1、背景介绍

目前某省供电公司变电站均部署了网络安全监测装置，并接入了网安平台，实现了调度端对变电站纳入网络安全监测范围内设备外设接口使用情况的监测，但是这种方式还存在一定的问题及管控盲点。例如，对非法接入、非法外联事后报警的方式难以从源头上管控杜绝非法接入的USB等设备，同时众多的报警信息也给网络管理人员带来了诸多困扰。

在此背景下，国网某省电力有限公司调控中心计划进行辖区20座变电站50台设备外设接口统一管控能力提升项目实施工作。

2、目标与原则

目标：通过外设接口集中管控能力提升项目实施工作，实现对某省省调、地调及下属的各电力监控系统安全Ⅰ区、安全Ⅱ区终端主机（监控主机等）USB接口的接入行为的集中管控，实现对USB接口的统一管控，杜绝手机等违规外联行为及违规终端的非授权接入。

原则：根据国家电网的相关规范的指导意见，结合省电力有限公司及供电公司的相关要求，在对某省供电公司20座变电站外设接口集中管控能力提升项目实施工作进行安全建设时，所遵循的根本原则是：

·   业务保障原则：安全建设的根本目标是能够更好地保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。

·   结构简化原则：安全建设的直接目的和效果是要将整个网络变得更加安全，简单的网络结构便于整个安全防护体系的管理、执行和维护。

·   生命周期原则：安全建设不仅仅要考虑静态设计，还要考虑不断的变化；系统具备适度的灵活性和扩展性。

3、案例实施与应用情况

本项目建设规划方案综合考虑省调度主站（I、II区）及变电站两部分的建设工作

①   调度主站（I、II区）

·   外设接口管控平台部署

·   前置采集网关机部署（含通信代理）

·   I、II区之间防火墙策略的配置（I区域网关机到外设管控平台策略）；

②   变电站

·   接口管控代理部署 (对工作站的USB口和网口管控及USB保护装置部署的管控)

·   USB保护装置部署

·   局域网交换机接入（获取交换机的控制权限，实现交换机接口管控）

·   接口管控通信代理部署（II型装置上部署，对接口管控代理的数据交换及交换机端口的管控）

·   纵向加密装置策略开通。

本项目实施工作分为两个阶段完成：

第一阶段：部署USB保护装置，设备通过USB直连数据线，直接接入被保护主机USB接口，单机测试使用。

第二阶段：在第一阶段测试完成后，部署外设接口管控平台（机架式设备）、外设接口管控代理，实现对USB保护装置的统一接入管理、统一升级管理、集中审计。

针对项目中存在的难点问题，具体如下：

·   技术兼容性：不同品牌和型号的设备在接口和通信协议上可能存在差异，导致集成和部署难度较大。

·   安全策略配置：防火墙和纵向加密装置等安全设备的策略配置需要精确且复杂，一旦配置错误可能导致通信故障或安全隐患。

·   数据交换和同步：外设接口管控平台与前置采集网关机、外设接口管控代理等设备之间的数据交换和同步需要高效且可靠。

项目团队充分考虑了业务实际情况，制定了详细的实施方案，包括外设接口管控平台、前置采集网关机、接口管控代理、USB保护装置等关键设备的部署和调试计划，并明确了项目的目标、原则、实施步骤和配合事项。

·   通过提前进行技术调研和测试，确保所选设备能够兼容并满足项目需求；

·   制定详细的配置方案和测试计划，并进行充分的测试和验证，以确保安全策略配置的正确性和有效性；

·   采用高效的数据交换协议和通信技术，并进行实时的数据同步和校验，以确保数据交换和同步的高效性和可靠性。

整体部署拓扑图如下：

本项目采用了单独前置采集网关机+平台的架构，实现了对电力监控系统终端主机外设接口的集中管控和统一审计。同时，通过引入USB保护装置和接口管控代理等技术手段，有效杜绝了违规外联和非法接入等安全隐患，通过创新性的技术手段和解决方案，不仅提升了项目的实用性和可操作性，也为其他类似项目的实施提供了有益的参考和借鉴。

本项目建设功能及功能示意图实现如下：

·   对U盘进行接入控制、病毒查杀、文件黑白名单管控和全面的日志审计等，保障数据摆渡的安全。

·   加强USB存储设备使用过程中的安全防护能力，规范公司办公人员对于U盘的使用流程，提供安全计算环境。

·   通过开展移动介质安全管控能力建设，实现主机USB外设端口现场使用的安全管控，实现操作过程的可审计、可追溯；完善终端安全防护，提高了业务系统的安全能力。

4、应用价值与效益

合规强化与风险降低：项目通过构建一套高效、智能的外设接口管控体系，实现了对电力监控系统终端主机外设接口的全面监控与统一管理，有效杜绝了违规外联、非法接入等潜在的安全风险，显著提升了系统的合规性。这种创新性的管控模式，不仅符合国家对电力监控系统网络安全的高标准要求，也为企业自身筑起了一道坚实的合规防线，降低了因安全违规而可能面临的法律风险和声誉损失。

成本控制与效率提升：在项目实施前，由于外设接口管理分散、手段落后，导致安全管控效率低下，且需投入大量人力进行日常巡检和故障排查。而项目通过引入先进的USB保护装置、接口管控代理等技术手段，实现了对外设接口的自动化、智能化管理，大大降低了人力成本和管理难度。同时，集中管控和统一审计的功能，也提高了安全事件的响应速度和处理效率，进一步降低了因安全事件导致的运营中断和损失，实现了成本控制与效率提升的双重目标。

价值创造与业务增值：项目的成功实施显著增强了电力监控系统的安全性，为企业的安全生产和供电服务奠定了坚实基础。同时，项目凭借其创新性和实用性，树立了行业建设标杆，其可复制性和推广性更为企业未来业务拓展提供了技术支持和经验借鉴，有效促进了价值创造与业务增长的良性循环。