今日頭條
官方微信
官方抖音
資訊頻道1、背景介紹
目前某省供電公司變電站均部署了網(wǎng)絡(luò)安全監(jiān)測裝置,并接入了網(wǎng)安平臺,實現(xiàn)了調(diào)度端對變電站納入網(wǎng)絡(luò)安全監(jiān)測范圍內(nèi)設(shè)備外設(shè)接口使用情況的監(jiān)測,但是這種方式還存在一定的問題及管控盲點。例如,對非法接入、非法外聯(lián)事后報警的方式難以從源頭上管控杜絕非法接入的USB等設(shè)備,同時眾多的報警信息也給網(wǎng)絡(luò)管理人員帶來了諸多困擾。
在此背景下,國網(wǎng)某省電力有限公司調(diào)控中心計劃進行轄區(qū)20座變電站50臺設(shè)備外設(shè)接口統(tǒng)一管控能力提升項目實施工作。
2、目標(biāo)與原則
目標(biāo):通過外設(shè)接口集中管控能力提升項目實施工作,實現(xiàn)對某省省調(diào)、地調(diào)及下屬的各電力監(jiān)控系統(tǒng)安全Ⅰ區(qū)、安全Ⅱ區(qū)終端主機(監(jiān)控主機等)USB接口的接入行為的集中管控,實現(xiàn)對USB接口的統(tǒng)一管控,杜絕手機等違規(guī)外聯(lián)行為及違規(guī)終端的非授權(quán)接入。
原則:根據(jù)國家電網(wǎng)的相關(guān)規(guī)范的指導(dǎo)意見,結(jié)合省電力有限公司及供電公司的相關(guān)要求,在對某省供電公司20座變電站外設(shè)接口集中管控能力提升項目實施工作進行安全建設(shè)時,所遵循的根本原則是:
· 業(yè)務(wù)保障原則:安全建設(shè)的根本目標(biāo)是能夠更好地保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時,還要保障業(yè)務(wù)的正常運行和運行效率。
· 結(jié)構(gòu)簡化原則:安全建設(shè)的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加安全,簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于整個安全防護體系的管理、執(zhí)行和維護。
· 生命周期原則:安全建設(shè)不僅僅要考慮靜態(tài)設(shè)計,還要考慮不斷的變化;系統(tǒng)具備適度的靈活性和擴展性。
3、案例實施與應(yīng)用情況
本項目建設(shè)規(guī)劃方案綜合考慮省調(diào)度主站(I、II區(qū))及變電站兩部分的建設(shè)工作
① 調(diào)度主站(I、II區(qū))
· 外設(shè)接口管控平臺部署
· 前置采集網(wǎng)關(guān)機部署(含通信代理)
· I、II區(qū)之間防火墻策略的配置(I區(qū)域網(wǎng)關(guān)機到外設(shè)管控平臺策略);
② 變電站
· 接口管控代理部署 (對工作站的USB口和網(wǎng)口管控及USB保護裝置部署的管控)
· USB保護裝置部署
· 局域網(wǎng)交換機接入(獲取交換機的控制權(quán)限,實現(xiàn)交換機接口管控)
· 接口管控通信代理部署(II型裝置上部署,對接口管控代理的數(shù)據(jù)交換及交換機端口的管控)
· 縱向加密裝置策略開通。
本項目實施工作分為兩個階段完成:
第一階段:部署USB保護裝置,設(shè)備通過USB直連數(shù)據(jù)線,直接接入被保護主機USB接口,單機測試使用。
第二階段:在第一階段測試完成后,部署外設(shè)接口管控平臺(機架式設(shè)備)、外設(shè)接口管控代理,實現(xiàn)對USB保護裝置的統(tǒng)一接入管理、統(tǒng)一升級管理、集中審計。
針對項目中存在的難點問題,具體如下:
· 技術(shù)兼容性:不同品牌和型號的設(shè)備在接口和通信協(xié)議上可能存在差異,導(dǎo)致集成和部署難度較大。
· 安全策略配置:防火墻和縱向加密裝置等安全設(shè)備的策略配置需要精確且復(fù)雜,一旦配置錯誤可能導(dǎo)致通信故障或安全隱患。
· 數(shù)據(jù)交換和同步:外設(shè)接口管控平臺與前置采集網(wǎng)關(guān)機、外設(shè)接口管控代理等設(shè)備之間的數(shù)據(jù)交換和同步需要高效且可靠。
項目團隊充分考慮了業(yè)務(wù)實際情況,制定了詳細(xì)的實施方案,包括外設(shè)接口管控平臺、前置采集網(wǎng)關(guān)機、接口管控代理、USB保護裝置等關(guān)鍵設(shè)備的部署和調(diào)試計劃,并明確了項目的目標(biāo)、原則、實施步驟和配合事項。
· 通過提前進行技術(shù)調(diào)研和測試,確保所選設(shè)備能夠兼容并滿足項目需求;
· 制定詳細(xì)的配置方案和測試計劃,并進行充分的測試和驗證,以確保安全策略配置的正確性和有效性;
· 采用高效的數(shù)據(jù)交換協(xié)議和通信技術(shù),并進行實時的數(shù)據(jù)同步和校驗,以確保數(shù)據(jù)交換和同步的高效性和可靠性。
整體部署拓?fù)鋱D如下:
本項目采用了單獨前置采集網(wǎng)關(guān)機+平臺的架構(gòu),實現(xiàn)了對電力監(jiān)控系統(tǒng)終端主機外設(shè)接口的集中管控和統(tǒng)一審計。同時,通過引入USB保護裝置和接口管控代理等技術(shù)手段,有效杜絕了違規(guī)外聯(lián)和非法接入等安全隱患,通過創(chuàng)新性的技術(shù)手段和解決方案,不僅提升了項目的實用性和可操作性,也為其他類似項目的實施提供了有益的參考和借鑒。
本項目建設(shè)功能及功能示意圖實現(xiàn)如下:
· 對U盤進行接入控制、病毒查殺、文件黑白名單管控和全面的日志審計等,保障數(shù)據(jù)擺渡的安全。
· 加強USB存儲設(shè)備使用過程中的安全防護能力,規(guī)范公司辦公人員對于U盤的使用流程,提供安全計算環(huán)境。
· 通過開展移動介質(zhì)安全管控能力建設(shè),實現(xiàn)主機USB外設(shè)端口現(xiàn)場使用的安全管控,實現(xiàn)操作過程的可審計、可追溯;完善終端安全防護,提高了業(yè)務(wù)系統(tǒng)的安全能力。
4、應(yīng)用價值與效益
合規(guī)強化與風(fēng)險降低:項目通過構(gòu)建一套高效、智能的外設(shè)接口管控體系,實現(xiàn)了對電力監(jiān)控系統(tǒng)終端主機外設(shè)接口的全面監(jiān)控與統(tǒng)一管理,有效杜絕了違規(guī)外聯(lián)、非法接入等潛在的安全風(fēng)險,顯著提升了系統(tǒng)的合規(guī)性。這種創(chuàng)新性的管控模式,不僅符合國家對電力監(jiān)控系統(tǒng)網(wǎng)絡(luò)安全的高標(biāo)準(zhǔn)要求,也為企業(yè)自身筑起了一道堅實的合規(guī)防線,降低了因安全違規(guī)而可能面臨的法律風(fēng)險和聲譽損失。
成本控制與效率提升:在項目實施前,由于外設(shè)接口管理分散、手段落后,導(dǎo)致安全管控效率低下,且需投入大量人力進行日常巡檢和故障排查。而項目通過引入先進的USB保護裝置、接口管控代理等技術(shù)手段,實現(xiàn)了對外設(shè)接口的自動化、智能化管理,大大降低了人力成本和管理難度。同時,集中管控和統(tǒng)一審計的功能,也提高了安全事件的響應(yīng)速度和處理效率,進一步降低了因安全事件導(dǎo)致的運營中斷和損失,實現(xiàn)了成本控制與效率提升的雙重目標(biāo)。
價值創(chuàng)造與業(yè)務(wù)增值:項目的成功實施顯著增強了電力監(jiān)控系統(tǒng)的安全性,為企業(yè)的安全生產(chǎn)和供電服務(wù)奠定了堅實基礎(chǔ)。同時,項目憑借其創(chuàng)新性和實用性,樹立了行業(yè)建設(shè)標(biāo)桿,其可復(fù)制性和推廣性更為企業(yè)未來業(yè)務(wù)拓展提供了技術(shù)支持和經(jīng)驗借鑒,有效促進了價值創(chuàng)造與業(yè)務(wù)增長的良性循環(huán)。
北京市公安局海淀分局備案號:11010802023656號