電力公司網(wǎng)絡(luò)安全防護

隨著勒索病毒事件的發(fā)生，網(wǎng)絡(luò)安全擺在了重要的位置，為此，我國于2016年11月7日頒布了《中華人民共和國網(wǎng)絡(luò)安全法》。

電力公司作為國家戰(zhàn)略性企業(yè)，緊跟時代發(fā)展步伐，充分利用大云物移智和信息化的優(yōu)勢，國家調(diào)度、地方調(diào)度及員工的正常工作都需要網(wǎng)絡(luò)，而當(dāng)前網(wǎng)絡(luò)面臨著用戶帳號、密碼被大量竊取/誤用、私有或機密資料被泄露或被篡改、個人被假冒身份而造成損害、釣魚網(wǎng)站層出不窮等問題，因此亟待總結(jié)歸納網(wǎng)絡(luò)安全防護措施。本課題根據(jù)筆者所從事的網(wǎng)絡(luò)安全工作實際出發(fā)，提出網(wǎng)絡(luò)安全防護合理化建議。

網(wǎng)絡(luò)安全防護措施

在網(wǎng)絡(luò)建設(shè)和維護中，網(wǎng)絡(luò)安全成為了一個不可或缺的部分。網(wǎng)絡(luò)安全的范圍十分廣泛，包括了網(wǎng)絡(luò)的方方面面。本文提出的網(wǎng)絡(luò)安全防護措施主要包括提高作業(yè)人員或用戶的網(wǎng)絡(luò)安全意識、網(wǎng)絡(luò)安全防范技術(shù)體系。其中前者最關(guān)鍵。

1.加大信息安全教育

對于信息運維人員要加大信息安全教育，增強人們安全意識和安全素質(zhì)。

因此，為了提高公司的網(wǎng)絡(luò)安全，要對技術(shù)人員進行安全培訓(xùn)，主要包括：網(wǎng)絡(luò)安全理論培訓(xùn)、安全意識教育、崗位技能培訓(xùn)、安全技術(shù)培訓(xùn)、安全產(chǎn)品培訓(xùn)，對定期安全教育和培訓(xùn)進行書面規(guī)定，針對不同崗位制定相應(yīng)的安全培訓(xùn)計劃。在工作時，還應(yīng)嚴格執(zhí)行工作票制度。

2.網(wǎng)絡(luò)安全防范技術(shù)體系

常見的網(wǎng)絡(luò)安全的技術(shù)體系主要包括身份認證技術(shù)、訪問控制技術(shù)、安全審計技術(shù)、漏洞掃描技術(shù)、病毒掃描技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)以及入侵防御技術(shù)。

（1）安全網(wǎng)絡(luò)拓撲的規(guī)劃設(shè)計

對于電力公司，考慮到生產(chǎn)調(diào)度和工業(yè)電視對安全性的需求，設(shè)計時需要雙鏈路雙冗余，管理信息外網(wǎng)和外網(wǎng)之間的邊界應(yīng)采用公司認可的隔離裝置進行安全隔離，在出口路由器與核心交換機之間應(yīng)安裝防火墻、串接入侵防御系統(tǒng)IPS（或在核心交換機上以旁路模式接入侵檢測系統(tǒng)IDS）等安全設(shè)備，且在路由器上應(yīng)采用用戶認證、加密傳輸?shù)劝踩胧Ｔ跅l件允許的情況下，可以放置安全接入平臺。

安全接入平臺較常見的技術(shù)或設(shè)備包括：

通過防火墻建立隔離本地和外部網(wǎng)絡(luò)的防御系統(tǒng)；

通過IDS/IPS監(jiān)視經(jīng)過防火墻的全部通信并查找可能是惡意的攻擊通信，并在這種攻擊擴散到網(wǎng)絡(luò)其他地方之前阻止這些惡意的通信；

通過部署身份認證服務(wù)器來組織管理個人身份認證信息；

利用可信邊界安全網(wǎng)關(guān)保證用戶的物理身份與數(shù)字身份相符；

通過CA服務(wù)器對數(shù)字證書進行發(fā)放和管理；

利用IPSec VPN實現(xiàn)多專用網(wǎng)安全連接；

通過集中監(jiān)控審計對網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)進行集中的、可視的綜合審計，及時發(fā)現(xiàn)安全隱患，提高安全系統(tǒng)成效；

利用網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的連接，從根本上杜絕可被黑客利用的安全漏洞。

（2）網(wǎng)絡(luò)設(shè)備的防護措施

網(wǎng)絡(luò)設(shè)備主要包括路由器和交換機，主要防治非法DHCP欺騙、開啟環(huán)路檢測（STP)、ARP網(wǎng)關(guān)欺騙及廣播風(fēng)暴的控制。近期的比特幣病毒事件就是通過相應(yīng)的端口（如 135、139、443端口）非法侵入電腦終端。為了保障網(wǎng)絡(luò)設(shè)備的安全，主要采用以下措施：

第一，設(shè)置訪問控制列表ACL策略，設(shè)置deny拒絕動作，以限制相應(yīng)的非法IP地址和關(guān)閉不必要的端口非法侵入。

第二，要限制管理員的登錄IP地址。

第三，在核心交換機上要進行MAC地址、IP地址以及端口的綁定。

第四，設(shè)備登錄用戶權(quán)限分級，加強口令安全將設(shè)備納入網(wǎng)管，確保讀寫團體字的安全，開啟Trap功能。

第五，限制能夠管理設(shè)備的IP地址，包括網(wǎng)管和遠程登錄。

第六，限制登錄地址。

第七，配置密碼認證。

第八，配置用戶認證。

第九，協(xié)議認證和端口認證。

第十，需要定期進行數(shù)據(jù)備份和配置備份。

（3）安全設(shè)備的防護措施

安全設(shè)備主要包括防火墻、入侵防御系統(tǒng)IPS、入侵檢測系統(tǒng)IDS、漏洞掃描設(shè)備、安全審計設(shè)備及病毒掃描設(shè)備。安全設(shè)備的防護措施主要為：

第一，設(shè)置合理的安全策略，允許特定的IP地址可以訪問防火墻內(nèi)部的安全區(qū)域，其余來自于外界的IP地址均不可以訪問內(nèi)網(wǎng)，同時限制內(nèi)網(wǎng)用戶訪問非法IP地址。

第二，定期更新防火墻、IPS及IDS的病毒庫和特征庫，以阻止新產(chǎn)生的病毒。

（4）終端設(shè)備的防護措施

個人終端安全防護措施也是必須要考慮的重要部分，其防護措施主要由：

第一，必須安裝殺毒軟件進行病毒防治，且要定期掃描操作系統(tǒng)漏洞，定期打補丁。

第二，關(guān)閉不必要的服務(wù)，比如 FTP、SSH。

第三，關(guān)閉空閑端口，按需開放。

第四，終端設(shè)備用戶應(yīng)妥善保管賬號及密碼。

第五，辦公計算機必須安裝防病毒、桌面管理等安全防護軟件，卸載或禁用計算機防病毒、桌面管理等安全防護軟件，拆卸、更換終端設(shè)備硬件，應(yīng)經(jīng)本單位信息運維單位批準(zhǔn)。

第六，個人終端使用無線網(wǎng)絡(luò)傳輸業(yè)務(wù)數(shù)據(jù)時，應(yīng)具備接入認證、隔離及加密等安全措施。

結(jié)語

網(wǎng)絡(luò)是保證電網(wǎng)調(diào)度和員工正常工作的前提，網(wǎng)絡(luò)安全是不能忽略的重要保障。

本課題結(jié)合筆者所從事的網(wǎng)絡(luò)安全工作實際出發(fā)，提出了一些網(wǎng)絡(luò)安全防護合理化建議。希望能夠從事對網(wǎng)絡(luò)安全工作的人員有一定的參考，共同保障我國的電網(wǎng)網(wǎng)絡(luò)與信息安全。