供電公司網(wǎng)絡(luò )安全的解決途徑發(fā)布者：本站     時(shí)間：2020-05-02 16:05:45

電力安全和電力資源供應影響著(zhù)社會(huì )生活的各個(gè)方面，主要工作在于電力資源分配、傳變和輸送的供電公司，應與電力用戶(hù)、上級管理單位以及電力資源生產(chǎn)企業(yè)主動(dòng)聯(lián)系。隨著(zhù)我國網(wǎng)絡(luò )技術(shù)和計算機技術(shù)的快速發(fā)展完善，供電公司也越來(lái)越看重其自身與電力用戶(hù)和外部相關(guān)單位之間的聯(lián)系，網(wǎng)絡(luò )安全問(wèn)題的重要性也日漸凸顯。網(wǎng)絡(luò )安全技術(shù)在供電企業(yè)中得到了廣泛的應用。

但是，受到網(wǎng)絡(luò )安全人員自身能力以及網(wǎng)絡(luò )安全系統缺陷等方面的限制，隨著(zhù)網(wǎng)絡(luò )發(fā)展速度的加快，供電公司網(wǎng)絡(luò )安全技術(shù)人員自身應逐步增強專(zhuān)業(yè)技術(shù)能力，以提高供電網(wǎng)絡(luò )系統的安全性。文章首先分析目前供電網(wǎng)絡(luò )安全改造中存在的問(wèn)題，然后提出了解決措施。

1 供電公司網(wǎng)絡(luò )安全改造中的常見(jiàn)問(wèn)題

第一，通過(guò)本地認證方式進(jìn)行本地登陸。供電公司對于這一問(wèn)題的規定為：管理SNMP和SSH交換機，SNMP啟用訪(fǎng)問(wèn)控制列表模式，以Radius認證為基礎實(shí)現遠程登錄，全部系統應用者均有獨立賬號，從console進(jìn)行本地認證能夠由網(wǎng)絡(luò )設備登陸本地電腦。第二，ARP攻擊的有效預防。供電公司對于這一問(wèn)題的規定為：將DHCP Snooping應用于全部供電設備，DAI應用于全部新設備，避免受到ARP攻擊。通過(guò)保留IP的形式，通過(guò)DHCP服務(wù)器分配地址。第三，HUB（HUB是一個(gè)多端口的轉發(fā)器，當以HUB為中心設備時(shí)，網(wǎng)絡(luò )中某條線(xiàn)路產(chǎn)生了故障，并不影響其他線(xiàn)路的工作）的混接控制。該現象所導致的安全隱患表現為：供電公司的網(wǎng)絡(luò )與路由器、HUB等設備相互連接，這就容易增加用戶(hù)用電的困難。供電網(wǎng)絡(luò )安全改造過(guò)程中，利用人工檢查與網(wǎng)管系統相結合的方式，確定相關(guān)的UB端口，一次接入，將HUB這一環(huán)節撤銷(xiāo)，保證增加端口，經(jīng)8口交換機網(wǎng)管，替代傳統設備，保證網(wǎng)絡(luò )與全部交換機接入端口相互連接。第四，為多個(gè)部門(mén)建立Radius服務(wù)器的賬號。供電公司對于這一問(wèn)題的規定為：建立獨立的桌面管理系統數據庫或是部門(mén)之間關(guān)聯(lián)的數據庫，驗證全部部門(mén)用戶(hù)密碼和賬戶(hù)基本相同。第五，網(wǎng)絡(luò )接入認證，確保桌面管理系統的安裝率。供電公司對于這一問(wèn)題的規定為：

桌面管理系統安裝率100%,嚴格認證網(wǎng)絡(luò )和計算機之間的連接。其主要的安全問(wèn)題是：不安裝桌面客戶(hù)端的電腦，電腦終端會(huì )自動(dòng)化分和修復VLAN,訪(fǎng)問(wèn)服務(wù)器，自動(dòng)將客戶(hù)端、殺毒軟件和補丁安裝在電腦上?？蛻?hù)端安裝后，各部門(mén)可以由客戶(hù)端進(jìn)入并選擇，則獲取其中的地址和系統用戶(hù)名。

2 供電公司網(wǎng)絡(luò )安全的解決途徑

交換機在接入后，IEEE 802.1x協(xié)議將會(huì )生效，并從Radius服務(wù)器中認證用戶(hù)。802.1x計算機客戶(hù)端軟件在一般狀態(tài)下，與終端接口交換機接入后，802.1x協(xié)議則會(huì )生效，并設定各個(gè)端口只能夠認證通過(guò)一臺終端。

對于相同的HUB和交換，因其不能提供協(xié)議認證端口，能夠進(jìn)行暫時(shí)性的uilt-auth認證，從而確保通過(guò)所有終端認證。交換機更換后，取消端口認證，并配置下級交換機認證。將Radius服務(wù)器設置于信息中心，從而確保Radius服務(wù)器工作的可靠性，并保證2臺以上的Radius服務(wù)器，使其實(shí)現賬號的自動(dòng)同步。在配置交換機時(shí)，對各個(gè)端口的MAC地址數量進(jìn)行嚴格控制，設置值默認為1.通過(guò)對登陸交換機進(jìn)行檢查，確定HUB的端口，通過(guò)分線(xiàn)的方法達到接入要求，也可用管理交換機替換原來(lái)的HUB,從而確保交換機接入端口僅僅存在一臺認證通過(guò)的終端與網(wǎng)絡(luò )相互連接，也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后，會(huì )將BPDUGUARD功能啟動(dòng)，進(jìn)而避免計算機端口與HUB或交換機隨意連接，進(jìn)而形成網(wǎng)絡(luò )環(huán)路。

在網(wǎng)絡(luò )監察過(guò)程中，終端可能并未打開(kāi)，這就容易形成端口與多臺計算機相互連接的現象，需要進(jìn)行嚴格控制，在其他終端開(kāi)機后，無(wú)法實(shí)現網(wǎng)絡(luò )連接。信息中心技術(shù)支持人員需要配置交換機，保證其與網(wǎng)絡(luò )的順利連接。在交換機端口與管理交換機相互連接，而非終端時(shí)，需要將BPDPGUARD功能關(guān)閉，避免交換機端口的自動(dòng)關(guān)閉。建立每個(gè)VLAN獨立的ACL并應用后，實(shí)現VLAN之間三層隔離的目標。因為目前的業(yè)務(wù)主要體現為信息中心機房?jì)?，因而VLAN只能夠訪(fǎng)問(wèn)信息中心服務(wù)器，且不限制訪(fǎng)問(wèn)其他兄弟單位網(wǎng)絡(luò )。自動(dòng)綁定交換機端口和MAC地址，通過(guò)“port-security maximum”對所有交換機端口接入終端的數量進(jìn)行控制。利用DHCP服務(wù)器內的IP地址保留方式，綁定MAC地址和IP地址，而且，在開(kāi)啟交換機DAI功能后，只能允許終端以過(guò)DHCP方式獲取IP地址，避免終端手動(dòng)指定IP地址，進(jìn)而出現IP地址沖突或是盜用問(wèn)題。聯(lián)合應用DAI和DHCP Snooping,有助于A(yíng)RP攻擊的控制。以保留IP的形式在DHCP服務(wù)器上對IP地址進(jìn)行重新分配，從而實(shí)現綁定IP地址和MAC地址的目標。為了對非法DHCP服務(wù)器進(jìn)行限制，應控制交換機，確保全部終端均獲得合法DHCP服務(wù)器的地址。少數計算機需要經(jīng)常性與各個(gè)VLAN網(wǎng)絡(luò )接入，應實(shí)現VLAN內各個(gè)IP地址的分配。