电网内终端安全加固解决方案.pdfVIP

电力行业的终端信息安全现状

近年来，随着电力行业信息化的迅速发展，电力企业网络和各类信息化应用系统的建设已经逐步完

善，网络和信息安全防护措施逐渐成熟。电力行业的信息化已经从“建设时期”进入了“维护管理时

期”。如何使信息化“建设时期”的投入转化为企业真正的生产力，从而降低成本、提高效率，是当前电

力行业各企业普遍关心并努力解决的问题之一。

电力行业的内网结构复杂、应用系统众多，网络和应用系统的运维消耗了管理人员相当的精力。然而企业

内网和应用系统发生故障的原因很少是由于网络设备和应用系统自身的问题，更多的是因为企业内网的其

它安全因素导致，如病毒爆发、资源滥用、恶意接入、用户误操作等。而这些安全因素，则几乎全部来源

于用户终端计算机。因此，企业内网和应用系统的维护管理不是独立的，应该从内网安全管理的全局出

发，从事故发生的根源开始，对内网安全进行通盘考虑。

国家电网终端安全加固需求概述

对易部署易管理的需求

国家电网拥有27家省公司，24家直属单位，各分支机构具有终端规模大、分布范围广的特点。因此在部

署阶段终端安全加固产品需要提供技术手段促进系统部署，推进项目实施。此外，产品应该具有清晰的架

构、简单的逻辑，使各级管理员都能快速掌握。

对内网终端禁止违规外联的需求

为了保障内网的安全可靠，国家电网要求各省公司和直属单位内网终端禁止各种形式的违规外联行为，这

不只是一项重要的安全措施，同时也是国网安全评价的重要指标之一。

内外网终端弱口令检测的需求

由于一些不良的使用习惯，用户经常对电脑帐号不设密码或仅设置了弱密码，这为恶意行为提供了便利，

是重大的终端安全隐患。国网要求内外网终端均不能存在弱密码。

对提高桌面终端注册率的需求

国家电网要求内外网终端均处于有效的监管之下。

对提高防病毒软件安装率的需求

国家电网内外网统一部署企业级防病毒软件，确保防病毒软件安装率是防毒防黑的重要保障。

终端安全加固方案详述

启明星辰终端安全加固产品部署的经验表明，对终端的管理加固必须建立在一套切实可行的准

入控制体系之上，它能保证终端管理的有效性和持续性。另外，针对有大量终端的用户，准入

控制体系应该能主动推送客户端安装包，减少管理员的工作量，在日常运维过程中也能为终端

用户带来便利。在保证客户端覆盖率的基础上，启明星辰天珣产品可以通过相应的策略配置满

足国家电网终端安全加固需求。

部署快速高效、管理轻松灵活

依靠基于应用和网关的客户端推送技术协助用户自助安装客户端程序，能显著减少管理员的工作量，推动

项目快速实施。管理员可以通过使用预定义的或自己创建的模板，在配置页面引导下轻松的完成策略部

署。

若您选择使用硬件网关作为准入控制点，启明星辰还可提供透明桥模式接入或策略路由旁路式接入，尽最

大的努力减少对网络的改动。

内网终端主动控制非法外联行为

传统的被动探测外联行为然后采取补救措施的方式是存在漏洞的，在探测的间隙是存在外联的

时间窗口，看似很短的时间却足以让恶意程序完成它所需要的数据交互。主动外联控制通过拒

绝终端对非内网网段的访问可以有效防止外联行为产生。

启明星辰依靠自主研发的主机防火墙驱动，能够对所有可能接入终端的网卡，包括虚拟的

、PPPOE连接运行数据包过滤，稳定可靠的阻止终端的外联行为，彻底消除非法外联隐

患。

弱密码检测与主动修复

弱密码嗅探是几乎所有恶意攻击必有的步骤，获得弱密码是令黑客最兴奋的成