降低信息安全准入系统告警率-QC成果

第6页第5页降低信息安全准入系统告警率一、选择课题(一)选题背景近年来国家对网络安全重视程度愈加提高，公司也将网络信息安全列为与电网安全、设备安全、人身安全并列的四大安全之一，保障网络信息安全至关重要。(二)名词解释信息安全准入系统：信息安全准入系统是公司信息安全管控系统，按照公司要求，内网计算机、打印机、交换机、摄像头等均需要接入准入系统，安全准入系统可对接入设备的安全策略，安全合规性，安全风险等指标进行监控和告警。信息安全准入系统告警率：安全准系统告警终端数/接入终端总数*100%。(三)上级要求公司要求：信息安全准入系统告警率不高于5%。(四)小组现状小组现状：2021年9月-2021年12月信息安全准入系统告警率平均为10%（如图1-1所示），远高于公司要求。因此，小组将课题选定为“降低信息安全准入系统告警率”。表1-12021年9月-2021年12月信息安全准入系统告警率时间终端总数（个）告警数（个）告警率2021年9月75607409.8%2021年10月756084611.2%2021年11月75606658.8%2021年12月756077110.2%(五)选定课题小组将课题选定为“降低信息安全准入系统告警率”。二、设定目标：按照公司要求，我们确定此次活动的目标为：信息安全准入系统告警率由10%降低为5%。目标图如图2-1所示。图2-1QC活动目标柱状图三、目标可行性论证：查找症结：为了分析引起告警的具体设备类型，小组成员对2021年9月-12月准入系统告警的设备类型进行统计（见表3-1，图3-1）。在3024个总告警中，计算机终端告警数量为2012个，占比为66.53%，占比最高。表3-1引起告警的设备类型占比统计表引起告警的设备类型告警次数百分比（%）累计百分比（%）计算机终端告警201266.5366.53打印机告警50016.5383.06交换机告警2568.4991.55防火墙告警1003.3094.85摄像头告警913.0197.86其他告警652.14100根据统计表，绘制排列图如图3-1所示。3-1引起告警的设备类型占比排列图小组成员对2021年9月-2021年12月，计算机终端告警进一步分析（见表3-2，图3-2），在2012个计算机终端告警中，计算机终端病毒告警数为1601个，占到所有告警79.57%，远高于其他告警，“计算机终端病毒告警高”为“信息安全准入系统告警率高”的主要症结。表3-2计算机终端告警类型占比统计表计算机终端告警类型告警次数百分比（%）累计百分比（%）计算机终端病毒160179.5779.57计算机终端安全策略不合规23011.4391计算机终端软件不合规告警984.8795.87其他834.13100根据表3-2绘制饼分图，如图3-2所示。图3-2计算机终端告警类型占比饼分图（二）目标值确定依据参考公司制度《信息通信专业通用制度手册》、《网络安全管理方法》规定，要求信息安全准入系统告警率不大于5%。小组查询《计算机防病毒措施》、《网络安全分析》等多篇文献，均通过对终端病毒查杀，有效减少终端感染病毒数量，从而有效减少告警率。据调查，2020年9-12月，xx公司信息安全准入系统告警率分别为4.8%及4.2%，达到目标值有迹可循。小组在2021年3月及2021年6月，信息安全准入系统告警率分别为4.6%和4.7%。通过分析，小组成员认为能解决主要症结问题的71%，终端告警率=4500(1+1*90%*71%)/4500=95%。目标即可实现。四、原因分析：确定活动目标后，小组成员采用头脑风暴法，针对信息安全准入系统告警率主要症结：由“计算机病毒”引起的告警率高进行讨论和分析，制作系统图。4-1原因分析系统图

由关联图，确定7条末端因素，如表4-1所示。表4-1末端因素汇总表序号末端因素1存在终端漏洞2存在高危端口3计算机终端防火墙未开启4缺少病毒安全警示标签5IP地址MAC地址未绑定6桌面终端管理系统非最新版本7安装盗版软件五、确定主要原因小组成员收集了全部末端因素，并制定了要因确认表，针对末端因素，逐一进行确认，如表5-1所示。表5-1要因确认计划表序号末端原因确认内容确认方法负责人完成时间1存在终端漏洞进行漏洞扫描，修复漏洞，对比主要症结的影响程度调查分析xxxx2存在高危端口检查高危端口禁用情况，判断高危端口对主要症结的影响程度调查分析xxxx3计算机终端防火墙未开启检查终端计算机防火墙开启情况，判断计算机防火墙对主要症结的影响程度现场验证xxxx4缺少病毒安全警示标签检查公司计算机终端安全警示标签张贴情况，判断安全警示标签对主要症结的影响程度现场验证xxxx5IP地址MAC地址未绑定检查计算机终端IP地址MAC地址绑定情况，判断其对主要症结影响程度调查分析xxxx6桌面终端管理系统非最新版本检查桌面终端管理系统升级情况，判断其对主要症结影响程度现场验证xxxx7安装盗版软件检查终端安装盗版软件情况，判断其对主要症结影响程度现场验证xxxx确认一：存在终端漏洞确认人xx确认时间xx确认方法调查分析确认过程：xx公司计算机终端漏洞存在情况，对扫描出来的漏洞进行修复，对比升级前后计算机病毒感染率。表5-1漏洞扫描统计表序号部门名称总终端数存在漏洞终端数存在漏洞终端占比处理方法1xx374338.8%进行漏洞修复2xx2652710.1%进行漏洞修复3xx450429.3%进行漏洞修复表5-2漏洞修复前后计算机病毒感染率统计表序号部门名称漏洞修复前病毒感染率（%）漏洞修复后病毒感染率（%）1xx6.52.12xx7.21.53xx7.71.84平均值7.11.8从表中可以看出修复漏洞后，三个部门的病毒感染率平均值由7.1%下降至1.8%，效果显著，漏洞未及时修复对症结影响程度较大。确认结果：要因

确认二：存在高危端口确认人xx确认时间xx确认方法调查分析确认过程：公司计算机终端高危端口情况，对存在137、139、445等高危端口进行禁用，对比禁用前后计算机病毒感染率，检查末端因素对主要症结的影响程度。表5-3高危端口未关闭情况统计表序号部门名称存在高危端口终端数处理方法1xx101关闭高危端口2xx52关闭高危端口3xx42关闭高危端口表5-4高危端口关闭前后计算机病毒感染率统计表序号部门名称高危端口关闭前病毒感染率（%）高危端口关闭后病毒感染率（%）1xx10.21.32xx11.11.43xx14.31.24平均值11.81.3从表中可以看出杀毒软件升级后，三个部门的病毒感染率平均值由11.8%下降至1.3%，效果显著，高危端口关闭前后对症结影响程度较大。确认结果：要因

确认三：计算机终端防火墙未开启确认人xx确认时间xx确认方法现场验证确认过程：小检查公司计算机终端防火墙情况，对未开启防火墙的计算机终端打开本地防火墙，对比是否开启本地防火墙的病毒感染率，检查末端因素对主要症结的影响程度。表5-6计算机终端防火墙开启情况统计表序号部门名称计算机终端防火墙未开启数量处理方法1xx25开启本地防火墙2xx73开启本地防火墙3xx18开启本地防火墙表5-7计算机终端防火墙开启前后计算机病毒感染率统计表序号部门名称计算机终端防火墙未开启病毒感染率（%）计算机终端防火墙未开启后病毒感染率（%）1xx9.88.82xx8.99.53xx9.29.64平均值9.39.3从表中可以看出，计算机终端防火墙是否开启对病毒感染率影响不大。确认结果：非要因

确认四：缺少病毒安全警示标签确认人xx确认时间xx确认方法调查分析确认过程：检查计算机终端病毒安全警示标签张贴情况，对比有安全警示标签和没有安全警示标签的病毒感染率，检查末端因素对主要症结的影响程度。表5-5有无安全警示标签病毒感染率统计表序号部门名称杀毒软件升级前病毒感染率（%）杀毒软件升级后病毒感染率（%）1xx9.89.72xx11.111.23xx8.59.24平均值9.810从表中可以看出是否张贴安全警示标签对病毒感染率影响不大。确认结果：非要因

确认五：IP地址MAC地址未绑定确认人xx确认时间xx确认方法调查分析确认过程：小组检查计算机终端IP地址与MAC地址绑定情况，对未进行绑定的计算机终端在交换机上进行绑定，对比ip地址mac地址是否绑定计算机终端病毒感染情况，检查末端因素对主要症结的影响程度。表5-6计算机终端绑定情况统计表序号部门名称IP地址MAC地址未绑定数量处理方法1xx20手动绑定IP地址MAC地址2xx18手动绑定IP地址MAC地址3xx14手动绑定IP地址MAC地址表5-7计算机终端IPMAC绑定前后计算机病毒感染率统计表序号部门名称IP地址MAC地址绑定前病毒感染率（%）IP地址MAC地址绑定后病毒感染率（%）1xx9.78.92xx8.89.13xx9.59.24平均值9.39.1从表中可以看出，计算机终端IPMAC地址是否绑定对病毒感染率影响不大。确认结果：非要因

确认六：桌面终端管理系统非最新版本确认人xx确认时间xx确认方法调查分析确认过程：小组检查桌面终端系统版本，对比已升级和未升级的终端病毒感染率，检查末端因素对主要症结的影响程度。表5-8桌面终端升级前后计算机病毒感染率统计表序号部门名称桌面终端管理系统升级前病毒感染率（%）桌面终端管理系统升级后病毒感染率（%）1xx9.28.92xx8.89.13xx9.69.34平均值9.29.1从表中可以看出，桌面终端管理系统是否升级对病毒感染率影响不大。确认结果：非要因

确认七：安装盗版软件确认人xx确认时间xx确认方法调查分析确认过程：小组检查计算机终端安装盗版软件情况，删除盗版软件，对比删除前后计算机终端告警率，检查末端因素对主要症结的影响程度。表5-9盗版软件删除前后计算机病毒感染率统计表序号部门名称删除盗版软件前病毒感染率（%）删除盗版软件后病毒感染率（%）1xx9.68.82xx8.99.23xx9.79.34平均值9.49.1从表中可以看出，是否安装盗版软件对病毒感染率影响不大。确认结果：非要因结论：通过以上确认，小组最终确认了问题处理时间长的主要因素：1.存在终端漏洞2.存在高危端口六、制定对策：针对要因，小组成员经过研究讨论，根据“5W1H”原则制定对策表，并根据对策表进行实施。制定对策计划表，如表6-1所示。表6-1要因对策计划表序号要因对策目标措施负责人完成时间工作地点1存在终端漏洞研发漏洞自动挖掘机器人及时发现并修复漏洞及时挖掘并修复终端漏洞制定方案研制专用的网络漏洞自动挖掘管控平台，智能漏洞检测机制，开展区域能源网络信息安全实时监测，实施24小时不间断漏洞挖掘。对挖掘出的漏洞进行自动修复李晨露2022年6月办公室2存在高危端口通过自动流程机器人在交换机进行端口禁用禁用所有高危端口利用RPA自动流程机器人开发一键关闭交换机高危端口流程在交换机上关闭高危端口李静芳2022年6月办公室七、实施对策：（一）实施一：研制漏洞自动挖掘机器人进行自动漏洞挖掘及修复1.制定漏洞挖掘及修复方案，摒弃传统的漏洞扫描方式，研制安全漏洞自动挖掘机器人。2.针对过去对未知漏洞只能进行人工挖掘的方式，采用了人工经验库与计算机AI模拟自动渗透相结合的技术，实现漏洞自动识别。技术实现：安全漏洞自动挖掘机器人系统启动后，可通过浏览器登录，通过Web图形界面可快速获取漏洞挖掘结果，有效减轻使用人员的工作量，提高工作效率。系统前端界面展示的具体信息主要包括被检测程序基本信息、漏洞数量、漏洞详情等数据。如图7-1所示：图7-1自动漏洞挖掘系统登录界面（1）主动全面扫描当前公司信息网上虽已部署漏洞扫描工具软件，但只已知漏洞安全扫描。漏洞自动挖掘机器人打次局限性，可以模拟人工挖掘漏洞的方式进行漏洞主动挖掘。系统不仅依赖网络扫描，还支持多种其他方式自动发现新资产，通过脆弱性扫描，判断出终端设备的端口是否处于开放状态，将开放端口的终端设备标记为危险状态。如图7-2至7-5所示。图7-2主动扫描图7-3系统创建扫描列表图7-4全面扫描终端设备图7-5资产中心页面（2）漏洞检测构建全新的电力终端专有漏洞库和漏洞智能验证脚本库。在传统漏洞库基础上，采用通用库与专用库互补机制，采用通过模糊测试与符号执行相结合的漏洞挖掘技术，使用JESS专家智能系统，涵奠定漏洞资源智能化管理基础，使分析更加精准，可高效、精准挖掘电力系统区域能源网络中终端、协议潜藏的漏洞信息。如图7-6、7-7所示：图7-6电力终端专用漏洞库图7-7漏洞检测页面（3）建立漏洞经验库管理针对过去只能使用已知的通用漏洞数据库的情况，新增电力终端专用漏洞库和验证机制，弥补了公开漏洞数据库的不足，为运维人员提供漏洞的修补方案，大大提高运维人员的工作效率。其效果如图7-8所示。图7-8漏洞库管理页面3.对挖掘出的漏洞进行自动修复。（二）实施二：关闭高危端口。1.梳理高危端口，并列出：135、137、139、445、3389。如图7-9所示：序号高危端口113521373139444553389图7-9高危端口列表利用“RPA-自动流程机器人”，研制“一键关闭交换机高危端口”流程，通过“RPA-自动流程机器人”对交换机进行操作，通过访问控制命令，禁止高危端口。如图7-10所示：图7-10研制“一键关闭交换机高危端口”流程3.进行端口扫描，对高危端口封禁情况进行检查。实施效果：实施后，小组成员通过端口扫描进行检查，高危端口均已被禁用。八、效果检查（一）目标值检查：小组成员对2022年5月-8月信息安全准入系统终端告警率进行统计（见表8-1），对策实施后，信息安全准入告警率由10%降低至4.2%（见图8-1），活动目标达成。表8-12022年5月-2022年8月信息安全准入系统告警率时间终端总数（个）告警数（个）告警率2022年5月75603024.0%2022年6月75603254.3%2022年7月75603194.2%2022年8月75603224.3%平均值75603174.2%图8-1信息安全准入系统告警率活动对比柱状图由表8-1、图8-1可见：对策实施后，信息客服服务满意度达到了96%，比目标值提高了1%，圆满完成了活动目标。（二）主要症结解决程度为检验主要症结的解决程度，小组成员对引起告警的设备类型占比进行统计分析（见表8-2）。在1268个告警中，计算机终端告警数量为280个，占比为22.1%，已经不是引起中断准入系统的主要原因，主要症结得到了解决。表8-1引起告警的设备类型占比统计表引起告警的设备类型告警次数百分比（%）累计百分比（%）打印机告警63450.088.52计算机终端告警28022.166.53交换机告警26620.196.99其他告警886.9100（三）实施效果：1.对策实施后，信息安全准入系统告警率明显降低，提高了信息安全防护水平。2.对策实施研制的漏洞自动挖掘机器人的使用大大节省了设备运行成本及人工运维成本，提高了管理效率及安全性，对电网的生产经营提供了更加可靠的保障，值得全行业的全面推广。一年内共计挖掘漏洞（隐患）27类，共计1327处，对涉及的374个终端设备进行了漏洞的查补与升级，缩短漏洞查询时间1000小时，填补局域网隐患漏洞查询的空白，安全防护效果得到了省市公司多个专业部门的认可，并且具有极高的推广价值。目前该成果正在申请实用新型专利。3.增强了小组成员现场分析、研究、解决问题的能力与信心，为今后的工作打下了坚实的基础。九、制定巩固措施（一）成果巩固1.为了对活动成果进行巩固，小组成员将制定的工作标准及流程正式纳入公司管理制度，如表9-1所示。表9-1有效措施标准化实施序号有效措施标准化批准部门1规范漏洞挖掘及修复管理工作纳入《漏洞管理指导书》信通公司2规范终端安全防护工作纳入《内网