今日頭條
官方微信
官方抖音
資訊頻道1、背景介紹
目前某省供電公司變電站均部署了網絡安全監測裝置,并接入了網安平臺,實現了調度端對變電站納入網絡安全監測范圍內設備外設接口使用情況的監測,但是這種方式還存在一定的問題及管控盲點。例如,對非法接入、非法外聯事后報警的方式難以從源頭上管控杜絕非法接入的USB等設備,同時眾多的報警信息也給網絡管理人員帶來了諸多困擾。
在此背景下,國網某省電力有限公司調控中心計劃進行轄區20座變電站50臺設備外設接口統一管控能力提升項目實施工作。
2、目標與原則
目標:通過外設接口集中管控能力提升項目實施工作,實現對某省省調、地調及下屬的各電力監控系統安全Ⅰ區、安全Ⅱ區終端主機(監控主機等)USB接口的接入行為的集中管控,實現對USB接口的統一管控,杜絕手機等違規外聯行為及違規終端的非授權接入。
原則:根據國家電網的相關規范的指導意見,結合省電力有限公司及供電公司的相關要求,在對某省供電公司20座變電站外設接口集中管控能力提升項目實施工作進行安全建設時,所遵循的根本原則是:
· 業務保障原則:安全建設的根本目標是能夠更好地保障網絡上承載的業務。在保證安全的同時,還要保障業務的正常運行和運行效率。
· 結構簡化原則:安全建設的直接目的和效果是要將整個網絡變得更加安全,簡單的網絡結構便于整個安全防護體系的管理、執行和維護。
· 生命周期原則:安全建設不僅僅要考慮靜態設計,還要考慮不斷的變化;系統具備適度的靈活性和擴展性。
3、案例實施與應用情況
本項目建設規劃方案綜合考慮省調度主站(I、II區)及變電站兩部分的建設工作
① 調度主站(I、II區)
· 外設接口管控平臺部署
· 前置采集網關機部署(含通信代理)
· I、II區之間防火墻策略的配置(I區域網關機到外設管控平臺策略);
② 變電站
· 接口管控代理部署 (對工作站的USB口和網口管控及USB保護裝置部署的管控)
· USB保護裝置部署
· 局域網交換機接入(獲取交換機的控制權限,實現交換機接口管控)
· 接口管控通信代理部署(II型裝置上部署,對接口管控代理的數據交換及交換機端口的管控)
· 縱向加密裝置策略開通。
本項目實施工作分為兩個階段完成:
第一階段:部署USB保護裝置,設備通過USB直連數據線,直接接入被保護主機USB接口,單機測試使用。
第二階段:在第一階段測試完成后,部署外設接口管控平臺(機架式設備)、外設接口管控代理,實現對USB保護裝置的統一接入管理、統一升級管理、集中審計。
針對項目中存在的難點問題,具體如下:
· 技術兼容性:不同品牌和型號的設備在接口和通信協議上可能存在差異,導致集成和部署難度較大。
· 安全策略配置:防火墻和縱向加密裝置等安全設備的策略配置需要精確且復雜,一旦配置錯誤可能導致通信故障或安全隱患。
· 數據交換和同步:外設接口管控平臺與前置采集網關機、外設接口管控代理等設備之間的數據交換和同步需要高效且可靠。
項目團隊充分考慮了業務實際情況,制定了詳細的實施方案,包括外設接口管控平臺、前置采集網關機、接口管控代理、USB保護裝置等關鍵設備的部署和調試計劃,并明確了項目的目標、原則、實施步驟和配合事項。
· 通過提前進行技術調研和測試,確保所選設備能夠兼容并滿足項目需求;
· 制定詳細的配置方案和測試計劃,并進行充分的測試和驗證,以確保安全策略配置的正確性和有效性;
· 采用高效的數據交換協議和通信技術,并進行實時的數據同步和校驗,以確保數據交換和同步的高效性和可靠性。
整體部署拓撲圖如下:
本項目采用了單獨前置采集網關機+平臺的架構,實現了對電力監控系統終端主機外設接口的集中管控和統一審計。同時,通過引入USB保護裝置和接口管控代理等技術手段,有效杜絕了違規外聯和非法接入等安全隱患,通過創新性的技術手段和解決方案,不僅提升了項目的實用性和可操作性,也為其他類似項目的實施提供了有益的參考和借鑒。
本項目建設功能及功能示意圖實現如下:
· 對U盤進行接入控制、病毒查殺、文件黑白名單管控和全面的日志審計等,保障數據擺渡的安全。
· 加強USB存儲設備使用過程中的安全防護能力,規范公司辦公人員對于U盤的使用流程,提供安全計算環境。
· 通過開展移動介質安全管控能力建設,實現主機USB外設端口現場使用的安全管控,實現操作過程的可審計、可追溯;完善終端安全防護,提高了業務系統的安全能力。
4、應用價值與效益
合規強化與風險降低:項目通過構建一套高效、智能的外設接口管控體系,實現了對電力監控系統終端主機外設接口的全面監控與統一管理,有效杜絕了違規外聯、非法接入等潛在的安全風險,顯著提升了系統的合規性。這種創新性的管控模式,不僅符合國家對電力監控系統網絡安全的高標準要求,也為企業自身筑起了一道堅實的合規防線,降低了因安全違規而可能面臨的法律風險和聲譽損失。
成本控制與效率提升:在項目實施前,由于外設接口管理分散、手段落后,導致安全管控效率低下,且需投入大量人力進行日常巡檢和故障排查。而項目通過引入先進的USB保護裝置、接口管控代理等技術手段,實現了對外設接口的自動化、智能化管理,大大降低了人力成本和管理難度。同時,集中管控和統一審計的功能,也提高了安全事件的響應速度和處理效率,進一步降低了因安全事件導致的運營中斷和損失,實現了成本控制與效率提升的雙重目標。
價值創造與業務增值:項目的成功實施顯著增強了電力監控系統的安全性,為企業的安全生產和供電服務奠定了堅實基礎。同時,項目憑借其創新性和實用性,樹立了行業建設標桿,其可復制性和推廣性更為企業未來業務拓展提供了技術支持和經驗借鑒,有效促進了價值創造與業務增長的良性循環。
北京市公安局海淀分局備案號:11010802023656號