吳迎春

優(yōu)化能源動(dòng)力系統(tǒng)局域網(wǎng)安全策略

吳迎春

（攀鋼釩公司能源動(dòng)力中心，四川攀枝花617062）

在分析能源動(dòng)力系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)安全問題的基礎(chǔ)上，制定并實(shí)施了網(wǎng)絡(luò)安全策略，提升了局域網(wǎng)的安全性，保障了企業(yè)信息資源的安全。

局域網(wǎng)；網(wǎng)絡(luò)安全；防火墻

1 引言

企業(yè)網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代企業(yè)開展業(yè)務(wù)的關(guān)鍵基礎(chǔ)設(shè)施。攀鋼能源動(dòng)力系統(tǒng)局域網(wǎng)經(jīng)過幾年的建設(shè)，并經(jīng)不斷的改進(jìn)和擴(kuò)展，現(xiàn)覆蓋了中心機(jī)關(guān)、各作業(yè)區(qū)和大部分站所（班組），實(shí)現(xiàn)了全中心信息的共享、公文、公告的傳送和內(nèi)部電子郵件收發(fā)，該網(wǎng)絡(luò)為生產(chǎn)經(jīng)營管理提供高效、快捷的信息交互平臺(tái)。該網(wǎng)絡(luò)采用星形拓?fù)浣Y(jié)構(gòu)，根據(jù)業(yè)務(wù)需要部署了5臺(tái)服務(wù)器和430個(gè)終端工作站。

2 網(wǎng)絡(luò)安全存在的問題

隨著Internet/Intranet的發(fā)展，它的開放性雖然使得信息能達(dá)到高度共享和迅速傳遞，但同時(shí)也帶來了系統(tǒng)入侵、泄密等安全問題。能動(dòng)系統(tǒng)局域網(wǎng)網(wǎng)絡(luò)安全主要存在以下幾個(gè)方面的問題：

2.1 網(wǎng)絡(luò)結(jié)構(gòu)帶來的問題

根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)（見圖1）可以看出公司大網(wǎng)上的用戶可隨意訪問能動(dòng)系統(tǒng)局域網(wǎng)上的信息資源，能源動(dòng)力中心的重要數(shù)據(jù)資料很容易被其它終端工作站竊取。服務(wù)器日常遭遇黑客攻擊，導(dǎo)致能動(dòng)系統(tǒng)局域網(wǎng)不能正常工作，使得信息化維護(hù)工作非常被動(dòng)。

2.2 IP地址使用方面的問題

在能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)應(yīng)用中，經(jīng)常會(huì)遇到內(nèi)部網(wǎng)絡(luò)用戶擅自修改IP地址，以獲取一個(gè)合法IP地址來進(jìn)行相應(yīng)的網(wǎng)絡(luò)應(yīng)用，這樣使得能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)部網(wǎng)絡(luò)在地址資源的分配和使用上出現(xiàn)混亂，大大影響內(nèi)部網(wǎng)絡(luò)的正常運(yùn)行。更有甚者用他人的地址在網(wǎng)上發(fā)布信息、攻擊他人主機(jī)、破壞網(wǎng)絡(luò)安全，而且在網(wǎng)絡(luò)事故發(fā)生以后，地址追尋的難度大。

2.3 網(wǎng)絡(luò)軟件存在漏洞和“后門”

網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑鶎?dǎo)致的苦果。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。

2.4 整個(gè)局域網(wǎng)都處在一個(gè)網(wǎng)段中

網(wǎng)絡(luò)中廣播包多，造成交換機(jī)上的端口有阻塞現(xiàn)象，網(wǎng)絡(luò)速度慢。

2.5 網(wǎng)絡(luò)病毒

網(wǎng)絡(luò)給工作帶來高效、快捷的同時(shí)隨之而來的網(wǎng)絡(luò)病毒也越來越多，能動(dòng)中心沒有一個(gè)統(tǒng)一的殺毒平臺(tái)，以前客戶端安裝非正版殺毒軟件種類眾多。各個(gè)計(jì)算機(jī)用戶應(yīng)用水平高低不一，很難保證他們對電腦的每一次手動(dòng)升級(jí)都同步進(jìn)行，一旦發(fā)生新病毒，未及時(shí)升級(jí)的客戶端就很有可能成為爆發(fā)點(diǎn)，造成計(jì)算機(jī)病毒在網(wǎng)絡(luò)上交叉感染。同時(shí)殺毒工作不能同步進(jìn)行，一臺(tái)工作站殺了病毒，另一臺(tái)工作站上的病毒又會(huì)傳播過來，計(jì)算機(jī)病毒在網(wǎng)絡(luò)上交叉感染，導(dǎo)致整個(gè)網(wǎng)絡(luò)上的病毒不能徹底清除。

3 優(yōu)化局域網(wǎng)安全策略

面對計(jì)算機(jī)網(wǎng)絡(luò)的種種安全威脅，必須采取有力的措施來保證安全。網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。就存在的問題，經(jīng)過不斷的探索與實(shí)踐，能動(dòng)系統(tǒng)局域網(wǎng)采取的安全策略是：

3.1 明確網(wǎng)絡(luò)安全管理責(zé)任主體

明確網(wǎng)絡(luò)安全的責(zé)任人和安全策略的實(shí)施者。人是制定和執(zhí)行網(wǎng)絡(luò)安全策略的主體。網(wǎng)絡(luò)管理員是網(wǎng)絡(luò)安全責(zé)任人。

3.2 網(wǎng)絡(luò)邊界設(shè)置防火墻控制

防火墻是一種保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個(gè)用以阻止網(wǎng)絡(luò)中的黑客訪問某個(gè)機(jī)構(gòu)網(wǎng)絡(luò)的屏障，在網(wǎng)絡(luò)邊界上建立相應(yīng)網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。能源動(dòng)力中心使用的是ssg550防火墻，防火墻位于能動(dòng)系統(tǒng)局域網(wǎng)和公司大網(wǎng)之間，是唯一通道。目的是防止不期望的或未授權(quán)的用戶和主機(jī)訪問能源動(dòng)力中心內(nèi)部網(wǎng)絡(luò)，確保能源動(dòng)力中心內(nèi)部網(wǎng)正常安全運(yùn)行。

防火墻的面板上外網(wǎng)口（接外網(wǎng)線）、內(nèi)網(wǎng)口（接內(nèi)網(wǎng)線）、管理口（接管理計(jì)算機(jī)網(wǎng)卡）、DMZ口（接服務(wù)器），每個(gè)端口速率達(dá)到100 Mpbs,將各部分連線接好。在制作RJ45接頭時(shí)，嚴(yán)格遵循網(wǎng)絡(luò)通訊協(xié)議，根據(jù)能源動(dòng)力中心實(shí)際需要，對防火墻設(shè)置相應(yīng)的規(guī)則。

IP地址綁定：每一塊網(wǎng)卡都具有一個(gè)唯一標(biāo)識(shí)號(hào)碼，也就是指網(wǎng)卡的MAC地址（物理地址如：00：02：55：8a:93:ef）。把能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)的所有用戶的IP地址與本機(jī)網(wǎng)卡對應(yīng)的MAC地址（物理地址）綁定。限定一個(gè)IP地址只能在一臺(tái)指定的機(jī)器上使用，當(dāng)某臺(tái)機(jī)器通過防火墻訪問Internet/Intranet時(shí)，防火墻要檢查其發(fā)出的數(shù)據(jù)中的IP地址以及MAC地址是否與防火墻上規(guī)定的相符，如果相符就放行，否則不允許通過防火墻，這樣可大大方便網(wǎng)絡(luò)中IP地址管理，防止IP地址被他人盜用。

訪問權(quán)限規(guī)則設(shè)置：內(nèi)至外：部分用戶通，內(nèi)至內(nèi)：全通，外至內(nèi)：不通。web服務(wù)器映射到公司大網(wǎng)上。通過這種設(shè)置其他單位用戶不能訪問到能動(dòng)內(nèi)網(wǎng)用戶，對能源動(dòng)力中心的重要數(shù)據(jù)資料起到了保護(hù)作用。

3.3 虛擬網(wǎng)絡(luò)技術(shù)在局域網(wǎng)中的運(yùn)用

VLAN即虛擬局域網(wǎng)（Virtual Local Area Network），是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術(shù)。同一個(gè)VLAN中的所有成員共同擁有一個(gè)VLAN ID，組成一個(gè)虛擬局域網(wǎng)絡(luò)；同一個(gè)VLAN中的成員均能收到同一個(gè)VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā)來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一VLAN中的成員通過VLAN交換機(jī)可以直接通信，能動(dòng)中心網(wǎng)絡(luò)采用思科3750交換機(jī)其于端口劃分四個(gè)Vlan段。防火墻23，24口，原熱電片區(qū)1-11口，東部片區(qū)12-16口，原動(dòng)力片區(qū)17-19口。

3.4 構(gòu)建能動(dòng)中心局域網(wǎng)網(wǎng)絡(luò)防病毒體系

針對能動(dòng)中心局域網(wǎng)中多種病毒存在及殺毒軟件現(xiàn)狀，為實(shí)現(xiàn)全網(wǎng)集中管理、統(tǒng)一設(shè)置和統(tǒng)一查殺毒，全網(wǎng)統(tǒng)一行動(dòng)，最大程度的減小病毒傳播及徹底清除病毒，選擇了ESET NOD32企業(yè)版防病毒系統(tǒng)作為能動(dòng)中心局域網(wǎng)病毒防治集中管理平臺(tái)。

根據(jù)能動(dòng)中心地域分布特點(diǎn)，設(shè)計(jì)局域網(wǎng)防病毒系統(tǒng)體系結(jié)構(gòu)，如圖2所示。構(gòu)建一個(gè)nod32服務(wù)器，該服務(wù)器安裝ESET NOD32企業(yè)版防病毒軟件、遠(yuǎn)程服務(wù)、遠(yuǎn)程管理控制臺(tái)等軟件。

各工作站部署NOD32客戶端程序，工作站開機(jī)時(shí)自動(dòng)從局域網(wǎng)內(nèi)nod32服務(wù)器中更新最新病毒庫，客戶端提供實(shí)時(shí)監(jiān)控、預(yù)設(shè)任務(wù)和手動(dòng)掃描三種方式。實(shí)時(shí)監(jiān)控一直運(yùn)行，不允許用戶退出實(shí)時(shí)監(jiān)控程序，同時(shí)用戶不能卸裝客戶端程序。預(yù)設(shè)任務(wù)定為每周五11:50為在線的所有計(jì)算機(jī)進(jìn)行全盤掃描，如果計(jì)算機(jī)關(guān)閉，當(dāng)下次啟動(dòng)計(jì)算機(jī)時(shí)會(huì)通知掃描?？蛻舳讼駿SET NOD32服務(wù)器實(shí)時(shí)發(fā)送事件和狀態(tài)信息，包括病毒檢測情況、客戶端啟動(dòng)、客戶端關(guān)閉、掃描開始和更新完成等。

ESET NOD32服務(wù)器是所有客戶端配置、病毒日志及客戶端軟件和更新的中心倉庫。預(yù)設(shè)服務(wù)器更新每日從Internet網(wǎng)上下載病毒碼、掃描引擎，當(dāng)ESET NOD32服務(wù)器下載完成后會(huì)自動(dòng)部署所有客戶端，能動(dòng)中心局域網(wǎng)內(nèi)的在線客戶端任意時(shí)刻都具有相同版本的病毒碼和掃描引擎，保護(hù)計(jì)算機(jī)不受病毒、特洛伊木馬和其他惡意程序的侵害。

3.5 實(shí)施物理上的安全措施（防火、防盜）和環(huán)境上的安全措施（供電、溫度）

把能動(dòng)系統(tǒng)局域網(wǎng)內(nèi)的公用服務(wù)器和主交換設(shè)備安置在一間中心機(jī)房內(nèi)集中管理。

3.6 應(yīng)用代理服務(wù)器增強(qiáng)網(wǎng)絡(luò)安全

及時(shí)下載微軟最新的補(bǔ)丁包文件，給工作站打最新的補(bǔ)丁補(bǔ)上安全漏洞；文件服務(wù)器和數(shù)據(jù)服務(wù)器不與Internet直接連接，設(shè)專用代理服務(wù)器，部份工作站使用代理服務(wù)器訪問Internet，這樣不僅可以降低訪問成本，而且隱藏了網(wǎng)絡(luò)規(guī)模和特性，加強(qiáng)了網(wǎng)絡(luò)的安全性。

3.7 網(wǎng)絡(luò)安全管理策略

確定安全管理等級(jí)和安全管理范圍；制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出入機(jī)房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施。

4 優(yōu)化網(wǎng)絡(luò)安全策略后的運(yùn)行效果

4.1 優(yōu)化后的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)見圖3，優(yōu)化局域網(wǎng)安全策略后內(nèi)部網(wǎng)絡(luò)的安全性能大大提高。防止了外部用戶訪問能源動(dòng)力中心內(nèi)部網(wǎng)絡(luò)。僅能源動(dòng)力中心內(nèi)部用戶才可訪問能動(dòng)系統(tǒng)局域網(wǎng)。工作站不能隨意篡改IP地址，否則無法登錄能動(dòng)系統(tǒng)局域網(wǎng)。

[11]樊波.大型高爐煤氣干法除塵技術(shù)應(yīng)用進(jìn)展及節(jié)能減排效果分析[P].全國能源與熱工學(xué)術(shù)年會(huì)論文集,2008-11-01,:281-284

[12]任紹峰.首鋼京唐1號(hào)5500m3高爐煤氣干法除塵,自動(dòng)化控制系統(tǒng)的創(chuàng)新設(shè)計(jì)與實(shí)現(xiàn)[P].第七屆中國鋼鐵年會(huì)論文集下,2009-11-11,:9-348-9-354

[13]王海濤/高華東/張殿印.高爐煤氣干法除塵技術(shù)的發(fā)展[J].中國環(huán)保產(chǎn)業(yè),2011年,(第8期)

[14]王永峰.全干法除塵技術(shù)在邯鋼3200m3高爐煤氣除塵中的應(yīng)用[P].2011年全國冶金節(jié)能減排與低碳技術(shù)發(fā)展研討會(huì)文集,2011年, :366-3684.2 允許內(nèi)部網(wǎng)絡(luò)中的用戶訪問外部網(wǎng)絡(luò)的服務(wù)和資源而不泄漏內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)和資源。記錄了工作站通過防火墻的信息內(nèi)容和活動(dòng)，對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)測和報(bào)警，整個(gè)網(wǎng)絡(luò)的使用情況非常清楚。

Optimization of the Security Strategy for the LAN Network of Energy and Power Systems

Wu Yingchun
(The Energy Power Center of Panzhihua Iron&Steel Co.,Panzhihua,Sichuan 617062,China)

Based on analysis of the security issues of LAN network for energy and power systems,security strategy for LAN network was drawn up and implemented,which enhanced the security of the LAN netowork and ensured the safety of enterprise information resources.

LAN network;network security;firewall

TP393

B

1006-6764（2015）01-0061-04