優化能源動力系統局域網安全策略

吳迎春

優化能源動力系統局域網安全策略

吳迎春

（攀鋼釩公司能源動力中心，四川攀枝花617062）

在分析能源動力系統局域網網絡安全問題的基礎上，制定并實施了網絡安全策略，提升了局域網的安全性，保障了企業信息資源的安全。

局域網；網絡安全；防火墻

1 引言

企業網絡已經成為現代企業開展業務的關鍵基礎設施。攀鋼能源動力系統局域網經過幾年的建設，并經不斷的改進和擴展，現覆蓋了中心機關、各作業區和大部分站所（班組），實現了全中心信息的共享、公文、公告的傳送和內部電子郵件收發，該網絡為生產經營管理提供高效、快捷的信息交互平臺。該網絡采用星形拓撲結構，根據業務需要部署了5臺服務器和430個終端工作站。

2 網絡安全存在的問題

隨著Internet/Intranet的發展，它的開放性雖然使得信息能達到高度共享和迅速傳遞，但同時也帶來了系統入侵、泄密等安全問題。能動系統局域網網絡安全主要存在以下幾個方面的問題：

2.1 網絡結構帶來的問題

根據網絡拓撲結構（見圖1）可以看出公司大網上的用戶可隨意訪問能動系統局域網上的信息資源，能源動力中心的重要數據資料很容易被其它終端工作站竊取。服務器日常遭遇黑客攻擊，導致能動系統局域網不能正常工作，使得信息化維護工作非常被動。

2.2 IP地址使用方面的問題

在能動系統局域網內部網絡應用中，經常會遇到內部網絡用戶擅自修改IP地址，以獲取一個合法IP地址來進行相應的網絡應用，這樣使得能動系統局域網內部網絡在地址資源的分配和使用上出現混亂，大大影響內部網絡的正常運行。更有甚者用他人的地址在網上發布信息、攻擊他人主機、破壞網絡安全，而且在網絡事故發生以后，地址追尋的難度大。

2.3 網絡軟件存在漏洞和“后門”

網絡軟件不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網絡內部的事件，這些事件的大部分就是因為安全措施不完善所導致的苦果。另外，軟件的“后門”都是軟件公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設想。

2.4 整個局域網都處在一個網段中

網絡中廣播包多，造成交換機上的端口有阻塞現象，網絡速度慢。

2.5 網絡病毒

網絡給工作帶來高效、快捷的同時隨之而來的網絡病毒也越來越多，能動中心沒有一個統一的殺毒平臺，以前客戶端安裝非正版殺毒軟件種類眾多。各個計算機用戶應用水平高低不一，很難保證他們對電腦的每一次手動升級都同步進行，一旦發生新病毒，未及時升級的客戶端就很有可能成為爆發點，造成計算機病毒在網絡上交叉感染。同時殺毒工作不能同步進行，一臺工作站殺了病毒，另一臺工作站上的病毒又會傳播過來，計算機病毒在網絡上交叉感染，導致整個網絡上的病毒不能徹底清除。

3 優化局域網安全策略

面對計算機網絡的種種安全威脅，必須采取有力的措施來保證安全。網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。就存在的問題，經過不斷的探索與實踐，能動系統局域網采取的安全策略是：

3.1 明確網絡安全管理責任主體

明確網絡安全的責任人和安全策略的實施者。人是制定和執行網絡安全策略的主體。網絡管理員是網絡安全責任人。

3.2 網絡邊界設置防火墻控制

防火墻是一種保護計算機網絡安全的技術性措施，它是一個用以阻止網絡中的黑客訪問某個機構網絡的屏障，在網絡邊界上建立相應網絡通信監控系統來隔離內部和外部網絡，以阻檔外部網絡的侵入。能源動力中心使用的是ssg550防火墻，防火墻位于能動系統局域網和公司大網之間，是唯一通道。目的是防止不期望的或未授權的用戶和主機訪問能源動力中心內部網絡，確保能源動力中心內部網正常安全運行。

防火墻的面板上外網口（接外網線）、內網口（接內網線）、管理口（接管理計算機網卡）、DMZ口（接服務器），每個端口速率達到100 Mpbs,將各部分連線接好。在制作RJ45接頭時，嚴格遵循網絡通訊協議，根據能源動力中心實際需要，對防火墻設置相應的規則。

IP地址綁定：每一塊網卡都具有一個唯一標識號碼，也就是指網卡的MAC地址（物理地址如：00：02：55：8a:93:ef）。把能動系統局域網內的所有用戶的IP地址與本機網卡對應的MAC地址（物理地址）綁定。限定一個IP地址只能在一臺指定的機器上使用，當某臺機器通過防火墻訪問Internet/Intranet時，防火墻要檢查其發出的數據中的IP地址以及MAC地址是否與防火墻上規定的相符，如果相符就放行，否則不允許通過防火墻，這樣可大大方便網絡中IP地址管理，防止IP地址被他人盜用。

訪問權限規則設置：內至外：部分用戶通，內至內：全通，外至內：不通。web服務器映射到公司大網上。通過這種設置其他單位用戶不能訪問到能動內網用戶，對能源動力中心的重要數據資料起到了保護作用。

3.3 虛擬網絡技術在局域網中的運用

VLAN即虛擬局域網（Virtual Local Area Network），是一種將局域網設備從邏輯上劃分成一個個網段，從而實現虛擬工作組的新興數據交換技術。同一個VLAN中的所有成員共同擁有一個VLAN ID，組成一個虛擬局域網絡；同一個VLAN中的成員均能收到同一個VLAN中的其他成員發來的廣播包，但收不到其他VLAN中成員發來的廣播包；不同VLAN成員之間不可直接通信，需要通過路由支持才能通信，而同一VLAN中的成員通過VLAN交換機可以直接通信，能動中心網絡采用思科3750交換機其于端口劃分四個Vlan段。防火墻23，24口，原熱電片區1-11口，東部片區12-16口，原動力片區17-19口。

3.4 構建能動中心局域網網絡防病毒體系

針對能動中心局域網中多種病毒存在及殺毒軟件現狀，為實現全網集中管理、統一設置和統一查殺毒，全網統一行動，最大程度的減小病毒傳播及徹底清除病毒，選擇了ESET NOD32企業版防病毒系統作為能動中心局域網病毒防治集中管理平臺。

根據能動中心地域分布特點，設計局域網防病毒系統體系結構，如圖2所示。構建一個nod32服務器，該服務器安裝ESET NOD32企業版防病毒軟件、遠程服務、遠程管理控制臺等軟件。

各工作站部署NOD32客戶端程序，工作站開機時自動從局域網內nod32服務器中更新最新病毒庫，客戶端提供實時監控、預設任務和手動掃描三種方式。實時監控一直運行，不允許用戶退出實時監控程序，同時用戶不能卸裝客戶端程序。預設任務定為每周五11:50為在線的所有計算機進行全盤掃描，如果計算機關閉，當下次啟動計算機時會通知掃描。客戶端向ESET NOD32服務器實時發送事件和狀態信息，包括病毒檢測情況、客戶端啟動、客戶端關閉、掃描開始和更新完成等。

ESET NOD32服務器是所有客戶端配置、病毒日志及客戶端軟件和更新的中心倉庫。預設服務器更新每日從Internet網上下載病毒碼、掃描引擎，當ESET NOD32服務器下載完成后會自動部署所有客戶端，能動中心局域網內的在線客戶端任意時刻都具有相同版本的病毒碼和掃描引擎，保護計算機不受病毒、特洛伊木馬和其他惡意程序的侵害。

3.5 實施物理上的安全措施（防火、防盜）和環境上的安全措施（供電、溫度）

把能動系統局域網內的公用服務器和主交換設備安置在一間中心機房內集中管理。

3.6 應用代理服務器增強網絡安全

及時下載微軟最新的補丁包文件，給工作站打最新的補丁補上安全漏洞；文件服務器和數據服務器不與Internet直接連接，設專用代理服務器，部份工作站使用代理服務器訪問Internet，這樣不僅可以降低訪問成本，而且隱藏了網絡規模和特性，加強了網絡的安全性。

3.7 網絡安全管理策略

確定安全管理等級和安全管理范圍；制定有關網絡操作使用規程和人員出入機房管理制度；制定網絡系統的維護制度和應急措施。

4 優化網絡安全策略后的運行效果

4.1 優化后的網絡拓撲結構見圖3，優化局域網安全策略后內部網絡的安全性能大大提高。防止了外部用戶訪問能源動力中心內部網絡。僅能源動力中心內部用戶才可訪問能動系統局域網。工作站不能隨意篡改IP地址，否則無法登錄能動系統局域網。

[11]樊波.大型高爐煤氣干法除塵技術應用進展及節能減排效果分析[P].全國能源與熱工學術年會論文集,2008-11-01,:281-284

[12]任紹峰.首鋼京唐1號5500m3高爐煤氣干法除塵,自動化控制系統的創新設計與實現[P].第七屆中國鋼鐵年會論文集下,2009-11-11,:9-348-9-354

[13]王海濤/高華東/張殿印.高爐煤氣干法除塵技術的發展[J].中國環保產業,2011年,(第8期)

[14]王永峰.全干法除塵技術在邯鋼3200m3高爐煤氣除塵中的應用[P].2011年全國冶金節能減排與低碳技術發展研討會文集,2011年, :366-3684.2 允許內部網絡中的用戶訪問外部網絡的服務和資源而不泄漏內部網絡的數據和資源。記錄了工作站通過防火墻的信息內容和活動，對網絡攻擊進行監測和報警，整個網絡的使用情況非常清楚。

Optimization of the Security Strategy for the LAN Network of Energy and Power Systems

Wu Yingchun
(The Energy Power Center of Panzhihua Iron&Steel Co.,Panzhihua,Sichuan 617062,China)

Based on analysis of the security issues of LAN network for energy and power systems,security strategy for LAN network was drawn up and implemented,which enhanced the security of the LAN netowork and ensured the safety of enterprise information resources.

LAN network;network security;firewall

TP393

B

1006-6764（2015）01-0061-04