1前言  

为了营造安全可靠的工控网络安全环境，相关企业已在网络与主机的审计及防护方面采用了多种安全手段。如部署堡垒机或者防火墙设备，进行人员认证和操作审计。尽管这些举措取得了显著的成效，但其缺陷也日渐明显。 

大规模工控现场系统和设备多而复杂，以安全作为前提，隔离能有效隔离作业环境中的危险源，对于作业活动的安全开展至关重要，错误隔离事件带来的安全风险是相当大的。隔离执行的责任方必须秉持“安全第一”的原则，在隔离活动的各个环节严格把关，同时不断对现场隔离执行进行开展管理巡视、独立监督检查和隔离执行的自我评估，不断提升隔离执行的绩效。

由此可以看出，在现场管控运维操作是保障工控信息安全不可或缺的环节。为达到对现场运维操作的有效管控，至少应解决如下几个问题： 

1.对运维操作过程全程监控并录制操作视频以供回放，解决因缺少访问控制措施（如防火墙）及运维审计所带来的问题； 
      2.对移动介质进行防病毒处理，由于大多数工控主机并未安装防病毒软件，因而无法查杀移动介质自带的病毒； 
      3.为避免将恶意代码带入工控系统，需要对移动介质数据通过摆渡进行操作； 
      4.解决外来笔记本直接接入所导致的安全隐患； 
      5.解决运维操作过程中各环节隔离活动的不确定性，需要对隔离操作的各个环境进行监控和引导，识别设备错误状态，监控隔执行。 

电力监控系统便携式运维网关基于以上需求并结合现场运维的实际情况进行安全有效地管控，大大降低了工控系统现场运维风险， 保障了工控设备资产的安全。

2电力监控系统便携式运维网关 

电力监控系统便携式运维网关（以下简称便携式运维网关）是一种运维安全边界设备，通过串接在运维终端与被运维对象之间，配合USBKey使用，将工作班成员、运维工具等外部要素与被运维对象等内部要素进行隔离，并对工作班成员的敏感操作、违规行为和运维工具的运行风险进行实时监督管控，防止外部网络攻击、恶意代码、违规操作等行为等破坏内部系统。同时，对运维工作全过程进行日志、屏幕录像、通信报文等多维度记录，实现内部系统运维工作事前有防范、事中有监督、事后有审计的目标。

本章主要介绍便携式运维网关的产品架构、功能、型号、特点等信息，包含以下主题：

• 产品架构 
• 产品部署 
• 产品功能 
• 产品特点

2.1 产品架构

运维工作开始前，根据被运维对象接口类型，采用不同的线缆（网线、RS232串口线、USB线、HDMI视频线）将便携式运维网关串接在运维终端与被运维对象之间。通过账号口令、生物特征在便携式运维网关上完成工作负责人身份认证；通过USBKey完成运维终端设备认证。运维工作过程中，便携式运维网关对通信报文进行实时解析，对可能存在的风险行为进行管控，包括违规外联、高风险操作指令、攻击行为、恶意代码等。同时，便携式运维网关对运维工作进行全过程记录，包括操作画面图像、文件传输、通信报文、风险管控及接口使用等。

便携式运维网关由手持式专用硬件构成，作为运维笔记本进入被运维系统进行运维检修工作的“门闸”，对整个运维检修过程进行安全管控。支持串口、网络接口、USB和KVM等多种运维方式，满足不同运维场景需求。

接入侧由安全专用密盾USB key构成，内置运维终端管控软件和数字证书，管控软件具备违规外联检测、屏幕录制等功能，并支持录屏文件实时存放在便携式运维网关中，当使用串行接口运维模式时，录屏文件应通过网络接口实时存放在便携式运维网关装置上；内置客户端软件适配常用Windows、 Linux系统。

2.2 产品部署

2.2.1 部署场景

便携式运维网关支持5种运维方式，满足多种现场运维场景下安全运维需求，支持运维方式包括：

1. 支持KVM运维方式，支持通过视频线、USB线连接被运维对象获取并显示被运维对象桌面信息，通过设备触摸屏或键鼠实现简单运维操作

2. 支持USB接口运维模式，支持USB映射功能，设备通过USB连线串接在外部移动存储介质与被运维对象之间，实现被运维对象对外部移动存储介质的读写操作

3. 支持网络接口运维模式，支持运维时所用协议的通信转发。针对SSH、Telnet、SFTP、FTP协议进行实时解析，以透明代理方式识别操作指令和传输文件

4. 支持串行接口运维方式，支持通过RS232串行接口方式串接在运维终端与被运维对象之间，对通信进行实时解析，并识别操作指令

5. 支持USB key内置客户端运维方式，客户端软件应具备违规外联检测、屏幕录制等功能。客户端支持linux、windows 操作系统

2.2.2 作业流程

一次典型的运维工作流程如下：

1. 运维工单生成后，由管理员在安全运维装置上创建好本次运维作业的任务，配置好相应的运维规则，将此次运维权限限制在最小操作权限范围内。

2. 运维负责人申领装置和密盾后与检修人员抵达作业现场。将安全运维装置接入目标系统，同时将安全专用密盾接入调试计算机，现场执行检修运维任务。装置会对整个运维过程的设备环境和操作指令进行监控审计，对危险操作及时阻断，并全程记录操作过程。

3. 在运维工作完成后将装置与密盾交还。审计员将对运维数据进行有效归档处理和审核，本次检修任务结束。

2.3 产品功能

2.3.1 认证和权限管理

系统支持静态口令、生物特征信息、USBKEY等多种方式实现人员认证，系统账号基于角色划分权限，分为系统管理员、工作负责人和审计管理员等不同角色权限，并遵循三权分立和最小权限原则。

2.3.2 支持多种接入管控方式

现场运维工作时，安全运维装置串接在运维终端与被运维对象之间，通过USBKey对运维终端进行安全认证。支持USBKEY终端接入、装置上直接KVM运维、网络接口接入、串口接入、USB口接入等多种场景下的接入管控。涵盖了SSH、Telnet、SFTP、FTP、SCP、 Q/GDW273、DL/T634.5104、DL/T860、Modbus（串口、网口）、 XDMCP、vnc、DL/T634.5101、DL/T634.5103、RDP、TCP、UDP 协议、 RS232 等多种协议的运维管控。

2.3.3 运维过程中的风险管控

能够对运维操作过程中可能存在的风险进行管控，具体包括违规外联阻断、高风险指令阻断、攻击行为阻断、恶意代码查杀，以及二次授权等功能。

1.违规外联阻断：安全密盾将实时监测运维接入电脑的外设状态，包括USB 端口以及其他网卡等，如USB或网卡接口存在使用功能，即刻进行报警处理，并针对USB端口进行屏蔽，防止在运维过程中，接入电脑的文件拷贝行为以及上网行为，有效遏制病毒入侵的潜在可能。
       2.高风险指令阻断：支持对高风险操作指令和控制类指令进行申请确认，根据确认结果进行指令阻断。
       3.攻击行为阻断：运维终端能够及时识别DoS攻击、恶意端口扫描、高危端口 通信等攻击行为，并支持对攻击行为阻断。
       4.恶意代码查杀：针对工控系统的自身特点，尤其是一些工控设备不自带防病 毒软件的现状，安全专用密盾集成了恶意代码检查功能。它主要对接入工控系统来进行运维的厂家电脑以及需要进行下装的工程文件进行恶意代码检查，防范病毒感染。同时，支持FTP、SFTP、SCP、移动存储介质、DL/T634.5104和DL/T 860 等文件传输过程中的恶意代码查杀，对疑似恶意代码文件进行自动隔离、告警并支持对恶意代码特征库进行升级更新。
       5.二次授权：支持控制类指令、现场渗透、恶意代码文件、拷出文件、 USBKey 旁路模式、高危端口通信等场景下的二次授权，授权应支持静态口令、生物特征等认证方式。

2.3.4 运维过程审计记录

支持保留运维过程中权限认证、文件传输、屏幕及图像、通信报文、风险管控、接口使用等记录，并提供回放溯源的能力，同时，记录文件将有效地进行归档保存，并支持快速查询。

2.3.5 支持与日志、告警平台的对接

支持将运维过程中产生的日志、告警信息上传至第三方日志管理、安全管理等平台。

2.4 产品特点

2.4.1 广泛适用各种现场运维场景

贴合实际运维场景下的使用习惯，涵盖串口、网口、自带运维笔记本、键鼠直接运维、紧急运维等9种常见场景下的运维需要，支持SSH、Modbus、XDMCP、VNC、SCP、Q/GDW273等18种协议的运维接入，实现现场运维工作的全面管控。

2.4.2 丰富的客户端功能

客户端能适配windows、linux、凝思、麒麟等多款操作系统，不仅具备基本的代理运维和终端检测功能，并内置SSH、Telnet、rs232协议的直接管理功能，支持终端病毒扫描功能。

2.4.3 形成隔离边界，保护内网设备安全

便携式运维网关实现了被运维设备同外界的隔离，为现场运维提供了有效的管控手段。通过对运维人员身份信息、运维信息、设备信息进行三位一体化捆绑，对运维过程的操作与数据传递进行了有效隔离，确保了现场运维安全性，能有效防止危险操作和恶意代码进入内部工控系统。

2.4.4 工业现场专用便携硬件

便携式运维网关采用专用硬件，轻便易携安全可靠，重量仅有1.6kg，可在工控现场的电磁、高低温等环境下正常运行，电池支持持续运行5个小时以上。

2.4.5 软硬件全套国产化系统

装置本身基于国产化硬件和操作系统开发，客户端也可以适配常见国产操作系统，并采用国密算法保证鉴别信息和重要业务数据等敏感信息存储的保密性。