电力信息系统弱口令解决方法浅析

作者:未知

  【摘 要】电力企业信息系统安全是企业员工可以正常开展工作的基本保证,是维护电网信息、企业秘密不被泄露的重要保障。电力企业终端计算机弱口令的使用是信息安全的大忌,亦是导致各种信息安全违规事件发生的首要原因,因此,采用行之有效的方法杜绝弱口令违规事件的发生是提升整个电力系统信息安全水平的重要手段。
  【关键词】弱口令;北信源桌面终端系统;安全控制策略
  1 引言
  随着互联网的快速发展,信息网络的使用越来越广泛,其在电力系统的使用亦是日趋完善,如智能化变电站、电力调度监控的遥控操作、营销系统的在线数据采集等等,各类与工作相关的电力系统也在不断地上线运行,善于运用各类电力信息系统可大大提升工作效率。然而各类电力信息系统的上线与使用,也给信息系统安全带来了严峻的考验,作为电力信息系统使用的载体——个人终端计算机,便成了安全防范的重要突破点,即终端计算机操作系统的安全,作为进入计算机操作系统大门的钥匙,用户的口令就是保障操系统安全壁垒不被打破的重要武器。个人终端计算机的数量一直呈直线上升,一般地市公司的终端计算机数量均可达到四千台以上,保证接入公司内部信息网络的每一台终端计算机进入操作系统的口令(简称桌面终端口令)均为强口令是工作的重点,亦是难点,同时也是提升整个电力信息系统安全运行水平的必要手段。
  2 电力信息系统桌面终端弱口令现象分析
  2016年年初开始,国家电网公司加大了对办公计算机桌面终端账户弱口令的检查和考核力度。根据江苏省电力公司下发的考核标准,桌面终端弱口令的考核力度等同于违规外联。由于桌面终端弱口令导致他人盗取个人信息,利用他人邮箱收发非正常邮件,甚至将办公终端计算机接入外网运行导致违规外联事件的事情频有发生,作为进入操作系统的第一道关卡,计算机桌面终端弱口令必须杜绝。通过江苏省电力公司对各地市公司桌面终端弱口令的通报,我公司2016年仍存在个别桌面终端弱口令现象,该违规现象对我公司电力信息系统安全运行和电力信息安全指标均造成了不良的影响。
  桌面终端弱口令的存在对于电力信息系统安全运行有着极其负面的影响,通过对省公司通报的桌面终端弱口令账户逐条进行电话咨询与现场查询,发现存在计算机桌面终端弱口令的现象有两种情况:
  一是部分终端计算机用户为了使用方便,不设置或设置简单易记的口令,对于设置强口令可以保护个人工作隐私与企业秘密的意义不了解;
  二是部分用户的桌面终端账户口令并非弱口令,即其登录操作系统的账户口令为强口令,但"GUEST"或"Help Assistant"账户未弱口。
  通过分析弱口令终端用户的分布发现,大部分为农电公司与农电营业厅用户,由于工作人员流动性较大,想进入计算机操作系统但桌面终端账户口令不知道时,便通过启用用户GUEST账户登录,导致发生桌面终端弱口令违规事件。
  3 电力信息系统桌面终端弱口令解决方法
  3.1 大力宣传桌面终端口令的重要性
  杜绝电力信息系統桌面终端弱口令的发生,首先要了解其定义:
  强口令(strong password)是用来使个人或程序难以发现的一种口令。由于口令的目的在于保证只有授权用户才能访问资源,容易猜测的口令存在安全隐患。强口令的基本元素包括足够的长度以及多种字符类型的混合。简而言之,强口令必须包含字母、数字与特殊符号,并满足8位及以上。
  弱口令(weak password)没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令通常指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,弱口令很容易被他人猜到或破解,所以如果使用了弱口令,就像把钥匙挂在门上,是非常危险的。
  我们将电力信息系统桌面终端强口令、弱口令的定义及弱口令修改方法通过公司主页“通知公告”发布并制作飘浮窗口浮动于公司主页,时时提醒终端计算机用户注意桌面终端口令的重要性。对于每日发现的计算机桌面终端弱口令用户,及时电话通知,指导其进行修改,修改完毕后通过北信源桌面终端系统后台查看其是否已为强口令用户,并再次与用户联系,形成闭环管理,确保计算机桌面终端弱口令已更改到位。
  通过高强度的宣传与现场巡查工作,计算机桌面终端弱口令违规个数直线下降,渐显成效。
  3.2 新装计算机桌面终端口令设置方法
  对于公司内新装的终端计算机或是重装系统后的终端计算机统称为新装计算机,对于该类终端计算机,可以从源头上抓起,更好的防止电力信息系统桌面终端弱口令的发生,当终端计算机按照国家电网公司对信息操作系统安装要求安装完毕后,执行以下操作:
  设置用户口令:在“计算机管理-本地用户和组”中,右击登录该计算机操作系统用户名并设置初始强口令,等到将终端计算机送给用户时告知用户进行修改为其私有强口令;用同样方法为其他无关用户设置强口令并禁用。为了防止用户私自将口令改成弱口令,在“本地安全策略-账户策略-密码策略”中开启密码复杂性要求,设置密码长度最小值为8个字符。
  3.3 GUEST账户桌面终端弱口令的解决方法
  通过分析江苏省电力公司通报的“GUEST”等无关账户存在桌面终端弱口令现象,除了进行必要的现场排查整改,最行之有效的方法便是通过技术手段加以整改与杜绝。
  杜绝GUEST账户桌面终端弱口令的解决方法,便是建立在已进行了桌面终端注册的所有接入信息网络运行的终端计算机,其方法如下:
  第一步:发布公告将如何禁用GUEST账户和设置强口令的方法按步骤列出。
  第二步:通过北信源桌面终端标准化管理系统的策略中心,设置“更改GUEST密码并禁用”的组策略,通过桌面管理系统后台静默运行,将该软件分发给所有接入公司信息网络的终端用户。
  编辑更改GUEST密码并禁用文件,将其保存为.bat文件。
  @ECHO OFF
  cls
  net user guest gwepc345!
  net user guest /active:no
  第三步:利用桌面终端管理系统策略中心的软件分发功能,创建新的策略并将该.bat下发至所有终端用户的个人电脑上进行后台静默运行,强制将终端用户的GUEST 用户密码更改并禁用。
  第四步:该软件分发后,通过桌面终端数据查询的“普通文件分发查询”功能,可以验证该.bat文件已下发至所有用户且已经运行成功。
  软件分发并运行成功后,我们对报出用户GUEST账户用户存在弱口令的账户进行了普查,发现其GUEST账户已被禁用且不为空密码。
  利用类似于更改用户GUEST账户密码并禁用的方法,可以将用户中不常用但是也会存在安全隐患的用户Help Assistant等账户设置密码并禁用,减少直至杜绝弱口令违规事件的发生,提升电力信息系统安全运行水平。
  4 结语
  电力信息系统桌面终端弱口令的存在会给信息系统安全运行带来很大的威胁与风险,杜绝桌面终端弱口令的发生是提升电力信息系统安全运行,加快公司信息网络发展的必要条件,只有给终端计算机操作系统加上一把严密的大锁,才能有效地防止病毒入侵,防止公司企业秘密泄露,整体提升电力系信息系统的安全运行水平。
  参考文献:
  [1] 北信源桌面终端标准化管理系统简介
  [2] 国家电网江苏省电力公司员工信息安全手册
  作者简介:
  韩昕,女,1987.2,江苏省连云港市,工程师,电力信息通信运维。
  沈玉磊,男,1979.05,江苏连云港市,高级工程师,信息通信专业。
  (作者单位:国网江苏省电力有限公司连云港分公司)
转载注明来源:https://www.xzbu.com/1/view-14816323.htm

服务推荐