科学简化信息中心日常安全运维工作之实践
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
科学简化信息中心日常安全运维工作之实践摘要:本文结合太平湾发电厂信息中心简化日常安维工作的实践,对如何在确保网络安全的基础上,以各类安全功能与安全运维向单一的网关设备集中为原则,提高企业局域网日常安维工作效率,进行了初步探讨,并总结了安全运维工作简化后取得的实际效果。
关键词:信息中心;安全维护;工作实践
中图分类号:tp335 文献标识码:a 文章编号:1007-9599 (2012)18-0000-02
1 太平湾发电厂网络概况
我厂企业网络覆盖了丹东综合办公及生活基地(丹东综合办公楼、泰鑫办公楼、多经办公楼、谊江佳园和新世纪花园两个生活区等)、太平湾电站(副厂房、水调楼、综合楼、基地管理处办公楼及生活区其它办公场所)、长甸电站(厂房、通讯楼、综合楼等)的“两站三地”,网络核心及汇聚设备集中在丹东综合办公楼、太站副厂房、长站通讯楼等三个网络机房内,联网信息点总数约1500个,是东北电网公司系统中网络覆盖面积最大、联网用户最多、网络结构最复杂的局域网,也是业务应用系统最多、实用化程度最高、日常维护工作量最大的单位。
2 信息中心日常安维工作现状
我厂在2001年就已建成了自己的信息中心负责信息工作,近几年,随着计算机网络应用的日益广泛,厂信息系统不断充实、完善,
信息中心工作量日益增加,但信息中心负责日常安全运维的工作人员却相对较少。据我粗略统计,全厂仅日常计算机维护工作每天就不少于20台·次,如果再发生一些新病毒爆发、电源不稳定、应用软件升级、硬件换代、上级检查等临时事件,那么整个信息中心的技术人员都要连续多日甚至数周加班加点逐个终端进行调整。而且,由于我厂信息化工作进程的持续推进,无纸化办公的最终实现,厂信息系统的重要性得到了更大提高,已经从企业运行管理的辅助性手段变为核心手段。同时,各类黑客手段迅猛发展、新的网络病毒不断出现,对信息系统的攻击变得更加隐蔽,攻击工具的学习应用变得更加简单,新的攻击技术的应用变得更加迅速,攻击危害变得更加复杂。信息中心的工作量、工作强度与日俱增,技术人员疲于应付日常安维,很难有时间进行网络架构、应用系统优化改造的研究与规划。
现实环境督促信息中心进一步提高工作效率。为此,我经过深入的调查研究,与厂有关领导、产品供应商和信息中心同事共同对简化日常安维工作进行了初步实践。
3 对简化信息中心日常安维工作的分析与实践
3.1 信息中心日常安维工作内容与工作量分析
3.1.1 服务器安全维护,工作量比较小;
3.1.2 网络设备安全维护,工作量比较大;
3.1.3 终端安全维护,这方面工作量极大,占信息中心日常工作量80%以上。
通过以上分析,可以看到信息中心绝大多数的工作时间都消耗在了终端维护上,如果我们能通过适当的技术和设备手段,将尽量多的终端维护工作集中在网关节点上,那么网络终端的安全维护工作量就必然大大降低,信息中心的日常工作内容就能得到极大简化,工作效率就会进一步提高。
3.2 对简化信息中心日常安维工作的实践
根据以上分析结果,信息中心以大幅度提升工作效率为目标,以各类安全功能与安全运维向单一网关设备集中为原则,对简化日常安维工作进行了积极实践,其中主要包括:
3.2.1 强制要求安装终端管理软件
终端管理软件的安装在以下五方面简化了安维工作:
一是其他安全软件的部署简化。一些需要在一定范围内安装的软件,原来需要一台台计算机去部署,现在可通过终端管理软件直接推送并安装。
二是及时进行补丁升级,降低病毒事件发生频率。原来由于员工个人电脑知识参差不齐,使操作系统补丁无法及时升级,频繁引发病毒事件,现统一进行补丁推送,可大幅度减少此类事件。
三是远程维护减少了去现场时间。很多计算机问题都是非常简单的,大量时间都消耗在去现场的路上。通过远程维护,节约了去现场的时间,而且终端管理软件提供了丰富的统计与报表功能,有利于及时发现共性问题,提前制定解决方案。
四是带宽控制限制网络滥用。当一台电脑中病毒或进行p2p下
载时,会严重占用全网资源,安装终端管理软件前,我们采用通过对程序特征识别来阻断的方式解决这一问题,实现起来既复杂准确率又低,并且容易造成员工反感。安装软件后,通过带宽限制,很好的预先解决了这个问题。
五是安全基线应用。通过评估,我们预先制定了各部门的安全基线规则,不满足安全基线的计算机将被内网管理代理程序断开,有效避免了高危主机的问题向全网泛滥。
3.2.2.通过准入控制杜绝部署漏洞
网络与终端的双重限制简化了安维工作,但是推广中又发现了一些不足,如:部分员工计算机出现问题时,自己重装系统,经常不安装终端管理软件客户端;个别员工认为终端管理软件破坏了自己的正常使用习惯和隐私,不愿安装或私自卸载管理软件;外来人员临时将自己未安装终端管理软件的便携电脑连入我厂网络。目前,这些问题我们已经可以通过交换机终端准入来解决。
一是网络准入。对于没有安装终端管理客户端的机器,通过交换机的硬件端口的起、宕,进行控制。通过802.1x协议和eou协议,可以有效的在交换机上进行控制,使没有安装终端管理客户端的机器被禁止连入网络。
二是应用准入。网络准入对于既不支持802.1x协议又不支持eou 协议的交换机无法起到有效的作用,这时可通过对应用的访问限制进行准入控制。即:在运行应用和访问应用的必经之路上部署准入组件,使未安装客户端的计算机在访问这些应用时,会被准入组件
检查到并阻断。
三是客户端准入。一台未安装客户端的机器,如不能连接到任何应用服务器,那么他就只能访问网内的其他计算机了,这时,如果其他计算机安装了内网管理客户端,那么也会阻断没安装客户端的计算机的访问。
通过以上方法,可以确保未安装客户端的计算机无法在网内行动,其不安全的因素也就不会影响网络其他部分。
3.2.3 大规模部署的简化
一套有效的手段,会在更广的范围进行部署,另一方面,如果有大范围计算机更新的时候,也需要重新部署,这时部署客户端软件对人员消耗极大,因此就需要从全网的角度对内网管理软进行改进:在准入组件上增加客户端自动下载安装功能,这样没有安装客户端的员工在使用时都会得到提示:“需要安装客户端”,只要点击“同意”,即可自动下载安装,不需技术人员安装。
此部分的难点在于:此功能暂时只能在提供web服务的应用系统上实现,而且对于一般员工,开机后并不是一定要使用某个内部应用,这样,最佳的方式是将升级的准入组件与客户端程序部署在网关设备上,而对于网关厂商来说,更改硬件系统成本巨大,今后我们将继续与合作厂商沟通、协商,早日进行硬件改造,满足以上要求。
4 简化信息中心日常安维工作的影响
应用新的安全技术与流程,简化日常安维工作,极大的提高了