随着勒索病毒事件的发生,网络安全摆在了重要的位置,为此,我国于2016年11月7日颁布了《中华人民共和国网络安全法》。
电力公司作为国家战略性企业,紧跟时代发展步伐,充分利用大云物移智和信息化的优势,国家调度、地方调度及员工的正常工作都需要网络,而当前网络面临着用户帐号、密码被大量窃取/误用、私有或机密资料被泄露或被篡改、个人被假冒身份而造成损害、钓鱼网站层出不穷等问题,因此亟待总结归纳网络安全防护措施。本课题根据笔者所从事的网络安全工作实际出发,提出网络安全防护合理化建议。
在网络建设和维护中,网络安全成为了一个不可或缺的部分。网络安全的范围十分广泛,包括了网络的方方面面。本文提出的网络安全防护措施主要包括提高作业人员或用户的网络安全意识、网络安全防范技术体系。其中前者最关键。
对于信息运维人员要加大信息安全教育,增强人们安全意识和安全素质。
因此,为了提高公司的网络安全,要对技术人员进行安全培训,主要包括:网络安全理论培训、安全意识教育、岗位技能培训、安全技术培训、安全产品培训,对定期安全教育和培训进行书面规定,针对不同岗位制定相应的安全培训计划。在工作时,还应严格执行工作票制度。
常见的网络安全的技术体系主要包括身份认证技术、访问控制技术、安全审计技术、漏洞扫描技术、病毒扫描技术、防火墙技术、入侵检测技术以及入侵防御技术。
(1)安全网络拓扑的规划设计
对于电力公司,考虑到生产调度和工业电视对安全性的需求,设计时需要双链路双冗余,管理信息外网和外网之间的边界应采用公司认可的隔离装置进行安全隔离,在出口路由器与核心交换机之间应安装防火墙、串接入侵防御系统IPS(或在核心交换机上以旁路模式接入侵检测系统IDS)等安全设备,且在路由器上应采用用户认证、加密传输等安全措施。在条件允许的情况下,可以放置安全接入平台。
安全接入平台较常见的技术或设备包括:
通过防火墙建立隔离本地和外部网络的防御系统;
通过IDS/IPS监视经过防火墙的全部通信并查找可能是恶意的攻击通信,并在这种攻击扩散到网络其他地方之前阻止这些恶意的通信;
通过部署身份认证服务器来组织管理个人身份认证信息;
利用可信边界安全网关保证用户的物理身份与数字身份相符;
通过CA服务器对数字证书进行发放和管理;
利用IPSec VPN实现多专用网安全连接;
通过集中监控审计对网络中的各种设备和系统进行集中的、可视的综合审计,及时发现安全隐患,提高安全系统成效;
利用网闸从物理上隔离、阻断了具有潜在攻击可能的连接,从根本上杜绝可被黑客利用的安全漏洞。
(2)网络设备的防护措施
网络设备主要包括路由器和交换机,主要防治非法DHCP欺骗、开启环路检测(STP)、ARP网关欺骗及广播风暴的控制。近期的比特币病毒事件就是通过相应的端口(如 135、139、443端口)非法侵入电脑终端。为了保障网络设备的安全,主要采用以下措施:
第一,设置访问控制列表ACL策略,设置deny拒绝动作,以限制相应的非法IP地址和关闭不必要的端口非法侵入。
第二,要限制管理员的登录IP地址。
第三,在核心交换机上要进行MAC地址、IP地址以及端口的绑定。
第四,设备登录用户权限分级,加强口令安全将设备纳入网管,确保读写团体字的安全,开启Trap功能。
第五,限制能够管理设备的IP地址,包括网管和远程登录。
第六,限制登录地址。
第七,配置密码认证。
第八,配置用户认证。
第九,协议认证和端口认证。
第十,需要定期进行数据备份和配置备份。
(3)安全设备的防护措施
安全设备主要包括防火墙、入侵防御系统IPS、入侵检测系统IDS、漏洞扫描设备、安全审计设备及病毒扫描设备。安全设备的防护措施主要为:
第一,设置合理的安全策略,允许特定的IP地址可以访问防火墙内部的安全区域,其余来自于外界的IP地址均不可以访问内网,同时限制内网用户访问非法IP地址。
第二,定期更新防火墙、IPS及IDS的病毒库和特征库,以阻止新产生的病毒。
(4)终端设备的防护措施
个人终端安全防护措施也是必须要考虑的重要部分,其防护措施主要由:
第一,必须安装杀毒软件进行病毒防治,且要定期扫描操作系统漏洞,定期打补丁。
第二,关闭不必要的服务,比如 FTP、SSH。
第三,关闭空闲端口,按需开放。
第四,终端设备用户应妥善保管账号及密码。
第五,办公计算机必须安装防病毒、桌面管理等安全防护软件,卸载或禁用计算机防病毒、桌面管理等安全防护软件,拆卸、更换终端设备硬件,应经本单位信息运维单位批准。
第六,个人终端使用无线网络传输业务数据时,应具备接入认证、隔离及加密等安全措施。
网络是保证电网调度和员工正常工作的前提,网络安全是不能忽略的重要保障。
本课题结合笔者所从事的网络安全工作实际出发,提出了一些网络安全防护合理化建议。希望能够从事对网络安全工作的人员有一定的参考,共同保障我国的电网网络与信息安全。