安全資訊

  【摘 要】電力企業(yè)信息系統安全是企業(yè)員工可以正常開(kāi)展工作的基本保證，是維護電網(wǎng)信息、企業(yè)秘密不被泄露的重要保障。電力企業(yè)終端計算機弱口令的使用是信息安全的大忌，亦是導致各種信息安全違規事件發(fā)生的首要原因，因此，采用行之有效的方法杜絕弱口令違規事件的發(fā)生是提升整個(gè)電力系統信息安全水平的重要手段。
  【關(guān)鍵詞】弱口令；桌面終端系統；安全控制策略
  1 引言
  隨著(zhù)互聯(lián)網(wǎng)的快速發(fā)展，信息網(wǎng)絡(luò )的使用越來(lái)越廣泛，其在電力系統的使用亦是日趨完善，如智能化變電站、電力調度監控的遙控操作、營(yíng)銷(xiāo)系統的在線(xiàn)數據采集等等，各類(lèi)與工作相關(guān)的電力系統也在不斷地上線(xiàn)運行，善于運用各類(lèi)電力信息系統可大大提升工作效率。然而各類(lèi)電力信息系統的上線(xiàn)與使用，也給信息系統安全帶來(lái)了嚴峻的考驗，作為電力信息系統使用的載體——個(gè)人終端計算機，便成了安全防范的重要突破點(diǎn)，即終端計算機操作系統的安全，作為進(jìn)入計算機操作系統大門(mén)的鑰匙，用戶(hù)的口令就是保障操系統安全壁壘不被打破的重要武器。個(gè)人終端計算機的數量一直呈直線(xiàn)上升，一般地市公司的終端計算機數量均可達到四千臺以上，保證接入公司內部信息網(wǎng)絡(luò )的每一臺終端計算機進(jìn)入操作系統的口令（簡(jiǎn)稱(chēng)桌面終端口令）均為強口令是工作的重點(diǎn)，亦是難點(diǎn)，同時(shí)也是提升整個(gè)電力信息系統安全運行水平的必要手段。
  2 電力信息系統桌面終端弱口令現象分析
  2016年年初開(kāi)始，國家電網(wǎng)公司加大了對辦公計算機桌面終端賬戶(hù)弱口令的檢查和考核力度。根據江蘇省電力公司下發(fā)的考核標準，桌面終端弱口令的考核力度等同于違規外聯(lián)。由于桌面終端弱口令導致他人盜取個(gè)人信息，利用他人郵箱收發(fā)非正常郵件，甚至將辦公終端計算機接入外網(wǎng)運行導致違規外聯(lián)事件的事情頻有發(fā)生，作為進(jìn)入操作系統的第一道關(guān)卡，計算機桌面終端弱口令必須杜絕。通過(guò)江蘇省電力公司對各地市公司桌面終端弱口令的通報，我公司2016年仍存在個(gè)別桌面終端弱口令現象，該違規現象對我公司電力信息系統安全運行和電力信息安全指標均造成了不良的影響。
  桌面終端弱口令的存在對于電力信息系統安全運行有著(zhù)極其負面的影響，通過(guò)對省公司通報的桌面終端弱口令賬戶(hù)逐條進(jìn)行電話(huà)咨詢(xún)與現場(chǎng)查詢(xún)，發(fā)現存在計算機桌面終端弱口令的現象有兩種情況：
  一是部分終端計算機用戶(hù)為了使用方便，不設置或設置簡(jiǎn)單易記的口令，對于設置強口令可以保護個(gè)人工作隱私與企業(yè)秘密的意義不了解；
  二是部分用戶(hù)的桌面終端賬戶(hù)口令并非弱口令，即其登錄操作系統的賬戶(hù)口令為強口令，但"GUEST"或"Help Assistant"賬戶(hù)未弱口。
  通過(guò)分析弱口令終端用戶(hù)的分布發(fā)現，大部分為農電公司與農電營(yíng)業(yè)廳用戶(hù)，由于工作人員流動(dòng)性較大，想進(jìn)入計算機操作系統但桌面終端賬戶(hù)口令不知道時(shí)，便通過(guò)啟用用戶(hù)GUEST賬戶(hù)登錄，導致發(fā)生桌面終端弱口令違規事件。
  3 電力信息系統桌面終端弱口令解決方法
  3.1 大力宣傳桌面終端口令的重要性
  杜絕電力信息系統桌面終端弱口令的發(fā)生，首先要了解其定義：
  強口令（strong password）是用來(lái)使個(gè)人或程序難以發(fā)現的一種口令。由于口令的目的在于保證只有授權用戶(hù)才能訪(fǎng)問(wèn)資源，容易猜測的口令存在安全隱患。強口令的基本元素包括足夠的長(cháng)度以及多種字符類(lèi)型的混合。簡(jiǎn)而言之，強口令必須包含字母、數字與特殊符號，并滿(mǎn)足8位及以上。
  弱口令（weak password）沒(méi)有嚴格和準確的定義，通常認為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。弱口令通常指的是僅包含簡(jiǎn)單數字和字母的口令，例如“123”、“abc”等，因為這樣的口令很容易被別人破解，從而使用戶(hù)的計算機面臨風(fēng)險，弱口令很容易被他人猜到或破解，所以如果使用了弱口令，就像把鑰匙掛在門(mén)上，是非常危險的。
  我們將電力信息系統桌面終端強口令、弱口令的定義及弱口令修改方法通過(guò)公司主頁(yè)“通知公告”發(fā)布并制作飄浮窗口浮動(dòng)于公司主頁(yè)，時(shí)時(shí)提醒終端計算機用戶(hù)注意桌面終端口令的重要性。對于每日發(fā)現的計算機桌面終端弱口令用戶(hù)，及時(shí)電話(huà)通知，指導其進(jìn)行修改，修改完畢后通過(guò)北信源桌面終端系統后臺查看其是否已為強口令用戶(hù)，并再次與用戶(hù)聯(lián)系，形成閉環(huán)管理，確保計算機桌面終端弱口令已更改到位。
  通過(guò)高強度的宣傳與現場(chǎng)巡查工作，計算機桌面終端弱口令違規個(gè)數直線(xiàn)下降，漸顯成效。
  3.2 新裝計算機桌面終端口令設置方法
  對于公司內新裝的終端計算機或是重裝系統后的終端計算機統稱(chēng)為新裝計算機，對于該類(lèi)終端計算機，可以從源頭上抓起，更好的防止電力信息系統桌面終端弱口令的發(fā)生，當終端計算機按照國家電網(wǎng)公司對信息操作系統安裝要求安裝完畢后，執行以下操作：
  設置用戶(hù)口令：在“計算機管理-本地用戶(hù)和組”中，右擊登錄該計算機操作系統用戶(hù)名并設置初始強口令，等到將終端計算機送給用戶(hù)時(shí)告知用戶(hù)進(jìn)行修改為其私有強口令；用同樣方法為其他無(wú)關(guān)用戶(hù)設置強口令并禁用。為了防止用戶(hù)私自將口令改成弱口令，在“本地安全策略-賬戶(hù)策略-密碼策略”中開(kāi)啟密碼復雜性要求，設置密碼長(cháng)度最小值為8個(gè)字符。
  3.3 GUEST賬戶(hù)桌面終端弱口令的解決方法
  通過(guò)分析江蘇省電力公司通報的“GUEST”等無(wú)關(guān)賬戶(hù)存在桌面終端弱口令現象，除了進(jìn)行必要的現場(chǎng)排查整改，最行之有效的方法便是通過(guò)技術(shù)手段加以整改與杜絕。
  杜絕GUEST賬戶(hù)桌面終端弱口令的解決方法，便是建立在已進(jìn)行了桌面終端注冊的所有接入信息網(wǎng)絡(luò )運行的終端計算機，其方法如下：
  第一步：發(fā)布公告將如何禁用GUEST賬戶(hù)和設置強口令的方法按步驟列出。
  第二步：通過(guò)北信源桌面終端標準化管理系統的策略中心，設置“更改GUEST密碼并禁用”的組策略，通過(guò)桌面管理系統后臺靜默運行，將該軟件分發(fā)給所有接入公司信息網(wǎng)絡(luò )的終端用戶(hù)。
  編輯更改GUEST密碼并禁用文件，將其保存為.bat文件。
  @ECHO OFF
  cls
  net user guest gwepc345！
  net user guest /active：no
  第三步：利用桌面終端管理系統策略中心的軟件分發(fā)功能，創(chuàng )建新的策略并將該.bat下發(fā)至所有終端用戶(hù)的個(gè)人電腦上進(jìn)行后臺靜默運行，強制將終端用戶(hù)的GUEST 用戶(hù)密碼更改并禁用。
  第四步：該軟件分發(fā)后，通過(guò)桌面終端數據查詢(xún)的“普通文件分發(fā)查詢(xún)”功能，可以驗證該.bat文件已下發(fā)至所有用戶(hù)且已經(jīng)運行成功。
  軟件分發(fā)并運行成功后，我們對報出用戶(hù)GUEST賬戶(hù)用戶(hù)存在弱口令的賬戶(hù)進(jìn)行了普查，發(fā)現其GUEST賬戶(hù)已被禁用且不為空密碼。
  利用類(lèi)似于更改用戶(hù)GUEST賬戶(hù)密碼并禁用的方法，可以將用戶(hù)中不常用但是也會(huì )存在安全隱患的用戶(hù)Help Assistant等賬戶(hù)設置密碼并禁用，減少直至杜絕弱口令違規事件的發(fā)生，提升電力信息系統安全運行水平。
  4 結語(yǔ)
  電力信息系統桌面終端弱口令的存在會(huì )給信息系統安全運行帶來(lái)很大的威脅與風(fēng)險，杜絕桌面終端弱口令的發(fā)生是提升電力信息系統安全運行，加快公司信息網(wǎng)絡(luò )發(fā)展的必要條件，只有給終端計算機操作系統加上一把嚴密的大鎖，才能有效地防止病毒入侵，防止公司企業(yè)秘密泄露，整體提升電力系信息系統的安全運行水平。
  參考文獻：
  [1] 桌面終端標準化管理系統簡(jiǎn)介
  [2] 國家電網(wǎng)江蘇省電力公司員工信息安全手冊
  作者簡(jiǎn)介：
  韓昕，女，1987.2，江蘇省連云港市，工程師，電力信息通信運維。
  沈玉磊，男，1979.05，江蘇連云港市，高級工程師，信息通信專(zhuān)業(yè)。
  （作者單位：國網(wǎng)江蘇省電力有限公司連云港分公司）