电力行业信创，如何全面管控终端安全？

信创领域由政府向行业拓展，“2+8+N”模式不断占据市场。亿欧智库数据表明，自2013年开始，政府已开始国产化公文系统，并计划将电子政务系统国产化。此外，金融、电信、能源、交通、航空航天、教育和医疗等八大重点行业正在加速推进信创应用，预计还将有N个行业的信创将在 2023 年左右开始启动。信创应用从政府领域向更广泛的领域拓展，这将带来全新的发展格局。

​

而电力行业信创则最有希望成为行业信创的“先行者”和“主力军”。有以下四点原因：

一、电网资金投入充足，信创推进具有坚实保证。国家电网“十四五”期间的年均投资规模预计将维持在5000亿元以上，南方电网“十四五”期间的投资预计将比“十三五”期间增加51%。

二、两大电网集团聚焦于信创发展，从战略层面做出了重点布局。南方电网在《“十四五”电网发展规划》中提出了逐步构建“合理分区、柔性互联、安全可控、开放互助”的主网架形态，其中安全可控是重要的要求。国家电网率先发布并实施了国内企业首个“双碳”行动方案和构建新型电力系统行动方案，大力推进新型电力系统科技攻关行动计划，努力打造新型电力系统原创技术策源地。

三、国产化已经取得了重要突破：调度控制系统是两大电网最先实现国产化突破的重点领域之一。

四、除了两大电网，电力行业的其他力量也在积极推进信创产业的发展。

电力行业信创，需要在建设中高度重视终端安全管控，确保电网信息系统的稳定、可靠和安全。在电网信息系统中，终端设备作为电力信息的重要来源和传递节点，扮演着不可或缺的角色。然而，信创终端设备的安全风险同样也是电力信息系统的薄弱环节。因此，电力行业必须在信创建设中高度重视终端安全管控，有效预防安全事件的发生。其中USB外设和违规外联是终端安全管控的两个极为重要的方面，也是电力行业信息安全的重要隐患。

一、外设管控

对于外设管控，我们需要首先建立起完善的外设管理策略，包括对哪些外设进行管控、允许或禁止哪些操作、如何审核外设的访问请求、如何处理违规外设访问等。此外，我们还需要采取一系列技术手段来加强外设管控。在电力行业中，考虑到特殊的安全需求，存在很多特殊场景，比如控制室、调度室、机房等，这些场景需要实施安全分区，对不同区域的外设管理策略和技术手段进行差异化配置，以更好地保障系统安全。高安全级别的控制室需要对所有外部USB设备进行强制安全认证，确保外部设备不会被利用攻击内部系统。而在普通的办公区域，则可以适当放宽对外部USB设备的管理，以提高员工的工作效率。

对于生产控制大区中的安全一区和安全二区，应该采取更为严格的终端安全控制策略，包括但不限于以下几点：

1. 禁用所有USB移动存储设备。包括：U盘、移动硬盘、刻录光驱等所有具备存储功能的设备。

2. 禁用所有USB通讯外设。包括：智能手机、蓝牙、WIFI等所有具备通讯功能的设备。

3. 禁用网卡。对于没有业务交换需求的信创终端，禁用所有有线网卡及无线网卡。

对于信息管理大区中的安全三区和安全四区，信创终端安全管理措施相对较为宽松，但也需要采取一些必要的措施，以确保系统的安全性和稳定性。例如：

1. 采用USB白名单策略。

首先，通过注册机制区分内部设备和外部设备。所有的内部U盘和移动硬盘在使用前必须经过系统统一注册与授权。管理员可以通过注册信息实现U盘身份识别和设备追踪。

其次，内部终端只可以正常使用经过授权的移动存储设备。当外部带来的未授权的U盘或移动硬盘接入内部电脑时，系统将自动识别并拒绝访问，未授权移动存储介质无法在内部主机上使用。可有效防止USB存储介质管理混乱及因非法使用USB存储设备造成数据泄密问题的发生。

​

最后，要确保注册的U盘和移动硬盘不能在单位外部的电脑使用。这样可以避免注册U盘内的重要资料不会流失到单位外部。

2. 制定完善的审计机制

针对可以在内部使用的授权U盘，同时也需要进行操作审计，便于日后溯源。审计内容包括：何时、何人、何终端、何U盘、插入/拔出/拷入/拷出/改名、何文件。

审计日志可以提供丰富的报表查询方式，同时支持多种数据输出格式，也可以直接打印，方便统计分析。

二、违规外联管控

在电力行业中，违规外联可能导致电力行业关键信息被窃取，甚至导致重大的安全事故。因此，对于信创终端安全来说应对违规外联的情况非常重要。为了避免这种风险，必须建立有效的外联管理制度。在这个制度中，应该规定哪些网络是可信的，哪些是不可信的，并建立有效的网络访问控制机制。此外，还应该建立适当的网络安全策略和措施。

首先，员工安全意识的培训和教育是非常重要的。我们可以定期开展网络安全培训课程，让员工了解网络安全知识和注意事项，包括外联风险和如何避免外联带来的安全威胁等内容。这样可以提高员工的安全意识和自我保护能力，减少因员工个人原因导致的安全漏洞。

其次，采用技术手段实行强制访问控制策略，建立违规外联监控机制。对终端信创设备的网络行为进行实时监控，限定网络访问的范围，对不同等级的终端设备设置不同的访问权限，如安全一区和安全二区设备的网络访问权限应该有所区别。及时发现违规外联行为，可以在驱动层面对所有数据包进行监控，发现并阻断通过任何方式与外网通讯的数据包。

最后，我们还需要增强对外联通信的监测和记录能力。在日常运营中，我们可以对外联通信进行实时监测和记录，对于异常情况及时发现并采取措施。在发生安全事件时，通过分析外联通信的记录，可以更快速地确定事件的起因和范围，采取有效措施防止类似事件再次发生。

总之，对于电力行业来说，外设管控和违规外联是网络安全中非常重要的一环。我们需要制定严格的管理制度和应急响应预案，同时加强对员工的安全意识培训和对外联通信的监测和记录能力，从而保障电力行业信息安全。

如果你正面临着电力行业信创终端安全设备管控和违规外联的挑战。我们建议你部署内控王USB移动存储介质管理系统。系统获得了公安部颁发的销售许可证，完全满足等保对USB移动存储介质管理的所有要求，实现移动存储介质安全管控的同时保证内部系统和外部系统可以进行既安全可控又便捷高效的信息交互。同时采用驱动过滤引擎让违规外联无处可逃，网卡驱动层面对所有数据包进行监控，发现并拦截通过任何方式与外网通讯的数据包，在数据包发送之前进行阻断，杜绝违规外联事件的发生。