[发明专利]一种电网终端安全准入方法

说明书

技术领域

本发明属于智能电网信息化建设技术领域，特别是涉及一种电网终端安全准入方法。

背景技术

2011年国家电网公司全面启动了信息化SG-ERP工程建设，同时国家电网公司党组做出了加快建设“三集五大”管理体系的重要部署，继承、完善SG186工程成果，贯彻SG-ERP总体架构设计，提升信息系统集约化、扁平化、专业化水平，打造集约柔性的一体化信息平台、智能融合的业务应用、统一高效的信息化保障体系，深化信息系统应用，加快推进通信基础设施建设，进一步提升通信网光纤覆盖率和网络可靠性，全面支撑“五大”体系建设，促进公司科学发展。

随着国家电网公司SG-ERP工程不断推进以及信息化支撑“三集五大”体系不断完善提升，信息网络、数据等越来越多的安全问题均来自于企业或机构内部的终端系统。在应对目前的网络安全风险和威胁时，不仅需要自顶向下的网络安全体系设计，还需要自底向上保证计算机终端及计算机网络的安全可信，使得网络成为一个可信的计算环境。这其中包括在终端接入前对用户身份进行认证，对终端进行安全测量和评估，对终端可信状态进行审核，确保接入信息系统的终端是一个完全可信的终端。

在新的技术发展背景下，如何在不同的网络环境、应用环境以及业务环境的基础上营造信息系统的可信环境空间，是每一个信息安全从业者亟待考虑的问题。

发明内容

为了解决上述问题，本发明的目的在于提供一种电网终端安全准入方法。

为了达到上述目的，本发明提供的电网终端安全准入方法包括按顺序执行的下列步骤：

步骤一、自定义配置安全准入策略的S01阶段：针对计算机及用户的软件、windows安全设置，配置安全准入策略；自定义配置安全准入策略包含以下几方面：安装防病毒软件情况、系统资源共享情况、系统漏洞检查情况、Guest来宾帐户检查情况、远程桌面检查情况及系统启动项检查情况；

步骤二、对内网计算机进行安全检查的S02阶段：通过电网终端安全准入方式，内网计算机终端将获取DHCP地址的分配，在分配过程中对计算机终端进行相关的安全检查，确保终端符合公司安全要求；

步骤三、判断检查结果是否通过的S03阶段：根据终端安检策略对连通的电网终端进行检查，判断是否允许终端入网；如果判断结果为“是”，则进入下一步S05阶段；否则下一步进入S04阶段；

步骤四、根据检查结果进行调整的S04阶段：根据检查结果对终端进行修复工作，以便通过后续的检查实现终端入网；然后下一步重新进入S02阶段；

步骤五、根据内网角色控制访问权限的S05阶段：区分内网终端角色类型，根据内网终端角色划分终端安全访问安全域，控制终端访问权限；

步骤六、对内网计算机终端进行扫描的S06阶段：对内网计算机终端进行扫描，将信息同步到控制中心；逐级扫描终端、记录终端的IP、MAC、资产管理信息，并同步到控制中心；其中资产管理包含硬件资产管理、软件资产管理以及资产变更管理。

在S06阶段中，所述的硬件资产管理的方法是：搜集包括CPU、内存、硬盘分区总和、设备标识的大小、主板、光驱、软驱、显卡、键盘、鼠标、监视器、红外设备、键盘在内的所有硬件信息。

在S06阶段中，所述的软件资产管理的方法是：识别电网终端已安装的所有软件信息，检测客户端运行软件信息；收集安装在每台电网终端上的操作系统信息，包括安装的操作系统种类、版本号以及当前补丁情况。

在S06阶段中，所述的资产变更管理的方法是：实时监控电网终端的软硬件设备变化情况。

本发明提供的电网终端安全准入方法的效果：

主要用于解决不可信终端的随意接入可能带来的企业网络及信息资源违规占用、病毒木马泛滥、企业资料泄密以及越权访问等诸多安全问题，对于不可信终端的定义，主要包含以下情况：企业内部存在风险漏洞的终端，例如未安装杀毒软件、未安装关键补丁；存在不安全策略配置的终端；未经身份授权的终端；外来未经访问许可的终端；越权访问的终端，电网终端安全准入方法以终端验证和终端安全为基础，通过身份认证以及安全域控制等手段，从根本上保证接入网络的终端可信程度，并控制可信计算机的访问权限，为企业的终端入网安全管理提供强有效的保障，规避来自于企业内部的信息安全风险。

附图说明

图1为本发明提供的电网终端安全准入方法流程图。

具体实施方式

下面结合附图和具体实施例对本发明提供的电网终端安全准入方法进行详细说明。