罗安满，蔡 铮

(中核核电运行管理有限公司，浙江 海盐 314300)

推动数字化转型、推进两化融合、落实秦山核电网络安全和信息化战略及规划工作是新时期企业生存和发展的必然选择。习近平总书记强调，“没有网络安全就没有国家安全，没有信息化就没有现代化”，近几年以来，中国核电以习近平总书记网络强国战略思想为指引，严格按照能源局、公安部等国家部委以及集团公司相关要求做好网络安全工作。早在2019年，美国商务部工业和安全局把华为公司加入实体清单，高通、英伟达、因特尔等公司也陆续终止与华为的一些商业往来业务，从芯片到系统到架构再到技术标准，美国对华为实行由浅入深的围追堵截策略，中美的信息产业竖起了一道高高的柏林墙，面对美国对中国发动科技战的新局势，国产化信息技术应用创新十分必要，创新发展国产化软硬件信息技术，提升网络与信息安全的技术防护能力，已经成为了核电站数字化转型的关键。网络安全等级保护2.0体系确定了网络安全保护的范围，重点强化计算机技术使用阶段的安全性，秦山核电在网络信息系统建设过程中逐步引入新型技术，大数据、物联网、云计算等新一代信息技术逐步兴起，移动互联网技术也运用在一些新的信息系统建设中，并且呈现越来越广泛的推广与应用的趋势，伴随新技术而来的是越来越多新型终端接入内网的需求，给终端安全监督管理工作带来了非常大的挑战，亟需建立贯穿终端资产全生命周期的闭环智能管控体系，对企业内网终端进行一体化安全管控，形成一套行之有效的终端安全监督管理办法，及时发现并主动防御各类潜在的或正在发生的终端安全问题，以满足在登保2.0时代的终端安全可信计算要求。

1 秦山核电内网终端存在的安全问题与分析

秦山核电从2014年开始一体化改革，内网办公终端安全的管理向统一管理过渡，由于建设时间和业务管理模式不同，合并前各单位的网络架构存在很大差异，开始统一管理之后，内网终端的一些安全问题也逐渐显现出来，主要体现在以下方面：1)接入内网的终端设备台账不清晰；2)终端操作系统补丁分发与修复遇到技术难题；3)未授权的终端设备接入内网的时候遇到管理问题；4)员工在内网终端上使用U盘带来安全风险；5)内网终端设备非法外联的问题；6)内网终端频繁感染勒索病毒的问题;7)内网终端设备安装非标准软件造成的恶意网址访问；8)部分终端不能准确定位所在的位置；9)日常监督和管理技术手段不能覆盖到所有的内网终端；10)各种物联网终端和智能移动终端接入带来的合规性管理问题。存在的问题与原因归纳如图1所示。

图1 存在的问题与原因分析Fig.1 Problem and cause analysis

分析问题产生的根本原因，一方面存在管理执行力不够的因素，另一方面也归咎于现有的技术措施不足以满足管理上的信息化水平。以接入内网的终端设备台账不清晰来说，秦山核电改革前，三个电厂各自负责终端发放，终端台账记录的字段各不一样，台账信息完整程度也标准不一，合并之后难免存在实物与台账不一致的情况，这样就导致了通过台账来跟踪内网终端的方法在实际工作中行不通；虽然内网部署了准入控制系统，终端需要在准入控制系统中注册后才允许入网，但是注册的信息比较少，无法满足精细化管理的要求。没有完整的内网终端台账，在分发操作系统补丁的时候无法指定准确的策略，导致很多漏洞不能按时修复。没有完整的内网终端台账，当有未授权的终端设备接入内网时，终端安全监督管理人员无法及时进行分辨和阻止，这样会带来一些安全风险，比如在一些重要时期网络安全保障期间，社会工程攻击人员潜入厂区把攻击电脑接入内网开展近源渗透测试活动，如果不及时发现攻击源，极大的增加了网络被攻击的危险程度。秦山核电厂区面积大，网络四通八达，终端设备覆盖面宽广且终端类型比较复杂，员工在终端安全意识方面的认识还有待加强，与终端相关的业务办理流程不能较好的支撑用户的需求，诸多原因叠加在一起，使得内网终端安全监督管理成了一项比较难的工作。

2 秦山核电终端安全监督管理工作主要做法

终端安全监督管理作为内网网络安全监督管理工作的重要组成部分，秦山核电围绕内网终端安全治理工作方面进行了大量的改进，通过开展管理制度升版、标准化业务流程以及终端安全监督与管理常态化等一系列行动，以不影响用户使用终端办公的正常需求同时实现有效避免终端发生网络安全问题为目标，取得了比较好的效果。

2.1 升版秦山核电内网终端使用安全相关的管理程序

管理程序以及工作细则有助于规范相应工作程序和提升工作效率，秦山核电有专门的管理程序来规范员工合理、安全使用秦山核电的信息资产，避免和预防网络安全违规行为的发生。对相关管理程序的内容进行升版，范围包括信息交换与移动存储介质使用、系统账号安全要求、终端使用安全要求、数据和文件安全要求、终端报废安全要求以及网络安全事件管理等，能够覆盖终端使用的全生命周期过程。员工在日常使用终端的工程中，习惯性的会出现不符合管理程序要求的操作行为，为了预防终端相关习惯性违章行为，提炼了12条网络安全违章行为以及制定网络安全违章行为处罚办法，违章处罚办法纳入到安全质量环保考核与问责管理，形成完整的制度管理文件，依据管理程序，终端安全监督管理过程形成完整的闭环管理。

2.2 标准化终端相关网络安全业务流程

根据秦山核电的工作特点，全体员工在使用办公终端过程中，主要涉及的业务流程包括终端设备申请、终端入网申请、移动存储介质使用申请、病毒监测申请、终端安全策略调整申请、特殊软件安装申请、终端问题报修以及终端报废申请流程，在2020年积极践行“五个一助推新速度”理念执行力提升专项工作中，完成了各业务流程标准化梳理，整合在同一个电子化流程平台，简化业务流程的审批过程。电子流程能够覆盖用户的各种终端相关业务需求，保障用户在使用终端过程中不会遇到困难，终端授权接入、移动存储介质使用以及软件安装等一些关键的监督点能够通过标准流程进行控制，通过合规性流程管控手段将潜在的网络安全风险点进行化解，大大增加了用户满意度和监督管理工作配合程度。

2.3 建立责任人制度和入网许可证制度

借鉴电信行业手机入网许可证办法和安徽省规范化管理电工进网作业实行电力许可证管理的经验，秦山核电对需要接入内网的终端创新性建立了入网许可证制度，申请接入内网的终端设备，经过核查符合入网条件的，按照准入流程，完成终端设备实名登记，颁发一张入网许可证，粘贴在终端设备机身明显位置。入网许可证赋予了特殊管理含义，并且针对于内网终端和外网终端进行了区分，在日常进行终端现场核查时，根据入网许可证即可初步判定该终端是否为合规接入内网网络；入网许可证同时具备终端安全提醒的功能，通过文字方式提醒终端使用需要注意的事项，发挥终端安全提醒的功能。参考核电站设备管理工作经验，在终端安全监督管理中强化了责任人的概念，员工申请办公终端后，在使用过程中出现网络安全违章行为或网络安全事件，需要承担相应的责任，负责确保终端是按照管理程序要求规范使用。

2.4 部署终端安全管理软件和防病毒软件

终端感染病毒和信息泄露给内网网络安全带来了严重的危害，在内网终端部署终端安全管理软件，统一按照终端安全基线下发终端策略进行终端安全加固，在线收集终端的软件及硬件信息，实现终端在接入内网时的安全准入控制，监控和中断非法外联网络行为，对移动存储介质使用进行监督管理，防止数据泄露，记录和审计终端上的网络行为以及远程控制桌面，通过技术手段实现对终端的远程控制管理的目的；内网Windows操作系统终端需要安装防病毒软件，这是一项强制策略，定期自动更新病毒库和防病毒软件，确保病毒库与杀毒组件都是最新版本，及时对终端进行病毒查杀与漏洞的修复，提供安全保护及防御功能，全面为用户提供网络安全保障，构建立体防护网，在内网打造安全的计算环境。

2.5 开发信息化网络安全监督管理平台

信息化是推动安全监督管理精细化、规范化、标准化的技术保障，信息化管理方式能够很大程度上提高网络安全监督管理的工作效率。秦山核电结合日常网络安全监督管理工作需求与事件处置程序，开发了一套网络安全监督管理系统，如图2所示，融合日常网络安全监督管理工作方法，设置基础数据、数据填报、工作管理、指标管理等模块。将终端信息纳入到基础数据进行管理，建立终端信息数据填报与采集规范，逐步的完善台账数据。使用数据填报模块记录终端监督管理工作中的一些关键数据，通过指标管理模块形成可视化的指标报表，实时了解当前内网终端的网络安全指标趋势，及时研判并采取响应措施，变被动监管为主动监管。

2.6 部署开展日常终端安全监督计划与员工网络安全意识培训

在日常网络安全监督工作中，针对于终端安全分别按照每天、每月、每季度为频度制定了相应的安全监督管理计划。其中按天为频度进行的监督项目包括系统漏洞、异常流量、病毒感染、移动U盘、违规外联以及信息泄露，如果发现异常情况，则通过开发网络安全监测预警处置单的形式启动处置流程，根据异常的严重和紧急程度制定行动项，以最快的速度尽早进入干预，减弱异常带来的影响；按月为频度开展的工作主要有移动存储介质使用情况抽检和终端现场核查，对秦山核电所有处室逐个进行检查，一方面通过这种形式的网络安全监督管理工作及时发现终端的异常问题，另一方面也能起到提醒广大员工的作用，让员工知道秦山核电有终端安全检查这样的一件工作，日常要注意终端安全；而员工网络安全意识培训则是按季度进行，通过滚动培训达到提供全体员工网络安全意识水平的效果。

2.7 开发病毒检测工作台，常态化开展计算机病毒检测

网络木马病毒样本数量和破坏力都呈迅速上涨趋势，随着各种类型的移动存储介质被广泛使用，移动存储介质逐渐成为了病毒传播的主要渠道。通过移动存储介质传播病毒程序，造成信息泄露和经济损失的案例屡屡发生，造成的后果触目惊心。尤其各种勒索病毒变种层出不穷，企业内网终端安全防护形势日益严重。秦山核电常年接入管理网的电脑在8000台左右，因为业务需要使用移动介质的情况无法避免，因此，专门开发了用于移动存储介质病毒检测工作台，为业务用户提供移动存储介质病毒检测服务和病毒检测技术支持，提前识别移动存储介质中的病毒程序，将移动存储介质潜在的网络安全风险降到足够低，为业务用户顺利开展工作提高保驾护航，即节约了检测成本，同时也提高了病毒检测工作的效率。

3 实施效果

在秦山核电范围开展企业内网计算机及智能终端安全治理工作，秦山核电整体终端安全态势有极大的好转，采用管理措施与技术措施相结合的方式，总结出了一套适合于企业自身工作特点的终端安全监督管理办法，既能够实现用户关于终端的使用需求，满足相应的工作场景，又能够完成公司规定的网络安全监督管理目标，员工终端安全意识普遍有所提高，员工愿意配合开展网络安全监督工作，网络安全监督工作的氛围极大改善，秦山核电网络安全指标平稳运行，杜绝了终端感染勒索病毒等网络安全事件，在制度、流程、指标以及各种工具的配合下，目前秦山核电基本实现了有序的引导终端入网以及逐步形成了从采购、配发、使用到退回等各个环节的终端安全全方位管控，维护秦山核电整体终端安全。