吳迎春

優(yōu)化能源動力系統(tǒng)局域網(wǎng)安全策略

吳迎春

（攀鋼釩公司能源動力中心，四川攀枝花617062）

在分析能源動力系統(tǒng)局域網(wǎng)網(wǎng)絡安全問題的基礎上，制定并實施了網(wǎng)絡安全策略，提升了局域網(wǎng)的安全性，保障了企業(yè)信息資源的安全。

局域網(wǎng)；網(wǎng)絡安全；防火墻

1 引言

企業(yè)網(wǎng)絡已經(jīng)成為現(xiàn)代企業(yè)開展業(yè)務的關鍵基礎設施。攀鋼能源動力系統(tǒng)局域網(wǎng)經(jīng)過幾年的建設，并經(jīng)不斷的改進和擴展，現(xiàn)覆蓋了中心機關、各作業(yè)區(qū)和大部分站所（班組），實現(xiàn)了全中心信息的共享、公文、公告的傳送和內部電子郵件收發(fā)，該網(wǎng)絡為生產經(jīng)營管理提供高效、快捷的信息交互平臺。該網(wǎng)絡采用星形拓撲結構，根據(jù)業(yè)務需要部署了5臺服務器和430個終端工作站。

2 網(wǎng)絡安全存在的問題

隨著Internet/Intranet的發(fā)展，它的開放性雖然使得信息能達到高度共享和迅速傳遞，但同時也帶來了系統(tǒng)入侵、泄密等安全問題。能動系統(tǒng)局域網(wǎng)網(wǎng)絡安全主要存在以下幾個方面的問題：

2.1 網(wǎng)絡結構帶來的問題

根據(jù)網(wǎng)絡拓撲結構（見圖1）可以看出公司大網(wǎng)上的用戶可隨意訪問能動系統(tǒng)局域網(wǎng)上的信息資源，能源動力中心的重要數(shù)據(jù)資料很容易被其它終端工作站竊取。服務器日常遭遇黑客攻擊，導致能動系統(tǒng)局域網(wǎng)不能正常工作，使得信息化維護工作非常被動。

2.2 IP地址使用方面的問題

在能動系統(tǒng)局域網(wǎng)內部網(wǎng)絡應用中，經(jīng)常會遇到內部網(wǎng)絡用戶擅自修改IP地址，以獲取一個合法IP地址來進行相應的網(wǎng)絡應用，這樣使得能動系統(tǒng)局域網(wǎng)內部網(wǎng)絡在地址資源的分配和使用上出現(xiàn)混亂，大大影響內部網(wǎng)絡的正常運行。更有甚者用他人的地址在網(wǎng)上發(fā)布信息、攻擊他人主機、破壞網(wǎng)絡安全，而且在網(wǎng)絡事故發(fā)生以后，地址追尋的難度大。

2.3 網(wǎng)絡軟件存在漏洞和“后門”

網(wǎng)絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經(jīng)出現(xiàn)過的黑客攻入網(wǎng)絡內部的事件，這些事件的大部分就是因為安全措施不完善所導致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。

2.4 整個局域網(wǎng)都處在一個網(wǎng)段中

網(wǎng)絡中廣播包多，造成交換機上的端口有阻塞現(xiàn)象，網(wǎng)絡速度慢。

2.5 網(wǎng)絡病毒

網(wǎng)絡給工作帶來高效、快捷的同時隨之而來的網(wǎng)絡病毒也越來越多，能動中心沒有一個統(tǒng)一的殺毒平臺，以前客戶端安裝非正版殺毒軟件種類眾多。各個計算機用戶應用水平高低不一，很難保證他們對電腦的每一次手動升級都同步進行，一旦發(fā)生新病毒，未及時升級的客戶端就很有可能成為爆發(fā)點，造成計算機病毒在網(wǎng)絡上交叉感染。同時殺毒工作不能同步進行，一臺工作站殺了病毒，另一臺工作站上的病毒又會傳播過來，計算機病毒在網(wǎng)絡上交叉感染，導致整個網(wǎng)絡上的病毒不能徹底清除。

3 優(yōu)化局域網(wǎng)安全策略

面對計算機網(wǎng)絡的種種安全威脅，必須采取有力的措施來保證安全。網(wǎng)絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。就存在的問題，經(jīng)過不斷的探索與實踐，能動系統(tǒng)局域網(wǎng)采取的安全策略是：

3.1 明確網(wǎng)絡安全管理責任主體

明確網(wǎng)絡安全的責任人和安全策略的實施者。人是制定和執(zhí)行網(wǎng)絡安全策略的主體。網(wǎng)絡管理員是網(wǎng)絡安全責任人。

3.2 網(wǎng)絡邊界設置防火墻控制

防火墻是一種保護計算機網(wǎng)絡安全的技術性措施，它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障，在網(wǎng)絡邊界上建立相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內部和外部網(wǎng)絡，以阻檔外部網(wǎng)絡的侵入。能源動力中心使用的是ssg550防火墻，防火墻位于能動系統(tǒng)局域網(wǎng)和公司大網(wǎng)之間，是唯一通道。目的是防止不期望的或未授權的用戶和主機訪問能源動力中心內部網(wǎng)絡，確保能源動力中心內部網(wǎng)正常安全運行。

防火墻的面板上外網(wǎng)口（接外網(wǎng)線）、內網(wǎng)口（接內網(wǎng)線）、管理口（接管理計算機網(wǎng)卡）、DMZ口（接服務器），每個端口速率達到100 Mpbs,將各部分連線接好。在制作RJ45接頭時，嚴格遵循網(wǎng)絡通訊協(xié)議，根據(jù)能源動力中心實際需要，對防火墻設置相應的規(guī)則。

IP地址綁定：每一塊網(wǎng)卡都具有一個唯一標識號碼，也就是指網(wǎng)卡的MAC地址（物理地址如：00：02：55：8a:93:ef）。把能動系統(tǒng)局域網(wǎng)內的所有用戶的IP地址與本機網(wǎng)卡對應的MAC地址（物理地址）綁定。限定一個IP地址只能在一臺指定的機器上使用，當某臺機器通過防火墻訪問Internet/Intranet時，防火墻要檢查其發(fā)出的數(shù)據(jù)中的IP地址以及MAC地址是否與防火墻上規(guī)定的相符，如果相符就放行，否則不允許通過防火墻，這樣可大大方便網(wǎng)絡中IP地址管理，防止IP地址被他人盜用。

訪問權限規(guī)則設置：內至外：部分用戶通，內至內：全通，外至內：不通。web服務器映射到公司大網(wǎng)上。通過這種設置其他單位用戶不能訪問到能動內網(wǎng)用戶，對能源動力中心的重要數(shù)據(jù)資料起到了保護作用。

3.3 虛擬網(wǎng)絡技術在局域網(wǎng)中的運用

VLAN即虛擬局域網(wǎng)（Virtual Local Area Network），是一種將局域網(wǎng)設備從邏輯上劃分成一個個網(wǎng)段，從而實現(xiàn)虛擬工作組的新興數(shù)據(jù)交換技術。同一個VLAN中的所有成員共同擁有一個VLAN ID，組成一個虛擬局域網(wǎng)絡；同一個VLAN中的成員均能收到同一個VLAN中的其他成員發(fā)來的廣播包，但收不到其他VLAN中成員發(fā)來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一VLAN中的成員通過VLAN交換機可以直接通信，能動中心網(wǎng)絡采用思科3750交換機其于端口劃分四個Vlan段。防火墻23，24口，原熱電片區(qū)1-11口，東部片區(qū)12-16口，原動力片區(qū)17-19口。

3.4 構建能動中心局域網(wǎng)網(wǎng)絡防病毒體系

針對能動中心局域網(wǎng)中多種病毒存在及殺毒軟件現(xiàn)狀，為實現(xiàn)全網(wǎng)集中管理、統(tǒng)一設置和統(tǒng)一查殺毒，全網(wǎng)統(tǒng)一行動，最大程度的減小病毒傳播及徹底清除病毒，選擇了ESET NOD32企業(yè)版防病毒系統(tǒng)作為能動中心局域網(wǎng)病毒防治集中管理平臺。

根據(jù)能動中心地域分布特點，設計局域網(wǎng)防病毒系統(tǒng)體系結構，如圖2所示。構建一個nod32服務器，該服務器安裝ESET NOD32企業(yè)版防病毒軟件、遠程服務、遠程管理控制臺等軟件。

各工作站部署NOD32客戶端程序，工作站開機時自動從局域網(wǎng)內nod32服務器中更新最新病毒庫，客戶端提供實時監(jiān)控、預設任務和手動掃描三種方式。實時監(jiān)控一直運行，不允許用戶退出實時監(jiān)控程序，同時用戶不能卸裝客戶端程序。預設任務定為每周五11:50為在線的所有計算機進行全盤掃描，如果計算機關閉，當下次啟動計算機時會通知掃描?？蛻舳讼駿SET NOD32服務器實時發(fā)送事件和狀態(tài)信息，包括病毒檢測情況、客戶端啟動、客戶端關閉、掃描開始和更新完成等。

ESET NOD32服務器是所有客戶端配置、病毒日志及客戶端軟件和更新的中心倉庫。預設服務器更新每日從Internet網(wǎng)上下載病毒碼、掃描引擎，當ESET NOD32服務器下載完成后會自動部署所有客戶端，能動中心局域網(wǎng)內的在線客戶端任意時刻都具有相同版本的病毒碼和掃描引擎，保護計算機不受病毒、特洛伊木馬和其他惡意程序的侵害。

3.5 實施物理上的安全措施（防火、防盜）和環(huán)境上的安全措施（供電、溫度）

把能動系統(tǒng)局域網(wǎng)內的公用服務器和主交換設備安置在一間中心機房內集中管理。

3.6 應用代理服務器增強網(wǎng)絡安全

及時下載微軟最新的補丁包文件，給工作站打最新的補丁補上安全漏洞；文件服務器和數(shù)據(jù)服務器不與Internet直接連接，設專用代理服務器，部份工作站使用代理服務器訪問Internet，這樣不僅可以降低訪問成本，而且隱藏了網(wǎng)絡規(guī)模和特性，加強了網(wǎng)絡的安全性。

3.7 網(wǎng)絡安全管理策略

確定安全管理等級和安全管理范圍；制定有關網(wǎng)絡操作使用規(guī)程和人員出入機房管理制度；制定網(wǎng)絡系統(tǒng)的維護制度和應急措施。

4 優(yōu)化網(wǎng)絡安全策略后的運行效果

4.1 優(yōu)化后的網(wǎng)絡拓撲結構見圖3，優(yōu)化局域網(wǎng)安全策略后內部網(wǎng)絡的安全性能大大提高。防止了外部用戶訪問能源動力中心內部網(wǎng)絡。僅能源動力中心內部用戶才可訪問能動系統(tǒng)局域網(wǎng)。工作站不能隨意篡改IP地址，否則無法登錄能動系統(tǒng)局域網(wǎng)。

[11]樊波.大型高爐煤氣干法除塵技術應用進展及節(jié)能減排效果分析[P].全國能源與熱工學術年會論文集,2008-11-01,:281-284

[12]任紹峰.首鋼京唐1號5500m3高爐煤氣干法除塵,自動化控制系統(tǒng)的創(chuàng)新設計與實現(xiàn)[P].第七屆中國鋼鐵年會論文集下,2009-11-11,:9-348-9-354

[13]王海濤/高華東/張殿印.高爐煤氣干法除塵技術的發(fā)展[J].中國環(huán)保產業(yè),2011年,(第8期)

[14]王永峰.全干法除塵技術在邯鋼3200m3高爐煤氣除塵中的應用[P].2011年全國冶金節(jié)能減排與低碳技術發(fā)展研討會文集,2011年, :366-3684.2 允許內部網(wǎng)絡中的用戶訪問外部網(wǎng)絡的服務和資源而不泄漏內部網(wǎng)絡的數(shù)據(jù)和資源。記錄了工作站通過防火墻的信息內容和活動，對網(wǎng)絡攻擊進行監(jiān)測和報警，整個網(wǎng)絡的使用情況非常清楚。

Optimization of the Security Strategy for the LAN Network of Energy and Power Systems

Wu Yingchun
(The Energy Power Center of Panzhihua Iron&Steel Co.,Panzhihua,Sichuan 617062,China)

Based on analysis of the security issues of LAN network for energy and power systems,security strategy for LAN network was drawn up and implemented,which enhanced the security of the LAN netowork and ensured the safety of enterprise information resources.

LAN network;network security;firewall

TP393

B

1006-6764（2015）01-0061-04