陳曉杰，洪志華，孫夷澤，王勇

（寧波電業(yè)局，浙江寧波315010）

電力內(nèi)網(wǎng)違規(guī)外聯(lián)安全監(jiān)控研究

陳曉杰，洪志華，孫夷澤，王勇

（寧波電業(yè)局，浙江寧波315010）

電力信息化的發(fā)展，信息安全已經(jīng)成為確保電網(wǎng)穩(wěn)定安全運(yùn)行的重要因素。隨著互聯(lián)網(wǎng)的不斷發(fā)展，新技術(shù)的廣泛應(yīng)用，電力內(nèi)網(wǎng)計(jì)算發(fā)生安全事件日益增多，違規(guī)外聯(lián)行為給內(nèi)網(wǎng)保密帶來了巨大風(fēng)險(xiǎn)。違規(guī)外聯(lián)導(dǎo)致信息泄密，也為黑客攻擊提供了機(jī)會。通過對當(dāng)前違規(guī)外聯(lián)監(jiān)控方法的分析，提出了改進(jìn)的違規(guī)外聯(lián)監(jiān)控方案，該方案能夠全面監(jiān)控內(nèi)網(wǎng)計(jì)算機(jī)違規(guī)外聯(lián)和外部計(jì)算機(jī)違規(guī)接入內(nèi)網(wǎng)，并能夠?qū)崟r產(chǎn)生告警信息及時通知內(nèi)網(wǎng)安全管理員。

網(wǎng)絡(luò)安全；違規(guī)外聯(lián)；違規(guī)接入；雙機(jī)方式；代理方式

根據(jù)國家信息安全防護(hù)要求，為提升企業(yè)信息安全防護(hù)能力，提高信息系統(tǒng)安全運(yùn)行水平，電力企業(yè)已經(jīng)實(shí)施了內(nèi)外網(wǎng)隔離，實(shí)現(xiàn)了企業(yè)信息內(nèi)網(wǎng)與互聯(lián)網(wǎng)的安全隔離，有效提升了企業(yè)內(nèi)部信息網(wǎng)絡(luò)的安全性和保密性。隨著移動網(wǎng)絡(luò)的普及，互聯(lián)網(wǎng)覆蓋范圍越來越大，由于企業(yè)員工內(nèi)網(wǎng)信息安全意識還不到位，違規(guī)外聯(lián)行為時有發(fā)生，防治違規(guī)外聯(lián)已經(jīng)成為電力企業(yè)信息安全防護(hù)的重要課題。

1 主要的違規(guī)外聯(lián)監(jiān)控技術(shù)

目前普遍采用的是雙機(jī)方式違規(guī)外聯(lián)監(jiān)控和代理方式違規(guī)外聯(lián)監(jiān)控這2種監(jiān)控技術(shù)。雙機(jī)方式違規(guī)外聯(lián)監(jiān)控技術(shù)主要通過在內(nèi)外網(wǎng)部署探測服務(wù)器、探測數(shù)據(jù)包的方式來監(jiān)控違規(guī)外聯(lián)行為。代理方式違規(guī)外聯(lián)監(jiān)控技術(shù)主要通過在終端部署代理驅(qū)動軟件、監(jiān)控終端數(shù)據(jù)包和路由表信息來監(jiān)控違規(guī)外聯(lián)行為。

1.1 雙機(jī)方式違規(guī)外聯(lián)監(jiān)控

雙機(jī)方式違規(guī)外聯(lián)監(jiān)控是通過TCP/IP協(xié)議攻擊欺騙的方式來實(shí)現(xiàn)的，監(jiān)控系統(tǒng)主要由內(nèi)網(wǎng)發(fā)包服務(wù)器和外網(wǎng)監(jiān)控報(bào)警服務(wù)器兩部分組成。系統(tǒng)部署比較簡單。

雙機(jī)方式違規(guī)外聯(lián)監(jiān)控的過程如下：內(nèi)網(wǎng)發(fā)包服務(wù)器向內(nèi)網(wǎng)終端發(fā)送探測數(shù)據(jù)包，該數(shù)據(jù)包的源IP地址是外網(wǎng)監(jiān)控報(bào)警服務(wù)器的IP地址，聯(lián)入外網(wǎng)的內(nèi)網(wǎng)終端會把該回包響應(yīng)發(fā)送給外網(wǎng)監(jiān)控報(bào)警服務(wù)器，外網(wǎng)監(jiān)控報(bào)警服務(wù)器即可將該違規(guī)外聯(lián)告警發(fā)送給安全管理員，并記錄該違規(guī)外聯(lián)內(nèi)網(wǎng)終端的相關(guān)識別信息。

但雙機(jī)方式違規(guī)外聯(lián)監(jiān)控存在以下缺陷：

（1）內(nèi)網(wǎng)終端的安全防護(hù)阻斷了內(nèi)網(wǎng)探測包，導(dǎo)致違規(guī)外聯(lián)的內(nèi)網(wǎng)終端無法響應(yīng)探測數(shù)據(jù)包。

（2）假使處于內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)先斷開內(nèi)網(wǎng)，然后再接入外網(wǎng)，內(nèi)網(wǎng)發(fā)包服務(wù)器的探測包就不會達(dá)到被監(jiān)控的主機(jī)。

（3）如果違規(guī)外聯(lián)內(nèi)網(wǎng)終端的防護(hù)軟件阻斷了告警數(shù)據(jù)包的發(fā)送，那么監(jiān)控告警服務(wù)器就收不到告警數(shù)據(jù)包，也就無法檢測到違規(guī)外聯(lián)事件的發(fā)生。

（4）由于此技術(shù)類似于網(wǎng)絡(luò)攻擊，所以存在被誤報(bào)成病毒、惡意攻擊的可能。

（5）在具有一定規(guī)模的內(nèi)網(wǎng)中部署內(nèi)網(wǎng)發(fā)包服務(wù)器較為復(fù)雜。電力企業(yè)的信息內(nèi)網(wǎng)規(guī)模都比較龐大，包含了各類局域網(wǎng)，這些隔離的子網(wǎng)會阻斷或者過濾內(nèi)網(wǎng)發(fā)包服務(wù)器發(fā)送的探測數(shù)據(jù)包，導(dǎo)致探測數(shù)據(jù)包無法有效傳遞到各內(nèi)網(wǎng)終端，需要在每個子網(wǎng)均部署發(fā)包服務(wù)器。

1.2 代理方式違規(guī)外聯(lián)監(jiān)控

代理方式違規(guī)外聯(lián)監(jiān)控通過部署在內(nèi)網(wǎng)終端上的違規(guī)外聯(lián)監(jiān)控代理軟件來實(shí)現(xiàn)監(jiān)控。違規(guī)外聯(lián)監(jiān)控代理和違規(guī)外聯(lián)監(jiān)控報(bào)警中心是代理方式違規(guī)外聯(lián)監(jiān)控系統(tǒng)的重要組成部分。

違規(guī)外聯(lián)代理監(jiān)控代理軟件根據(jù)安全管理員設(shè)置的安全策略實(shí)時監(jiān)控宿主內(nèi)網(wǎng)終端的違規(guī)行為，并按照要求的格式和規(guī)定的頻度把該宿主內(nèi)網(wǎng)終端的相關(guān)信息上傳至監(jiān)控報(bào)警中心。當(dāng)監(jiān)測到內(nèi)網(wǎng)終端有違規(guī)外聯(lián)行為時，違規(guī)外聯(lián)代理軟件就會主動切斷該內(nèi)網(wǎng)終端的網(wǎng)絡(luò)連接。違規(guī)外聯(lián)代理軟件能根據(jù)監(jiān)控報(bào)警中心發(fā)布的策略進(jìn)行更新和升級，并具備進(jìn)程保護(hù)能力，以防被用戶非法終止。

監(jiān)控報(bào)警中心是指部署在內(nèi)網(wǎng)服務(wù)器上對違規(guī)外聯(lián)代理進(jìn)行監(jiān)控管理的程序。監(jiān)控報(bào)警中心能實(shí)時響應(yīng)違規(guī)外聯(lián)代理發(fā)起的連接請求，并完成相應(yīng)的信息傳遞，還能夠根據(jù)管理員的要求對接收到的信息進(jìn)行分類歸檔，以供安全審計(jì)。

代理方式違規(guī)外聯(lián)監(jiān)控過程如下：違規(guī)外聯(lián)監(jiān)控代理實(shí)時監(jiān)控所在內(nèi)網(wǎng)終端的上網(wǎng)行為，定期將收集到的內(nèi)網(wǎng)終端信息發(fā)送到監(jiān)控報(bào)警中心。當(dāng)監(jiān)測到異常情況時，違規(guī)外聯(lián)代理就會立即上報(bào)監(jiān)控報(bào)警中心，再由監(jiān)控報(bào)警中心告知安全管理員。

相對于雙機(jī)方式，代理方式違規(guī)外聯(lián)監(jiān)控的準(zhǔn)確性有很大的提高，減少了誤報(bào)、漏報(bào)的概率，并能及時阻斷違規(guī)外聯(lián)終端的網(wǎng)絡(luò)連接。但這種方式也有其缺點(diǎn)：

（1）如果違規(guī)外聯(lián)監(jiān)控代理保護(hù)不當(dāng)，被用戶終止后，系統(tǒng)就無法再監(jiān)控違規(guī)外聯(lián)行為。

（2）如果安裝在內(nèi)網(wǎng)終端上的安全防護(hù)軟件阻斷了監(jiān)控代理與監(jiān)控報(bào)警中心之間的通信，那么監(jiān)控代理就無法把監(jiān)控到的異常信息上報(bào)給監(jiān)控報(bào)警中心，將導(dǎo)致違規(guī)外聯(lián)監(jiān)控的失效。

1.3 雙機(jī)方式與代理方式的優(yōu)缺

代理方式相比雙機(jī)方式違規(guī)外聯(lián)監(jiān)控，準(zhǔn)確性高，但實(shí)現(xiàn)相對復(fù)雜。每臺被保護(hù)的內(nèi)網(wǎng)主機(jī)都需要部署違規(guī)外聯(lián)監(jiān)控代理程序，安裝部署的人力成本高，并且要保證該違規(guī)外聯(lián)監(jiān)控代理進(jìn)程不能被用戶終止。雙機(jī)方式違規(guī)外聯(lián)監(jiān)控?zé)o需在被監(jiān)控內(nèi)網(wǎng)終端上安裝任何軟件，部署簡單方便。但雙機(jī)方式違規(guī)外聯(lián)監(jiān)測方式也存在著以下難以解決的問題：

（1）違規(guī)外聯(lián)終端和外網(wǎng)監(jiān)控報(bào)警服務(wù)器之間的信息傳遞必須選擇合適的網(wǎng)絡(luò)協(xié)議，以繞開防火墻等安全防護(hù)設(shè)施，確保通信的可達(dá)性。

（2）有些操作系統(tǒng)根據(jù)發(fā)送請求包設(shè)備的IP地址進(jìn)行響應(yīng)，而不是根據(jù)請求包的源IP進(jìn)行響應(yīng)。這將導(dǎo)致響應(yīng)數(shù)據(jù)包被重新傳回內(nèi)網(wǎng)，而不會被外網(wǎng)監(jiān)控服務(wù)器接收。

1.4 內(nèi)網(wǎng)違規(guī)接入控制

內(nèi)網(wǎng)違規(guī)接入控制是違規(guī)外聯(lián)安全監(jiān)控的基礎(chǔ)，內(nèi)網(wǎng)違規(guī)接入行為是指主機(jī)或終端未經(jīng)授權(quán)而非法接入內(nèi)網(wǎng)，通過IP地址盜用非法接入是實(shí)現(xiàn)內(nèi)網(wǎng)違規(guī)接入的主要手段。目前的解決方法是通過IP-MAC綁定來防止IP地址盜用進(jìn)行非法接入。如果違規(guī)接入用戶同時修改了IP和MAC，使得IP-MAC配對信息與合法綁定列表一致，就可以有效避免內(nèi)網(wǎng)接入控制。

2 混合方式違規(guī)外聯(lián)監(jiān)控方案

2.1 混合方式違規(guī)外聯(lián)監(jiān)控方案概述

在目前2種違規(guī)外聯(lián)監(jiān)控解決方案的基礎(chǔ)上，各取其長，提出了混合方式違規(guī)外聯(lián)監(jiān)控解決方案?；旌戏绞浇鉀Q方案由內(nèi)網(wǎng)平臺和外網(wǎng)平臺組成，采取內(nèi)網(wǎng)平臺為主、外網(wǎng)平臺為輔的系統(tǒng)架構(gòu)，其中外網(wǎng)平臺是1臺獨(dú)立的外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器；內(nèi)網(wǎng)平臺由內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控代理和違規(guī)外聯(lián)監(jiān)控服務(wù)器組成。

2.1.1 內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器

內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器應(yīng)具備以下功能：

（1）掃描內(nèi)網(wǎng)在線設(shè)備，收集內(nèi)網(wǎng)在線設(shè)備信息，建立可信內(nèi)網(wǎng)主機(jī)列表以提供初始數(shù)據(jù)。

（2）向內(nèi)網(wǎng)的違規(guī)接入設(shè)備發(fā)送欺騙包，阻斷內(nèi)網(wǎng)違規(guī)接入。

（3）向違規(guī)外聯(lián)監(jiān)控代理發(fā)布違規(guī)外聯(lián)安全策略和升級文件。

（4）向信息安全管理員實(shí)時發(fā)送安全事件告警信息。

（5）接收內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控代理上報(bào)的安全事件信息。

（6）對收集信息進(jìn)行分類歸檔，為信息事件安全審計(jì)提供依據(jù)。

2.1.2 違規(guī)外聯(lián)監(jiān)控代理

違規(guī)外聯(lián)監(jiān)控代理應(yīng)具備以下功能：

（1）監(jiān)測宿主主機(jī)的違規(guī)外聯(lián)情況。

（2）及時將發(fā)現(xiàn)的信息安全事件上報(bào)內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器和外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器。

（3）將宿主主機(jī)的運(yùn)行信息和代理程序的運(yùn)行信息周期性上報(bào)內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器。

（4）向內(nèi)網(wǎng)違規(guī)接入設(shè)備發(fā)送欺騙包，阻斷違規(guī)接入。

（5）記錄用戶斷開內(nèi)網(wǎng)時期的違規(guī)外聯(lián)嫌疑行為日志。

（6）對斷開內(nèi)網(wǎng)上外網(wǎng)、再重新聯(lián)入內(nèi)網(wǎng)的行為進(jìn)行上報(bào)。

外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器是混合方式違規(guī)外聯(lián)監(jiān)測方案的重要輔助系統(tǒng)，對違規(guī)外聯(lián)監(jiān)控起到了重要的完善作用。在內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器無法接收違規(guī)外聯(lián)代理上報(bào)的信息安全事件的情況下，外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器可以通過外網(wǎng)接收違規(guī)外聯(lián)日志信息，并通告信息安全管理員。

2.2 混合方式違規(guī)外聯(lián)監(jiān)控方案研究

2.2.1 違規(guī)外聯(lián)監(jiān)控

違規(guī)外聯(lián)行為監(jiān)控由監(jiān)控內(nèi)網(wǎng)主機(jī)路由表實(shí)現(xiàn)。任何主機(jī)要與其他網(wǎng)絡(luò)通信必須要有到這個目標(biāo)網(wǎng)絡(luò)的路由。缺省情況下，企業(yè)內(nèi)網(wǎng)主機(jī)的路由表中只有一條默認(rèn)路由，其下一條地址就是本機(jī)網(wǎng)關(guān)地址。如果這個網(wǎng)關(guān)的IP地址或MAC地址出現(xiàn)錯誤，就會導(dǎo)致主機(jī)與其他網(wǎng)絡(luò)之間的通信不可達(dá)。所以，監(jiān)控主機(jī)路由表是監(jiān)控主機(jī)違規(guī)外聯(lián)的有效方法。具體過程如下：定義一條缺省的內(nèi)網(wǎng)主機(jī)路由，包括網(wǎng)關(guān)的IP地址和MAC地址，作為基準(zhǔn)路由。如果內(nèi)網(wǎng)主機(jī)修改了該基準(zhǔn)路由信息，說明該內(nèi)網(wǎng)主機(jī)試圖連接未經(jīng)授權(quán)的網(wǎng)絡(luò)，表明該內(nèi)網(wǎng)主機(jī)具有違規(guī)外聯(lián)的傾向。

違規(guī)外聯(lián)監(jiān)控代理定期輪詢宿主主機(jī)的路由表，并將該路由表與基準(zhǔn)路由進(jìn)行比對，一旦出現(xiàn)基準(zhǔn)路由信息與內(nèi)網(wǎng)主機(jī)路由信息不一致，就記錄該主機(jī)信息，并上報(bào)內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器，同時刪除路由表，切斷該主機(jī)的網(wǎng)絡(luò)連接，阻斷這次違規(guī)外聯(lián)行為。如果無法上報(bào)內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器，違規(guī)外聯(lián)代理就向外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器上報(bào)，通過外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器將告警發(fā)送至信息安全管理員。

2.2.2 違規(guī)外聯(lián)嫌疑監(jiān)控

違規(guī)外聯(lián)嫌疑行為主要指內(nèi)網(wǎng)主機(jī)中斷內(nèi)網(wǎng)連接，再聯(lián)入外網(wǎng)的行為。違規(guī)外聯(lián)嫌疑監(jiān)控是對違規(guī)外聯(lián)監(jiān)控預(yù)警的完善和補(bǔ)充。違規(guī)外聯(lián)嫌疑行為一般發(fā)生在內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控代理與內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器通信異常的情況下。當(dāng)內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器沒有收到內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控代理上傳信息，也沒有收到內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控代理上傳的關(guān)機(jī)信號時，內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器就會向該主機(jī)的違規(guī)外聯(lián)監(jiān)控代理發(fā)送TCP探測包。如果內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器未收到回復(fù)包，就說明該主機(jī)的網(wǎng)絡(luò)連接已經(jīng)斷開，或出現(xiàn)了非法關(guān)機(jī)的情況。如果收到了該主機(jī)TCP RST回包，則說明該主機(jī)上的違規(guī)外聯(lián)監(jiān)控代理進(jìn)程已經(jīng)被屏蔽，系統(tǒng)就會生成違規(guī)外聯(lián)嫌疑記錄并上報(bào)網(wǎng)絡(luò)安全管理員。如果沒有收到回復(fù)，則說明該內(nèi)網(wǎng)主機(jī)已經(jīng)被防護(hù)屏蔽或網(wǎng)絡(luò)物理連接已斷開，監(jiān)控代理將記錄在違規(guī)外聯(lián)嫌疑日志，待該內(nèi)網(wǎng)主機(jī)聯(lián)入外網(wǎng)時，監(jiān)控代理就會把違規(guī)外聯(lián)日志上報(bào)至外網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器；或待下次監(jiān)控代理正常連接內(nèi)網(wǎng)監(jiān)測服務(wù)器時，將情況上報(bào)；如果內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器監(jiān)測到內(nèi)網(wǎng)主機(jī)長期不在線，系統(tǒng)也會生成違規(guī)外聯(lián)嫌疑記錄并上報(bào)網(wǎng)絡(luò)安全管理員。

2.2.3 內(nèi)網(wǎng)違規(guī)接入監(jiān)控

本文在ARP欺騙偽造網(wǎng)關(guān)的基礎(chǔ)上，提出了一種改進(jìn)的ARP欺騙方式來阻斷聯(lián)網(wǎng)計(jì)算機(jī)的正常通信。內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器通過與內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控代理互動，建立了合法聯(lián)網(wǎng)計(jì)算機(jī)列表。內(nèi)網(wǎng)違規(guī)外聯(lián)監(jiān)控服務(wù)器周期性地對聯(lián)網(wǎng)設(shè)備進(jìn)行輪詢，并把輪詢結(jié)果與可信任計(jì)算機(jī)清單進(jìn)行比較。如果發(fā)現(xiàn)有未安裝違規(guī)外聯(lián)監(jiān)控代理的聯(lián)網(wǎng)設(shè)備，違規(guī)外聯(lián)監(jiān)控服務(wù)器就認(rèn)為是違規(guī)接入設(shè)備，違規(guī)外聯(lián)監(jiān)控服務(wù)器就會向該違規(guī)接入設(shè)備發(fā)送ARP欺騙包，把偽造的網(wǎng)關(guān)地址信息與合法聯(lián)網(wǎng)設(shè)備的地址信息發(fā)送給這臺違規(guī)接入設(shè)備，使該主機(jī)無法獲得正確的ARP列表，從而阻斷該主機(jī)與本地網(wǎng)絡(luò)及其他網(wǎng)絡(luò)的正常通信。還可以利用主機(jī)操作系統(tǒng)的IP控制列表，阻斷與其他主機(jī)的連接，從而阻斷其他主機(jī)通過本地主機(jī)進(jìn)行違規(guī)內(nèi)網(wǎng)接入。

3 結(jié)語

本文對違規(guī)外聯(lián)行為進(jìn)行了分析，對當(dāng)前的違規(guī)外聯(lián)監(jiān)測方案進(jìn)行了深入的比較研究。根據(jù)目前方案中的缺陷和不足，提出了改進(jìn)的違規(guī)外聯(lián)監(jiān)控方案，從技術(shù)層面斷絕了違規(guī)外聯(lián)事件的發(fā)生，可有效保障信息內(nèi)網(wǎng)安全。

[1]謝家榮.涉密計(jì)算機(jī)保密防范技術(shù)研究[J].計(jì)算機(jī)與數(shù)字工程，2000，28（5）∶63-66.

[2]過莉.企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)的幾點(diǎn)措施[J].廣東電力，2005，18（6）∶87-89.

[3]李建.計(jì)算機(jī)網(wǎng)絡(luò)安全的現(xiàn)狀及探討[J].職業(yè)技術(shù)，2008（1）∶86-86.

[4]隋廣涵.非法外聯(lián)監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[D].吉林大學(xué)，2005.

[5]禹曉慶.網(wǎng)絡(luò)物理隔離安全防御技術(shù)[J].中國電子出版，2000（6）∶59.

[6]杜虹.談?wù)劇皟?nèi)網(wǎng)”安全[J].信息安全與通信保密，2005（1）∶81-81.

[7]黃建輝.一個內(nèi)網(wǎng)監(jiān)控系統(tǒng)的研究與實(shí)現(xiàn)[D].浙江工業(yè)大學(xué)，2009.

（本文編輯：徐晗）

Research of Safety Supervision on Unauthorized External Connection in Inner Electric Power Networks

CHEN Xiao jie，HONG Zhi hua，SUN Yi ze，WANG Yong
（Ningbo Electric Power Bureau，Ningbo Zhejiang 315010，China）

With the development of electric informatization，information security has become an important factor for safe and stable operation of power grid.As the internet continues to develop and the extensive application of new technologies，security incidents increasingly take place in intranet computers，and unauthorized external connection brings significant risks to the confidentiality of intranet.Unauthorized external connection results in information leakage,which gives opportunity to hacker attack.By analyzing the method of monitoring unauthorized external connection,the paper proposes an improvement scheme，which enables comprehensive monitoring on unauthorized external connection of computers in intranet and unauthorized access of external computers to intranet；furthermore，the scheme enables the generation of warning information to inform safety administrator of intranet in due cause of time.

network security；unauthorized external connection；unauthorized access；two-machine mode；agent mode

TP311.563

：B

：1007-1881（2013）10-0070-04

2013-01-17

陳曉杰（1982-），男，浙江寧波人，工程師，從事信息網(wǎng)絡(luò)安全工作。