供電公司網(wǎng)絡(luò)安全的解決途徑發(fā)布者:本站 時間:2020-05-02 16:05:45
電力安全和電力資源供應(yīng)影響著社會生活的各個方面,主要工作在于電力資源分配、傳變和輸送的供電公司,應(yīng)與電力用戶、上級管理單位以及電力資源生產(chǎn)企業(yè)主動聯(lián)系。隨著我國網(wǎng)絡(luò)技術(shù)和計算機技術(shù)的快速發(fā)展完善,供電公司也越來越看重其自身與電力用戶和外部相關(guān)單位之間的聯(lián)系,網(wǎng)絡(luò)安全問題的重要性也日漸凸顯。網(wǎng)絡(luò)安全技術(shù)在供電企業(yè)中得到了廣泛的應(yīng)用。
但是,受到網(wǎng)絡(luò)安全人員自身能力以及網(wǎng)絡(luò)安全系統(tǒng)缺陷等方面的限制,隨著網(wǎng)絡(luò)發(fā)展速度的加快,供電公司網(wǎng)絡(luò)安全技術(shù)人員自身應(yīng)逐步增強專業(yè)技術(shù)能力,以提高供電網(wǎng)絡(luò)系統(tǒng)的安全性。文章首先分析目前供電網(wǎng)絡(luò)安全改造中存在的問題,然后提出了解決措施。
1 供電公司網(wǎng)絡(luò)安全改造中的常見問題
第一,通過本地認證方式進行本地登陸。供電公司對于這一問題的規(guī)定為:管理SNMP和SSH交換機,SNMP啟用訪問控制列表模式,以Radius認證為基礎(chǔ)實現(xiàn)遠程登錄,全部系統(tǒng)應(yīng)用者均有獨立賬號,從console進行本地認證能夠由網(wǎng)絡(luò)設(shè)備登陸本地電腦。第二,ARP攻擊的有效預(yù)防。供電公司對于這一問題的規(guī)定為:將DHCP Snooping應(yīng)用于全部供電設(shè)備,DAI應(yīng)用于全部新設(shè)備,避免受到ARP攻擊。通過保留IP的形式,通過DHCP服務(wù)器分配地址。第三,HUB(HUB是一個多端口的轉(zhuǎn)發(fā)器,當(dāng)以HUB為中心設(shè)備時,網(wǎng)絡(luò)中某條線路產(chǎn)生了故障,并不影響其他線路的工作)的混接控制。該現(xiàn)象所導(dǎo)致的安全隱患表現(xiàn)為:供電公司的網(wǎng)絡(luò)與路由器、HUB等設(shè)備相互連接,這就容易增加用戶用電的困難。供電網(wǎng)絡(luò)安全改造過程中,利用人工檢查與網(wǎng)管系統(tǒng)相結(jié)合的方式,確定相關(guān)的UB端口,一次接入,將HUB這一環(huán)節(jié)撤銷,保證增加端口,經(jīng)8口交換機網(wǎng)管,替代傳統(tǒng)設(shè)備,保證網(wǎng)絡(luò)與全部交換機接入端口相互連接。第四,為多個部門建立Radius服務(wù)器的賬號。供電公司對于這一問題的規(guī)定為:建立獨立的桌面管理系統(tǒng)數(shù)據(jù)庫或是部門之間關(guān)聯(lián)的數(shù)據(jù)庫,驗證全部部門用戶密碼和賬戶基本相同。第五,網(wǎng)絡(luò)接入認證,確保桌面管理系統(tǒng)的安裝率。供電公司對于這一問題的規(guī)定為:
桌面管理系統(tǒng)安裝率100%,嚴(yán)格認證網(wǎng)絡(luò)和計算機之間的連接。其主要的安全問題是:不安裝桌面客戶端的電腦,電腦終端會自動化分和修復(fù)VLAN,訪問服務(wù)器,自動將客戶端、殺毒軟件和補丁安裝在電腦上??蛻舳税惭b后,各部門可以由客戶端進入并選擇,則獲取其中的地址和系統(tǒng)用戶名。
2 供電公司網(wǎng)絡(luò)安全的解決途徑
交換機在接入后,IEEE 802.1x協(xié)議將會生效,并從Radius服務(wù)器中認證用戶。802.1x計算機客戶端軟件在一般狀態(tài)下,與終端接口交換機接入后,802.1x協(xié)議則會生效,并設(shè)定各個端口只能夠認證通過一臺終端。
對于相同的HUB和交換,因其不能提供協(xié)議認證端口,能夠進行暫時性的uilt-auth認證,從而確保通過所有終端認證。交換機更換后,取消端口認證,并配置下級交換機認證。將Radius服務(wù)器設(shè)置于信息中心,從而確保Radius服務(wù)器工作的可靠性,并保證2臺以上的Radius服務(wù)器,使其實現(xiàn)賬號的自動同步。在配置交換機時,對各個端口的MAC地址數(shù)量進行嚴(yán)格控制,設(shè)置值默認為1.通過對登陸交換機進行檢查,確定HUB的端口,通過分線的方法達到接入要求,也可用管理交換機替換原來的HUB,從而確保交換機接入端口僅僅存在一臺認證通過的終端與網(wǎng)絡(luò)相互連接,也可下接設(shè)備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后,會將BPDUGUARD功能啟動,進而避免計算機端口與HUB或交換機隨意連接,進而形成網(wǎng)絡(luò)環(huán)路。
在網(wǎng)絡(luò)監(jiān)察過程中,終端可能并未打開,這就容易形成端口與多臺計算機相互連接的現(xiàn)象,需要進行嚴(yán)格控制,在其他終端開機后,無法實現(xiàn)網(wǎng)絡(luò)連接。信息中心技術(shù)支持人員需要配置交換機,保證其與網(wǎng)絡(luò)的順利連接。在交換機端口與管理交換機相互連接,而非終端時,需要將BPDPGUARD功能關(guān)閉,避免交換機端口的自動關(guān)閉。建立每個VLAN獨立的ACL并應(yīng)用后,實現(xiàn)VLAN之間三層隔離的目標(biāo)。因為目前的業(yè)務(wù)主要體現(xiàn)為信息中心機房內(nèi),因而VLAN只能夠訪問信息中心服務(wù)器,且不限制訪問其他兄弟單位網(wǎng)絡(luò)。自動綁定交換機端口和MAC地址,通過“port-security maximum”對所有交換機端口接入終端的數(shù)量進行控制。利用DHCP服務(wù)器內(nèi)的IP地址保留方式,綁定MAC地址和IP地址,而且,在開啟交換機DAI功能后,只能允許終端以過DHCP方式獲取IP地址,避免終端手動指定IP地址,進而出現(xiàn)IP地址沖突或是盜用問題。聯(lián)合應(yīng)用DAI和DHCP Snooping,有助于ARP攻擊的控制。以保留IP的形式在DHCP服務(wù)器上對IP地址進行重新分配,從而實現(xiàn)綁定IP地址和MAC地址的目標(biāo)。為了對非法DHCP服務(wù)器進行限制,應(yīng)控制交換機,確保全部終端均獲得合法DHCP服務(wù)器的地址。少數(shù)計算機需要經(jīng)常性與各個VLAN網(wǎng)絡(luò)接入,應(yīng)實現(xiàn)VLAN內(nèi)各個IP地址的分配。
選擇我們,優(yōu)質(zhì)服務(wù),不容錯過
1. 優(yōu)秀的網(wǎng)絡(luò)資源,強大的網(wǎng)站優(yōu)化技術(shù),穩(wěn)定的網(wǎng)站和速度保證
2. 15年上海網(wǎng)站建設(shè)經(jīng)驗,優(yōu)秀的技術(shù)和設(shè)計水平,更放心
3. 全程省心服務(wù),不必擔(dān)心自己不懂網(wǎng)絡(luò),更省心。
------------------------------------------------------------
24小時聯(lián)系電話:021-58370032