解決方案-杭州安存網絡科技有限公司

運維安全審計(jì)

能(néng)源解決方案

能(néng)源行業統一安全管理(lǐ)與運維審計(jì)解決方案

行業痛點及需求

能(néng)源行業作(zuò)爲與國家經濟命脈和(hé)人民生活緊密相關的國家基礎性行業，一直是中國信息化建設的先行者，信息設備也(yě)已經成爲能(néng)源行業中的主要生産設備。信息設備存儲着企業的核心生産數據，運行着核心業務系統，承載着能(néng)源的調度命令。信息設備的運行安全和(hé)工(gōng)作(zuò)安全已經成爲了(le)能(néng)源行業安全生産的重中之重。

能(néng)源行業涉及廣泛，電力作(zuò)爲整個能(néng)源行業的重要分支，在國民生産生活中舉足輕重，爲了(le)規範和(hé)統一我國電網和(hé)電廠(chǎng)計(jì)算(suàn)機監控系統及調度數據網絡安全防護的規劃、實施和(hé)監管，以防範對(duì)電網和(hé)電廠(chǎng)計(jì)算(suàn)機監控系統及調度數據網絡的攻擊侵害及由此引起的電力系統事(shì)故，保障我國電力系統的安全、穩定、經濟運行，保護國家重要基礎設施的安全，電力二次系統安全防護總體方案應運而生，這(zhè)對(duì)電力系統的管理(lǐ)和(hé)安全防護力度提出了(le)更高(gāo)的标準。《電力二次系統安全防護規定》（5号令）、《電力二次系統安全防護總體方案》這(zhè)兩個文(wén)件從(cóng)政策法規的層面和(hé)技術方案的層面，明(míng)确了(le)信息安全建設的具體措施，方案遵循十六字方針“安全分區(qū)、網絡專用(yòng)、橫向隔離、縱向認證”。随着電力系統信息化的飛(fēi)速發展，生産及業務系統不斷豐富，越來(lái)越複雜(zá)。生産控制大(dà)區(qū)系統，如：電能(néng)量管理(lǐ)系統、電能(néng)量計(jì)量系統、廣域向量測量系統等；管理(lǐ)信息大(dà)區(qū)，如：電力交易系統、ERP系統、生産系統、财務管控系統、電力營銷系統等。很(hěn)多業務系統都存在着跨區(qū)數據交換，這(zhè)就對(duì)衆多的信息設備的管理(lǐ)提出了(le)非常高(gāo)的要求。網絡安全等級保護測評以及風(fēng)險評估工(gōng)作(zuò)的全面展開(kāi)，對(duì)電力行業的信息設備的安全管理(lǐ)和(hé)運維也(yě)提出了(le)更加具體的要求。

行業需求

在電力行業中，對(duì)于信息設備的運行狀态需要及時(shí)監控和(hé)定期巡視(shì)檢查，确保及時(shí)發現(xiàn)問題并及時(shí)杜絕相關故障的發生。同時(shí)，對(duì)于信息設備的任何操作(zuò)直接影響到(dào)企業的安全生産，需要全程進行安全監控并留有原始記錄。

針對(duì)電力行業的信息設備種類繁多，數量衆多的現(xiàn)狀，我們列出目前電力行業内部普遍存在的安全現(xiàn)狀：

1. 服務器、網絡、數據庫、信息化應用(yòng)系統繁多，每個管理(lǐ)員需管理(lǐ)多台設備，且管理(lǐ)界面多種多樣，無法實現(xiàn)單點登錄（SSO），賬号口令容易被破解；

2. 第三方代維人員、系統管理(lǐ)員、網絡管理(lǐ)員、設備供應商人員對(duì)設備和(hé)系統的操作(zuò)無法控制和(hé)審計(jì)；無法考核第三方服務人員是否對(duì)電力二次信息設備進行過越權操作(zuò)，且無法對(duì)整個操作(zuò)工(gōng)作(zuò)過程進行監控；
3. 無法設定統一管理(lǐ)策略，無法對(duì)管理(lǐ)人員遠程對(duì)服務器、網絡設備進行的遠程訪問行爲進行認證、授權、審計(jì)和(hé)賬号管理(lǐ)。

我們的方案

帕拉迪統一安全管理(lǐ)與綜合審計(jì)系統是新一代安全審計(jì)監控系統，它采用(yòng)軟硬一體化設計(jì)，通過B/S或C/S方式進行管理(lǐ)，其主要功能(néng)爲實現(xiàn)對(duì)人員操作(zuò)服務器、網絡設備、數據庫等電力信息設備及信息系統過程的全程監控，同時(shí)對(duì)整個過程進行過程監控與審計(jì)回放(fàng)，以及對(duì)違規操作(zuò)行爲的實時(shí)阻斷。

系統具備強大(dà)的輸入輸出審計(jì)功能(néng)，不僅能(néng)夠詳細記錄用(yòng)戶操作(zuò)的每一條指令，而且能(néng)夠将用(yòng)戶操作(zuò)的全過程全部錄制下(xià)來(lái)，并且具備審計(jì)回放(fàng)的功能(néng)，實現(xiàn)“線上(shàng)線下(xià)”雙層監控，大(dà)大(dà)豐富了(le)設備安全監控的功能(néng)，保證領導層、管理(lǐ)層及巡檢審計(jì)人員有據可查。

帕拉迪統一安全管理(lǐ)與綜合審計(jì)系統的部署，能(néng)夠從(cóng)以下(xià)三方面提高(gāo)電力行業的整體安全防護水(shuǐ)平：
1. 提高(gāo)企業的權限控制能(néng)力——降低(dī)成本及信息安全風(fēng)險的基礎。
權限控制（認證、鑒權、審計(jì)）：對(duì)每位操作(zuò)維護人員進行一對(duì)一的實名制賬号密碼驗證，通過登錄賬号可查到(dào)具體操作(zuò)人員，爲每位操作(zuò)人員分别設置使用(yòng)權限，操作(zuò)員隻能(néng)在被允許的範圍内對(duì)被允許的設備進行訪問操作(zuò)，避免人爲原因帶來(lái)的錯誤操作(zuò), 對(duì)每位操作(zuò)人員的訪問情況、操作(zuò)情況、設備運行情況進行跟蹤、記錄，任何設備訪問、變更都處于可控、可記錄、可跟蹤狀态。
2. 強化企業的設備巡檢機制——加強“兩票三制”的設備巡回檢查制度，及時(shí)發現(xiàn)問題并及時(shí)杜絕相關故障。
設備巡檢是信息設備的巡檢和(hé)定期工(gōng)作(zuò) ，保證巡檢人員定期跟進任務進行設備運行狀況的巡檢，确保系統的穩定運行。
3. 實現(xiàn)企業的工(gōng)作(zuò)過程監控——實現(xiàn)工(gōng)作(zuò)過程監控，準确判斷事(shì)故原因和(hé)事(shì)故責任。

工(gōng)作(zuò)過程監控：處理(lǐ)針對(duì)信息設備所有操作(zuò)過程實行的全程監控，确保工(gōng)作(zuò)人員對(duì)于信息設備的每項工(gōng)作(zuò)都完整記錄，實現(xiàn)“線上(shàng)線下(xià)雙重監控”。

部署方式

客戶收益

1. 符合電力行業“兩票三制”的安全生産制度，符合二次防護的安全規範，滿足電力行業對(duì)設備安全工(gōng)作(zuò)的監控要求；

2. 所有對(duì)信息設備的操作(zuò)全程監控，全面實現(xiàn)“線上(shàng)線下(xià)兩層監控”，不留工(gōng)作(zuò)死角，對(duì)發生的安全事(shì)件可通過才做回放(fàng)功能(néng)實現(xiàn)追溯和(hé)定責。

經典案例

中國核工(gōng)業二四建設有限公司
國家電網公司
延長石油
紫金(jīn)礦業
晶科能(néng)源
東方電氣
西部礦業
航天科技
南方電網
中海油
中石化
中石油
中冶重工(gōng)