电力行业解决方案

一、概述  
随着计算机技术、通信技术和网络技术的发 展,接入数据网络的电力控制系统越来越多。特别是随着电力改革的推进和电力市场的建立,电厂、变电站减人增效,大量采用远方控制,对电力控制系统和数据网 络的安全性、可靠性、实时性提出了新的严峻挑战。而另一方面,Internet技术已得到广泛使用,E-mail、Web和PC的应用也日益普及,但同时 病毒和黑客也日益猖獗,如何适应电力行业改革对信息化建设提出的新需求;更好的对电力行业办公网络进行管理,增强电力行业办公网和数据网络系统的安全性和 可靠性已成为一个非常紧迫的问题。  
电力.jpg二、电力行业办公网需求分析  

目前,电力系统供电所及变电站等办公场所分布极为分散,尤其在偏远地区因办公场所的分散为办公信息化建设及管理带来诸多问题,以下为具体需求;  

2.1 实现各地终端集中管理,桌面统一交付  
电力系统办公网络庞大终端众多,如何解决运维的繁琐、复杂,实现终端管理的简单、便捷是电力行业面临的重要问题,另外偏远地区供电所、变电站等办公场所 计算机终端数量少且极为分散,信息化升级及运维都极为困难,如何实现这些终端系统及应用的集中、统一管理及办公桌面的统一交付是提升电力系统信息化管理水 平的重要内容。  
2.2 备份与容灾  
对关键业务的数据与应用系统进行备份,确保在数据损坏或系统崩溃的情况下快速恢复数据与系统,保证系统的可用性。  
2.3数据集中存储  
电力系统办公终端需处理各种涉密信息及数据,如何实现数据的集中、加密存储,保障电力系统数据安全性是电力系统信息化建设的重中之重。  
2.4 良好的使用体验  
要实现电力办公网的集中、统一管理,同时要保持终端用户的使用习惯不改变,并在此基础上提供更多的功能以改善用户使用体验。 

 

三、方案原则及目标 

1.方案原则  
为保证方案的能够最终达到电力行业网络相关要求,在设计方案时遵循如下的设计原则:  
方案先进原则:办公网信息化办公环境的虚拟终端管理系统要求功能完善、技术先进、安全可靠、服务领先;  
系统安全原则:管理系统自身安全包括物理安全、系统安全、数据安全和运行安全等;  
可扩展原则:统一规划,兼顾长远,既要满足现有的需求,又要兼顾系统的可扩展性,保证分布实施的延续性。系统在结构、规模、应用能力等各个方面都必须具备很强的扩展能力;  
按照GB17859-1999《计算机信息系统安全保护等级划分准则》的要求建设;  
可靠性原则。执行ISO9002质量认证体系要求,确保安全保密设备的高可靠性和稳定性;  
经济性原则。虚拟终端管理系统的建设、运行维护以及将来的扩展建设,必须符合经济性原则;  
易操作原则。虚拟终端管理系统的使用、维护、管理、发行等方面要易操作;  
高效原则。虚拟终端管理系统的处理能力要求能满足现阶段的实际需求,保证系统的高效运行,并能根据系统的发展进行不断提升;  
功能完整原则。虚拟终端管理系统的功能完整,应用安全扩展系统功能完整;  
灵活性原则。虚拟终端管理系统的系统扩展、应用安全建设方面都必须满足灵活性要求。  

2.方案目标  
电力行业信息化办公环境对终端实现统一、集中的管理,并最大可能的保护其办公网络和系统资源与数据可以得到充分的信任,获得良好的管理。同时,要保障电力系统的安全运营。  
本项目的总体目标是在不影响电力行业办公网及终端正常工作的前提下,满足国家保密部门及信息系统安全等级保护的相关要求,从虚拟安全、桌面管理等多个角 度构建一套包括整体规划、设计、部署、管理、应急处理及安全和管理策略的完整的网络和终端管理体系,实现对电力系统办公网络的全面和有效管理。主要达到以 下目标:  
实现各地网络终端的集中、统一管理  
实现各地网络终端桌面的统一交付  
保护系统的可用性及系统服务的连续性  
保护电力办公网信息的机密性、完整性  
防范病毒、木马的侵害  
保持良好的用户体验 

 

 四、虚拟终端管理系统方案设计 

 

虚拟终端管理系统是天正科技,基于云计算环境下全国首家推出的全 新终端管理系统,其整合最新的虚拟安全技术,以终端系统管理为中心出发点,从虚拟防护、桌面管理、行为控制等多个角度构建一套完整的终端系统管理体系,防 御各种终端异常事件,通过技术手段全面贯彻落实各单位的终端管理策略。  

1.虚拟桌面管理系统结构及功能  
针对电力办公网对终端管理及安全提出的功能和性能要求,上海天正科技科技有限公司提出以虚拟终端产品作为基础建设安全管理系统的构想,从管理运维、应用等方面为电力办公网提供全面解决方案。  
1.1 虚拟终端管理系统架构 

虚拟终端管理系统



虚拟终端管理系统分为客户端和策略管理中心两个部分,其中策略管理中心为服务器端;通 过建立用户定制的操作系统镜像文件及提供虚拟防护、桌面管理及行为控制等的策略管理,为客户端提供多方面的系统及策略服务。客户端通过PXE网络启动的方 式通过网络加载服务及信息。  

1.2系统功能  

    1.2.1 虚拟防护:  
–  远程虚拟化管理  
–  网关控制  
–  病毒库同步  
–  防ARP欺骗  
–  恶意网站防护  
–  驱动防火墙  
–  个性化安全磁盘  

    1.2.2 桌面管理:  
–  资产管理  
–  补丁管理  
–  软件群发  

    1.2.3 行为控制:  
–  外设控制  
–  应用软件控制  
–  上网监控  
–  行为监控  


2. 虚拟桌面管理系统在电力办公网的应用分析  
本章将针对虚拟终端管理系统的虚拟防护、桌面管理及行为控制模块在电力办公网中的具体功能分析。  
2.1 终端集中统一管理,桌面统一交付  
利用“虚拟防护”功能实现电力行业办公网终端的集中统一管理;  
在每个办公地点分别部署“和信”服务端,利用本地服务器为办公终端提供可靠、高效的服务支撑;“和信”虚拟终端管理系统能够控制工作主机在启动时从虚拟 磁盘进行引导,由系统服务器上直接读取操作系统镜像文件以完成系统及应用的交付,同时可以针对不同的工作部门、工种类型、工作需要指定专用的安全操作系 统。工作主机对系统的所有操作都处于虚拟环境下,任何的误操作或者病毒感染、驱动冲突、软件不兼容等问题在重启后即可快速全部恢复到正常状态。  
虚拟终端管理系统可良好的支持多种硬件、操作系统及应用程序共存,可根据电力行业办公网的具体环境进行灵活部署,实现统一的桌面及应用交付。  
在应用和信虚拟终端管理系统后,系统及应用问题可以通过终端重启迅速得到解决,并且软件安装、补丁升级、病毒库升级可实现集中完成且成功率100%。整个网络的运维工作大大简化。  
2.2备份与容灾  
和信虚拟终端管理系统可实现客户端重启恢复的功能;该功能可根据虚拟磁盘分区进行设置,客户端每次重新启动后都会得到纯净、安全的系统和应用,可从根本保护终端的操作系统及应用。  
和信虚拟终端管理系统可实现数据集中存储,并可为终端用户提供个性化加密磁盘,用户重要数据可得到根本的安全保障。  
2.3数据集中安全防护  
虚拟终端管理系统可实现终端数据的集中加密存储,任何终端本地均不存储数据,如允许终端本地存储数据也可实现本地磁盘加密;即终端如脱离“和信”系统本地磁盘数据将不无法被读取。  
同时,系统可实现终端的外设控制,可控制各种接口的终端外设是否可以使用;如移动存储设备、光驱、软驱、打印机等。  
2.4良好的使用体验  
虚拟终端管理系统可不改变终端用户原有的使用习惯;用户环境及数据可进行平滑迁移,终端计算机的系统用户名和密码、桌面壁纸、IE收藏夹、我的 文档、桌面上的各种文件等个性化数据均能自动保留,无需手工设置,真正实现个性化管理。在和信VEMS应用环境中,能够良好的兼容各种软硬件,流畅运行蓝 光高清、视频会议、高清图像等多媒体应用,从开机到应用到关机,用户终端环境和普通PC计算机环境毫无差异,使用者甚至感觉不到已经部署了虚拟终端管理系 统。  
2.5远程、移动云端办公  
电力系统在实际办公中常需要远程访问总部资源或进行移动办公,应用虚拟化系统可为每个员工分配相应的应用及权限,可随时借助移动办公设备访问相关的应用及资源,可极大的方便电力系统的多种环境办公,实现电力系统云端办公。  
3.部署方式  
虚拟终端管理系统安装部署非常简单方便,只需要在服务器上安装好服务器端程序,建立用户定制的操作系统镜像文件,然后将所有客户机的开机启动顺序改为从网络启动即可管理,不需要逐一安装客户端代理软件。 如下图: 

和信VEMS在电力行业中的解决方案



虚拟终端管理系统可支持多种硬件的终端、多种操作系统以及各种应用软件,后期新加入机器也极为方便快捷。  

4. 虚拟桌面管理系统在电力办公网的应用效果  
4.1 集中、统一化管理  

虚拟化在终端管理方面的优势体现在可集中、统一的对终端进行管理,可完全改变传统分散的终端管理模式;终端以远程启动的方式访问统一的操作系统镜像,并 可设置终端分区重启还原,这样管理员可以通过对一台终端的管理而实现对全网的管理。这将会大大提高电力办公网管理员的工作效率、提高员工的业务连续性、并 大大减少终端运维成本及员工的时间成本。  

4.2保障系统及数据的安全  
无论是操作系统还是应用系统的安全 和稳固,在虚拟化的平台上都会得到前所未有的提升;工作主机在启动时从虚拟磁盘进行引导,由系统服务器上直接读取操作系统镜像文件,任何问题在重启操作系 统后都会恢复到正常状态。终端机本地操作系统无安全隐患,工作主机对系统的所有操作都处于虚拟环境下,任何的误操作或者病毒感染、驱动冲突、软件不兼容等 问题在重启后即可快速全部恢复到正常状态。管理员只需要加固服务器端便可保证整个网络的安全和稳定。  
终端应用程序和重要信息可保存在本地硬盘也可以直接存储在服务器端,并可以创建个人加密磁盘,对重要信息进行加密保存,访问信息需认证。  
可实现多服务器冗余和负载均衡,这样多台服务器不仅可以动态均衡终端应用,也可在某台服务器出现故障时保障终端的正常应用。  

4.3 灵活、全面的管理和云端应用交付  
局域网内的终端利用“和信”虚拟终端管理系统集中、灵活的交付系统及应用,对于远程及移动办公应用虚拟化产品可根据每个员工的工作需求统一交付相关应用。  

4.4 良好的应用体验  
虚拟化管理平台使终端用户在遇到各种安全事件后都能在最短的时间内恢复工作,不会再因为网络、操作系统或者是应用程序的问题而中断工作。  
深入的个性化功能使终端用户在日常操作中不会感到与普通PC的差别,无需改变原有的使用习惯。  
虚拟化平台对软硬件良好的兼容性,以及优质的音视频多媒体应用效果让终端用户得到更出色的应用体验。  
虚拟终端系统不仅可最优的实现局域网内终端管理和桌面交付,也可灵活的实现远程及移动应用交付,可最大化的满足电力系统的各项需求。 

 

 五、专业快速的技术服务


在进行了虚拟终端管理系统的部署以后,要持续保障一个动态网络的安全性,持之以恒的安全管理和专业的外 部咨询顾问是必不可少的。一个固定的长期安全合作伙伴,就像企业的常年法律顾问和管理顾问一样,直接高效的帮助企业完成安全管理目标,降低安全及管理代 价,从而使企业能更专心地运行其主要业务,获得更好的收益。  
为了较好的保障持续性的网络服务,以合理的费用保障较高的安全支持级别,我公司提供了如下基本的服务方式和支持指标。  
主要内容包括:  
日常支持  
远程应急响应:2小时内响应  
5x8小时热线支持  
无限次Email或传真支持  
定期的通告  
复查和外部监督  
每年提供服务报告汇总  
提供全方位的技术顾问与咨询  
提供不限次数的产品与技术问题咨询  
提供对技术人员的培训计划  
针对网管和技术人员的初级培训  
针对网管和技术人员的中级培训