優(yōu)化能源動(dòng)力系統(tǒng)局域網(wǎng)安全策略

吳迎春

優(yōu)化能源動(dòng)力系統(tǒng)局域網(wǎng)安全策略

吳迎春

（攀鋼釩公司能源動(dòng)力中心，四川攀枝花617062）

在分析能源動(dòng)力系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)安全問(wèn)題的基礎(chǔ)上，制定并實(shí)施了網(wǎng)絡(luò)安全策略，提升了局域網(wǎng)的安全性，保障了企業(yè)信息資源的安全。

局域網(wǎng)；網(wǎng)絡(luò)安全；防火墻

1 引言

企業(yè)網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代企業(yè)開(kāi)展業(yè)務(wù)的關(guān)鍵基礎(chǔ)設(shè)施。攀鋼能源動(dòng)力系統(tǒng)局域網(wǎng)經(jīng)過(guò)幾年的建設(shè)，并經(jīng)不斷的改進(jìn)和擴(kuò)展，現(xiàn)覆蓋了中心機(jī)關(guān)、各作業(yè)區(qū)和大部分站所（班組），實(shí)現(xiàn)了全中心信息的共享、公文、公告的傳送和內(nèi)部電子郵件收發(fā)，該網(wǎng)絡(luò)為生產(chǎn)經(jīng)營(yíng)管理提供高效、快捷的信息交互平臺(tái)。該網(wǎng)絡(luò)采用星形拓?fù)浣Y(jié)構(gòu)，根據(jù)業(yè)務(wù)需要部署了5臺(tái)服務(wù)器和430個(gè)終端工作站。

2 網(wǎng)絡(luò)安全存在的問(wèn)題

隨著Internet/Intranet的發(fā)展，它的開(kāi)放性雖然使得信息能達(dá)到高度共享和迅速傳遞，但同時(shí)也帶來(lái)了系統(tǒng)入侵、泄密等安全問(wèn)題。能動(dòng)系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)安全主要存在以下幾個(gè)方面的問(wèn)題：

2.1 網(wǎng)絡(luò)結(jié)構(gòu)帶來(lái)的問(wèn)題

根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（見(jiàn)圖1）可以看出公司大網(wǎng)上的用戶(hù)可隨意訪(fǎng)問(wèn)能動(dòng)系統(tǒng)局域網(wǎng)上的信息資源，能源動(dòng)力中心的重要數(shù)據(jù)資料很容易被其它終端工作站竊取。服務(wù)器日常遭遇黑客攻擊，導(dǎo)致能動(dòng)系統(tǒng)局域網(wǎng)不能正常工作，使得信息化維護(hù)工作非常被動(dòng)。

2.2 IP地址使用方面的問(wèn)題

在能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用中，經(jīng)常會(huì)遇到內(nèi)部網(wǎng)絡(luò)用戶(hù)擅自修改IP地址，以獲取一個(gè)合法IP地址來(lái)進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用，這樣使得能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)在地址資源的分配和使用上出現(xiàn)混亂，大大影響內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行。更有甚者用他人的地址在網(wǎng)上發(fā)布信息、攻擊他人主機(jī)、破壞網(wǎng)絡(luò)安全，而且在網(wǎng)絡(luò)事故發(fā)生以后，地址追尋的難度大。

2.3 網(wǎng)絡(luò)軟件存在漏洞和“后門(mén)”

網(wǎng)絡(luò)軟件不可能是百分之百的無(wú)缺陷和無(wú)漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過(guò)的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑鶎?dǎo)致的苦果。另外，軟件的“后門(mén)”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門(mén)”洞開(kāi)，其造成的后果將不堪設(shè)想。

2.4 整個(gè)局域網(wǎng)都處在一個(gè)網(wǎng)段中

網(wǎng)絡(luò)中廣播包多，造成交換機(jī)上的端口有阻塞現(xiàn)象，網(wǎng)絡(luò)速度慢。

2.5 網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)給工作帶來(lái)高效、快捷的同時(shí)隨之而來(lái)的網(wǎng)絡(luò)病毒也越來(lái)越多，能動(dòng)中心沒(méi)有一個(gè)統(tǒng)一的殺毒平臺(tái)，以前客戶(hù)端安裝非正版殺毒軟件種類(lèi)眾多。各個(gè)計(jì)算機(jī)用戶(hù)應(yīng)用水平高低不一，很難保證他們對(duì)電腦的每一次手動(dòng)升級(jí)都同步進(jìn)行，一旦發(fā)生新病毒，未及時(shí)升級(jí)的客戶(hù)端就很有可能成為爆發(fā)點(diǎn)，造成計(jì)算機(jī)病毒在網(wǎng)絡(luò)上交叉感染。同時(shí)殺毒工作不能同步進(jìn)行，一臺(tái)工作站殺了病毒，另一臺(tái)工作站上的病毒又會(huì)傳播過(guò)來(lái)，計(jì)算機(jī)病毒在網(wǎng)絡(luò)上交叉感染，導(dǎo)致整個(gè)網(wǎng)絡(luò)上的病毒不能徹底清除。

3 優(yōu)化局域網(wǎng)安全策略

面對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來(lái)保證安全。網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對(duì)各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。就存在的問(wèn)題，經(jīng)過(guò)不斷的探索與實(shí)踐，能動(dòng)系統(tǒng)局域網(wǎng)采取的安全策略是：

3.1 明確網(wǎng)絡(luò)安全管理責(zé)任主體

明確網(wǎng)絡(luò)安全的責(zé)任人和安全策略的實(shí)施者。人是制定和執(zhí)行網(wǎng)絡(luò)安全策略的主體。網(wǎng)絡(luò)管理員是網(wǎng)絡(luò)安全責(zé)任人。

3.2 網(wǎng)絡(luò)邊界設(shè)置防火墻控制

防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪(fǎng)問(wèn)某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上建立相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來(lái)隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。能源動(dòng)力中心使用的是ssg550防火墻，防火墻位于能動(dòng)系統(tǒng)局域網(wǎng)和公司大網(wǎng)之間，是唯一通道。目的是防止不期望的或未授權(quán)的用戶(hù)和主機(jī)訪(fǎng)問(wèn)能源動(dòng)力中心內(nèi)部網(wǎng)絡(luò)，確保能源動(dòng)力中心內(nèi)部網(wǎng)正常安全運(yùn)行。

防火墻的面板上外網(wǎng)口（接外網(wǎng)線(xiàn)）、內(nèi)網(wǎng)口（接內(nèi)網(wǎng)線(xiàn)）、管理口（接管理計(jì)算機(jī)網(wǎng)卡）、DMZ口（接服務(wù)器），每個(gè)端口速率達(dá)到100 Mpbs,將各部分連線(xiàn)接好。在制作RJ45接頭時(shí)，嚴(yán)格遵循網(wǎng)絡(luò)通訊協(xié)議，根據(jù)能源動(dòng)力中心實(shí)際需要，對(duì)防火墻設(shè)置相應(yīng)的規(guī)則。

IP地址綁定：每一塊網(wǎng)卡都具有一個(gè)唯一標(biāo)識(shí)號(hào)碼，也就是指網(wǎng)卡的MAC地址（物理地址如：00：02：55：8a:93:ef）。把能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)的所有用戶(hù)的IP地址與本機(jī)網(wǎng)卡對(duì)應(yīng)的MAC地址（物理地址）綁定。限定一個(gè)IP地址只能在一臺(tái)指定的機(jī)器上使用，當(dāng)某臺(tái)機(jī)器通過(guò)防火墻訪(fǎng)問(wèn)Internet/Intranet時(shí)，防火墻要檢查其發(fā)出的數(shù)據(jù)中的IP地址以及MAC地址是否與防火墻上規(guī)定的相符，如果相符就放行，否則不允許通過(guò)防火墻，這樣可大大方便網(wǎng)絡(luò)中IP地址管理，防止IP地址被他人盜用。

訪(fǎng)問(wèn)權(quán)限規(guī)則設(shè)置：內(nèi)至外：部分用戶(hù)通，內(nèi)至內(nèi)：全通，外至內(nèi)：不通。web服務(wù)器映射到公司大網(wǎng)上。通過(guò)這種設(shè)置其他單位用戶(hù)不能訪(fǎng)問(wèn)到能動(dòng)內(nèi)網(wǎng)用戶(hù)，對(duì)能源動(dòng)力中心的重要數(shù)據(jù)資料起到了保護(hù)作用。

3.3 虛擬網(wǎng)絡(luò)技術(shù)在局域網(wǎng)中的運(yùn)用

VLAN即虛擬局域網(wǎng)（Virtual Local Area Network），是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。同一個(gè)VLAN中的所有成員共同擁有一個(gè)VLAN ID，組成一個(gè)虛擬局域網(wǎng)絡(luò)；同一個(gè)VLAN中的成員均能收到同一個(gè)VLAN中的其他成員發(fā)來(lái)的廣播包，但收不到其他VLAN中成員發(fā)來(lái)的廣播包；不同VLAN成員之間不可直接通信，需要通過(guò)路由支持才能通信，而同一VLAN中的成員通過(guò)VLAN交換機(jī)可以直接通信，能動(dòng)中心網(wǎng)絡(luò)采用思科3750交換機(jī)其于端口劃分四個(gè)Vlan段。防火墻23，24口，原熱電片區(qū)1-11口，東部片區(qū)12-16口，原動(dòng)力片區(qū)17-19口。

3.4 構(gòu)建能動(dòng)中心局域網(wǎng)網(wǎng)絡(luò)防病毒體系

針對(duì)能動(dòng)中心局域網(wǎng)中多種病毒存在及殺毒軟件現(xiàn)狀，為實(shí)現(xiàn)全網(wǎng)集中管理、統(tǒng)一設(shè)置和統(tǒng)一查殺毒，全網(wǎng)統(tǒng)一行動(dòng)，最大程度的減小病毒傳播及徹底清除病毒，選擇了ESET NOD32企業(yè)版防病毒系統(tǒng)作為能動(dòng)中心局域網(wǎng)病毒防治集中管理平臺(tái)。

根據(jù)能動(dòng)中心地域分布特點(diǎn)，設(shè)計(jì)局域網(wǎng)防病毒系統(tǒng)體系結(jié)構(gòu)，如圖2所示。構(gòu)建一個(gè)nod32服務(wù)器，該服務(wù)器安裝ESET NOD32企業(yè)版防病毒軟件、遠(yuǎn)程服務(wù)、遠(yuǎn)程管理控制臺(tái)等軟件。

各工作站部署NOD32客戶(hù)端程序，工作站開(kāi)機(jī)時(shí)自動(dòng)從局域網(wǎng)內(nèi)nod32服務(wù)器中更新最新病毒庫(kù)，客戶(hù)端提供實(shí)時(shí)監(jiān)控、預(yù)設(shè)任務(wù)和手動(dòng)掃描三種方式。實(shí)時(shí)監(jiān)控一直運(yùn)行，不允許用戶(hù)退出實(shí)時(shí)監(jiān)控程序，同時(shí)用戶(hù)不能卸裝客戶(hù)端程序。預(yù)設(shè)任務(wù)定為每周五11:50為在線(xiàn)的所有計(jì)算機(jī)進(jìn)行全盤(pán)掃描，如果計(jì)算機(jī)關(guān)閉，當(dāng)下次啟動(dòng)計(jì)算機(jī)時(shí)會(huì)通知掃描。客戶(hù)端向ESET NOD32服務(wù)器實(shí)時(shí)發(fā)送事件和狀態(tài)信息，包括病毒檢測(cè)情況、客戶(hù)端啟動(dòng)、客戶(hù)端關(guān)閉、掃描開(kāi)始和更新完成等。

ESET NOD32服務(wù)器是所有客戶(hù)端配置、病毒日志及客戶(hù)端軟件和更新的中心倉(cāng)庫(kù)。預(yù)設(shè)服務(wù)器更新每日從Internet網(wǎng)上下載病毒碼、掃描引擎，當(dāng)ESET NOD32服務(wù)器下載完成后會(huì)自動(dòng)部署所有客戶(hù)端，能動(dòng)中心局域網(wǎng)內(nèi)的在線(xiàn)客戶(hù)端任意時(shí)刻都具有相同版本的病毒碼和掃描引擎，保護(hù)計(jì)算機(jī)不受病毒、特洛伊木馬和其他惡意程序的侵害。

3.5 實(shí)施物理上的安全措施（防火、防盜）和環(huán)境上的安全措施（供電、溫度）

把能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)的公用服務(wù)器和主交換設(shè)備安置在一間中心機(jī)房?jī)?nèi)集中管理。

3.6 應(yīng)用代理服務(wù)器增強(qiáng)網(wǎng)絡(luò)安全

及時(shí)下載微軟最新的補(bǔ)丁包文件，給工作站打最新的補(bǔ)丁補(bǔ)上安全漏洞；文件服務(wù)器和數(shù)據(jù)服務(wù)器不與Internet直接連接，設(shè)專(zhuān)用代理服務(wù)器，部份工作站使用代理服務(wù)器訪(fǎng)問(wèn)Internet，這樣不僅可以降低訪(fǎng)問(wèn)成本，而且隱藏了網(wǎng)絡(luò)規(guī)模和特性，加強(qiáng)了網(wǎng)絡(luò)的安全性。

3.7 網(wǎng)絡(luò)安全管理策略

確定安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施。

4 優(yōu)化網(wǎng)絡(luò)安全策略后的運(yùn)行效果

4.1 優(yōu)化后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見(jiàn)圖3，優(yōu)化局域網(wǎng)安全策略后內(nèi)部網(wǎng)絡(luò)的安全性能大大提高。防止了外部用戶(hù)訪(fǎng)問(wèn)能源動(dòng)力中心內(nèi)部網(wǎng)絡(luò)。僅能源動(dòng)力中心內(nèi)部用戶(hù)才可訪(fǎng)問(wèn)能動(dòng)系統(tǒng)局域網(wǎng)。工作站不能隨意篡改IP地址，否則無(wú)法登錄能動(dòng)系統(tǒng)局域網(wǎng)。

[11]樊波.大型高爐煤氣干法除塵技術(shù)應(yīng)用進(jìn)展及節(jié)能減排效果分析[P].全國(guó)能源與熱工學(xué)術(shù)年會(huì)論文集,2008-11-01,:281-284

[12]任紹峰.首鋼京唐1號(hào)5500m3高爐煤氣干法除塵,自動(dòng)化控制系統(tǒng)的創(chuàng)新設(shè)計(jì)與實(shí)現(xiàn)[P].第七屆中國(guó)鋼鐵年會(huì)論文集下,2009-11-11,:9-348-9-354

[13]王海濤/高華東/張殿印.高爐煤氣干法除塵技術(shù)的發(fā)展[J].中國(guó)環(huán)保產(chǎn)業(yè),2011年,(第8期)

[14]王永峰.全干法除塵技術(shù)在邯鋼3200m3高爐煤氣除塵中的應(yīng)用[P].2011年全國(guó)冶金節(jié)能減排與低碳技術(shù)發(fā)展研討會(huì)文集,2011年, :366-3684.2 允許內(nèi)部網(wǎng)絡(luò)中的用戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源。記錄了工作站通過(guò)防火墻的信息內(nèi)容和活動(dòng)，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測(cè)和報(bào)警，整個(gè)網(wǎng)絡(luò)的使用情況非常清楚。

Optimization of the Security Strategy for the LAN Network of Energy and Power Systems

Wu Yingchun
(The Energy Power Center of Panzhihua Iron&Steel Co.,Panzhihua,Sichuan 617062,China)

Based on analysis of the security issues of LAN network for energy and power systems,security strategy for LAN network was drawn up and implemented,which enhanced the security of the LAN netowork and ensured the safety of enterprise information resources.

LAN network;network security;firewall

TP393

B

1006-6764（2015）01-0061-04