一種電網(wǎng)終端安全準(zhǔn)入方法
【專利摘要】一種電網(wǎng)終端安全準(zhǔn)入方法。其包括自定義配置安全準(zhǔn)入策略、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行安全檢查、判斷檢查結(jié)果是否通過、根據(jù)檢查結(jié)果進(jìn)行調(diào)整、根據(jù)內(nèi)網(wǎng)角色控制訪問權(quán)限、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描等階段。本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法以終端驗(yàn)證和終端安全為基礎(chǔ)，通過身份認(rèn)證以及安全域控制等手段，從根本上保證接入網(wǎng)絡(luò)的終端可信程度，并控制可信計(jì)算機(jī)的訪問權(quán)限，為企業(yè)的終端入網(wǎng)安全管理提供強(qiáng)有效的保障，規(guī)避來自于企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)。
【專利說明】一種電網(wǎng)終端安全準(zhǔn)入方法

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于智能電網(wǎng)信息化建設(shè)【技術(shù)領(lǐng)域】，特別是涉及一種電網(wǎng)終端安全準(zhǔn)入方 法。

【背景技術(shù)】
[0002] 2011年國(guó)家電網(wǎng)公司全面啟動(dòng)了信息化SG-ERP工程建設(shè)，同時(shí)國(guó)家電網(wǎng)公司 黨組做出了加快建設(shè)"三集五大"管理體系的重要部署，繼承、完善SG186工程成果，貫徹 SG-ERP總體架構(gòu)設(shè)計(jì)，提升信息系統(tǒng)集約化、扁平化、專業(yè)化水平，打造集約柔性的一體化 信息平臺(tái)、智能融合的業(yè)務(wù)應(yīng)用、統(tǒng)一高效的信息化保障體系，深化信息系統(tǒng)應(yīng)用，加快推 進(jìn)通信基礎(chǔ)設(shè)施建設(shè)，進(jìn)一步提升通信網(wǎng)光纖覆蓋率和網(wǎng)絡(luò)可靠性，全面支撐"五大"體系 建設(shè)，促進(jìn)公司科學(xué)發(fā)展。
[0003] 隨著國(guó)家電網(wǎng)公司SG-ERP工程不斷推進(jìn)以及信息化支撐"三集五大"體系不斷完 善提升，信息網(wǎng)絡(luò)、數(shù)據(jù)等越來越多的安全問題均來自于企業(yè)或機(jī)構(gòu)內(nèi)部的終端系統(tǒng)。在應(yīng) 對(duì)目前的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅時(shí)，不僅需要自頂向下的網(wǎng)絡(luò)安全體系設(shè)計(jì)，還需要自底向 上保證計(jì)算機(jī)終端及計(jì)算機(jī)網(wǎng)絡(luò)的安全可信，使得網(wǎng)絡(luò)成為一個(gè)可信的計(jì)算環(huán)境。這其中 包括在終端接入前對(duì)用戶身份進(jìn)行認(rèn)證，對(duì)終端進(jìn)行安全測(cè)量和評(píng)估，對(duì)終端可信狀態(tài)進(jìn) 行審核，確保接入信息系統(tǒng)的終端是一個(gè)完全可信的終端。
[0004] 在新的技術(shù)發(fā)展背景下，如何在不同的網(wǎng)絡(luò)環(huán)境、應(yīng)用環(huán)境以及業(yè)務(wù)環(huán)境的基礎(chǔ) 上營(yíng)造信息系統(tǒng)的可信環(huán)境空間，是每一個(gè)信息安全從業(yè)者亟待考慮的問題。


【發(fā)明內(nèi)容】

[0005] 為了解決上述問題，本發(fā)明的目的在于提供一種電網(wǎng)終端安全準(zhǔn)入方法。
[0006] 為了達(dá)到上述目的，本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法包括按順序執(zhí)行的下列 步驟：
[0007] 步驟一、自定義配置安全準(zhǔn)入策略的S01階段：針對(duì)計(jì)算機(jī)及用戶的軟件、 windows安全設(shè)置，配置安全準(zhǔn)入策略；自定義配置安全準(zhǔn)入策略包含以下幾方面：安裝防 病毒軟件情況、系統(tǒng)資源共享情況、系統(tǒng)漏洞檢查情況、Guest來賓帳戶檢查情況、遠(yuǎn)程桌面 檢查情況及系統(tǒng)啟動(dòng)項(xiàng)檢查情況；
[0008] 步驟二、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行安全檢查的S02階段：通過電網(wǎng)終端安全準(zhǔn)入方式，內(nèi) 網(wǎng)計(jì)算機(jī)終端將獲取DHCP地址的分配，在分配過程中對(duì)計(jì)算機(jī)終端進(jìn)行相關(guān)的安全檢查， 確保終端符合公司安全要求；
[0009] 步驟三、判斷檢查結(jié)果是否通過的S03階段：根據(jù)終端安檢策略對(duì)連通的電網(wǎng)終 端進(jìn)行檢查，判斷是否允許終端入網(wǎng)；如果判斷結(jié)果為"是"，則進(jìn)入下一步S05階段；否則 下一步進(jìn)入S04階段；
[0010] 步驟四、根據(jù)檢查結(jié)果進(jìn)行調(diào)整的S04階段：根據(jù)檢查結(jié)果對(duì)終端進(jìn)行修復(fù)工作， 以便通過后續(xù)的檢查實(shí)現(xiàn)終端入網(wǎng)；然后下一步重新進(jìn)入S02階段；
[0011] 步驟五、根據(jù)內(nèi)網(wǎng)角色控制訪問權(quán)限的S05階段：區(qū)分內(nèi)網(wǎng)終端角色類型，根據(jù)內(nèi) 網(wǎng)終端角色劃分終端安全訪問安全域，控制終端訪問權(quán)限；
[0012] 步驟六、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描的S06階段：對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描，將 信息同步到控制中心；逐級(jí)掃描終端、記錄終端的IP、MAC、資產(chǎn)管理信息，并同步到控制中 心；其中資產(chǎn)管理包含硬件資產(chǎn)管理、軟件資產(chǎn)管理以及資產(chǎn)變更管理。
[0013] 在S06階段中，所述的硬件資產(chǎn)管理的方法是：搜集包括CPU、內(nèi)存、硬盤分區(qū)總 和、設(shè)備標(biāo)識(shí)的大小、主板、光驅(qū)、軟驅(qū)、顯卡、鍵盤、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤在內(nèi)的所 有硬件信息。
[0014] 在S06階段中，所述的軟件資產(chǎn)管理的方法是：識(shí)別電網(wǎng)終端已安裝的所有軟件 信息，檢測(cè)客戶端運(yùn)行軟件信息；收集安裝在每臺(tái)電網(wǎng)終端上的操作系統(tǒng)信息，包括安裝的 操作系統(tǒng)種類、版本號(hào)以及當(dāng)前補(bǔ)丁情況。
[0015] 在S06階段中，所述的資產(chǎn)變更管理的方法是：實(shí)時(shí)監(jiān)控電網(wǎng)終端的軟硬件設(shè)備 變化情況。
[0016] 本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法的效果：
[0017] 主要用于解決不可信終端的隨意接入可能帶來的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、 病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問等諸多安全問題，對(duì)于不可信終端的定義，主要 包含以下情況：企業(yè)內(nèi)部存在風(fēng)險(xiǎn)漏洞的終端，例如未安裝殺毒軟件、未安裝關(guān)鍵補(bǔ)丁；存 在不安全策略配置的終端；未經(jīng)身份授權(quán)的終端；外來未經(jīng)訪問許可的終端；越權(quán)訪問的 終端，電網(wǎng)終端安全準(zhǔn)入方法以終端驗(yàn)證和終端安全為基礎(chǔ)，通過身份認(rèn)證以及安全域控 制等手段，從根本上保證接入網(wǎng)絡(luò)的終端可信程度，并控制可信計(jì)算機(jī)的訪問權(quán)限，為企業(yè) 的終端入網(wǎng)安全管理提供強(qiáng)有效的保障，規(guī)避來自于企業(yè)內(nèi)部的信息安全風(fēng)險(xiǎn)。

【專利附圖】

【附圖說明】
[0018] 圖1為本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法流程圖。

【具體實(shí)施方式】
[0019] 下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法進(jìn)行詳細(xì)說 明。
[0020] 如圖1所示，本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法包括按順序執(zhí)行的下列步驟：
[0021] 步驟一、自定義配置安全準(zhǔn)入策略的S01階段：針對(duì)計(jì)算機(jī)及用戶的軟件、 windows安全設(shè)置，配置安全準(zhǔn)入策略；安全檢查是計(jì)算機(jī)終端入網(wǎng)的憑證，不安全的終端 接入網(wǎng)絡(luò)，將可能給網(wǎng)絡(luò)帶來無法估量的損失，例如病毒惡意傳播，木馬泛濫導(dǎo)致機(jī)密泄 露，不安全策略配置導(dǎo)致對(duì)黑客入侵缺乏抵抗能力等；針對(duì)終端的自定義配置安全準(zhǔn)入策 略包含以下幾方面：安裝防病毒軟件情況、系統(tǒng)資源共享情況、系統(tǒng)漏洞檢查情況、Guest 來賓帳戶檢查情況、遠(yuǎn)程桌面檢查情況及系統(tǒng)啟動(dòng)項(xiàng)檢查情況等；
[0022] 步驟二、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行安全檢查的S02階段：通過電網(wǎng)終端安全準(zhǔn)入方式，內(nèi) 網(wǎng)計(jì)算機(jī)終端將獲取DHCP地址的分配，在分配過程中對(duì)計(jì)算機(jī)終端進(jìn)行相關(guān)的安全檢查， 確保終端符合公司安全要求；
[0023] 步驟三、判斷檢查結(jié)果是否通過的S03階段：根據(jù)終端安檢策略對(duì)連通的電網(wǎng)終 端進(jìn)行檢查，判斷是否允許終端入網(wǎng)；如果判斷結(jié)果為"是"，則進(jìn)入下一步S05階段；否則 下一步進(jìn)入S04階段；
[0024] 步驟四、根據(jù)檢查結(jié)果進(jìn)行調(diào)整的S04階段：根據(jù)檢查結(jié)果對(duì)終端進(jìn)行修復(fù)等工 作，以便通過后續(xù)的檢查實(shí)現(xiàn)終端入網(wǎng)；然后下一步重新進(jìn)入S02階段；
[0025] 步驟五、根據(jù)內(nèi)網(wǎng)角色控制訪問權(quán)限的S05階段：區(qū)分內(nèi)網(wǎng)終端角色類型，根據(jù) 內(nèi)網(wǎng)終端角色劃分終端安全訪問安全域，控制終端訪問權(quán)限，在企業(yè)、機(jī)構(gòu)的內(nèi)部信息系統(tǒng) 中，經(jīng)常會(huì)對(duì)不同部門或者不同用戶分配不同的管理或者訪問控制權(quán)限，不同的管理和訪 問權(quán)限統(tǒng)一用角色進(jìn)行劃分，電網(wǎng)終端安全準(zhǔn)入方法針對(duì)信息系統(tǒng)提出了部門、用戶、角色 等用戶層次結(jié)構(gòu)，將部門、用戶及角色有機(jī)結(jié)合起來，同時(shí)又將角色與安檢規(guī)范、安全域進(jìn) 行聯(lián)動(dòng)，從而達(dá)到對(duì)不同部門不同用戶間實(shí)現(xiàn)不同的訪問權(quán)限和規(guī)范；
[0026] 步驟六、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描的S06階段：對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描，將 信息同步到控制中心；逐級(jí)掃描終端、記錄終端的IP、MAC、資產(chǎn)管理等信息，并同步到控制 中心；電網(wǎng)終端安全準(zhǔn)入方法針對(duì)終端的資產(chǎn)管理包含硬件資產(chǎn)管理、軟件資產(chǎn)管理以及 資產(chǎn)變更管理：
[0027] 在S06階段中，所述的硬件資產(chǎn)管理的方法是：
[0028] 搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標(biāo)識(shí)的大小、主板、光驅(qū)、軟驅(qū)、顯卡、鍵 盤、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤在內(nèi)的所有硬件信息；
[0029] 所述的軟件資產(chǎn)管理的方法是：識(shí)別電網(wǎng)終端已安裝的所有軟件信息（名稱、版 本、安裝時(shí)間、發(fā)現(xiàn)時(shí)間等），檢測(cè)客戶端運(yùn)行軟件信息；收集安裝在每臺(tái)電網(wǎng)終端上的操 作系統(tǒng)信息，包括安裝的操作系統(tǒng)種類、版本號(hào)以及當(dāng)前補(bǔ)丁情況；
[0030] 所述的資產(chǎn)變更管理方法是：實(shí)時(shí)監(jiān)控電網(wǎng)終端的軟硬件設(shè)備變化（如硬件更 改、IP地址變更、USB設(shè)備接入等）等情況。
[0031] 本發(fā)明提供的電網(wǎng)終端安全準(zhǔn)入方法能夠阻斷不可信終端的隨意接入可能帶來 的企業(yè)網(wǎng)絡(luò)及信息資源違規(guī)占用、病毒木馬泛濫、企業(yè)資料泄密以及越權(quán)訪問等諸多安全 問題。
【權(quán)利要求】
1. 一種電網(wǎng)終端安全準(zhǔn)入方法，其特征在于：所述的電網(wǎng)終端安全準(zhǔn)入方法包括按順 序執(zhí)行的下列步驟： 步驟一、自定義配置安全準(zhǔn)入策略的SOI階段：針對(duì)計(jì)算機(jī)及用戶的軟件、windows安 全設(shè)置，配置安全準(zhǔn)入策略；自定義配置安全準(zhǔn)入策略包含以下幾方面：安裝防病毒軟件 情況、系統(tǒng)資源共享情況、系統(tǒng)漏洞檢查情況、Guest來賓帳戶檢查情況、遠(yuǎn)程桌面檢查情況 及系統(tǒng)啟動(dòng)項(xiàng)檢查情況； 步驟二、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行安全檢查的S02階段：通過電網(wǎng)終端安全準(zhǔn)入方式，內(nèi)網(wǎng)計(jì) 算機(jī)終端將獲取DHCP地址的分配，在分配過程中對(duì)計(jì)算機(jī)終端進(jìn)行相關(guān)的安全檢查，確保 終端符合公司安全要求； 步驟三、判斷檢查結(jié)果是否通過的S03階段：根據(jù)終端安檢策略對(duì)連通的電網(wǎng)終端進(jìn) 行檢查，判斷是否允許終端入網(wǎng)；如果判斷結(jié)果為"是"，則進(jìn)入下一步S05階段；否則下一 步進(jìn)入S04階段； 步驟四、根據(jù)檢查結(jié)果進(jìn)行調(diào)整的S04階段：根據(jù)檢查結(jié)果對(duì)終端進(jìn)行修復(fù)工作，以便 通過后續(xù)的檢查實(shí)現(xiàn)終端入網(wǎng)；然后下一步重新進(jìn)入S02階段； 步驟五、根據(jù)內(nèi)網(wǎng)角色控制訪問權(quán)限的S05階段：區(qū)分內(nèi)網(wǎng)終端角色類型，根據(jù)內(nèi)網(wǎng)終 端角色劃分終端安全訪問安全域，控制終端訪問權(quán)限； 步驟六、對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描的S06階段：對(duì)內(nèi)網(wǎng)計(jì)算機(jī)終端進(jìn)行掃描，將信息 同步到控制中心；逐級(jí)掃描終端、記錄終端的IP、MAC、資產(chǎn)管理信息，并同步到控制中心； 其中資產(chǎn)管理包含硬件資產(chǎn)管理、軟件資產(chǎn)管理以及資產(chǎn)變更管理。
2. 根據(jù)權(quán)利要求1所述的電網(wǎng)終端安全準(zhǔn)入方法，其特征在于：在S06階段中，所述的 硬件資產(chǎn)管理的方法是：搜集包括CPU、內(nèi)存、硬盤分區(qū)總和、設(shè)備標(biāo)識(shí)的大小、主板、光驅(qū)、 軟驅(qū)、顯卡、鍵盤、鼠標(biāo)、監(jiān)視器、紅外設(shè)備、鍵盤在內(nèi)的所有硬件信息。
3. 根據(jù)權(quán)利要求1所述的電網(wǎng)終端安全準(zhǔn)入方法，其特征在于：在S06階段中，所述的 軟件資產(chǎn)管理的方法是：識(shí)別電網(wǎng)終端已安裝的所有軟件信息，檢測(cè)客戶端運(yùn)行軟件信息； 收集安裝在每臺(tái)電網(wǎng)終端上的操作系統(tǒng)信息，包括安裝的操作系統(tǒng)種類、版本號(hào)以及當(dāng)前 補(bǔ)丁情況。
4. 根據(jù)權(quán)利要求1所述的電網(wǎng)終端安全準(zhǔn)入方法，其特征在于：在S06階段中，所述的 資產(chǎn)變更管理的方法是：實(shí)時(shí)監(jiān)控電網(wǎng)終端的軟硬件設(shè)備變化情況。
【文檔編號(hào)】H04L29/12GK104104745SQ201410332234
【公開日】2014年10月15日 申請(qǐng)日期:2014年7月14日 優(yōu)先權(quán)日:2014年7月14日
【發(fā)明者】何金, 王揚(yáng), 郭曉燕, 董陽(yáng), 李妍 申請(qǐng)人:國(guó)家電網(wǎng)公司, 國(guó)網(wǎng)天津市電力公司