能源行業解決方案

一、行業概述

金瀚信安覆蓋電力、油化、煤炭等領域，能源行業作為國家關鍵基礎設施，金瀚信安時刻關注著能源行業各類安全發展態勢勢。不忘初心、專攻術業，從電力監控系統安全、電網安全、油化安全、煤炭安全生產等關鍵領域，助力能源行業網絡安全建設、提供安全運營解決方案。

二、行業安全挑戰

省分公司本部核心服務器區邊界無任何防護設備，一旦網絡中任意區域終端中毒，極易隨網絡轉播至服務器，受到感染。

省分公司本部安全運維區缺乏統一的安全監控運維系統，不能對本部及下聯網點網絡做到多方面監控和防護工作。

省分公司本部上聯集團公司邊界網絡，沒有任何安全檢測和防護設備，不能防御來自上聯網絡的威脅流量。

各地州市加油站和油庫子網與當地辦公網絡之間均無隔離防護設備，極易導致病毒傳播。

三、方案介紹

● 安全運維區部署威脅感知系統

在省分公司本部核心交換區的核心交換機側，旁路部署天眼威脅態勢感知平臺，該平臺由流量傳感器和分析平臺構成，核心交換機將全網流量以鏡像方式發送至流量傳感器，又稱“探針”(如圖)，由探針對網絡流量進行分析，生成流量日志和告警日志，并轉發到分析平臺，分析平臺結合云端威脅情報庫對日志信息進行大數據級的分析和研判，結合安服技術人員對威脅進行精準定位溯源等工作。

● 安全運維區部署防火墻集中管理平臺、日志審計、漏洞掃描、堡壘機

在省分公司本部安全運維區部署相關運維設備：防火墻集中管理平臺對省分公司本部及全省地市防火墻設備實現統一運維管理、統一監測監控。日志審計系統集中收集管理內網各類網絡設備、數據庫、服務器、操作系統等日志信息。漏洞掃描系統定期對網絡內設備系統執行漏洞掃描、基線檢測、弱口令排查等檢查工作。堡壘機規范網絡管理員運維管理工作，實現運維操作有管控、有備案、可審計的安全規范。

● 核心服務器區邊界部署防火墻

在省分公司本部核心服務器區到核心交換區之間部署2臺數據中心級防火墻，防火墻采用雙機主備模式部署，既起到對終端至服務器的業務流量策略管控，又具備冗余鏈路的高可用性。整體提高了核心服務器區域的安全性和可靠性。

● 核心服務器區虛擬化平臺部署虛擬化安全管理系統

在省分公司本部虛擬化平臺部署虛擬化安全管理系統，包含防病毒、防火墻、入侵防御、Webshall檢測四大安全功能。用于解決虛擬化環境下的宿主機、虛擬機、虛擬機應用的安全問題，起到虛擬化環境下東西流量的安全防護。

● 上聯集團公司網絡邊界部署入侵防御系統

在省分公司本部核心交換區至集團公司的網絡邊界處串聯部署2臺入侵防御系統，對來自集團公司外網的網絡流量進行檢測和防御。

● 下聯地州市加油站、油庫部署邊界防火墻

在各地州市加油站、油庫部署防火墻，防火墻位于當地匯聚交換機與生產環境之間。起到有效防護生產環境到辦公網絡的邊界安全，放行業務流量，阻止無關流量、阻擋威脅流量。

四、方案價值

● 區域邊界邏輯隔離，網絡流量安全管控；

● 完善安全運維機制，合理合規安全保障；

● 全網流量威脅分析，威脅態勢隨時感知；

● 邊界防護統一管控，協同聯動高效防護；

● 統一安全管理能力，降低企業維護成本。