羅安滿，蔡 錚

(中核核電運行管理有限公司，浙江 海鹽 314300)

推動數(shù)字化轉(zhuǎn)型、推進兩化融合、落實秦山核電網(wǎng)絡(luò)安全和信息化戰(zhàn)略及規(guī)劃工作是新時期企業(yè)生存和發(fā)展的必然選擇。習(xí)近平總書記強調(diào)，“沒有網(wǎng)絡(luò)安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化”，近幾年以來，中國核電以習(xí)近平總書記網(wǎng)絡(luò)強國戰(zhàn)略思想為指引，嚴格按照能源局、公安部等國家部委以及集團公司相關(guān)要求做好網(wǎng)絡(luò)安全工作。早在2019年，美國商務(wù)部工業(yè)和安全局把華為公司加入實體清單，高通、英偉達、因特爾等公司也陸續(xù)終止與華為的一些商業(yè)往來業(yè)務(wù)，從芯片到系統(tǒng)到架構(gòu)再到技術(shù)標準，美國對華為實行由淺入深的圍追堵截策略，中美的信息產(chǎn)業(yè)豎起了一道高高的柏林墻，面對美國對中國發(fā)動科技戰(zhàn)的新局勢，國產(chǎn)化信息技術(shù)應(yīng)用創(chuàng)新十分必要，創(chuàng)新發(fā)展國產(chǎn)化軟硬件信息技術(shù)，提升網(wǎng)絡(luò)與信息安全的技術(shù)防護能力，已經(jīng)成為了核電站數(shù)字化轉(zhuǎn)型的關(guān)鍵。網(wǎng)絡(luò)安全等級保護2.0體系確定了網(wǎng)絡(luò)安全保護的范圍，重點強化計算機技術(shù)使用階段的安全性，秦山核電在網(wǎng)絡(luò)信息系統(tǒng)建設(shè)過程中逐步引入新型技術(shù)，大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算等新一代信息技術(shù)逐步興起，移動互聯(lián)網(wǎng)技術(shù)也運用在一些新的信息系統(tǒng)建設(shè)中，并且呈現(xiàn)越來越廣泛的推廣與應(yīng)用的趨勢，伴隨新技術(shù)而來的是越來越多新型終端接入內(nèi)網(wǎng)的需求，給終端安全監(jiān)督管理工作帶來了非常大的挑戰(zhàn)，亟需建立貫穿終端資產(chǎn)全生命周期的閉環(huán)智能管控體系，對企業(yè)內(nèi)網(wǎng)終端進行一體化安全管控，形成一套行之有效的終端安全監(jiān)督管理辦法，及時發(fā)現(xiàn)并主動防御各類潛在的或正在發(fā)生的終端安全問題，以滿足在登保2.0時代的終端安全可信計算要求。

1 秦山核電內(nèi)網(wǎng)終端存在的安全問題與分析

秦山核電從2014年開始一體化改革，內(nèi)網(wǎng)辦公終端安全的管理向統(tǒng)一管理過渡，由于建設(shè)時間和業(yè)務(wù)管理模式不同，合并前各單位的網(wǎng)絡(luò)架構(gòu)存在很大差異，開始統(tǒng)一管理之后，內(nèi)網(wǎng)終端的一些安全問題也逐漸顯現(xiàn)出來，主要體現(xiàn)在以下方面：1)接入內(nèi)網(wǎng)的終端設(shè)備臺賬不清晰；2)終端操作系統(tǒng)補丁分發(fā)與修復(fù)遇到技術(shù)難題；3)未授權(quán)的終端設(shè)備接入內(nèi)網(wǎng)的時候遇到管理問題；4)員工在內(nèi)網(wǎng)終端上使用U盤帶來安全風(fēng)險；5)內(nèi)網(wǎng)終端設(shè)備非法外聯(lián)的問題；6)內(nèi)網(wǎng)終端頻繁感染勒索病毒的問題;7)內(nèi)網(wǎng)終端設(shè)備安裝非標準軟件造成的惡意網(wǎng)址訪問；8)部分終端不能準確定位所在的位置；9)日常監(jiān)督和管理技術(shù)手段不能覆蓋到所有的內(nèi)網(wǎng)終端；10)各種物聯(lián)網(wǎng)終端和智能移動終端接入帶來的合規(guī)性管理問題。存在的問題與原因歸納如圖1所示。

圖1 存在的問題與原因分析Fig.1 Problem and cause analysis

分析問題產(chǎn)生的根本原因，一方面存在管理執(zhí)行力不夠的因素，另一方面也歸咎于現(xiàn)有的技術(shù)措施不足以滿足管理上的信息化水平。以接入內(nèi)網(wǎng)的終端設(shè)備臺賬不清晰來說，秦山核電改革前，三個電廠各自負責(zé)終端發(fā)放，終端臺賬記錄的字段各不一樣，臺賬信息完整程度也標準不一，合并之后難免存在實物與臺賬不一致的情況，這樣就導(dǎo)致了通過臺賬來跟蹤內(nèi)網(wǎng)終端的方法在實際工作中行不通；雖然內(nèi)網(wǎng)部署了準入控制系統(tǒng)，終端需要在準入控制系統(tǒng)中注冊后才允許入網(wǎng)，但是注冊的信息比較少，無法滿足精細化管理的要求。沒有完整的內(nèi)網(wǎng)終端臺賬，在分發(fā)操作系統(tǒng)補丁的時候無法指定準確的策略，導(dǎo)致很多漏洞不能按時修復(fù)。沒有完整的內(nèi)網(wǎng)終端臺賬，當有未授權(quán)的終端設(shè)備接入內(nèi)網(wǎng)時，終端安全監(jiān)督管理人員無法及時進行分辨和阻止，這樣會帶來一些安全風(fēng)險，比如在一些重要時期網(wǎng)絡(luò)安全保障期間，社會工程攻擊人員潛入廠區(qū)把攻擊電腦接入內(nèi)網(wǎng)開展近源滲透測試活動，如果不及時發(fā)現(xiàn)攻擊源，極大的增加了網(wǎng)絡(luò)被攻擊的危險程度。秦山核電廠區(qū)面積大，網(wǎng)絡(luò)四通八達，終端設(shè)備覆蓋面寬廣且終端類型比較復(fù)雜，員工在終端安全意識方面的認識還有待加強，與終端相關(guān)的業(yè)務(wù)辦理流程不能較好的支撐用戶的需求，諸多原因疊加在一起，使得內(nèi)網(wǎng)終端安全監(jiān)督管理成了一項比較難的工作。

2 秦山核電終端安全監(jiān)督管理工作主要做法

終端安全監(jiān)督管理作為內(nèi)網(wǎng)網(wǎng)絡(luò)安全監(jiān)督管理工作的重要組成部分，秦山核電圍繞內(nèi)網(wǎng)終端安全治理工作方面進行了大量的改進，通過開展管理制度升版、標準化業(yè)務(wù)流程以及終端安全監(jiān)督與管理常態(tài)化等一系列行動，以不影響用戶使用終端辦公的正常需求同時實現(xiàn)有效避免終端發(fā)生網(wǎng)絡(luò)安全問題為目標，取得了比較好的效果。

2.1 升版秦山核電內(nèi)網(wǎng)終端使用安全相關(guān)的管理程序

管理程序以及工作細則有助于規(guī)范相應(yīng)工作程序和提升工作效率，秦山核電有專門的管理程序來規(guī)范員工合理、安全使用秦山核電的信息資產(chǎn)，避免和預(yù)防網(wǎng)絡(luò)安全違規(guī)行為的發(fā)生。對相關(guān)管理程序的內(nèi)容進行升版，范圍包括信息交換與移動存儲介質(zhì)使用、系統(tǒng)賬號安全要求、終端使用安全要求、數(shù)據(jù)和文件安全要求、終端報廢安全要求以及網(wǎng)絡(luò)安全事件管理等，能夠覆蓋終端使用的全生命周期過程。員工在日常使用終端的工程中，習(xí)慣性的會出現(xiàn)不符合管理程序要求的操作行為，為了預(yù)防終端相關(guān)習(xí)慣性違章行為，提煉了12條網(wǎng)絡(luò)安全違章行為以及制定網(wǎng)絡(luò)安全違章行為處罰辦法，違章處罰辦法納入到安全質(zhì)量環(huán)?？己伺c問責(zé)管理，形成完整的制度管理文件，依據(jù)管理程序，終端安全監(jiān)督管理過程形成完整的閉環(huán)管理。

2.2 標準化終端相關(guān)網(wǎng)絡(luò)安全業(yè)務(wù)流程

根據(jù)秦山核電的工作特點，全體員工在使用辦公終端過程中，主要涉及的業(yè)務(wù)流程包括終端設(shè)備申請、終端入網(wǎng)申請、移動存儲介質(zhì)使用申請、病毒監(jiān)測申請、終端安全策略調(diào)整申請、特殊軟件安裝申請、終端問題報修以及終端報廢申請流程，在2020年積極踐行“五個一助推新速度”理念執(zhí)行力提升專項工作中，完成了各業(yè)務(wù)流程標準化梳理，整合在同一個電子化流程平臺，簡化業(yè)務(wù)流程的審批過程。電子流程能夠覆蓋用戶的各種終端相關(guān)業(yè)務(wù)需求，保障用戶在使用終端過程中不會遇到困難，終端授權(quán)接入、移動存儲介質(zhì)使用以及軟件安裝等一些關(guān)鍵的監(jiān)督點能夠通過標準流程進行控制，通過合規(guī)性流程管控手段將潛在的網(wǎng)絡(luò)安全風(fēng)險點進行化解，大大增加了用戶滿意度和監(jiān)督管理工作配合程度。

2.3 建立責(zé)任人制度和入網(wǎng)許可證制度

借鑒電信行業(yè)手機入網(wǎng)許可證辦法和安徽省規(guī)范化管理電工進網(wǎng)作業(yè)實行電力許可證管理的經(jīng)驗，秦山核電對需要接入內(nèi)網(wǎng)的終端創(chuàng)新性建立了入網(wǎng)許可證制度，申請接入內(nèi)網(wǎng)的終端設(shè)備，經(jīng)過核查符合入網(wǎng)條件的，按照準入流程，完成終端設(shè)備實名登記，頒發(fā)一張入網(wǎng)許可證，粘貼在終端設(shè)備機身明顯位置。入網(wǎng)許可證賦予了特殊管理含義，并且針對于內(nèi)網(wǎng)終端和外網(wǎng)終端進行了區(qū)分，在日常進行終端現(xiàn)場核查時，根據(jù)入網(wǎng)許可證即可初步判定該終端是否為合規(guī)接入內(nèi)網(wǎng)網(wǎng)絡(luò)；入網(wǎng)許可證同時具備終端安全提醒的功能，通過文字方式提醒終端使用需要注意的事項，發(fā)揮終端安全提醒的功能。參考核電站設(shè)備管理工作經(jīng)驗，在終端安全監(jiān)督管理中強化了責(zé)任人的概念，員工申請辦公終端后，在使用過程中出現(xiàn)網(wǎng)絡(luò)安全違章行為或網(wǎng)絡(luò)安全事件，需要承擔(dān)相應(yīng)的責(zé)任，負責(zé)確保終端是按照管理程序要求規(guī)范使用。

2.4 部署終端安全管理軟件和防病毒軟件

終端感染病毒和信息泄露給內(nèi)網(wǎng)網(wǎng)絡(luò)安全帶來了嚴重的危害，在內(nèi)網(wǎng)終端部署終端安全管理軟件，統(tǒng)一按照終端安全基線下發(fā)終端策略進行終端安全加固，在線收集終端的軟件及硬件信息，實現(xiàn)終端在接入內(nèi)網(wǎng)時的安全準入控制，監(jiān)控和中斷非法外聯(lián)網(wǎng)絡(luò)行為，對移動存儲介質(zhì)使用進行監(jiān)督管理，防止數(shù)據(jù)泄露，記錄和審計終端上的網(wǎng)絡(luò)行為以及遠程控制桌面，通過技術(shù)手段實現(xiàn)對終端的遠程控制管理的目的；內(nèi)網(wǎng)Windows操作系統(tǒng)終端需要安裝防病毒軟件，這是一項強制策略，定期自動更新病毒庫和防病毒軟件，確保病毒庫與殺毒組件都是最新版本，及時對終端進行病毒查殺與漏洞的修復(fù)，提供安全保護及防御功能，全面為用戶提供網(wǎng)絡(luò)安全保障，構(gòu)建立體防護網(wǎng)，在內(nèi)網(wǎng)打造安全的計算環(huán)境。

2.5 開發(fā)信息化網(wǎng)絡(luò)安全監(jiān)督管理平臺

信息化是推動安全監(jiān)督管理精細化、規(guī)范化、標準化的技術(shù)保障，信息化管理方式能夠很大程度上提高網(wǎng)絡(luò)安全監(jiān)督管理的工作效率。秦山核電結(jié)合日常網(wǎng)絡(luò)安全監(jiān)督管理工作需求與事件處置程序，開發(fā)了一套網(wǎng)絡(luò)安全監(jiān)督管理系統(tǒng)，如圖2所示，融合日常網(wǎng)絡(luò)安全監(jiān)督管理工作方法，設(shè)置基礎(chǔ)數(shù)據(jù)、數(shù)據(jù)填報、工作管理、指標管理等模塊。將終端信息納入到基礎(chǔ)數(shù)據(jù)進行管理，建立終端信息數(shù)據(jù)填報與采集規(guī)范，逐步的完善臺賬數(shù)據(jù)。使用數(shù)據(jù)填報模塊記錄終端監(jiān)督管理工作中的一些關(guān)鍵數(shù)據(jù)，通過指標管理模塊形成可視化的指標報表，實時了解當前內(nèi)網(wǎng)終端的網(wǎng)絡(luò)安全指標趨勢，及時研判并采取響應(yīng)措施，變被動監(jiān)管為主動監(jiān)管。

2.6 部署開展日常終端安全監(jiān)督計劃與員工網(wǎng)絡(luò)安全意識培訓(xùn)

在日常網(wǎng)絡(luò)安全監(jiān)督工作中，針對于終端安全分別按照每天、每月、每季度為頻度制定了相應(yīng)的安全監(jiān)督管理計劃。其中按天為頻度進行的監(jiān)督項目包括系統(tǒng)漏洞、異常流量、病毒感染、移動U盤、違規(guī)外聯(lián)以及信息泄露，如果發(fā)現(xiàn)異常情況，則通過開發(fā)網(wǎng)絡(luò)安全監(jiān)測預(yù)警處置單的形式啟動處置流程，根據(jù)異常的嚴重和緊急程度制定行動項，以最快的速度盡早進入干預(yù)，減弱異常帶來的影響；按月為頻度開展的工作主要有移動存儲介質(zhì)使用情況抽檢和終端現(xiàn)場核查，對秦山核電所有處室逐個進行檢查，一方面通過這種形式的網(wǎng)絡(luò)安全監(jiān)督管理工作及時發(fā)現(xiàn)終端的異常問題，另一方面也能起到提醒廣大員工的作用，讓員工知道秦山核電有終端安全檢查這樣的一件工作，日常要注意終端安全；而員工網(wǎng)絡(luò)安全意識培訓(xùn)則是按季度進行，通過滾動培訓(xùn)達到提供全體員工網(wǎng)絡(luò)安全意識水平的效果。

2.7 開發(fā)病毒檢測工作臺，常態(tài)化開展計算機病毒檢測

網(wǎng)絡(luò)木馬病毒樣本數(shù)量和破壞力都呈迅速上漲趨勢，隨著各種類型的移動存儲介質(zhì)被廣泛使用，移動存儲介質(zhì)逐漸成為了病毒傳播的主要渠道。通過移動存儲介質(zhì)傳播病毒程序，造成信息泄露和經(jīng)濟損失的案例屢屢發(fā)生，造成的后果觸目驚心。尤其各種勒索病毒變種層出不窮，企業(yè)內(nèi)網(wǎng)終端安全防護形勢日益嚴重。秦山核電常年接入管理網(wǎng)的電腦在8000臺左右，因為業(yè)務(wù)需要使用移動介質(zhì)的情況無法避免，因此，專門開發(fā)了用于移動存儲介質(zhì)病毒檢測工作臺，為業(yè)務(wù)用戶提供移動存儲介質(zhì)病毒檢測服務(wù)和病毒檢測技術(shù)支持，提前識別移動存儲介質(zhì)中的病毒程序，將移動存儲介質(zhì)潛在的網(wǎng)絡(luò)安全風(fēng)險降到足夠低，為業(yè)務(wù)用戶順利開展工作提高保駕護航，即節(jié)約了檢測成本，同時也提高了病毒檢測工作的效率。

3 實施效果

在秦山核電范圍開展企業(yè)內(nèi)網(wǎng)計算機及智能終端安全治理工作，秦山核電整體終端安全態(tài)勢有極大的好轉(zhuǎn)，采用管理措施與技術(shù)措施相結(jié)合的方式，總結(jié)出了一套適合于企業(yè)自身工作特點的終端安全監(jiān)督管理辦法，既能夠?qū)崿F(xiàn)用戶關(guān)于終端的使用需求，滿足相應(yīng)的工作場景，又能夠完成公司規(guī)定的網(wǎng)絡(luò)安全監(jiān)督管理目標，員工終端安全意識普遍有所提高，員工愿意配合開展網(wǎng)絡(luò)安全監(jiān)督工作，網(wǎng)絡(luò)安全監(jiān)督工作的氛圍極大改善，秦山核電網(wǎng)絡(luò)安全指標平穩(wěn)運行，杜絕了終端感染勒索病毒等網(wǎng)絡(luò)安全事件，在制度、流程、指標以及各種工具的配合下，目前秦山核電基本實現(xiàn)了有序的引導(dǎo)終端入網(wǎng)以及逐步形成了從采購、配發(fā)、使用到退回等各個環(huán)節(jié)的終端安全全方位管控，維護秦山核電整體終端安全。