电力施工企业信息与网络安全体系构建探讨.docVIP

电力施工企业信息与网络安全体系构建探讨 　　【摘要】本文深入分析了电力施工企业网络安全特征，提出基于防火墙、IPS、VPN和VLAN技术的网络安全系统实现以及体系构建做探讨。 　　【关键词】网络安全；防火墙；VPN；VLAN 　　一、引言 　　随着电力施工企业信息化发展的不断深入，企业对信息系统的依赖程度越来越高，信息与网络安全直接影响到企业生产、经营及管理活动，甚至直接影响企业未来发展。企业网络规模的扩大、信息接入点增多、分布范围广，使信息接入点管控难度大。企业信息与网络安全面临各类威胁，笔者以构建某电力施工企业信息与网络安全体系为例，从信息安全管理、技术实施方面进行阐述与分析，建立一套比较完整信息化安全保障体系，保障业务应用的正常运行。 　　二、企业网络安全威胁问题分析 　　1.企业网络通信设备存的安全漏洞威胁，网络非法入侵者可以采用监听数据、嗅探数据、截取数据等方式收集信息，利用拒绝服务攻击、篡改数据信息等方式对合法用户进行攻击。 　　2.非法入侵用户对网络系统的知识结构非常清楚，包括企业外部人员、企业内部熟悉网络技术的工作人员，利用内部网络进行恶意操作。非法用户入侵企业内部网络主要采用非法授权访问对企业内部网络进行恶意操作，以达到窃取商业机密的目的；独占网络资源的方式，非业务数据流（如P2P文件传输与即时通讯等）消耗了大量带宽，轻则影响企业业务无法正常运作，重则致使企业IT系统瘫痪，对内部网络系统造成损坏。 　　3.恶意病毒程序和代码包括计算机病毒、蠕虫、间谍软件、逻辑复制炸弹和一系列未经授权的程序代码和软件系统。病毒感染可能造成网络通信阻塞、文件系统破坏，系统无法提供服务甚至重要数据丢失。病毒的传播非常迅速；蠕虫是通过计算机网络进行自我复制的恶意程序，泛滥时可以导致网络阻塞和瘫痪；间谍软件在用户不知情的情况下进行非法安装，并把截获的机密信息发送给第三者。 　　4.随着企业信息化平台、一体化系统投入运行，大量重要数据和机密信息都需要通过内部局域网和广域网来传输，信息被非法截取、篡改而造成数据混乱和信息错误的几率加大；当非法入侵者以不正当的手段获得系统授权后。可以对企业内部网络的信息资源执行非法操作，包括篡改数据信息、复制数据信息、植入恶意代码、删除重要信息等，甚至窃取用户的个人隐私信息，阻止合法用户的正常使用，造成破坏和损失。保护信息资源，保证信息的传递成为企业信息安全中重要的一环。 　　三、企业信息与网络安全策略 　　结合电力施工企业业务广范围大特点，提出一套侧重网络准入控制的信息安全解决方案，保障企业网络信息安全。 　　1.远程接入VPN安全解决方案 　　施工企业拥有多个项目部，地域范围广，项目部、出差人员安全访问企业信息系统是企业信息化的要求，确保网络连接间保密性是必要的。采用SSL VPN安全网关旁路部署在网络内部，通过设置用户级别、权限来屏蔽非授权用户的访问。访问内部网络资源的移动、项目用户先到SSL VPN上进行认证，根据认证结果分配相应权限，实现对内部资源的访问控制。 　　2.边界安全解决方案 　　在系统互联网出口部署防火墙（集成防病毒和网络安全监控模块）和IPS设备，同时通过防火墙和IPS将企业内部网、数据中心、互联网等安全区域分隔开，并通过制定相应的安全规则，以实现各区域不同级别、不同层次的安全防护。边界防护建立以防火墙为核心，邮件、WEB网关设备、IDS及IPS等设备为辅的边界防护体系。 　　（1）通过防火墙在网络边界建立网络通信监控系统，监测、限制、更改跨越防火墙的数据流以及对外屏蔽网络内部的信息、结构和运行状况，控制非法访问、增强网络信息保密性、记录和统计网络数据并对非法入侵报警提示等，达到保障计算机网络安全的目的。 　　（2）在防火墙上开启防病毒模块，可以在网关处阻止病毒、木马等威胁的传播，保护网络内部用户免受侵害，改变了原有被动等待病毒感染的防御模式，实现网络病毒的主动防御，切断病毒在网络边界传递的通道。 　　（3）以入侵防御系统IPS应用层安全设备，作为防火墙的重要补充，很好的解决了应用层防御安全威胁，通过在线部署，IPS可以检测并直接阻断恶意流量。 　　（4）将上网行为管理设备置于核心交换机与防火墙之间。通过对在线用户状态、Web访问内容、外发信息、网络应用、带宽占用情况等进行实时监控，在上网行为管理设备上设置不同的策略，阻挡P2P应用，释放网络带宽，有效地解决了内部网络与互联网之间的安全使用和管理问题。 　　3.内网安全解决方案 　　内网安全是网络安全建设的重点，由于内网节点数量多、分布复杂、终端用户安全应用水平参差不齐等原因，也是安全建设的难点。 　　（1）主要利用构建虚拟局域网VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLA