降低信息安全準入系統(tǒng)告警率-QC成果

第6頁第5頁降低信息安全準入系統(tǒng)告警率一、選擇課題(一)選題背景近年來國家對網(wǎng)絡(luò)安全重視程度愈加提高，公司也將網(wǎng)絡(luò)信息安全列為與電網(wǎng)安全、設(shè)備安全、人身安全并列的四大安全之一，保障網(wǎng)絡(luò)信息安全至關(guān)重要。(二)名詞解釋信息安全準入系統(tǒng)：信息安全準入系統(tǒng)是公司信息安全管控系統(tǒng)，按照公司要求，內(nèi)網(wǎng)計算機、打印機、交換機、攝像頭等均需要接入準入系統(tǒng)，安全準入系統(tǒng)可對接入設(shè)備的安全策略，安全合規(guī)性，安全風(fēng)險等指標進行監(jiān)控和告警。信息安全準入系統(tǒng)告警率：安全準系統(tǒng)告警終端數(shù)/接入終端總數(shù)*100%。(三)上級要求公司要求：信息安全準入系統(tǒng)告警率不高于5%。(四)小組現(xiàn)狀小組現(xiàn)狀：2021年9月-2021年12月信息安全準入系統(tǒng)告警率平均為10%（如圖1-1所示），遠高于公司要求。因此，小組將課題選定為“降低信息安全準入系統(tǒng)告警率”。表1-12021年9月-2021年12月信息安全準入系統(tǒng)告警率時間終端總數(shù)（個）告警數(shù)（個）告警率2021年9月75607409.8%2021年10月756084611.2%2021年11月75606658.8%2021年12月756077110.2%(五)選定課題小組將課題選定為“降低信息安全準入系統(tǒng)告警率”。二、設(shè)定目標：按照公司要求，我們確定此次活動的目標為：信息安全準入系統(tǒng)告警率由10%降低為5%。目標圖如圖2-1所示。圖2-1QC活動目標柱狀圖三、目標可行性論證：查找癥結(jié)：為了分析引起告警的具體設(shè)備類型，小組成員對2021年9月-12月準入系統(tǒng)告警的設(shè)備類型進行統(tǒng)計（見表3-1，圖3-1）。在3024個總告警中，計算機終端告警數(shù)量為2012個，占比為66.53%，占比最高。表3-1引起告警的設(shè)備類型占比統(tǒng)計表引起告警的設(shè)備類型告警次數(shù)百分比（%）累計百分比（%）計算機終端告警201266.5366.53打印機告警50016.5383.06交換機告警2568.4991.55防火墻告警1003.3094.85攝像頭告警913.0197.86其他告警652.14100根據(jù)統(tǒng)計表，繪制排列圖如圖3-1所示。3-1引起告警的設(shè)備類型占比排列圖小組成員對2021年9月-2021年12月，計算機終端告警進一步分析（見表3-2，圖3-2），在2012個計算機終端告警中，計算機終端病毒告警數(shù)為1601個，占到所有告警79.57%，遠高于其他告警，“計算機終端病毒告警高”為“信息安全準入系統(tǒng)告警率高”的主要癥結(jié)。表3-2計算機終端告警類型占比統(tǒng)計表計算機終端告警類型告警次數(shù)百分比（%）累計百分比（%）計算機終端病毒160179.5779.57計算機終端安全策略不合規(guī)23011.4391計算機終端軟件不合規(guī)告警984.8795.87其他834.13100根據(jù)表3-2繪制餅分圖，如圖3-2所示。圖3-2計算機終端告警類型占比餅分圖（二）目標值確定依據(jù)參考公司制度《信息通信專業(yè)通用制度手冊》、《網(wǎng)絡(luò)安全管理方法》規(guī)定，要求信息安全準入系統(tǒng)告警率不大于5%。小組查詢《計算機防病毒措施》、《網(wǎng)絡(luò)安全分析》等多篇文獻，均通過對終端病毒查殺，有效減少終端感染病毒數(shù)量，從而有效減少告警率。據(jù)調(diào)查，2020年9-12月，xx公司信息安全準入系統(tǒng)告警率分別為4.8%及4.2%，達到目標值有跡可循。小組在2021年3月及2021年6月，信息安全準入系統(tǒng)告警率分別為4.6%和4.7%。通過分析，小組成員認為能解決主要癥結(jié)問題的71%，終端告警率=4500(1+1*90%*71%)/4500=95%。目標即可實現(xiàn)。四、原因分析：確定活動目標后，小組成員采用頭腦風(fēng)暴法，針對信息安全準入系統(tǒng)告警率主要癥結(jié)：由“計算機病毒”引起的告警率高進行討論和分析，制作系統(tǒng)圖。4-1原因分析系統(tǒng)圖

由關(guān)聯(lián)圖，確定7條末端因素，如表4-1所示。表4-1末端因素匯總表序號末端因素1存在終端漏洞2存在高危端口3計算機終端防火墻未開啟4缺少病毒安全警示標簽5IP地址MAC地址未綁定6桌面終端管理系統(tǒng)非最新版本7安裝盜版軟件五、確定主要原因小組成員收集了全部末端因素，并制定了要因確認表，針對末端因素，逐一進行確認，如表5-1所示。表5-1要因確認計劃表序號末端原因確認內(nèi)容確認方法負責(zé)人完成時間1存在終端漏洞進行漏洞掃描，修復(fù)漏洞，對比主要癥結(jié)的影響程度調(diào)查分析xxxx2存在高危端口檢查高危端口禁用情況，判斷高危端口對主要癥結(jié)的影響程度調(diào)查分析xxxx3計算機終端防火墻未開啟檢查終端計算機防火墻開啟情況，判斷計算機防火墻對主要癥結(jié)的影響程度現(xiàn)場驗證xxxx4缺少病毒安全警示標簽檢查公司計算機終端安全警示標簽張貼情況，判斷安全警示標簽對主要癥結(jié)的影響程度現(xiàn)場驗證xxxx5IP地址MAC地址未綁定檢查計算機終端IP地址MAC地址綁定情況，判斷其對主要癥結(jié)影響程度調(diào)查分析xxxx6桌面終端管理系統(tǒng)非最新版本檢查桌面終端管理系統(tǒng)升級情況，判斷其對主要癥結(jié)影響程度現(xiàn)場驗證xxxx7安裝盜版軟件檢查終端安裝盜版軟件情況，判斷其對主要癥結(jié)影響程度現(xiàn)場驗證xxxx確認一：存在終端漏洞確認人xx確認時間xx確認方法調(diào)查分析確認過程：xx公司計算機終端漏洞存在情況，對掃描出來的漏洞進行修復(fù)，對比升級前后計算機病毒感染率。表5-1漏洞掃描統(tǒng)計表序號部門名稱總終端數(shù)存在漏洞終端數(shù)存在漏洞終端占比處理方法1xx374338.8%進行漏洞修復(fù)2xx2652710.1%進行漏洞修復(fù)3xx450429.3%進行漏洞修復(fù)表5-2漏洞修復(fù)前后計算機病毒感染率統(tǒng)計表序號部門名稱漏洞修復(fù)前病毒感染率（%）漏洞修復(fù)后病毒感染率（%）1xx6.52.12xx7.21.53xx7.71.84平均值7.11.8從表中可以看出修復(fù)漏洞后，三個部門的病毒感染率平均值由7.1%下降至1.8%，效果顯著，漏洞未及時修復(fù)對癥結(jié)影響程度較大。確認結(jié)果：要因

確認二：存在高危端口確認人xx確認時間xx確認方法調(diào)查分析確認過程：公司計算機終端高危端口情況，對存在137、139、445等高危端口進行禁用，對比禁用前后計算機病毒感染率，檢查末端因素對主要癥結(jié)的影響程度。表5-3高危端口未關(guān)閉情況統(tǒng)計表序號部門名稱存在高危端口終端數(shù)處理方法1xx101關(guān)閉高危端口2xx52關(guān)閉高危端口3xx42關(guān)閉高危端口表5-4高危端口關(guān)閉前后計算機病毒感染率統(tǒng)計表序號部門名稱高危端口關(guān)閉前病毒感染率（%）高危端口關(guān)閉后病毒感染率（%）1xx10.21.32xx11.11.43xx14.31.24平均值11.81.3從表中可以看出殺毒軟件升級后，三個部門的病毒感染率平均值由11.8%下降至1.3%，效果顯著，高危端口關(guān)閉前后對癥結(jié)影響程度較大。確認結(jié)果：要因

確認三：計算機終端防火墻未開啟確認人xx確認時間xx確認方法現(xiàn)場驗證確認過程：小檢查公司計算機終端防火墻情況，對未開啟防火墻的計算機終端打開本地防火墻，對比是否開啟本地防火墻的病毒感染率，檢查末端因素對主要癥結(jié)的影響程度。表5-6計算機終端防火墻開啟情況統(tǒng)計表序號部門名稱計算機終端防火墻未開啟數(shù)量處理方法1xx25開啟本地防火墻2xx73開啟本地防火墻3xx18開啟本地防火墻表5-7計算機終端防火墻開啟前后計算機病毒感染率統(tǒng)計表序號部門名稱計算機終端防火墻未開啟病毒感染率（%）計算機終端防火墻未開啟后病毒感染率（%）1xx9.88.82xx8.99.53xx9.29.64平均值9.39.3從表中可以看出，計算機終端防火墻是否開啟對病毒感染率影響不大。確認結(jié)果：非要因

確認四：缺少病毒安全警示標簽確認人xx確認時間xx確認方法調(diào)查分析確認過程：檢查計算機終端病毒安全警示標簽張貼情況，對比有安全警示標簽和沒有安全警示標簽的病毒感染率，檢查末端因素對主要癥結(jié)的影響程度。表5-5有無安全警示標簽病毒感染率統(tǒng)計表序號部門名稱殺毒軟件升級前病毒感染率（%）殺毒軟件升級后病毒感染率（%）1xx9.89.72xx11.111.23xx8.59.24平均值9.810從表中可以看出是否張貼安全警示標簽對病毒感染率影響不大。確認結(jié)果：非要因

確認五：IP地址MAC地址未綁定確認人xx確認時間xx確認方法調(diào)查分析確認過程：小組檢查計算機終端IP地址與MAC地址綁定情況，對未進行綁定的計算機終端在交換機上進行綁定，對比ip地址mac地址是否綁定計算機終端病毒感染情況，檢查末端因素對主要癥結(jié)的影響程度。表5-6計算機終端綁定情況統(tǒng)計表序號部門名稱IP地址MAC地址未綁定數(shù)量處理方法1xx20手動綁定IP地址MAC地址2xx18手動綁定IP地址MAC地址3xx14手動綁定IP地址MAC地址表5-7計算機終端IPMAC綁定前后計算機病毒感染率統(tǒng)計表序號部門名稱IP地址MAC地址綁定前病毒感染率（%）IP地址MAC地址綁定后病毒感染率（%）1xx9.78.92xx8.89.13xx9.59.24平均值9.39.1從表中可以看出，計算機終端IPMAC地址是否綁定對病毒感染率影響不大。確認結(jié)果：非要因

確認六：桌面終端管理系統(tǒng)非最新版本確認人xx確認時間xx確認方法調(diào)查分析確認過程：小組檢查桌面終端系統(tǒng)版本，對比已升級和未升級的終端病毒感染率，檢查末端因素對主要癥結(jié)的影響程度。表5-8桌面終端升級前后計算機病毒感染率統(tǒng)計表序號部門名稱桌面終端管理系統(tǒng)升級前病毒感染率（%）桌面終端管理系統(tǒng)升級后病毒感染率（%）1xx9.28.92xx8.89.13xx9.69.34平均值9.29.1從表中可以看出，桌面終端管理系統(tǒng)是否升級對病毒感染率影響不大。確認結(jié)果：非要因

確認七：安裝盜版軟件確認人xx確認時間xx確認方法調(diào)查分析確認過程：小組檢查計算機終端安裝盜版軟件情況，刪除盜版軟件，對比刪除前后計算機終端告警率，檢查末端因素對主要癥結(jié)的影響程度。表5-9盜版軟件刪除前后計算機病毒感染率統(tǒng)計表序號部門名稱刪除盜版軟件前病毒感染率（%）刪除盜版軟件后病毒感染率（%）1xx9.68.82xx8.99.23xx9.79.34平均值9.49.1從表中可以看出，是否安裝盜版軟件對病毒感染率影響不大。確認結(jié)果：非要因結(jié)論：通過以上確認，小組最終確認了問題處理時間長的主要因素：1.存在終端漏洞2.存在高危端口六、制定對策：針對要因，小組成員經(jīng)過研究討論，根據(jù)“5W1H”原則制定對策表，并根據(jù)對策表進行實施。制定對策計劃表，如表6-1所示。表6-1要因?qū)Σ哂媱澅硇蛱栆驅(qū)Σ吣繕舜胧┴撠?zé)人完成時間工作地點1存在終端漏洞研發(fā)漏洞自動挖掘機器人及時發(fā)現(xiàn)并修復(fù)漏洞及時挖掘并修復(fù)終端漏洞制定方案研制專用的網(wǎng)絡(luò)漏洞自動挖掘管控平臺，智能漏洞檢測機制，開展區(qū)域能源網(wǎng)絡(luò)信息安全實時監(jiān)測，實施24小時不間斷漏洞挖掘。對挖掘出的漏洞進行自動修復(fù)李晨露2022年6月辦公室2存在高危端口通過自動流程機器人在交換機進行端口禁用禁用所有高危端口利用RPA自動流程機器人開發(fā)一鍵關(guān)閉交換機高危端口流程在交換機上關(guān)閉高危端口李靜芳2022年6月辦公室七、實施對策：（一）實施一：研制漏洞自動挖掘機器人進行自動漏洞挖掘及修復(fù)1.制定漏洞挖掘及修復(fù)方案，摒棄傳統(tǒng)的漏洞掃描方式，研制安全漏洞自動挖掘機器人。2.針對過去對未知漏洞只能進行人工挖掘的方式，采用了人工經(jīng)驗庫與計算機AI模擬自動滲透相結(jié)合的技術(shù)，實現(xiàn)漏洞自動識別。技術(shù)實現(xiàn)：安全漏洞自動挖掘機器人系統(tǒng)啟動后，可通過瀏覽器登錄，通過Web圖形界面可快速獲取漏洞挖掘結(jié)果，有效減輕使用人員的工作量，提高工作效率。系統(tǒng)前端界面展示的具體信息主要包括被檢測程序基本信息、漏洞數(shù)量、漏洞詳情等數(shù)據(jù)。如圖7-1所示：圖7-1自動漏洞挖掘系統(tǒng)登錄界面（1）主動全面掃描當(dāng)前公司信息網(wǎng)上雖已部署漏洞掃描工具軟件，但只已知漏洞安全掃描。漏洞自動挖掘機器人打次局限性，可以模擬人工挖掘漏洞的方式進行漏洞主動挖掘。系統(tǒng)不僅依賴網(wǎng)絡(luò)掃描，還支持多種其他方式自動發(fā)現(xiàn)新資產(chǎn)，通過脆弱性掃描，判斷出終端設(shè)備的端口是否處于開放狀態(tài)，將開放端口的終端設(shè)備標記為危險狀態(tài)。如圖7-2至7-5所示。圖7-2主動掃描圖7-3系統(tǒng)創(chuàng)建掃描列表圖7-4全面掃描終端設(shè)備圖7-5資產(chǎn)中心頁面（2）漏洞檢測構(gòu)建全新的電力終端專有漏洞庫和漏洞智能驗證腳本庫。在傳統(tǒng)漏洞庫基礎(chǔ)上，采用通用庫與專用庫互補機制，采用通過模糊測試與符號執(zhí)行相結(jié)合的漏洞挖掘技術(shù)，使用JESS專家智能系統(tǒng)，涵奠定漏洞資源智能化管理基礎(chǔ)，使分析更加精準，可高效、精準挖掘電力系統(tǒng)區(qū)域能源網(wǎng)絡(luò)中終端、協(xié)議潛藏的漏洞信息。如圖7-6、7-7所示：圖7-6電力終端專用漏洞庫圖7-7漏洞檢測頁面（3）建立漏洞經(jīng)驗庫管理針對過去只能使用已知的通用漏洞數(shù)據(jù)庫的情況，新增電力終端專用漏洞庫和驗證機制，彌補了公開漏洞數(shù)據(jù)庫的不足，為運維人員提供漏洞的修補方案，大大提高運維人員的工作效率。其效果如圖7-8所示。圖7-8漏洞庫管理頁面3.對挖掘出的漏洞進行自動修復(fù)。（二）實施二：關(guān)閉高危端口。1.梳理高危端口，并列出：135、137、139、445、3389。如圖7-9所示：序號高危端口113521373139444553389圖7-9高危端口列表利用“RPA-自動流程機器人”，研制“一鍵關(guān)閉交換機高危端口”流程，通過“RPA-自動流程機器人”對交換機進行操作，通過訪問控制命令，禁止高危端口。如圖7-10所示：圖7-10研制“一鍵關(guān)閉交換機高危端口”流程3.進行端口掃描，對高危端口封禁情況進行檢查。實施效果：實施后，小組成員通過端口掃描進行檢查，高危端口均已被禁用。八、效果檢查（一）目標值檢查：小組成員對2022年5月-8月信息安全準入系統(tǒng)終端告警率進行統(tǒng)計（見表8-1），對策實施后，信息安全準入告警率由10%降低至4.2%（見圖8-1），活動目標達成。表8-12022年5月-2022年8月信息安全準入系統(tǒng)告警率時間終端總數(shù)（個）告警數(shù)（個）告警率2022年5月75603024.0%2022年6月75603254.3%2022年7月75603194.2%2022年8月75603224.3%平均值75603174.2%圖8-1信息安全準入系統(tǒng)告警率活動對比柱狀圖由表8-1、圖8-1可見：對策實施后，信息客服服務(wù)滿意度達到了96%，比目標值提高了1%，圓滿完成了活動目標。（二）主要癥結(jié)解決程度為檢驗主要癥結(jié)的解決程度，小組成員對引起告警的設(shè)備類型占比進行統(tǒng)計分析（見表8-2）。在1268個告警中，計算機終端告警數(shù)量為280個，占比為22.1%，已經(jīng)不是引起中斷準入系統(tǒng)的主要原因，主要癥結(jié)得到了解決。表8-1引起告警的設(shè)備類型占比統(tǒng)計表引起告警的設(shè)備類型告警次數(shù)百分比（%）累計百分比（%）打印機告警63450.088.52計算機終端告警28022.166.53交換機告警26620.196.99其他告警886.9100（三）實施效果：1.對策實施后，信息安全準入系統(tǒng)告警率明顯降低，提高了信息安全防護水平。2.對策實施研制的漏洞自動挖掘機器人的使用大大節(jié)省了設(shè)備運行成本及人工運維成本，提高了管理效率及安全性，對電網(wǎng)的生產(chǎn)經(jīng)營提供了更加可靠的保障，值得全行業(yè)的全面推廣。一年內(nèi)共計挖掘漏洞（隱患）27類，共計1327處，對涉及的374個終端設(shè)備進行了漏洞的查補與升級，縮短漏洞查詢時間1000小時，填補局域網(wǎng)隱患漏洞查詢的空白，安全防護效果得到了省市公司多個專業(yè)部門的認可，并且具有極高的推廣價值。目前該成果正在申請實用新型專利。3.增強了小組成員現(xiàn)場分析、研究、解決問題的能力與信心，為今后的工作打下了堅實的基礎(chǔ)。九、制定鞏固措施（一）成果鞏固1.為了對活動成果進行鞏固，小組成員將制定的工作標準及流程正式納入公司管理制度，如表9-1所示。表9-1有效措施標準化實施序號有效措施標準化批準部門1規(guī)范漏洞挖掘及修復(fù)管理工作納入《漏洞管理指導(dǎo)書》信通公司2規(guī)范終端安全防護工作納入《內(nèi)網(wǎng)