電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系構(gòu)建探討

【摘要】本文深入分析了電力施工企業(yè)網(wǎng)絡(luò)安全特征，提出基于防火墻、IPS、VPN和VLAN技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)實(shí)現(xiàn)以及體系構(gòu)建做探討。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業(yè)信息化發(fā)展的不斷深入，企業(yè)對(duì)信息系統(tǒng)的依賴程度越來越高，信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營(yíng)及管理活動(dòng)，甚至直接影響企業(yè)未來發(fā)展。企業(yè)網(wǎng)絡(luò)規(guī)模的擴(kuò)大、信息接入點(diǎn)增多、分布范圍廣，使信息接入點(diǎn)管控難度大。企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅，筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系為例，從信息安全管理、技術(shù)實(shí)施方面進(jìn)行闡述與分析，建立一套比較完整信息化安全保障體系，保障業(yè)務(wù)應(yīng)用的正常運(yùn)行。

二、企業(yè)網(wǎng)絡(luò)安全威脅問題分析

1.企業(yè)網(wǎng)絡(luò)通信設(shè)備存的安全漏洞威脅，網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息，利用拒絕服務(wù)攻擊、篡改數(shù)據(jù)信息等方式對(duì)合法用戶進(jìn)行攻擊。

2.非法入侵用戶對(duì)網(wǎng)絡(luò)系統(tǒng)的知識(shí)結(jié)構(gòu)非常清楚，包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡(luò)技術(shù)的工作人員，利用內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)進(jìn)行惡意操作，以達(dá)到竊取商業(yè)機(jī)密的目的；獨(dú)占網(wǎng)絡(luò)資源的方式，非業(yè)務(wù)數(shù)據(jù)流（如P2P文件傳輸與即時(shí)通訊等）消耗了大量帶寬，輕則影響企業(yè)業(yè)務(wù)無法正常運(yùn)作，重則致使企業(yè)IT系統(tǒng)癱瘓，對(duì)內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞。

3.惡意病毒程序和代碼包括計(jì)算機(jī)病毒、蠕蟲、間諜軟件、邏輯復(fù)制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。病毒感染可能造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞，系統(tǒng)無法提供服務(wù)甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速；蠕蟲是通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行自我復(fù)制的惡意程序，泛濫時(shí)可以導(dǎo)致網(wǎng)絡(luò)阻塞和癱瘓；間諜軟件在用戶不知情的情況下進(jìn)行非法安裝，并把截獲的機(jī)密信息發(fā)送給第三者。

4.隨著企業(yè)信息化平臺(tái)、一體化系統(tǒng)投入運(yùn)行，大量重要數(shù)據(jù)和機(jī)密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸，信息被非法截取、篡改而造成數(shù)據(jù)混亂和信息錯(cuò)誤的幾率加大；當(dāng)非法入侵者以不正當(dāng)?shù)氖侄潍@得系統(tǒng)授權(quán)后。可以對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作，包括篡改數(shù)據(jù)信息、復(fù)制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個(gè)人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護(hù)信息資源，保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。

三、企業(yè)信息與網(wǎng)絡(luò)安全策略

結(jié)合電力施工企業(yè)業(yè)務(wù)廣范圍大特點(diǎn)，提出一套側(cè)重網(wǎng)絡(luò)準(zhǔn)入控制的信息安全解決方案，保障企業(yè)網(wǎng)絡(luò)信息安全。

1.遠(yuǎn)程接入VPN安全解決方案

施工企業(yè)擁有多個(gè)項(xiàng)目部，地域范圍廣，項(xiàng)目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求，確保網(wǎng)絡(luò)連接間保密性是必要的。采用SSL VPN安全網(wǎng)關(guān)旁路部署在網(wǎng)絡(luò)內(nèi)部，通過設(shè)置用戶級(jí)別、權(quán)限來屏蔽非授權(quán)用戶的訪問。訪問內(nèi)部網(wǎng)絡(luò)資源的移動(dòng)、項(xiàng)目用戶先到SSL VPN上進(jìn)行認(rèn)證，根據(jù)認(rèn)證結(jié)果分配相應(yīng)權(quán)限，實(shí)現(xiàn)對(duì)內(nèi)部資源的訪問控制。

2.邊界安全解決方案

在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻（集成防病毒和網(wǎng)絡(luò)安全監(jiān)控模塊）和IPS設(shè)備，同時(shí)通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應(yīng)的安全規(guī)則，以實(shí)現(xiàn)各區(qū)域不同級(jí)別、不同層次的安全防護(hù)。邊界防護(hù)建立以防火墻為核心，郵件、WEB網(wǎng)關(guān)設(shè)備、IDS及IPS等設(shè)備為輔的邊界防護(hù)體系。

（1）通過防火墻在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流以及對(duì)外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，控制非法訪問、增強(qiáng)網(wǎng)絡(luò)信息保密性、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)數(shù)據(jù)并對(duì)非法入侵報(bào)警提示等，達(dá)到保障計(jì)算機(jī)網(wǎng)絡(luò)安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播，保護(hù)網(wǎng)絡(luò)內(nèi)部用戶免受侵害，改變了原有被動(dòng)等待病毒感染的防御模式，實(shí)現(xiàn)網(wǎng)絡(luò)病毒的主動(dòng)防御，切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道。

（3）以入侵防御系統(tǒng)IPS應(yīng)用層安全設(shè)備，作為防火墻的重要補(bǔ)充，很好的解決了應(yīng)用層防御安全威脅，通過在線部署，IPS可以檢測(cè)并直接阻斷惡意流量。

（4）將上網(wǎng)行為管理設(shè)備置于核心交換機(jī)與防火墻之間。通過對(duì)在線用戶狀態(tài)、Web訪問內(nèi)容、外發(fā)信息、網(wǎng)絡(luò)應(yīng)用、帶寬占用情況等進(jìn)行實(shí)時(shí)監(jiān)控，在上網(wǎng)行為管理設(shè)備上設(shè)置不同的策略，阻擋P2P應(yīng)用，釋放網(wǎng)絡(luò)帶寬，有效地解決了內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全使用和管理問題。

3.內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全建設(shè)的重點(diǎn)，由于內(nèi)網(wǎng)節(jié)點(diǎn)數(shù)量多、分布復(fù)雜、終端用戶安全應(yīng)用水平參差不齊等原因，也是安全建設(shè)的難點(diǎn)。

（1）主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)的物理隔離。通過在交換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾個(gè)不同的廣播域，將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，實(shí)現(xiàn)內(nèi)部一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段的物理隔離，防止影響一個(gè)網(wǎng)段的安全事故透過整個(gè)網(wǎng)絡(luò)傳播，限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。

（2）建立企業(yè)門戶系統(tǒng)，用戶的訪問控制部署統(tǒng)一的用戶認(rèn)證服務(wù)，實(shí)現(xiàn)單點(diǎn)登錄功能，統(tǒng)一存儲(chǔ)所有應(yīng)用系統(tǒng)的用戶認(rèn)證信息，而授權(quán)等操作則由各應(yīng)用系統(tǒng)完成，即統(tǒng)一存儲(chǔ)、分布授權(quán)。

（3）系統(tǒng)軟件部署安全、漏洞更新，定期對(duì)系統(tǒng)進(jìn)行安全更新、漏洞掃描，自動(dòng)更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補(bǔ)丁。安裝網(wǎng)絡(luò)版的防病毒軟件，定期更新最新病毒定義文件，制定統(tǒng)一的策略，客戶端定期從病毒服務(wù)器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網(wǎng)關(guān)系統(tǒng)，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實(shí)現(xiàn)郵件內(nèi)容過濾等功能，有效地從網(wǎng)絡(luò)層到應(yīng)用層保護(hù)郵件服務(wù)器不受各種形式的網(wǎng)絡(luò)攻擊。

4.數(shù)據(jù)中心安全解決方案

作為數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心出現(xiàn)任何安全防護(hù)上的疏漏必將導(dǎo)致不可估量的損失，因此數(shù)據(jù)中心安全解決方案十分重要。

（1）構(gòu)建網(wǎng)絡(luò)鏈接從鏈路層到應(yīng)用層的多層防御體系。由交換機(jī)提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進(jìn)行隔離，并提供對(duì)DDoS和多種畸形報(bào)文攻擊的防御。IPS可以針對(duì)應(yīng)用流量做深度分析與檢測(cè)能力，即可以有效檢測(cè)并實(shí)時(shí)阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對(duì)分布在網(wǎng)絡(luò)中的各種流量進(jìn)行有效管理，從而達(dá)到對(duì)網(wǎng)絡(luò)應(yīng)用層的保護(hù)。

（2）建立數(shù)據(jù)備份和異地容災(zāi)方案，建立了完善的數(shù)據(jù)備份體系，保證數(shù)據(jù)崩潰時(shí)能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復(fù)。同時(shí)在異地建立一個(gè)備份站點(diǎn)，通過網(wǎng)絡(luò)以異步的方式，把主站點(diǎn)的數(shù)據(jù)備份到備份站點(diǎn)，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對(duì)災(zāi)難性事件的抵御能力。

5.安全信息管理與培訓(xùn)

（1）網(wǎng)絡(luò)管理是計(jì)算機(jī)網(wǎng)絡(luò)安全重要組成部分，在組織架構(gòu)上，應(yīng)采用虛擬團(tuán)隊(duì)的模式，成立了相關(guān)信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個(gè)層面為網(wǎng)絡(luò)信息安全工作提供保障。建立規(guī)范嚴(yán)謹(jǐn)?shù)墓芾碇贫?，制定相?yīng)的規(guī)范、配套制度能保證規(guī)范執(zhí)行到位，保障了網(wǎng)絡(luò)信息安全工作的“有章可循，有據(jù)可查”。主要涉及：安全策略管理、業(yè)務(wù)流程管理、應(yīng)用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應(yīng)急備份措施、運(yùn)行流程管理、場(chǎng)所管理、安全法律法規(guī)的執(zhí)行等。

（2）人員素質(zhì)的高低對(duì)信息安全方面至關(guān)重要；提高人員素質(zhì)的前提就是加強(qiáng)培訓(xùn)，特別加強(qiáng)是對(duì)專業(yè)信息人員的培訓(xùn)工作。

四、結(jié)束語

該企業(yè)信息與網(wǎng)絡(luò)安全體系建設(shè)以技術(shù)、管理的安全理念為核心，從組織架構(gòu)的建設(shè)、安全制度的制定、先進(jìn)安全技術(shù)的應(yīng)用三個(gè)層面，構(gòu)建一個(gè)多層次、全方位網(wǎng)絡(luò)防護(hù)體系。在統(tǒng)一的安全策略基礎(chǔ)上，利用安全產(chǎn)品間的分工協(xié)作，并針對(duì)局部關(guān)鍵問題點(diǎn)進(jìn)行安全部署，使整個(gè)網(wǎng)絡(luò)變被動(dòng)防御為主動(dòng)防御、變單點(diǎn)防御為全面防御、變分散管理為集中管理，達(dá)到提升網(wǎng)絡(luò)對(duì)安全威脅的整體防御能力。

參考文獻(xiàn)

[1]（美）Stephen Northcutt.深入剖析網(wǎng)絡(luò)邊界安全[M].機(jī)械工業(yè)出版社，2003.

[2]程慶梅，徐學(xué)鵬.網(wǎng)絡(luò)安全管理員[M].機(jī)械工業(yè)出版社，2012.