摘要:简要介绍基层供电企业计算机网络的应用情况,分析了计算机应用中存在的网络安全问题,并提出实施网络安全的方案和策略,对防病毒软件、防火墙、网络入侵侦测系统、网站监控与恢复系统等网络安全产品提出了技术要求。
关键词:计算机;网络安全;分析
引言
计算机病毒对生产的影响可以认为是灾难性的。随着Internet网络技术的发展,计算机病毒的种类急聚增多,扩散速度加快,对企业的破坏性加大。病毒感染方式也主要由软盘介质感染转到了从网络服务器或Internet感染。推行有效的网络杀毒的软件和防毒策略,是保证应用系统正常运行的关键。
防火墙保护是所有连入Internet/Intranet的企业内部网的不可缺少的屏障。由于黑客入侵,网络安全问题尤为突出,采用防火墙,使整个网络筑起一道高墙,将黑客及未授权的应用拒于门外。
1、供电企业的计算机网络及安全
基层供电企业的计算机网络主要由局本部的局域网、所属基层单位的远程网组成,并与上级信息网实现远程连接。按实际应用情况,局域网内主要的应用系统为SAP系统、营销系统、SCADA(系统控制及数据采集)系统,OA(办公自动化)等系统。各系统通过交换机与网络相连;上级电力信息网远程连接和基层的远程网通过电力通信网的光纤系统1000M接入。
(1)SAP系统
SAP系统目前基层级供电企业使用的模块有:财务模块(FICO)、物资模块(MM)、人力资源模块(HR),各部门运行各自对应的模块来进行日常的生产工作,反映日常生产管理的各个方面。由于数据库的开放,这就为内部或者外部的入侵者开了一个方便之门,进行破坏,正常的生产和管理将直接受到影响。
(2)营销系统
营销系统是供电企业电力营销的主要系统,包括用电业务、电费回收、合同管理、95598等模块。营销系统深入到每一个乡镇供电营业所,面对每一个用电客户,尤其是银行电费缴纳工作,更是涉及到千家万户。由于营销系统普及面广,使用人员多,一旦遭到侵袭,供电企业的电力营销将受到严重的影响。
(3)SCADA系统
SCADA系统用于采集、存储电网实时数据信息。网桥通过交换机将所有的原始信息进行抽样后发送给MIS服务器作存档,以便管理人员和一些特别用户的调用查询和处理。SCADA系统一旦遭到破坏,原始数据将无法采集,也无法向服务器传送有用的抽样信息,管理人员也无从了解电网实时数据和原始信息。
(4)OA系统
OA系统流转着供电企业的所有办公文档,一旦发生办公系统内部重要数据的丢失和篡改,或者数据库由于各种原因损坏,正常的工作将受到影响,以至于企业办公秩序被打乱。
随着科技信息应用的进一步发展,电能量采集及分析系统、地理信息及配网自动化系统、图象监控系统、客户服务中心等系统将得到应用和普及,这些应用系统通过网络相互联系,同样需要有安全的策略来保证系统的安全。
2、网络的安全需求分析
建立一个多层反病毒防御体系,设立防火墙保护和网络入侵侦测系统对防止病毒和黑客入侵,提供防范、检测手段和对攻击作出反应,采取自动抗击措施,对保证网络安全是很有必要的。
2.1多层反病毒防御体系
(1)网络防病毒的重要性
网络中没有一套有效的网络杀毒软件和防毒策略,一旦病毒入侵,会通过各种形式在网络内广泛传播,造成严重后果。轻则可能破坏文件和数据库系统,造成数据的损坏和丢失,重则可能导致系统或网络不能正常运行,如造成应用系统瘫痪。由于局域网的安全性和网内信息传递的频繁,一旦一台机器感染病毒极易在整个局域网内扩散和传播。
(2)对网络版反病毒防护软件的要求
在局域网内应布置多平台网络版反病毒防护软件。要求反病毒防护软件具有零度网络管理,可以从局域网中的任意一台工作站派发杀病毒软件程序至整个局域网络系统的功能,在所有的病毒入口及出口处设置防护应用系统;保证平台、协议的无关性;保护所有文件、电子邮件、HTML文档;通过查杀软盘、光盘、可移动硬盘、手提电脑连接、文件服务器、邮件服务器、Internet服务器或代理服务器与Internet连接的进出,提供全面保护。
(3)单机版反病毒防护软件的应用
由于基层的网络与局域网通过光纤连接在一起,各个应用系统在它们之间有信息传递,为了保证在信息传递过程中局域网不被感染病毒,防止病毒蔓延,应在基层网络和局域网有业务关系的单机上安装单机版反病毒软件。这样即使局域网周边的网络中有病毒存在,也能够在进入局域网之前被查杀,要求程序定时进行扫描,既保证了重点网络的安全,又降低了企业在防病毒方面的投资。
(4)反病毒应用软件的服务和升级
对网络版防病毒软件在用户登陆时要求能自动更新病毒库并定时进行扫描。要求可以通过电话、传真、传统邮件、电子邮件在任何需要的时间获取技术支持。如果新病毒出现,公司应立即送出新的杀毒文件。
期刊文章分类查询,尽在期刊图书馆在Internet上应能容易地获得软件的升级及最新的杀病毒技术。
2.2防火墙保护
(1)设立防火墙保护的必要性
防火墙保护是所有连入互联网的企业内部网不可缺少的屏障。由于黑客入侵,系统安全问题尤为突出。采用完善的防火墙保护,可使计算机充分利用安全的电子手段,尽可能减少关键数据所面临的危险,为整个网络筑起一道高墙,将黑客及未授权的用户拒于门外。
(2)对防火墙产品的技术要求
防火墙系统应具有指定IP地址、用户认证控制,提供基于时间的存取控制模式:自动检测SYN攻击及检测Tear Drop、Ping of Death、IPSpoofing攻击、默认数据包拒绝、过滤源路由IP、动态过滤访问的功能;提供Telnet、Ftp、Http、Snmp、Cir-cuit等常用应用代理、透明代理服务的支持;提供可视化、可听化、系统日志等告警方式;提供标记、口令等身份认证方式;保护网络内部拓扑不被外部人员发现;提供图表式配置管理功能;提供灵活多样的访问规则配置等功能。
(3)在重要应用系统与网段之间设立防火墙保护
应在重要应用系统与网段之间设立防火墙保护。例如:SCADA系统网段和其他应用系统之间存在物理上连通,虽然SCADA系统有一些应用层的安全措施,如口令保护等,但是一些入侵者或企业内部职工可以简单的利用网络层和传输层的攻击方法攻击SCADA系统的服务器。为了保护SCADA系统,就必须在SCADA系统与办公网段之间进行严格的访问控制,实现访问控制的简单有效的方法就是在两个系统之间设置防火墙。根据事先制定的安全策略,在防火墙上配置相应访问规则,并对进出两个系统的数据进行检查,非授权的连接就无法通过。
(4)在局域网与外界联系的网段设立防火墙保护
为了保护局域网不被来自上级网络和互联网的非法、越权访问或者防止入侵者万一侵入上级网络后再对局域网进行攻击,有必要设置访问控制防火墙。通过对特定网段建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
2.3建立网络入侵侦测系统
(1)网络入侵侦测系统作用
网络入侵侦测系统(IDS)的目标是在复杂的网络环境中提供防范、检测和对入侵者攻击作出反应,是对入侵者采取自动抗击措施的工具。
(2)对网络入侵侦测系统的要求
要求系统能在黑客成功进入系统之前检测出攻击者并及时报告系统安全管理人员,提供自动对抗措施。在检测出攻击企图后,能够自动启动编程对策,例如:终止登录过程、终止处理进程、发出寻呼或发出E-mail给Web管理员等。在复杂的网络环境中通过循环监测网络流量(Traffic)的手段保护网络上的共享资源。基于审计数据的攻击检测系统,对于不论内部或者外部的攻击、授权滥用,要求准确和及时的报警;并可以识别遭受攻击的系统成分,对系统活动进行日志登记记录,捕获攻击线索等。系统分布应在网络各处敏感和易遭攻击的场所,如广域连接、拨号连接、蔟集服务器、特定的节段等。
(3)网络入侵侦测系统的应用
在MIS系统、用电管理系统、财务管理系统、OA系统等各应用系统中防止人为的恶意攻击或误操作导致系统的损坏或瘫痪的主要防御方法,是在网络中安装网络入侵侦测系统(IDS)。系统可以实时监控网段的流量,发现有攻击特征的行为后,立即报警,并且可以阻断该会话,阻止入侵行为的进一步发生。局域网划分虚网(VLAN)后,入侵侦测系统(IDS)应分别检测各自的应用网段。
2.4网站监控与恢复系统
(1)内部Web系统的安全问题
大部分的供电企业均建立了系统内部的网点,主要用来发布企业内部的一些信息。为了防止内部人员非法篡改Web服务器网页的内容,制造错误言论、谣言惑众及制造思想混乱,应采用网站监控与恢复系统,以防止Web服务器网页发生安全问题。
(2)对网站监控与恢复系统的要求
网站监控与恢复系统应能实现了对Web文件内容的实时监控,一旦发现被非法篡改,可及时报警并自动恢复,同时形成监控和恢复日志,要求能提供友好的用户界面以便系统管理员查看和使用。
3、网络安全应用实例介绍
针对网络安全现状及安全问题的分析,诸暨市供电局从2003年7~9月实施了计算机网络安全一期工程,工程的范围及内容为:
(1)在局域网内布置多平台病毒防护系统,采用 “诺盾”防毒软件,它的主要优点是提供了可以从局域网中任意一台工作站派发杀病毒软件程序至整个局域网络的功能,验收的方法及标准为数个流行病毒攻击演示及24 h智能在线升级注册。
(2)为了保护局域网系统不被来自互联网入侵者的非法、越权访问后再对信息网进行攻击,在此之间设置一套“北塔防火墙系统”。通过建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前,并通过指定的访问控制、攻击的演示和测试。
(3)采用中科网威的“网络入侵侦察系统(NIDS)”,对网络进行实时侦测,具体配置为在一台装有WINDOWSXP,支持WINDOWSXP网卡,内存2G,硬盘160G的PC机上运行。每个被保护的虚网上分别安装一套入侵监控、自动报警阻断系统,用于实时发现并阻断黑客攻击。验收时用数种指定流行的黑客攻击,演示阻断报警及防火墙联动的标准测试。
论文作者:黄承显
论文发表刊物:《电力设备》2017年第1期
论文发表时间:2017/3/10
标签:系统论文; 网络论文; 防火墙论文; 局域网论文; 网段论文; 网络安全论文; 入侵者论文; 《电力设备》2017年第1期论文;