.3实施层

实施层通过webservice接口将数据传输于IP管控系统,通过对交换机中IP地址的绑定与解绑,实现断网功能。

2.4应用层

应用层通过采用B/s架构的方式提供面向管理人员的业务管理功能,主要提供终端设备可视化展示、安全审计项维护、补丁管理、补丁安装记录等管理功能。

3技术路线

(1）客户端:以windows服务或可视化客户端的形式部署于终端设备中,根据设置的扫描时间,实现对"必装软件""系统账号""弱口令""不安全端口""不必要服务"几项进行自动检测。

(2）服务端:以网站的形式部署于服务器中,主要实现终端设备可视化展示、自定义安全审计项(包括必装软件、不安全端口、不必要服务）、补丁管理(包括补丁展示、补丁上传）、补丁安装记录。

(3）接口:采用webservice接口的方式进行数据传输。

4工具功能

终端安全风险评估审计工具系统功能如图3所示。

终端安全风险评估审计工具通过C/s的方式提供面向管理人员的安全审计功能,主要分为以下4个模块:

4.1客户端自动安全审计

在所有终端设备中安装客户端,客户端以windows服务或可视化客户端的形式运行,实现对"必装软件""系统账号""弱口令""不安全端口""不必要服务"的自动检测。

4.2安全风险评估

客户端根据服务端已自定义配置的安全审计项一"必装软件""系统账号""弱口令""不安全端口""不必要服务"进行安全风险评估。

4.3安全补丁下发

安全补丁下发主要是通过服务端上传待安装的补丁安装包,客户端通过webservice接口从服务端获取待安装的补丁,实现补丁下发及安装。

4.4安全控制联动

通过开发数据传输webservice接口,将存在安全风险的终端设备信息传入IP管控系统中,在IP管控系统中对该设备进行交换机解绑,以达到断网效果。

5结语

终端安全风险评估审计工具实现了对不同类型的终端设备,包括windows7、windowsxP以及windows:1等配置进行统一的安全审计及检测。同时,该工具实现了与不同防火墙以及核心交换机进行联动,阻止终端设备入网。通过该工具的使用,增强了信息终端设备和网络的安全性。