能源行业解决方案

一、行业概述

金瀚信安覆盖电力、油化、煤炭等领域，能源行业作为国家关键基础设施，金瀚信安时刻关注着能源行业各类安全发展态势势。不忘初心、专攻术业，从电力监控系统安全、电网安全、油化安全、煤炭安全生产等关键领域，助力能源行业网络安全建设、提供安全运营解决方案。

二、行业安全挑战

省分公司本部核心服务器区边界无任何防护设备，一旦网络中任意区域终端中毒，极易随网络转播至服务器，受到感染。

省分公司本部安全运维区缺乏统一的安全监控运维系统，不能对本部及下联网点网络做到多方面监控和防护工作。

省分公司本部上联集团公司边界网络，没有任何安全检测和防护设备，不能防御来自上联网络的威胁流量。

各地州市加油站和油库子网与当地办公网络之间均无隔离防护设备，极易导致病毒传播。

三、方案介绍

● 安全运维区部署威胁感知系统

在省分公司本部核心交换区的核心交换机侧，旁路部署天眼威胁态势感知平台，该平台由流量传感器和分析平台构成，核心交换机将全网流量以镜像方式发送至流量传感器，又称“探针”(如图)，由探针对网络流量进行分析，生成流量日志和告警日志，并转发到分析平台，分析平台结合云端威胁情报库对日志信息进行大数据级的分析和研判，结合安服技术人员对威胁进行精准定位溯源等工作。

● 安全运维区部署防火墙集中管理平台、日志审计、漏洞扫描、堡垒机

在省分公司本部安全运维区部署相关运维设备：防火墙集中管理平台对省分公司本部及全省地市防火墙设备实现统一运维管理、统一监测监控。日志审计系统集中收集管理内网各类网络设备、数据库、服务器、操作系统等日志信息。漏洞扫描系统定期对网络内设备系统执行漏洞扫描、基线检测、弱口令排查等检查工作。堡垒机规范网络管理员运维管理工作，实现运维操作有管控、有备案、可审计的安全规范。

● 核心服务器区边界部署防火墙

在省分公司本部核心服务器区到核心交换区之间部署2台数据中心级防火墙，防火墙采用双机主备模式部署，既起到对终端至服务器的业务流量策略管控，又具备冗余链路的高可用性。整体提高了核心服务器区域的安全性和可靠性。

● 核心服务器区虚拟化平台部署虚拟化安全管理系统

在省分公司本部虚拟化平台部署虚拟化安全管理系统，包含防病毒、防火墙、入侵防御、Webshall检测四大安全功能。用于解决虚拟化环境下的宿主机、虚拟机、虚拟机应用的安全问题，起到虚拟化环境下东西流量的安全防护。

● 上联集团公司网络边界部署入侵防御系统

在省分公司本部核心交换区至集团公司的网络边界处串联部署2台入侵防御系统，对来自集团公司外网的网络流量进行检测和防御。

● 下联地州市加油站、油库部署边界防火墙

在各地州市加油站、油库部署防火墙，防火墙位于当地汇聚交换机与生产环境之间。起到有效防护生产环境到办公网络的边界安全，放行业务流量，阻止无关流量、阻挡威胁流量。

四、方案价值

● 区域边界逻辑隔离，网络流量安全管控；

● 完善安全运维机制，合理合规安全保障；

● 全网流量威胁分析，威胁态势随时感知；

● 边界防护统一管控，协同联动高效防护；

● 统一安全管理能力，降低企业维护成本。