电力公司网络安全防护

2018-03-04

网络安全和信息化 2018年10期

随着勒索病毒事件的发生，网络安全摆在了重要的位置，为此，我国于2016年11月7日颁布了《中华人民共和国网络安全法》。

电力公司作为国家战略性企业，紧跟时代发展步伐，充分利用大云物移智和信息化的优势，国家调度、地方调度及员工的正常工作都需要网络，而当前网络面临着用户帐号、密码被大量窃取/误用、私有或机密资料被泄露或被篡改、个人被假冒身份而造成损害、钓鱼网站层出不穷等问题，因此亟待总结归纳网络安全防护措施。本课题根据笔者所从事的网络安全工作实际出发，提出网络安全防护合理化建议。

网络安全防护措施

在网络建设和维护中，网络安全成为了一个不可或缺的部分。网络安全的范围十分广泛，包括了网络的方方面面。本文提出的网络安全防护措施主要包括提高作业人员或用户的网络安全意识、网络安全防范技术体系。其中前者最关键。

1.加大信息安全教育

对于信息运维人员要加大信息安全教育，增强人们安全意识和安全素质。

因此，为了提高公司的网络安全，要对技术人员进行安全培训，主要包括：网络安全理论培训、安全意识教育、岗位技能培训、安全技术培训、安全产品培训，对定期安全教育和培训进行书面规定，针对不同岗位制定相应的安全培训计划。在工作时，还应严格执行工作票制度。

2.网络安全防范技术体系

常见的网络安全的技术体系主要包括身份认证技术、访问控制技术、安全审计技术、漏洞扫描技术、病毒扫描技术、防火墙技术、入侵检测技术以及入侵防御技术。

（1）安全网络拓扑的规划设计

对于电力公司，考虑到生产调度和工业电视对安全性的需求，设计时需要双链路双冗余，管理信息外网和外网之间的边界应采用公司认可的隔离装置进行安全隔离，在出口路由器与核心交换机之间应安装防火墙、串接入侵防御系统IPS（或在核心交换机上以旁路模式接入侵检测系统IDS）等安全设备，且在路由器上应采用用户认证、加密传输等安全措施。在条件允许的情况下，可以放置安全接入平台。

安全接入平台较常见的技术或设备包括：

通过防火墙建立隔离本地和外部网络的防御系统；

通过IDS/IPS监视经过防火墙的全部通信并查找可能是恶意的攻击通信，并在这种攻击扩散到网络其他地方之前阻止这些恶意的通信；

通过部署身份认证服务器来组织管理个人身份认证信息；

利用可信边界安全网关保证用户的物理身份与数字身份相符；

通过CA服务器对数字证书进行发放和管理；

利用IPSec VPN实现多专用网安全连接；

通过集中监控审计对网络中的各种设备和系统进行集中的、可视的综合审计，及时发现安全隐患，提高安全系统成效；

利用网闸从物理上隔离、阻断了具有潜在攻击可能的连接，从根本上杜绝可被黑客利用的安全漏洞。

（2）网络设备的防护措施

网络设备主要包括路由器和交换机，主要防治非法DHCP欺骗、开启环路检测（STP)、ARP网关欺骗及广播风暴的控制。近期的比特币病毒事件就是通过相应的端口（如 135、139、443端口）非法侵入电脑终端。为了保障网络设备的安全，主要采用以下措施：

第一，设置访问控制列表ACL策略，设置deny拒绝动作，以限制相应的非法IP地址和关闭不必要的端口非法侵入。