隨著勒索病毒事件的發(fā)生,網絡安全擺在了重要的位置,為此,我國于2016年11月7日頒布了《中華人民共和國網絡安全法》。
電力公司作為國家戰(zhàn)略性企業(yè),緊跟時代發(fā)展步伐,充分利用大云物移智和信息化的優(yōu)勢,國家調度、地方調度及員工的正常工作都需要網絡,而當前網絡面臨著用戶帳號、密碼被大量竊取/誤用、私有或機密資料被泄露或被篡改、個人被假冒身份而造成損害、釣魚網站層出不窮等問題,因此亟待總結歸納網絡安全防護措施。本課題根據(jù)筆者所從事的網絡安全工作實際出發(fā),提出網絡安全防護合理化建議。
在網絡建設和維護中,網絡安全成為了一個不可或缺的部分。網絡安全的范圍十分廣泛,包括了網絡的方方面面。本文提出的網絡安全防護措施主要包括提高作業(yè)人員或用戶的網絡安全意識、網絡安全防范技術體系。其中前者最關鍵。
對于信息運維人員要加大信息安全教育,增強人們安全意識和安全素質。
因此,為了提高公司的網絡安全,要對技術人員進行安全培訓,主要包括:網絡安全理論培訓、安全意識教育、崗位技能培訓、安全技術培訓、安全產品培訓,對定期安全教育和培訓進行書面規(guī)定,針對不同崗位制定相應的安全培訓計劃。在工作時,還應嚴格執(zhí)行工作票制度。
常見的網絡安全的技術體系主要包括身份認證技術、訪問控制技術、安全審計技術、漏洞掃描技術、病毒掃描技術、防火墻技術、入侵檢測技術以及入侵防御技術。
(1)安全網絡拓撲的規(guī)劃設計
對于電力公司,考慮到生產調度和工業(yè)電視對安全性的需求,設計時需要雙鏈路雙冗余,管理信息外網和外網之間的邊界應采用公司認可的隔離裝置進行安全隔離,在出口路由器與核心交換機之間應安裝防火墻、串接入侵防御系統(tǒng)IPS(或在核心交換機上以旁路模式接入侵檢測系統(tǒng)IDS)等安全設備,且在路由器上應采用用戶認證、加密傳輸?shù)劝踩胧T跅l件允許的情況下,可以放置安全接入平臺。
安全接入平臺較常見的技術或設備包括:
通過防火墻建立隔離本地和外部網絡的防御系統(tǒng);
通過IDS/IPS監(jiān)視經過防火墻的全部通信并查找可能是惡意的攻擊通信,并在這種攻擊擴散到網絡其他地方之前阻止這些惡意的通信;
通過部署身份認證服務器來組織管理個人身份認證信息;
利用可信邊界安全網關保證用戶的物理身份與數(shù)字身份相符;
通過CA服務器對數(shù)字證書進行發(fā)放和管理;
利用IPSec VPN實現(xiàn)多專用網安全連接;
通過集中監(jiān)控審計對網絡中的各種設備和系統(tǒng)進行集中的、可視的綜合審計,及時發(fā)現(xiàn)安全隱患,提高安全系統(tǒng)成效;
利用網閘從物理上隔離、阻斷了具有潛在攻擊可能的連接,從根本上杜絕可被黑客利用的安全漏洞。
(2)網絡設備的防護措施
網絡設備主要包括路由器和交換機,主要防治非法DHCP欺騙、開啟環(huán)路檢測(STP)、ARP網關欺騙及廣播風暴的控制。近期的比特幣病毒事件就是通過相應的端口(如 135、139、443端口)非法侵入電腦終端。為了保障網絡設備的安全,主要采用以下措施:
第一,設置訪問控制列表ACL策略,設置deny拒絕動作,以限制相應的非法IP地址和關閉不必要的端口非法侵入。
第二,要限制管理員的登錄IP地址。
第三,在核心交換機上要進行MAC地址、IP地址以及端口的綁定。
第四,設備登錄用戶權限分級,加強口令安全將設備納入網管,確保讀寫團體字的安全,開啟Trap功能。
第五,限制能夠管理設備的IP地址,包括網管和遠程登錄。
第六,限制登錄地址。
第七,配置密碼認證。
第八,配置用戶認證。
第九,協(xié)議認證和端口認證。
第十,需要定期進行數(shù)據(jù)備份和配置備份。
(3)安全設備的防護措施
安全設備主要包括防火墻、入侵防御系統(tǒng)IPS、入侵檢測系統(tǒng)IDS、漏洞掃描設備、安全審計設備及病毒掃描設備。安全設備的防護措施主要為:
第一,設置合理的安全策略,允許特定的IP地址可以訪問防火墻內部的安全區(qū)域,其余來自于外界的IP地址均不可以訪問內網,同時限制內網用戶訪問非法IP地址。
第二,定期更新防火墻、IPS及IDS的病毒庫和特征庫,以阻止新產生的病毒。
(4)終端設備的防護措施
個人終端安全防護措施也是必須要考慮的重要部分,其防護措施主要由:
第一,必須安裝殺毒軟件進行病毒防治,且要定期掃描操作系統(tǒng)漏洞,定期打補丁。
第二,關閉不必要的服務,比如 FTP、SSH。
第三,關閉空閑端口,按需開放。
第四,終端設備用戶應妥善保管賬號及密碼。
第五,辦公計算機必須安裝防病毒、桌面管理等安全防護軟件,卸載或禁用計算機防病毒、桌面管理等安全防護軟件,拆卸、更換終端設備硬件,應經本單位信息運維單位批準。
第六,個人終端使用無線網絡傳輸業(yè)務數(shù)據(jù)時,應具備接入認證、隔離及加密等安全措施。
網絡是保證電網調度和員工正常工作的前提,網絡安全是不能忽略的重要保障。
本課題結合筆者所從事的網絡安全工作實際出發(fā),提出了一些網絡安全防護合理化建議。希望能夠從事對網絡安全工作的人員有一定的參考,共同保障我國的電網網絡與信息安全。