客户需求
发展自主创新、安全可控的坚强智能电网是国家能源安全的重大战略,对于促进节能减排、实现经济社会可持续发展具有重大意义。信息通信技术是我国坚强智能电网发电、输电、变电、配电、用电、调度等各环节的重要支撑,信息安全作为智能电网建设的重要保障,与电力行业安全生产密切相关,对电网公司生产、经营、管理工作有重要意义,对电力信息安全、国家信息安全有着重大影响。随着智能电网建设的逐步推进,网络规模庞大、网络系统复杂,接入终端分布广、类型多、数量大,接入方式多样,对终端安全性和规范性管理提出了极大挑战;对大规模分布式网络的深度巡检效率提出了极大挑战。传统以边界防护为主的模式能对网络上边界进行有效安全防护,但是下边界防护能力相对不足,网络及终端安全策略很难统筹规划,诸如乌克兰电网信息安全事故时有发生,保障信息安全的需求日益突出。追根溯源,信息安全事故多发于终端和网络,安全防护的局限性也逐步显现出来,它存在以下不足:
客户遇到的主要问题有:
• 网络规模庞大、网络边界模糊导致信息安全威胁多样化:随着智能变电站系统、现场移动检修作业、智能电能表等建设的不断推进,电网企业业务规模逐步扩大,网络边界也随之愈发模糊,进而导致网络更加不可控,信息安全受到严重威胁。网络规模以四川公司为例,公司信息网络分为两级,分为省公司二级信息网、地市公司三级信息网,覆盖省公司本部及直属单位、地市公司本部及直属单位、县级供电公司、变电站、供电所、营业厅(所)等所有办公司、生产场所,信息网络采用MPLS VPN技术组网,网络设备达8000余台,各类终端达10万余台,承载公司生产、经营、办公通用业务和用电信息采集、输变电设备在线监测、变压器油色普在线分析、变电站机器人巡检、输电线电压在线监测、输电线/变电视频监控、防冰灾/山火监控系统等智能电网专属业务。公司生产和经营规模直接决定了信息网络的接入终端数量大、系统复杂、管理困难的问题,具体表现为:大规模分布式网络缺乏统一安全策略;大规模分布式网络缺乏有效安全监控、审计手段;系统软件安全漏洞修复不及时;系统缺乏行之有效的管理及紧急响应手段;无法跟踪恶意员工泄露企业信息;无法及时掌握终端的更新和变化等。
• 现有安全设备难以对电网企业网络运行状况进行智能监控,及时有效地保证网络安全:传统信息网络的安全加固,大多通过在链路上串联防火墙、入侵检测、入侵防御等安全设备来实现。这种安全部署模式可以有效对网络上边界进行有效防护,但是无法对网络运行状况进行自动化的监控、智能化的分析、人性化的呈现;无法检查网络内计算机的安全状况是否达标;缺乏对合法终端滥用网络资源的安全管理;无法防止恶意终端的蓄意破坏。
• 信息网络面临接入终端数量大、系统复杂、管理困难的问题:公司业务惠利民生,遍及全国各个角落,而随之而来的是公司信息网络面临的各类威胁也愈发突出:非法用户随意接入公司内部网络;内部合法用户滥用权限;终端不能及时打系统补丁;员工私自安装软件、开启危险服务;员工绕过防火墙访问互联网;员工未安装防病毒软件;员工忘记设置必要的口令等,对公司信息安全而言,都是安全隐患。
• 终端安全状态不达标带来的威胁:网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。目前,针对病毒的防御体系还是以孤立的单点防御为主,如在个人计算机上未安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时,一般是由网络管理员发布病毒告警或补丁升级公告,要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看,当前的防御方式并不能有效应对病毒的威胁,存在严重不足,主要表现在以下几个方面。
• 被动防御,缺乏主动抵抗能力,在多数情况下,当一个终端受到感染时,病毒已经散布于整个网络。目前的解决方式无法有效监控每一个终端安全状态,也没有隔离、修复不合格终端的手段,造成主动防御能力低下。
• 单点防御,对病毒的重复、交叉感染缺乏控制,目前的解决方式,更多的是在单点防范,当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时,网络就会始终处于被感染、被攻击状态。
• 分散管理,安全策略不统一,缺乏全局防御能力,只有从用户的接入终端进行安全控制,才能够从源头上防御威胁,但是,分散管理的终端难以保证其安全状态符合企业安全策略,无法有效地从网络接入点进行安全防范。在分散管理的安全体系中,新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁。
H3C解决方案
H3C终端一体化管控平台解决方案(EAD)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动,对接入网络的用户终端按需实施灵活的安全策略,并严格控制终端用户的网络使用行为,极大地加强了企业用户终端的主动防御能力,为企业IT管理人员提供了高效、易用的管理工具。
结合智能巡检管家,首先通过网络设备硬件信息巡检、软件运行状态巡检、设备负载巡检、协议运行状态巡检、终端安全性巡检等一些列面面俱到的智能巡检技术,预知现网和终端的安全隐患;然后通过网络及终端安全策略制定与下发、安全评估、安全监控、安全加固等安全防护措施与接入控制、身份认证等安全管控技术,更好地实现了网络的可信可控性与终端的接入安全,保障了公司信息安全。
客户价值
1、保证智能电网大规模网络的可信可控与终端的安全准入,为公司的信息安全保驾护航,同时保证事后可以追踪到安全事件的责任主体。
2、支持与网管系统、网络设备和安全设备联动,统一智动下发安全策略到网络设备和终端设备。
• 解决接入管理混乱的问题。外来终端需经过认证授权后才能访问公司信息网相关资源,避免了未授权终端随意访问、篡改公司信息问题。
3、解决了接入终端安全管控力度不足问题。
• 接入网络的终端需先进行认证授权,通过MAC、IMEI等信息确认接入网络的用户身份是否合法;然后进行安全检查,包括是否补丁漏洞检查、防病毒软件检查、病毒库特征库检查等,然后根据终端的安全级别进行分类,对其访问的资源的进行控制,进而有效避免了不安全终端接入网络的问题。
4、 解决了接入终端滥用网络资源的问题。
• 一方面根据接入终端的权限对其访问的网络资源进行限制,另一方面通过安全策略有效避免个别终端P2P下周软件或病毒、木马早晨的网络带宽堵塞。
5、 解决了接入终端桌面管控力度不足的问题。
• 一方面可以设置软件黑白名单,对终端能够安装的软件进行控制;另一方面可以通过服务器推送相关的安装软件与提示信息。