信息網(wǎng)絡(luò)端口管控工具的設(shè)計(jì)與實(shí)現(xiàn)

時(shí)間：2022-05-16 23:19:24

關(guān)鍵字：端口管控防火墻策略端口全貌表

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]摘要:針對(duì)目前公司網(wǎng)絡(luò)端口業(yè)務(wù)管控存在的問(wèn)題,設(shè)計(jì)了一套自動(dòng)化、智能化的信息網(wǎng)絡(luò)端口管控工具。該端口管控工具集成了現(xiàn)有的靜態(tài)數(shù)據(jù)采集平臺(tái),獲取信息系統(tǒng)及設(shè)備臺(tái)賬、服務(wù)器端口啟用情況,建立了信息系統(tǒng)端口全貌表,結(jié)合已有的防火墻策略分析工具,在不同安全區(qū)域模擬訪(fǎng)問(wèn)應(yīng)用系統(tǒng),繪制訪(fǎng)問(wèn)路徑,將防火墻策略與系統(tǒng)端口啟用情況緊密結(jié)合,實(shí)現(xiàn)端口安全隱患早發(fā)現(xiàn)、早治理,確保端口安全風(fēng)險(xiǎn)的可控、在控、能控,夯實(shí)信息安全基礎(chǔ),提高本質(zhì)安全水平。

引言

網(wǎng)絡(luò)日益成為人們生產(chǎn)生活的重要基礎(chǔ),網(wǎng)絡(luò)安全已超出技術(shù)安全、系統(tǒng)保護(hù)的范疇,成為涉及政治、經(jīng)濟(jì)、社會(huì)等各領(lǐng)域的綜合安全。電網(wǎng)是關(guān)系國(guó)計(jì)民生和國(guó)家能源安全的重要基礎(chǔ)設(shè)施,其生產(chǎn)運(yùn)行高度依賴(lài)網(wǎng)絡(luò)和信息化,一旦外部攻擊突破安全防護(hù)體系,將威脅電力系統(tǒng)安全,造成社會(huì)重大損失。

為貫徹落實(shí)公司本質(zhì)安全工作要求,進(jìn)一步規(guī)范信息系統(tǒng)遠(yuǎn)程訪(fǎng)問(wèn)端口的管理和使用,滿(mǎn)足業(yè)務(wù)需求和遠(yuǎn)程維護(hù)需要,保障信息系統(tǒng)運(yùn)行的可靠安全,國(guó)網(wǎng)信通部于2017年12月下發(fā)了《國(guó)網(wǎng)信通部關(guān)于進(jìn)一步規(guī)范信息系統(tǒng)遠(yuǎn)程訪(fǎng)問(wèn)端口管理工作的通知》,并隨文下發(fā)《國(guó)家電網(wǎng)公司信息系統(tǒng)遠(yuǎn)程訪(fǎng)問(wèn)端口管理規(guī)范》《國(guó)家電網(wǎng)公司信息系統(tǒng)遠(yuǎn)程訪(fǎng)問(wèn)端口治理工作方案》,對(duì)網(wǎng)絡(luò)端口業(yè)務(wù)管理提出了明確要求。

目前公司網(wǎng)絡(luò)端口業(yè)務(wù)的管控依托紙質(zhì)申請(qǐng)單,端口策略配置無(wú)自動(dòng)化能力,信息系統(tǒng)端口全貌表缺失,迫切需要一套自動(dòng)化、智能化的運(yùn)維輔助工具。為提升國(guó)網(wǎng)安徽省電力有限公司本部網(wǎng)絡(luò)端口業(yè)務(wù)安全防護(hù)、運(yùn)行維護(hù)、技術(shù)管理的精益化水平,本文對(duì)信息網(wǎng)絡(luò)端口業(yè)務(wù)的管控進(jìn)行了分析研究。

1系統(tǒng)設(shè)計(jì)原則

1.1統(tǒng)一標(biāo)準(zhǔn),整體設(shè)計(jì)

所有各項(xiàng)軟件開(kāi)發(fā)工具和系統(tǒng)開(kāi)發(fā)平臺(tái)應(yīng)符合我國(guó)國(guó)家標(biāo)準(zhǔn)、信息產(chǎn)業(yè)部部頒標(biāo)準(zhǔn)、國(guó)家電網(wǎng)公司相關(guān)技術(shù)規(guī)范和要求。項(xiàng)目應(yīng)遵循信息集中管理、統(tǒng)籌規(guī)劃、整體設(shè)計(jì)的方針,在系統(tǒng)實(shí)施過(guò)程中要體現(xiàn)"統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一選型、統(tǒng)一開(kāi)發(fā)"的"四統(tǒng)一原則"。

1.2兼顧實(shí)效性和未來(lái)發(fā)展

根據(jù)調(diào)度管理最佳實(shí)踐,總結(jié)國(guó)內(nèi)外先進(jìn)企業(yè)建設(shè)經(jīng)驗(yàn),結(jié)合國(guó)家電網(wǎng)公司發(fā)展目標(biāo)和戰(zhàn)略規(guī)劃,在數(shù)據(jù)模型設(shè)計(jì)、管理體系構(gòu)建時(shí),考慮滿(mǎn)足目前安徽省電力有限公司開(kāi)展業(yè)務(wù)需求的同時(shí),設(shè)計(jì)能夠滿(mǎn)足未來(lái)管理需要的前瞻性模型。

1.3先進(jìn)性

先進(jìn)性除了體現(xiàn)在開(kāi)發(fā)技術(shù)及使用規(guī)范上以外,針對(duì)本次項(xiàng)目更重要的是先進(jìn)的架構(gòu)設(shè)計(jì)。該設(shè)計(jì)架構(gòu)對(duì)系統(tǒng)整體性能、數(shù)據(jù)共享、信息安全、及時(shí)通信等問(wèn)題有更高要求。因此,應(yīng)根據(jù)項(xiàng)目特點(diǎn),設(shè)計(jì)出符合項(xiàng)目要求和技術(shù)發(fā)展趨勢(shì)的產(chǎn)品架構(gòu)。

1.4實(shí)用性

在考慮先進(jìn)性的同時(shí),必須兼顧實(shí)用性,不能選擇只有先

進(jìn)技術(shù)而沒(méi)有實(shí)用價(jià)值的產(chǎn)品。實(shí)施的系統(tǒng)所涵蓋的業(yè)務(wù)應(yīng)用應(yīng)符合公司實(shí)際業(yè)務(wù)需求,符合各個(gè)利益相關(guān)方的價(jià)值述求。

2系統(tǒng)總體設(shè)計(jì)

2.1技術(shù)架構(gòu)

信息網(wǎng)絡(luò)端口管控工具,建立面向省信通信息網(wǎng)防火墻安全策略的優(yōu)化平臺(tái),實(shí)現(xiàn)對(duì)省信通信息網(wǎng)內(nèi)所有不同位置、不同品牌防火墻設(shè)備的配置管理、策略分析、策略?xún)?yōu)化和策略翻譯等功能。系統(tǒng)采取多層分布式架構(gòu)搭建,通過(guò)動(dòng)態(tài)與靜態(tài)結(jié)合的方式,從策略自身靜態(tài)配置數(shù)據(jù)采集、策略動(dòng)態(tài)實(shí)際使用情況分析和結(jié)合企業(yè)基礎(chǔ)訪(fǎng)問(wèn)控制等方面,提供自動(dòng)化的策略深度審計(jì)能力,并豐富、直觀(guān)地呈獻(xiàn)給管理人員,實(shí)現(xiàn)全網(wǎng)統(tǒng)一的視圖化安全管理。系統(tǒng)架構(gòu)如圖1所示。

2.2部署架構(gòu)

管控工具主要的數(shù)據(jù)來(lái)源主要包括3部分:（1）采集靜態(tài)數(shù)據(jù)平臺(tái)中的信息系統(tǒng)軟硬件信息和端口信息:（2）集成防火墻策略?xún)?yōu)化工具中的流量分析和合規(guī)性檢查等服務(wù):（3）采集防火墻設(shè)備的臺(tái)賬信息、安全域信息和策略信息等。通過(guò)對(duì)上述所采集信息的整體利用形成系統(tǒng)拓?fù)鋱D,生成端口開(kāi)通腳本,實(shí)現(xiàn)防火墻策略的自動(dòng)生成并下發(fā)。系統(tǒng)部署架構(gòu)如圖2所示。

2.3系統(tǒng)功能設(shè)計(jì)

本項(xiàng)目主要涵蓋端口申請(qǐng)管理、防火墻策略管控、拓?fù)涔芾?、網(wǎng)絡(luò)訪(fǎng)問(wèn)模擬等功能,以實(shí)現(xiàn)對(duì)信息終端端口的集中管控,系統(tǒng)功能結(jié)構(gòu)如圖3所示,具體包括以下業(yè)務(wù):

(1）端口申請(qǐng)管理:主要用于對(duì)端口業(yè)務(wù)中的策略開(kāi)通、延續(xù)和關(guān)閉提供線(xiàn)上操作,具體包括端口申請(qǐng)和多維統(tǒng)計(jì)分析等功能。

(2）防火墻策略管控:主要包括對(duì)集成防火墻策略?xún)?yōu)化工具中的策略分析、策略翻譯、合規(guī)性分析和流量分析等功能,此外還包括策略下發(fā)管理等功能。其中合規(guī)性分析主要包含策略合規(guī)性分析和端口合規(guī)性分析兩部分。

(3）拓?fù)涔芾?主要包含拓?fù)涔芾怼踩蚬芾?、設(shè)備臺(tái)賬管理和端口黑名單管理等功能。其中設(shè)備臺(tái)賬管理涵蓋防火墻設(shè)備信息管理和信息系統(tǒng)臺(tái)賬管理兩部分。其中信息系統(tǒng)臺(tái)賬管理通過(guò)采集靜態(tài)數(shù)據(jù)平臺(tái)中的軟硬件臺(tái)賬和端口信息,形成系統(tǒng)集成拓?fù)鋱D以及端口全貌表。

(4）網(wǎng)絡(luò)訪(fǎng)問(wèn)模擬:主要包含端口治理、策略?xún)?yōu)化和端口開(kāi)放訪(fǎng)問(wèn)模擬。策略?xún)?yōu)化主要指對(duì)于已有的開(kāi)放端口,綜合端口全貌表和防火墻策略解析結(jié)果模擬得出需開(kāi)放端口的最優(yōu)策略路徑,判斷現(xiàn)有防火墻策略是否存在冗余情況,提醒管理人員仔細(xì)排查。端口治理主要指通過(guò)結(jié)合端口全貌表和防火墻策略解析結(jié)果,分析現(xiàn)有信息系統(tǒng)端口的使用情況,對(duì)于某些已開(kāi)放但未有服務(wù)的端口進(jìn)行提醒。端口開(kāi)放訪(fǎng)問(wèn)模擬主要是指結(jié)合防火墻設(shè)備信息,通過(guò)選定源1P、目的1P、端口和防火墻,系統(tǒng)自動(dòng)生成腳本語(yǔ)句,進(jìn)行防火墻網(wǎng)絡(luò)訪(fǎng)問(wèn)模擬,分析需進(jìn)行操作的防火墻。

3結(jié)語(yǔ)

本文通過(guò)建設(shè)信息網(wǎng)絡(luò)端口管控工具,集成現(xiàn)有靜態(tài)數(shù)據(jù)采集平臺(tái),獲取信息系統(tǒng)及設(shè)備臺(tái)賬、服務(wù)器端口啟用情況,建立信息系統(tǒng)端口全貌表,結(jié)合已有的防火墻策略分析工具,在不同安全區(qū)域模擬訪(fǎng)問(wèn)應(yīng)用系統(tǒng),繪制訪(fǎng)問(wèn)路徑,將防火墻策略與系統(tǒng)端口啟用情況緊密結(jié)合,實(shí)現(xiàn)端口安全隱患早發(fā)現(xiàn)、早治理,確保端口安全風(fēng)險(xiǎn)的可控、在控、能控,夯實(shí)信息安全基礎(chǔ),提高本質(zhì)安全水平。