华为准控系统在潘家口电厂信息内网中的应用

2018-11-07李赫明孟德霞

水电站机电技术 2018年10期

李赫明，孟德霞

（国网新源控股有限公司潘家口蓄能电厂，河北唐山064309）

0 引言

潘家口电厂通过部署网络准入系统，落实电厂安全防护要求，避免信息内网终端出现违规事件，实现对于接入信息内网的终端进行账户弱口令审核、桌面终端保密检测程序安装审核，防病毒软件安装审核，禁止使用多网卡，禁止通过3G/4G网卡、无线路由等不受控第三方出口访问互联网，禁止修改MAC/IP地址，禁止非授权终端接入公司信息内网等安全防护，实现信息内网终端集中、统一管理，通过一个平台完成终端在线监控、合规检测、策略下发及安全防护，以提高潘家口电厂整体的安全防护能力。

1 前期设计

1.1 设计原则

1.1.1 遵从国家相关法律法规

管理系统需以安全法规为基础，遵从国家相关安全政策，创建全面、动态、安全的策略。

1.1.2 遵从电厂信息安全要求

管理系统建设须以电厂信息安全要求对终端安全管控的实现为指导方向，建立完整的桌面终端防护体系和管理体系。

1.1.3 适应电厂信息安全现状

管理系统需以电厂安全现状为基础，充分考虑电厂存在的信息安全风险，完善电厂IT内控管理。

1.1.4 管理方便、易于维护

依照目前电厂的管理机制和组织结构，保证系统架构明确、管理方便，节省维护成本。

1.1.5 安全可靠

管理系统需具有安全保障体系，通过先进的软硬件技术手段，实现网络的传输安全、数据安全、接口安全，从而确保网络的安全和保密，同时系统本身需具有高可靠性和冗余设计。

1.2 功能构架

以网络身份识别为基础，以网络准入控制技术为保障，强制进行终端安全管理，同时提供桌面管理维护功能，从而减低桌面维护工作量，辅助实现终端安全管理。此外通过分权分域和流程化策略模型，管理灵活方便，并通过可运营报表提供运营支撑，最终形成一体化、多层次、全方位的终端安全管理体系。

1.3 控制单元

控制单元主要部署CONTROLLER管理中心，承担着总体指挥、整体协调的核心任务。实现终端接入控制和区域安全策略定制和管理。主要硬件部署包括服务器、硬件接入控制网关和终端。

1.4 网络访问权限管理

结合终端用户的身份认证，通过基于用户角色的网络访问权限管理，加强内网的网络访问控制，防止非法接入和非授权访问，保证电厂内网的安全。分控单元节点所在单位需要根据业务和安全等级将现网的网络资源划分为不同的逻辑安全域，CONTROLLER系统根据终端用户身份认证和安全检查的结果开放不同安全域的访问权限，实现对违规终端的隔离，保证电厂内网的整体安全性。根据业务相关性和最小授权原则，基于终端用户的角色进行细粒度的网络访问权限控制。管理员可根据业务或安全等级，将业务服务器划分为不同的认证后域，然后将认证后域授权给相应的部门的员工。只有授权的用户经过身份认证和安全检查后才能访问相应的业务资源，没有经过授权的员工将无法访问。