优化能源动力系统局域网安全策略

2015-04-17 11:26吴迎春
冶金动力 2015年1期
关键词:能源动力局域网IP地址

吴迎春

优化能源动力系统局域网安全策略

吴迎春

(攀钢钒公司能源动力中心,四川攀枝花617062)

在分析能源动力系统局域网网络安全问题的基础上,制定并实施了网络安全策略,提升了局域网的安全性,保障了企业信息资源的安全。

局域网;网络安全;防火墙

1 引言

企业网络已经成为现代企业开展业务的关键基础设施。攀钢能源动力系统局域网经过几年的建设,并经不断的改进和扩展,现覆盖了中心机关、各作业区和大部分站所(班组),实现了全中心信息的共享、公文、公告的传送和内部电子邮件收发,该网络为生产经营管理提供高效、快捷的信息交互平台。该网络采用星形拓扑结构,根据业务需要部署了5台服务器和430个终端工作站。

2 网络安全存在的问题

随着Internet/Intranet的发展,它的开放性虽然使得信息能达到高度共享和迅速传递,但同时也带来了系统入侵、泄密等安全问题。能动系统局域网网络安全主要存在以下几个方面的问题:

2.1 网络结构带来的问题

根据网络拓扑结构(见图1)可以看出公司大网上的用户可随意访问能动系统局域网上的信息资源,能源动力中心的重要数据资料很容易被其它终端工作站窃取。服务器日常遭遇黑客攻击,导致能动系统局域网不能正常工作,使得信息化维护工作非常被动。

2.2 IP地址使用方面的问题

在能动系统局域网内部网络应用中,经常会遇到内部网络用户擅自修改IP地址,以获取一个合法IP地址来进行相应的网络应用,这样使得能动系统局域网内部网络在地址资源的分配和使用上出现混乱,大大影响内部网络的正常运行。更有甚者用他人的地址在网上发布信息、攻击他人主机、破坏网络安全,而且在网络事故发生以后,地址追寻的难度大。

2.3 网络软件存在漏洞和“后门”

网络软件不可能是百分之百的无缺陷和无漏洞的,然而,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标,曾经出现过的黑客攻入网络内部的事件,这些事件的大部分就是因为安全措施不完善所导致的苦果。另外,软件的“后门”都是软件公司的设计编程人员为了自便而设置的,一般不为外人所知,但一旦“后门”洞开,其造成的后果将不堪设想。

2.4 整个局域网都处在一个网段中

网络中广播包多,造成交换机上的端口有阻塞现象,网络速度慢。

2.5 网络病毒

网络给工作带来高效、快捷的同时随之而来的网络病毒也越来越多,能动中心没有一个统一的杀毒平台,以前客户端安装非正版杀毒软件种类众多。各个计算机用户应用水平高低不一,很难保证他们对电脑的每一次手动升级都同步进行,一旦发生新病毒,未及时升级的客户端就很有可能成为爆发点,造成计算机病毒在网络上交叉感染。同时杀毒工作不能同步进行,一台工作站杀了病毒,另一台工作站上的病毒又会传播过来,计算机病毒在网络上交叉感染,导致整个网络上的病毒不能彻底清除。

3 优化局域网安全策略

面对计算机网络的种种安全威胁,必须采取有力的措施来保证安全。网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。就存在的问题,经过不断的探索与实践,能动系统局域网采取的安全策略是:

3.1 明确网络安全管理责任主体

明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体。网络管理员是网络安全责任人。

3.2 网络边界设置防火墙控制

防火墙是一种保护计算机网络安全的技术性措施,它是一个用以阻止网络中的黑客访问某个机构网络的屏障,在网络边界上建立相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。能源动力中心使用的是ssg550防火墙,防火墙位于能动系统局域网和公司大网之间,是唯一通道。目的是防止不期望的或未授权的用户和主机访问能源动力中心内部网络,确保能源动力中心内部网正常安全运行。

防火墙的面板上外网口(接外网线)、内网口(接内网线)、管理口(接管理计算机网卡)、DMZ口(接服务器),每个端口速率达到100 Mpbs,将各部分连线接好。在制作RJ45接头时,严格遵循网络通讯协议,根据能源动力中心实际需要,对防火墙设置相应的规则。

IP地址绑定:每一块网卡都具有一个唯一标识号码,也就是指网卡的MAC地址(物理地址如:00:02:55:8a:93:ef)。把能动系统局域网内的所有用户的IP地址与本机网卡对应的MAC地址(物理地址)绑定。限定一个IP地址只能在一台指定的机器上使用,当某台机器通过防火墙访问Internet/Intranet时,防火墙要检查其发出的数据中的IP地址以及MAC地址是否与防火墙上规定的相符,如果相符就放行,否则不允许通过防火墙,这样可大大方便网络中IP地址管理,防止IP地址被他人盗用。

访问权限规则设置:内至外:部分用户通,内至内:全通,外至内:不通。web服务器映射到公司大网上。通过这种设置其他单位用户不能访问到能动内网用户,对能源动力中心的重要数据资料起到了保护作用。

3.3 虚拟网络技术在局域网中的运用

VLAN即虚拟局域网(Virtual Local Area Network),是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。同一个VLAN中的所有成员共同拥有一个VLAN ID,组成一个虚拟局域网络;同一个VLAN中的成员均能收到同一个VLAN中的其他成员发来的广播包,但收不到其他VLAN中成员发来的广播包;不同VLAN成员之间不可直接通信,需要通过路由支持才能通信,而同一VLAN中的成员通过VLAN交换机可以直接通信,能动中心网络采用思科3750交换机其于端口划分四个Vlan段。防火墙23,24口,原热电片区1-11口,东部片区12-16口,原动力片区17-19口。

3.4 构建能动中心局域网网络防病毒体系

针对能动中心局域网中多种病毒存在及杀毒软件现状,为实现全网集中管理、统一设置和统一查杀毒,全网统一行动,最大程度的减小病毒传播及彻底清除病毒,选择了ESET NOD32企业版防病毒系统作为能动中心局域网病毒防治集中管理平台。

根据能动中心地域分布特点,设计局域网防病毒系统体系结构,如图2所示。构建一个nod32服务器,该服务器安装ESET NOD32企业版防病毒软件、远程服务、远程管理控制台等软件。

各工作站部署NOD32客户端程序,工作站开机时自动从局域网内nod32服务器中更新最新病毒库,客户端提供实时监控、预设任务和手动扫描三种方式。实时监控一直运行,不允许用户退出实时监控程序,同时用户不能卸装客户端程序。预设任务定为每周五11:50为在线的所有计算机进行全盘扫描,如果计算机关闭,当下次启动计算机时会通知扫描。客户端向ESET NOD32服务器实时发送事件和状态信息,包括病毒检测情况、客户端启动、客户端关闭、扫描开始和更新完成等。

ESET NOD32服务器是所有客户端配置、病毒日志及客户端软件和更新的中心仓库。预设服务器更新每日从Internet网上下载病毒码、扫描引擎,当ESET NOD32服务器下载完成后会自动部署所有客户端,能动中心局域网内的在线客户端任意时刻都具有相同版本的病毒码和扫描引擎,保护计算机不受病毒、特洛伊木马和其他恶意程序的侵害。

3.5 实施物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度)

把能动系统局域网内的公用服务器和主交换设备安置在一间中心机房内集中管理。

3.6 应用代理服务器增强网络安全

及时下载微软最新的补丁包文件,给工作站打最新的补丁补上安全漏洞;文件服务器和数据服务器不与Internet直接连接,设专用代理服务器,部份工作站使用代理服务器访问Internet,这样不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。

3.7 网络安全管理策略

确定安全管理等级和安全管理范围;制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施。

4 优化网络安全策略后的运行效果

4.1 优化后的网络拓扑结构见图3,优化局域网安全策略后内部网络的安全性能大大提高。防止了外部用户访问能源动力中心内部网络。仅能源动力中心内部用户才可访问能动系统局域网。工作站不能随意篡改IP地址,否则无法登录能动系统局域网。

[11]樊波.大型高炉煤气干法除尘技术应用进展及节能减排效果分析[P].全国能源与热工学术年会论文集,2008-11-01,:281-284

[12]任绍峰.首钢京唐1号5500m3高炉煤气干法除尘,自动化控制系统的创新设计与实现[P].第七届中国钢铁年会论文集下,2009-11-11,:9-348-9-354

[13]王海涛/高华东/张殿印.高炉煤气干法除尘技术的发展[J].中国环保产业,2011年,(第8期)

[14]王永峰.全干法除尘技术在邯钢3200m3高炉煤气除尘中的应用[P].2011年全国冶金节能减排与低碳技术发展研讨会文集,2011年, :366-3684.2 允许内部网络中的用户访问外部网络的服务和资源而不泄漏内部网络的数据和资源。记录了工作站通过防火墙的信息内容和活动,对网络攻击进行监测和报警,整个网络的使用情况非常清楚。

Optimization of the Security Strategy for the LAN Network of Energy and Power Systems

Wu Yingchun
(The Energy Power Center of Panzhihua Iron&Steel Co.,Panzhihua,Sichuan 617062,China)

Based on analysis of the security issues of LAN network for energy and power systems,security strategy for LAN network was drawn up and implemented,which enhanced the security of the LAN netowork and ensured the safety of enterprise information resources.

LAN network;network security;firewall

TP393

B

1006-6764(2015)01-0061-04

猜你喜欢
能源动力局域网IP地址
广元八二一能源动力有限责任公司
轨道交通车-地通信无线局域网技术应用
铁路远动系统几种组网方式IP地址的申请和设置
基于VPN的机房局域网远程控制系统
IP地址切换器(IPCFG)
基于802.1Q协议的虚拟局域网技术研究与实现
局域网性能的优化
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考
基于卓越工程师培养计划的专业英语教学模式研究