供電公司的網絡安全改造探析

摘要：互聯網絡技術的發展越來越快，但各種網絡安全問題不斷出現，供電公司的網絡技術人員應該從哪些方面進行網絡安全改造以保證供電網絡正常運行是亟需解決的問題。文章分析了供電公司網絡安全改造中存在的常見問題和難點，然后在問題分析的基礎上針對性地給出了改造方法和途徑。

關鍵詞：供電公司；網絡安全；供電網絡；電力安全；電力資源供應 文獻標識碼：A

中圖分類號：TP393 文章編號：1009-2374（2015）18-0043-02 DOI：10.13535/j.cnki.11-4406/n.2015.18.022

電力安全和電力資源供應影響著社會生活的各個方面，主要工作在于電力資源分配、傳變和輸送的供電公司，應與電力用戶、上級管理單位以及電力資源生產企業主動聯系。隨著我國網絡技術和計算機技術的快速發展完善，供電公司也越來越看重其自身與電力用戶和外部相關單位之間的聯系，網絡安全問題的重要性也日漸凸顯。網絡安全技術在供電企業中得到了廣泛的應用。但是，受到網絡安全人員自身能力以及網絡安全系統缺陷等方面的限制，隨著網絡發展速度的加快，供電公司網絡安全技術人員自身應逐步增強專業技術能力，以提高供電網絡系統的安全性。文章首先分析目前供電網絡安全改造中存在的問題，然后提出了解決措施。

1 供電公司網絡安全改造中的常見問題

第一，通過本地認證方式進行本地登陸。供電公司對于這一問題的規定為：管理SNMP和SSH交換機，SNMP啟用訪問控制列表模式，以Radius認證為基礎實現遠程登錄，全部系統應用者均有獨立賬號，從console進行本地認證能夠由網絡設備登陸本地電腦。第二，ARP攻擊的有效預防。供電公司對于這一問題的規定為：將DHCP Snooping應用于全部供電設備，DAI應用于全部新設備，避免受到ARP攻擊。通過保留IP的形式，通過DHCP服務器分配地址。第三，HUB（HUB是一個多端口的轉發器，當以HUB為中心設備時，網絡中某條線路產生了故障，并不影響其他線路的工作）的混接控制。該現象所導致的安全隱患表現為：供電公司的網絡與路由器、HUB等設備相互連接，這就容易增加用戶用電的困難。供電網絡安全改造過程中，利用人工檢查與網管系統相結合的方式，確定相關的UB端口，一次接入，將HUB這一環節撤銷，保證增加端口，經8口交換機網管，替代傳統設備，保證網絡與全部交換機接入端口相互連接。第四，為多個部門建立Radius服務器的賬號。供電公司對于這一問題的規定為：建立獨立的桌面管理系統數據庫或是部門之間關聯的數據庫，驗證全部部門用戶密碼和賬戶基本相同。第五，網絡接入認證，確保桌面管理系統的安裝率。供電公司對于這一問題的規定為：桌面管理系統安裝率100%，嚴格認證網絡和計算機之間的連接。其主要的安全問題是：不安裝桌面客戶端的電腦，電腦終端會自動化分和修復VLAN，訪問服務器，自動將客戶端、殺毒軟件和補丁安裝在電腦上。客戶端安裝后，各部門可以由客戶端進入并選擇，則獲取其中的地址和系統用戶名。

2 供電公司網絡安全的解決途徑

交換機在接入后，IEEE 802.1x協議將會生效，并從Radius服務器中認證用戶。802.1x計算機客戶端軟件在一般狀態下，與終端接口交換機接入后，802.1x協議則會生效，并設定各個端口只能夠認證通過一臺終端。對于相同的HUB和交換，因其不能提供協議認證端口，能夠進行暫時性的uilt-auth認證，從而確保通過所有終端認證。交換機更換后，取消端口認證，并配置下級交換機認證。將Radius服務器設置于信息中心，從而確保Radius服務器工作的可靠性，并保證2臺以上的Radius服務器，使其實現賬號的自動同步。在配置交換機時，對各個端口的MAC地址數量進行嚴格控制，設置值默認為1。通過對登陸交換機進行檢查，確定HUB的端口，通過分線的方法達到接入要求，也可用管理交換機替換原來的HUB，從而確保交換機接入端口僅僅存在一臺認證通過的終端與網絡相互連接，也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后，會將BPDUGUARD功能啟動，進而避免計算機端口與HUB或交換機隨意連接，進而形成網絡環路。

在網絡監察過程中，終端可能并未打開，這就容易形成端口與多臺計算機相互連接的現象，需要進行嚴格控制，在其他終端開機后，無法實現網絡連接。信息中心技術支持人員需要配置交換機，保證其與網絡的順利連接。在交換機端口與管理交換機相互連接，而非終端時，需要將BPDPGUARD功能關閉，避免交換機端口的自動關閉。建立每個VLAN獨立的ACL并應用后，實現VLAN之間三層隔離的目標。因為目前的業務主要體現為信息中心機房內，因而VLAN只能夠訪問信息中心服務器，且不限制訪問其他兄弟單位網絡。自動綁定交換機端口和MAC地址，通過“port-security maximum”對所有交換機端口接入終端的數量進行控制。利用DHCP服務器內的IP地址保留方式，綁定MAC地址和IP地址，而且，在開啟交換機DAI功能后，只能允許終端以過DHCP方式獲取IP地址，避免終端手動指定IP地址，進而出現IP地址沖突或是盜用問題。聯合應用DAI和DHCP Snooping，有助于ARP攻擊的控制。以保留IP的形式在DHCP服務器上對IP地址進行重新分配，從而實現綁定IP地址和MAC地址的目標。為了對非法DHCP服務器進行限制，應控制交換機，確保全部終端均獲得合法DHCP服務器的地址。少數計算機需要經常性與各個VLAN網絡接入，應實現VLAN內各個IP地址的分配。

3 結語

綜上所述，隨著供電公司網絡安全改造過程的逐步深入，由此所導致的困難和問題也逐步凸顯，并引起了相關企業管理人員的關注。因為變電站漫游障礙是供電公司網絡安全改造中最經常遇到的問題，所以維操隊工作人員需要收集各種筆記本電腦的MAC地址，并綁定需要介入的電站內交換機指定端口。維操隊工作人員的筆記本只能夠與特定端口相連接，這一處理方法能夠最大限度地提高操作站內筆記本應用的安全性和便利性。

參考文獻

[1] 牛春燕.阜新供電公司網絡系統升級改造[J].電力企業信息基礎架構研究，2012，1（3）.

[2] 許欽彪，文濤.網絡設備應急與備份系統在供電系統中的建設與應用[J].安徽電力工程職業技術學院學報，2014，19（9）.

[3] 張庶.供電企業雙網隔離工程在南陽供電公司的實施[J].電力信息化，2010，（6）.

[4] 葉水勇，汪淑芬，汪路，陳晏.利用RSA雙因素身份認證技術實現安全防護[J].電力信息與通信技術，2014，（4）.

[5] 王棟，劉識，王懷宇，等.電力行業三級信息系統等級保護典型設計研究[J].電力信息化，2012，10（8）.

作者簡介：曾隆豐（1963-），供職于江西煤業集團有限公司豐城電力分公司，研究方向：機電。

（責任編輯：秦遜玉）