CN104104745A - 一种电网终端安全准入方法 - Google Patents
一种电网终端安全准入方法 Download PDFInfo
- Publication number
- CN104104745A CN104104745A CN201410332234.6A CN201410332234A CN104104745A CN 104104745 A CN104104745 A CN 104104745A CN 201410332234 A CN201410332234 A CN 201410332234A CN 104104745 A CN104104745 A CN 104104745A
- Authority
- CN
- China
- Prior art keywords
- terminal
- stage
- safety
- electric network
- situation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一种电网终端安全准入方法。其包括自定义配置安全准入策略、对内网计算机进行安全检查、判断检查结果是否通过、根据检查结果进行调整、根据内网角色控制访问权限、对内网计算机终端进行扫描等阶段。本发明提供的电网终端安全准入方法以终端验证和终端安全为基础,通过身份认证以及安全域控制等手段,从根本上保证接入网络的终端可信程度,并控制可信计算机的访问权限,为企业的终端入网安全管理提供强有效的保障,规避来自于企业内部的信息安全风险。
Description
技术领域
本发明属于智能电网信息化建设技术领域,特别是涉及一种电网终端安全准入方法。
背景技术
2011年国家电网公司全面启动了信息化SG-ERP工程建设,同时国家电网公司党组做出了加快建设“三集五大”管理体系的重要部署,继承、完善SG186工程成果,贯彻SG-ERP总体架构设计,提升信息系统集约化、扁平化、专业化水平,打造集约柔性的一体化信息平台、智能融合的业务应用、统一高效的信息化保障体系,深化信息系统应用,加快推进通信基础设施建设,进一步提升通信网光纤覆盖率和网络可靠性,全面支撑“五大”体系建设,促进公司科学发展。
随着国家电网公司SG-ERP工程不断推进以及信息化支撑“三集五大”体系不断完善提升,信息网络、数据等越来越多的安全问题均来自于企业或机构内部的终端系统。在应对目前的网络安全风险和威胁时,不仅需要自顶向下的网络安全体系设计,还需要自底向上保证计算机终端及计算机网络的安全可信,使得网络成为一个可信的计算环境。这其中包括在终端接入前对用户身份进行认证,对终端进行安全测量和评估,对终端可信状态进行审核,确保接入信息系统的终端是一个完全可信的终端。
在新的技术发展背景下,如何在不同的网络环境、应用环境以及业务环境的基础上营造信息系统的可信环境空间,是每一个信息安全从业者亟待考虑的问题。
发明内容
为了解决上述问题,本发明的目的在于提供一种电网终端安全准入方法。
为了达到上述目的,本发明提供的电网终端安全准入方法包括按顺序执行的下列步骤:
步骤一、自定义配置安全准入策略的S01阶段:针对计算机及用户的软件、windows安全设置,配置安全准入策略;自定义配置安全准入策略包含以下几方面:安装防病毒软件情况、系统资源共享情况、系统漏洞检查情况、Guest来宾帐户检查情况、远程桌面检查情况及系统启动项检查情况;
步骤二、对内网计算机进行安全检查的S02阶段:通过电网终端安全准入方式,内网计算机终端将获取DHCP地址的分配,在分配过程中对计算机终端进行相关的安全检查,确保终端符合公司安全要求;
步骤三、判断检查结果是否通过的S03阶段:根据终端安检策略对连通的电网终端进行检查,判断是否允许终端入网;如果判断结果为“是”,则进入下一步S05阶段;否则下一步进入S04阶段;
步骤四、根据检查结果进行调整的S04阶段:根据检查结果对终端进行修复工作,以便通过后续的检查实现终端入网;然后下一步重新进入S02阶段;
步骤五、根据内网角色控制访问权限的S05阶段:区分内网终端角色类型,根据内网终端角色划分终端安全访问安全域,控制终端访问权限;
步骤六、对内网计算机终端进行扫描的S06阶段:对内网计算机终端进行扫描,将信息同步到控制中心;逐级扫描终端、记录终端的IP、MAC、资产管理信息,并同步到控制中心;其中资产管理包含硬件资产管理、软件资产管理以及资产变更管理。
在S06阶段中,所述的硬件资产管理的方法是:搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘在内的所有硬件信息。
在S06阶段中,所述的软件资产管理的方法是:识别电网终端已安装的所有软件信息,检测客户端运行软件信息;收集安装在每台电网终端上的操作系统信息,包括安装的操作系统种类、版本号以及当前补丁情况。
在S06阶段中,所述的资产变更管理的方法是:实时监控电网终端的软硬件设备变化情况。
本发明提供的电网终端安全准入方法的效果:
主要用于解决不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题,对于不可信终端的定义,主要包含以下情况:企业内部存在风险漏洞的终端,例如未安装杀毒软件、未安装关键补丁;存在不安全策略配置的终端;未经身份授权的终端;外来未经访问许可的终端;越权访问的终端,电网终端安全准入方法以终端验证和终端安全为基础,通过身份认证以及安全域控制等手段,从根本上保证接入网络的终端可信程度,并控制可信计算机的访问权限,为企业的终端入网安全管理提供强有效的保障,规避来自于企业内部的信息安全风险。
附图说明
图1为本发明提供的电网终端安全准入方法流程图。
具体实施方式
下面结合附图和具体实施例对本发明提供的电网终端安全准入方法进行详细说明。
如图1所示,本发明提供的电网终端安全准入方法包括按顺序执行的下列步骤:
步骤一、自定义配置安全准入策略的S01阶段:针对计算机及用户的软件、windows安全设置,配置安全准入策略;安全检查是计算机终端入网的凭证,不安全的终端接入网络,将可能给网络带来无法估量的损失,例如病毒恶意传播,木马泛滥导致机密泄露,不安全策略配置导致对黑客入侵缺乏抵抗能力等;针对终端的自定义配置安全准入策略包含以下几方面:安装防病毒软件情况、系统资源共享情况、系统漏洞检查情况、Guest来宾帐户检查情况、远程桌面检查情况及系统启动项检查情况等;
步骤二、对内网计算机进行安全检查的S02阶段:通过电网终端安全准入方式,内网计算机终端将获取DHCP地址的分配,在分配过程中对计算机终端进行相关的安全检查,确保终端符合公司安全要求;
步骤三、判断检查结果是否通过的S03阶段:根据终端安检策略对连通的电网终端进行检查,判断是否允许终端入网;如果判断结果为“是”,则进入下一步S05阶段;否则下一步进入S04阶段;
步骤四、根据检查结果进行调整的S04阶段:根据检查结果对终端进行修复等工作,以便通过后续的检查实现终端入网;然后下一步重新进入S02阶段;
步骤五、根据内网角色控制访问权限的S05阶段:区分内网终端角色类型,根据内网终端角色划分终端安全访问安全域,控制终端访问权限,在企业、机构的内部信息系统中,经常会对不同部门或者不同用户分配不同的管理或者访问控制权限,不同的管理和访问权限统一用角色进行划分,电网终端安全准入方法针对信息系统提出了部门、用户、角色等用户层次结构,将部门、用户及角色有机结合起来,同时又将角色与安检规范、安全域进行联动,从而达到对不同部门不同用户间实现不同的访问权限和规范;
步骤六、对内网计算机终端进行扫描的S06阶段:对内网计算机终端进行扫描,将信息同步到控制中心;逐级扫描终端、记录终端的IP、MAC、资产管理等信息,并同步到控制中心;电网终端安全准入方法针对终端的资产管理包含硬件资产管理、软件资产管理以及资产变更管理:
在S06阶段中,所述的硬件资产管理的方法是:
搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘在内的所有硬件信息;
所述的软件资产管理的方法是:识别电网终端已安装的所有软件信息(名称、版本、安装时间、发现时间等),检测客户端运行软件信息;收集安装在每台电网终端上的操作系统信息,包括安装的操作系统种类、版本号以及当前补丁情况;
所述的资产变更管理方法是:实时监控电网终端的软硬件设备变化(如硬件更改、IP地址变更、USB设备接入等)等情况。
本发明提供的电网终端安全准入方法能够阻断不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题。
Claims (4)
1.一种电网终端安全准入方法,其特征在于:所述的电网终端安全准入方法包括按顺序执行的下列步骤:
步骤一、自定义配置安全准入策略的S01阶段:针对计算机及用户的软件、windows安全设置,配置安全准入策略;自定义配置安全准入策略包含以下几方面:安装防病毒软件情况、系统资源共享情况、系统漏洞检查情况、Guest来宾帐户检查情况、远程桌面检查情况及系统启动项检查情况;
步骤二、对内网计算机进行安全检查的S02阶段:通过电网终端安全准入方式,内网计算机终端将获取DHCP地址的分配,在分配过程中对计算机终端进行相关的安全检查,确保终端符合公司安全要求;
步骤三、判断检查结果是否通过的S03阶段:根据终端安检策略对连通的电网终端进行检查,判断是否允许终端入网;如果判断结果为“是”,则进入下一步S05阶段;否则下一步进入S04阶段;
步骤四、根据检查结果进行调整的S04阶段:根据检查结果对终端进行修复工作,以便通过后续的检查实现终端入网;然后下一步重新进入S02阶段;
步骤五、根据内网角色控制访问权限的S05阶段:区分内网终端角色类型,根据内网终端角色划分终端安全访问安全域,控制终端访问权限;
步骤六、对内网计算机终端进行扫描的S06阶段:对内网计算机终端进行扫描,将信息同步到控制中心;逐级扫描终端、记录终端的IP、MAC、资产管理信息,并同步到控制中心;其中资产管理包含硬件资产管理、软件资产管理以及资产变更管理。
2.根据权利要求1所述的电网终端安全准入方法,其特征在于:在S06阶段中,所述的硬件资产管理的方法是:搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘在内的所有硬件信息。
3.根据权利要求1所述的电网终端安全准入方法,其特征在于:在S06阶段中,所述的软件资产管理的方法是:识别电网终端已安装的所有软件信息,检测客户端运行软件信息;收集安装在每台电网终端上的操作系统信息,包括安装的操作系统种类、版本号以及当前补丁情况。
4.根据权利要求1所述的电网终端安全准入方法,其特征在于:在S06阶段中,所述的资产变更管理的方法是:实时监控电网终端的软硬件设备变化情况。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410332234.6A CN104104745B (zh) | 2014-07-14 | 2014-07-14 | 一种电网终端安全准入方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410332234.6A CN104104745B (zh) | 2014-07-14 | 2014-07-14 | 一种电网终端安全准入方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104104745A true CN104104745A (zh) | 2014-10-15 |
| CN104104745B CN104104745B (zh) | 2017-10-13 |
Family
ID=51672543
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410332234.6A Active CN104104745B (zh) | 2014-07-14 | 2014-07-14 | 一种电网终端安全准入方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104104745B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105404811A (zh) * | 2015-10-26 | 2016-03-16 | 北京华能新锐控制技术有限公司 | 电力控制系统间的控制方法、装置及系统 |
| CN107026772A (zh) * | 2017-04-28 | 2017-08-08 | 北京北信源软件股份有限公司 | 一种面向网络准入控制系统的测试系统、测试床和测试方法 |
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
| CN112511618A (zh) * | 2020-11-25 | 2021-03-16 | 全球能源互联网研究院有限公司 | 边缘物联代理防护方法及电力物联网动态安全可信系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102083068A (zh) * | 2010-12-27 | 2011-06-01 | 中国电信股份有限公司 | 数据预处理及交换服务模块、信息共享方法和系统 |
| EP2566204A1 (en) * | 2010-04-27 | 2013-03-06 | China Mobile Communications Corporation | Authentication method and device, authentication centre and system |
| CN103295164A (zh) * | 2013-05-31 | 2013-09-11 | 云南电网公司 | 电网安全监察管理信息系统及其管理方法 |
| CN103491093A (zh) * | 2013-09-25 | 2014-01-01 | 国网重庆市电力公司 | 一种智能电网用户访问授权方法 |
-
2014
- 2014-07-14 CN CN201410332234.6A patent/CN104104745B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2566204A1 (en) * | 2010-04-27 | 2013-03-06 | China Mobile Communications Corporation | Authentication method and device, authentication centre and system |
| CN102083068A (zh) * | 2010-12-27 | 2011-06-01 | 中国电信股份有限公司 | 数据预处理及交换服务模块、信息共享方法和系统 |
| CN103295164A (zh) * | 2013-05-31 | 2013-09-11 | 云南电网公司 | 电网安全监察管理信息系统及其管理方法 |
| CN103491093A (zh) * | 2013-09-25 | 2014-01-01 | 国网重庆市电力公司 | 一种智能电网用户访问授权方法 |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105404811A (zh) * | 2015-10-26 | 2016-03-16 | 北京华能新锐控制技术有限公司 | 电力控制系统间的控制方法、装置及系统 |
| CN105404811B (zh) * | 2015-10-26 | 2019-03-08 | 北京华能新锐控制技术有限公司 | 电力控制系统间的控制方法、装置及系统 |
| CN107026772A (zh) * | 2017-04-28 | 2017-08-08 | 北京北信源软件股份有限公司 | 一种面向网络准入控制系统的测试系统、测试床和测试方法 |
| CN107026772B (zh) * | 2017-04-28 | 2020-06-16 | 北京北信源软件股份有限公司 | 一种面向网络准入控制系统的测试系统、测试床和测试方法 |
| CN110493195A (zh) * | 2019-07-23 | 2019-11-22 | 上海文化广播影视集团有限公司 | 一种网络准入控制方法及系统 |
| CN112511618A (zh) * | 2020-11-25 | 2021-03-16 | 全球能源互联网研究院有限公司 | 边缘物联代理防护方法及电力物联网动态安全可信系统 |
| CN112511618B (zh) * | 2020-11-25 | 2023-03-24 | 全球能源互联网研究院有限公司 | 边缘物联代理防护方法及电力物联网动态安全可信系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104104745B (zh) | 2017-10-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11197160B2 (en) | System and method for rogue access point detection | |
| US11812261B2 (en) | System and method for providing a secure VLAN within a wireless network | |
| US11463882B2 (en) | Endpoint-controlled rogue AP avoidance + rogue AP detection using synchronized security | |
| US20130081129A1 (en) | Outbound Connection Detection and Blocking at a Client Computer | |
| US9473481B2 (en) | Method and system for providing a virtual asset perimeter | |
| Ogie | Bring your own device: an overview of risk assessment | |
| US11765590B2 (en) | System and method for rogue device detection | |
| CN104104745A (zh) | 一种电网终端安全准入方法 | |
| Saleem et al. | Certification procedures for data and communications security of distributed energy resources | |
| Sabella et al. | MEC security: Status of standards support and future evolutions | |
| US20200274760A1 (en) | Access point registration in a network | |
| TWI556129B (zh) | 管理伺服器與方法,及客戶端裝置與其監控方法 | |
| US11805418B2 (en) | System and method for location-based endpoint security | |
| KR101265474B1 (ko) | 모바일 가상화 서비스를 위한 보안 서비스 제공 방법 | |
| Vidhani et al. | Security Challenges in 5G Network: A technical features survey and analysis | |
| US20230319112A1 (en) | Admission control in a containerized computing environment | |
| Raja et al. | Threat Modeling and IoT Attack Surfaces | |
| Kang et al. | A study on the needs for enhancement of personal information protection in cloud computing security certification system | |
| Annuar et al. | Enhancement and implementation of network access control architecture for virtualization environments | |
| Al Ladan | A review and a classifications of mobile cloud computing security issues | |
| Holden | The vital role of device manufacturers as cybercitizens | |
| US20190306168A1 (en) | Protecting critical data and application execution from brute force attacks | |
| KR102534016B1 (ko) | 지원사업 연계 보안 서비스 제공 방법 및 그 장치 | |
| US11962621B2 (en) | Applying network access control configurations with a network switch based on device health | |
| US11784973B2 (en) | Edge-based enterprise network security appliance and system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |