秦山核電終端安全監督管理工作探索與實踐

羅安滿，蔡 錚

(中核核電運行管理有限公司，浙江 海鹽 314300)

推動數字化轉型、推進兩化融合、落實秦山核電網絡安全和信息化戰略及規劃工作是新時期企業生存和發展的必然選擇。習近平總書記強調，“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化”，近幾年以來，中國核電以習近平總書記網絡強國戰略思想為指引，嚴格按照能源局、公安部等國家部委以及集團公司相關要求做好網絡安全工作。早在2019年，美國商務部工業和安全局把華為公司加入實體清單，高通、英偉達、因特爾等公司也陸續終止與華為的一些商業往來業務，從芯片到系統到架構再到技術標準，美國對華為實行由淺入深的圍追堵截策略，中美的信息產業豎起了一道高高的柏林墻，面對美國對中國發動科技戰的新局勢，國產化信息技術應用創新十分必要，創新發展國產化軟硬件信息技術，提升網絡與信息安全的技術防護能力，已經成為了核電站數字化轉型的關鍵。網絡安全等級保護2.0體系確定了網絡安全保護的范圍，重點強化計算機技術使用階段的安全性，秦山核電在網絡信息系統建設過程中逐步引入新型技術，大數據、物聯網、云計算等新一代信息技術逐步興起，移動互聯網技術也運用在一些新的信息系統建設中，并且呈現越來越廣泛的推廣與應用的趨勢，伴隨新技術而來的是越來越多新型終端接入內網的需求，給終端安全監督管理工作帶來了非常大的挑戰，亟需建立貫穿終端資產全生命周期的閉環智能管控體系，對企業內網終端進行一體化安全管控，形成一套行之有效的終端安全監督管理辦法，及時發現并主動防御各類潛在的或正在發生的終端安全問題，以滿足在登保2.0時代的終端安全可信計算要求。

1 秦山核電內網終端存在的安全問題與分析

秦山核電從2014年開始一體化改革，內網辦公終端安全的管理向統一管理過渡，由于建設時間和業務管理模式不同，合并前各單位的網絡架構存在很大差異，開始統一管理之后，內網終端的一些安全問題也逐漸顯現出來，主要體現在以下方面：1)接入內網的終端設備臺賬不清晰；2)終端操作系統補丁分發與修復遇到技術難題；3)未授權的終端設備接入內網的時候遇到管理問題；4)員工在內網終端上使用U盤帶來安全風險；5)內網終端設備非法外聯的問題；6)內網終端頻繁感染勒索病毒的問題;7)內網終端設備安裝非標準軟件造成的惡意網址訪問；8)部分終端不能準確定位所在的位置；9)日常監督和管理技術手段不能覆蓋到所有的內網終端；10)各種物聯網終端和智能移動終端接入帶來的合規性管理問題。存在的問題與原因歸納如圖1所示。

圖1 存在的問題與原因分析Fig.1 Problem and cause analysis

分析問題產生的根本原因，一方面存在管理執行力不夠的因素，另一方面也歸咎于現有的技術措施不足以滿足管理上的信息化水平。以接入內網的終端設備臺賬不清晰來說，秦山核電改革前，三個電廠各自負責終端發放，終端臺賬記錄的字段各不一樣，臺賬信息完整程度也標準不一，合并之后難免存在實物與臺賬不一致的情況，這樣就導致了通過臺賬來跟蹤內網終端的方法在實際工作中行不通；雖然內網部署了準入控制系統，終端需要在準入控制系統中注冊后才允許入網，但是注冊的信息比較少，無法滿足精細化管理的要求。沒有完整的內網終端臺賬，在分發操作系統補丁的時候無法指定準確的策略，導致很多漏洞不能按時修復。沒有完整的內網終端臺賬，當有未授權的終端設備接入內網時，終端安全監督管理人員無法及時進行分辨和阻止，這樣會帶來一些安全風險，比如在一些重要時期網絡安全保障期間，社會工程攻擊人員潛入廠區把攻擊電腦接入內網開展近源滲透測試活動，如果不及時發現攻擊源，極大的增加了網絡被攻擊的危險程度。秦山核電廠區面積大，網絡四通八達，終端設備覆蓋面寬廣且終端類型比較復雜，員工在終端安全意識方面的認識還有待加強，與終端相關的業務辦理流程不能較好的支撐用戶的需求，諸多原因疊加在一起，使得內網終端安全監督管理成了一項比較難的工作。

2 秦山核電終端安全監督管理工作主要做法

終端安全監督管理作為內網網絡安全監督管理工作的重要組成部分，秦山核電圍繞內網終端安全治理工作方面進行了大量的改進，通過開展管理制度升版、標準化業務流程以及終端安全監督與管理常態化等一系列行動，以不影響用戶使用終端辦公的正常需求同時實現有效避免終端發生網絡安全問題為目標，取得了比較好的效果。

2.1 升版秦山核電內網終端使用安全相關的管理程序

管理程序以及工作細則有助于規范相應工作程序和提升工作效率，秦山核電有專門的管理程序來規范員工合理、安全使用秦山核電的信息資產，避免和預防網絡安全違規行為的發生。對相關管理程序的內容進行升版，范圍包括信息交換與移動存儲介質使用、系統賬號安全要求、終端使用安全要求、數據和文件安全要求、終端報廢安全要求以及網絡安全事件管理等，能夠覆蓋終端使用的全生命周期過程。員工在日常使用終端的工程中，習慣性的會出現不符合管理程序要求的操作行為，為了預防終端相關習慣性違章行為，提煉了12條網絡安全違章行為以及制定網絡安全違章行為處罰辦法，違章處罰辦法納入到安全質量環保考核與問責管理，形成完整的制度管理文件，依據管理程序，終端安全監督管理過程形成完整的閉環管理。

2.2 標準化終端相關網絡安全業務流程

根據秦山核電的工作特點，全體員工在使用辦公終端過程中，主要涉及的業務流程包括終端設備申請、終端入網申請、移動存儲介質使用申請、病毒監測申請、終端安全策略調整申請、特殊軟件安裝申請、終端問題報修以及終端報廢申請流程，在2020年積極踐行“五個一助推新速度”理念執行力提升專項工作中，完成了各業務流程標準化梳理，整合在同一個電子化流程平臺，簡化業務流程的審批過程。電子流程能夠覆蓋用戶的各種終端相關業務需求，保障用戶在使用終端過程中不會遇到困難，終端授權接入、移動存儲介質使用以及軟件安裝等一些關鍵的監督點能夠通過標準流程進行控制，通過合規性流程管控手段將潛在的網絡安全風險點進行化解，大大增加了用戶滿意度和監督管理工作配合程度。

2.3 建立責任人制度和入網許可證制度

借鑒電信行業手機入網許可證辦法和安徽省規范化管理電工進網作業實行電力許可證管理的經驗，秦山核電對需要接入內網的終端創新性建立了入網許可證制度，申請接入內網的終端設備，經過核查符合入網條件的，按照準入流程，完成終端設備實名登記，頒發一張入網許可證，粘貼在終端設備機身明顯位置。入網許可證賦予了特殊管理含義，并且針對于內網終端和外網終端進行了區分，在日常進行終端現場核查時，根據入網許可證即可初步判定該終端是否為合規接入內網網絡；入網許可證同時具備終端安全提醒的功能，通過文字方式提醒終端使用需要注意的事項，發揮終端安全提醒的功能。參考核電站設備管理工作經驗，在終端安全監督管理中強化了責任人的概念，員工申請辦公終端后，在使用過程中出現網絡安全違章行為或網絡安全事件，需要承擔相應的責任，負責確保終端是按照管理程序要求規范使用。

2.4 部署終端安全管理軟件和防病毒軟件

終端感染病毒和信息泄露給內網網絡安全帶來了嚴重的危害，在內網終端部署終端安全管理軟件，統一按照終端安全基線下發終端策略進行終端安全加固，在線收集終端的軟件及硬件信息，實現終端在接入內網時的安全準入控制，監控和中斷非法外聯網絡行為，對移動存儲介質使用進行監督管理，防止數據泄露，記錄和審計終端上的網絡行為以及遠程控制桌面，通過技術手段實現對終端的遠程控制管理的目的；內網Windows操作系統終端需要安裝防病毒軟件，這是一項強制策略，定期自動更新病毒庫和防病毒軟件，確保病毒庫與殺毒組件都是最新版本，及時對終端進行病毒查殺與漏洞的修復，提供安全保護及防御功能，全面為用戶提供網絡安全保障，構建立體防護網，在內網打造安全的計算環境。

2.5 開發信息化網絡安全監督管理平臺

信息化是推動安全監督管理精細化、規范化、標準化的技術保障，信息化管理方式能夠很大程度上提高網絡安全監督管理的工作效率。秦山核電結合日常網絡安全監督管理工作需求與事件處置程序，開發了一套網絡安全監督管理系統，如圖2所示，融合日常網絡安全監督管理工作方法，設置基礎數據、數據填報、工作管理、指標管理等模塊。將終端信息納入到基礎數據進行管理，建立終端信息數據填報與采集規范，逐步的完善臺賬數據。使用數據填報模塊記錄終端監督管理工作中的一些關鍵數據，通過指標管理模塊形成可視化的指標報表，實時了解當前內網終端的網絡安全指標趨勢，及時研判并采取響應措施，變被動監管為主動監管。

2.6 部署開展日常終端安全監督計劃與員工網絡安全意識培訓

在日常網絡安全監督工作中，針對于終端安全分別按照每天、每月、每季度為頻度制定了相應的安全監督管理計劃。其中按天為頻度進行的監督項目包括系統漏洞、異常流量、病毒感染、移動U盤、違規外聯以及信息泄露，如果發現異常情況，則通過開發網絡安全監測預警處置單的形式啟動處置流程，根據異常的嚴重和緊急程度制定行動項，以最快的速度盡早進入干預，減弱異常帶來的影響；按月為頻度開展的工作主要有移動存儲介質使用情況抽檢和終端現場核查，對秦山核電所有處室逐個進行檢查，一方面通過這種形式的網絡安全監督管理工作及時發現終端的異常問題，另一方面也能起到提醒廣大員工的作用，讓員工知道秦山核電有終端安全檢查這樣的一件工作，日常要注意終端安全；而員工網絡安全意識培訓則是按季度進行，通過滾動培訓達到提供全體員工網絡安全意識水平的效果。

2.7 開發病毒檢測工作臺，常態化開展計算機病毒檢測

網絡木馬病毒樣本數量和破壞力都呈迅速上漲趨勢，隨著各種類型的移動存儲介質被廣泛使用，移動存儲介質逐漸成為了病毒傳播的主要渠道。通過移動存儲介質傳播病毒程序，造成信息泄露和經濟損失的案例屢屢發生，造成的后果觸目驚心。尤其各種勒索病毒變種層出不窮，企業內網終端安全防護形勢日益嚴重。秦山核電常年接入管理網的電腦在8000臺左右，因為業務需要使用移動介質的情況無法避免，因此，專門開發了用于移動存儲介質病毒檢測工作臺，為業務用戶提供移動存儲介質病毒檢測服務和病毒檢測技術支持，提前識別移動存儲介質中的病毒程序，將移動存儲介質潛在的網絡安全風險降到足夠低，為業務用戶順利開展工作提高保駕護航，即節約了檢測成本，同時也提高了病毒檢測工作的效率。

3 實施效果

在秦山核電范圍開展企業內網計算機及智能終端安全治理工作，秦山核電整體終端安全態勢有極大的好轉，采用管理措施與技術措施相結合的方式，總結出了一套適合于企業自身工作特點的終端安全監督管理辦法，既能夠實現用戶關于終端的使用需求，滿足相應的工作場景，又能夠完成公司規定的網絡安全監督管理目標，員工終端安全意識普遍有所提高，員工愿意配合開展網絡安全監督工作，網絡安全監督工作的氛圍極大改善，秦山核電網絡安全指標平穩運行，杜絕了終端感染勒索病毒等網絡安全事件，在制度、流程、指標以及各種工具的配合下，目前秦山核電基本實現了有序的引導終端入網以及逐步形成了從采購、配發、使用到退回等各個環節的終端安全全方位管控，維護秦山核電整體終端安全。