对电力企业局域网安全行为控制方案探讨.docVIP

对电力企业局域网安全行为控制方案探讨 　　【 摘 要 】 随着企业信息化步伐的加快，大多数企业利用计算机和局域网来辅助企业管理，如在电力企业中已开发运行成熟的OA系统、调配一体化、ERP、GIS、应急指挥系统等一些信息管理系统，通过局域网的方式极大地提高了企业的工作效率。然而伴随着近几年网络安全技术的发展，局域网用户访问控制管理日显突出，虽然终端用户也采用了防病毒、防火墙、漏洞扫描和入侵检测等安全措施，来提升局域网的运行速度和数据安全。但是，网络安全仍然存在诸多隐患。目前日益突出的问题是：由单位内部网引发的安全问题。随着电力企业内部局域网与互联网相互联接，无疑给企业的局域网管理带来了很大的压力和挑战。这就要求我们的网络管理者要高度重视网络本身的安全行为控制管理问题。有了一套行之有效的上网行为控制措施，就可保证局域网的畅通和安全运行。 　　【 关键词 】 局域网；行为控制；方案 　　1 电力企业局域网络现状 　　国内众多企业在建立自己的局域网后，往往面临单位早期开发的各种应用专业软件在网内由于数据格式对接困难而无法共享，造成大量数据的重复建立。而建立局域网的作用本身就是要有效地实现企业内部的资源共享、信息发布、技术交流、生产组织、企业管理等。 　　目前企业局域网大多都是按照千兆网络建立的，信息点覆盖整个单位的生产和管理全过程，从而给企业内各部门提供了一个快速、便捷的信息交流平台。在内部网运行的OA系统就可实现企业的无纸化电子办公。当然如果企业仅有内网是远远不够的，局域网必须要通过与外部Internet的连接，企业终端用户可以直接与互联网建立联接。利用千兆高速网络交换技术给用户提供了快速、方便的数据交换平台的同时，也为局域网的安全带来了更大的风险。当终端用户达到600个以上的情况后，局域网络管理就比较困难了。如网络欺骗、病毒攻击、用户越权访问等，往往将造成整个网络的瘫痪。因此；在已建成的企业局域网中严格建立并实施一套完整、可控制的用户上网行为解决方案就显得极为迫切。 　　1.1 网络中的安全构架 　　企业的组网技术可有多种不同选??，但常用的是以太网和ATM网，在电力企业局域网中，通常的网络结构是：局域网一般由内网和外网两部分组成。内网又分成主干网和一些相对独立的子网。VPN服务器可看做是局域网中的一个子网，通过VPN把企业内部网和外部网连接起来，从而在二者之间起隔离阻断作用，有效地防止外网黑客的入侵。 　　对于企业网内已运行的管理信息平台可采用VSEAF统一用户权限认证管理体系，该体系安全可靠，能实现多层次、精确的权限控制，可将内部用户和外部用户安全隔离，保证了管理信息系统安全稳定。 　　电力企业局域网按访问职能可以划分为内部网络和Internet两个区域。内部网络又可按照所属系统、安全重要程度划为不同子网，如电力调度远动系统、企业门户网站、OA办公系统、生产及人财物管理子系统、电网地理信息GIS系统、客户交费子网、事故应急指挥系统等。在网络安全方案设计中，要重点考虑基于网络用户的安全重要程度和要保护的对象，可以在Catalyst 型交换机中划分多个虚拟局域网（VLAN），在主交换机中将整个局域网划分成多个独立的不同网段。 　　1.2 企业局域网络中的安全隐患 　　电力企业局域网与Internet直接连结，作为网络管理者就要考虑与内网与外部Internet连结的风险，如Internet的非授权访问、DOS攻击、黑客攻击等。 　　局域网内公开服务器的安全隐患最大，往往就是这类公开服务器最易遭到攻击后扩散到内部网用户中。因此在企业建立网络时应该考虑多采用安全服务器。内部网络中应考虑将不同功能和安全级别的网络服务器分割开。 　　1.2.1网络安全防护的脆弱 　　网络安全防护是一个系统性和长期性的任务。一是随着网络的日益开放，电网中实时运行控制系统终端的大量增加，造成对网络数据库服务器的依赖性越来越强，电力生产控制系统也越来越庞大，大量数据的安全性相对也极脆弱。二是计算机网络技术的日新月异，黑客的攻击手段也发展很快，你今天能有很有效的防火墙或隔离装置、安全策略，可能明天就无效。因此,必须依靠一套不断更新和完善的安全措施来及时应对，堵住可能出现的漏洞,防患于未然。 　　1.2.2 内部网络用户的非授权访问 　　网络用户终端越权访问已成为局域网安全体系中的一个薄弱环节，一旦出现，将威胁到整个网络的安全。内部网络用户的非授权访问，也就是没有预先经过管理员同意和授权，就使用网络或数据资源，即被看作是非授权访问，部分用户有意避开网络访问控制机制，对网络设备及资源进行非正常使用，或擅自修改并扩大访问权限。 　　1.2.3 网络用户的越权登陆控制问题 　　内部局域网会出现假冒他人身份，未经授权而非法使用他人计算机的情况；信息资源的管理；由于出现越