【摘要】本文深入分析了電力施工企業(yè)網(wǎng)絡(luò)安全特征，提出基于防火墻、IPS、VPN和VLAN技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)實現(xiàn)以及體系構(gòu)建做探討。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；防火墻；VPN；VLAN

一、引言

隨著電力施工企業(yè)信息化發(fā)展的不斷深入，企業(yè)對信息系統(tǒng)的依賴程度越來越高，信息與網(wǎng)絡(luò)安全直接影響到企業(yè)生產(chǎn)、經(jīng)營及管理活動，甚至直接影響企業(yè)未來發(fā)展。企業(yè)網(wǎng)絡(luò)規(guī)模的擴大、信息接入點增多、分布范圍廣，使信息接入點管控難度大。企業(yè)信息與網(wǎng)絡(luò)安全面臨各類威脅，筆者以構(gòu)建某電力施工企業(yè)信息與網(wǎng)絡(luò)安全體系為例，從信息安全管理、技術(shù)實施方面進行闡述與分析，建立一套比較完整信息化安全保障體系，保障業(yè)務應用的正常運行。

二、企業(yè)網(wǎng)絡(luò)安全威脅問題分析

1.企業(yè)網(wǎng)絡(luò)通信設(shè)備存的安全漏洞威脅，網(wǎng)絡(luò)非法入侵者可以采用監(jiān)聽數(shù)據(jù)、嗅探數(shù)據(jù)、截取數(shù)據(jù)等方式收集信息，利用拒絕服務攻擊、篡改數(shù)據(jù)信息等方式對合法用戶進行攻擊。

2.非法入侵用戶對網(wǎng)絡(luò)系統(tǒng)的知識結(jié)構(gòu)非常清楚，包括企業(yè)外部人員、企業(yè)內(nèi)部熟悉網(wǎng)絡(luò)技術(shù)的工作人員，利用內(nèi)部網(wǎng)絡(luò)進行惡意操作。非法用戶入侵企業(yè)內(nèi)部網(wǎng)絡(luò)主要采用非法授權(quán)訪問對企業(yè)內(nèi)部網(wǎng)絡(luò)進行惡意操作，以達到竊取商業(yè)機密的目的；獨占網(wǎng)絡(luò)資源的方式，非業(yè)務數(shù)據(jù)流（如P2P文件傳輸與即時通訊等）消耗了大量帶寬，輕則影響企業(yè)業(yè)務無法正常運作，重則致使企業(yè)IT系統(tǒng)癱瘓，對內(nèi)部網(wǎng)絡(luò)系統(tǒng)造成損壞。

3.惡意病毒程序和代碼包括計算機病毒、蠕蟲、間諜軟件、邏輯復制炸彈和一系列未經(jīng)授權(quán)的程序代碼和軟件系統(tǒng)。病毒感染可能造成網(wǎng)絡(luò)通信阻塞、文件系統(tǒng)破壞，系統(tǒng)無法提供服務甚至重要數(shù)據(jù)丟失。病毒的傳播非常迅速；蠕蟲是通過計算機網(wǎng)絡(luò)進行自我復制的惡意程序，泛濫時可以導致網(wǎng)絡(luò)阻塞和癱瘓；間諜軟件在用戶不知情的情況下進行非法安裝，并把截獲的機密信息發(fā)送給第三者。

4.隨著企業(yè)信息化平臺、一體化系統(tǒng)投入運行，大量重要數(shù)據(jù)和機密信息都需要通過內(nèi)部局域網(wǎng)和廣域網(wǎng)來傳輸，信息被非法截取、篡改而造成數(shù)據(jù)混亂和信息錯誤的幾率加大；當非法入侵者以不正當?shù)氖侄潍@得系統(tǒng)授權(quán)后?？梢詫ζ髽I(yè)內(nèi)部網(wǎng)絡(luò)的信息資源執(zhí)行非法操作，包括篡改數(shù)據(jù)信息、復制數(shù)據(jù)信息、植入惡意代碼、刪除重要信息等，甚至竊取用戶的個人隱私信息，阻止合法用戶的正常使用，造成破壞和損失。保護信息資源，保證信息的傳遞成為企業(yè)信息安全中重要的一環(huán)。

三、企業(yè)信息與網(wǎng)絡(luò)安全策略

結(jié)合電力施工企業(yè)業(yè)務廣范圍大特點，提出一套側(cè)重網(wǎng)絡(luò)準入控制的信息安全解決方案，保障企業(yè)網(wǎng)絡(luò)信息安全。

1.遠程接入VPN安全解決方案

施工企業(yè)擁有多個項目部，地域范圍廣，項目部、出差人員安全訪問企業(yè)信息系統(tǒng)是企業(yè)信息化的要求，確保網(wǎng)絡(luò)連接間保密性是必要的。采用SSL VPN安全網(wǎng)關(guān)旁路部署在網(wǎng)絡(luò)內(nèi)部，通過設(shè)置用戶級別、權(quán)限來屏蔽非授權(quán)用戶的訪問。訪問內(nèi)部網(wǎng)絡(luò)資源的移動、項目用戶先到SSL VPN上進行認證，根據(jù)認證結(jié)果分配相應權(quán)限，實現(xiàn)對內(nèi)部資源的訪問控制。

2.邊界安全解決方案

在系統(tǒng)互聯(lián)網(wǎng)出口部署防火墻（集成防病毒和網(wǎng)絡(luò)安全監(jiān)控模塊）和IPS設(shè)備，同時通過防火墻和IPS將企業(yè)內(nèi)部網(wǎng)、數(shù)據(jù)中心、互聯(lián)網(wǎng)等安全區(qū)域分隔開，并通過制定相應的安全規(guī)則，以實現(xiàn)各區(qū)域不同級別、不同層次的安全防護。邊界防護建立以防火墻為核心，郵件、WEB網(wǎng)關(guān)設(shè)備、IDS及IPS等設(shè)備為輔的邊界防護體系。

（1）通過防火墻在網(wǎng)絡(luò)邊界建立網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，監(jiān)測、限制、更改跨越防火墻的數(shù)據(jù)流以及對外屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運行狀況，控制非法訪問、增強網(wǎng)絡(luò)信息保密性、記錄和統(tǒng)計網(wǎng)絡(luò)數(shù)據(jù)并對非法入侵報警提示等，達到保障計算機網(wǎng)絡(luò)安全的目的。

（2）在防火墻上開啟防病毒模塊，可以在網(wǎng)關(guān)處阻止病毒、木馬等威脅的傳播，保護網(wǎng)絡(luò)內(nèi)部用戶免受侵害，改變了原有被動等待病毒感染的防御模式，實現(xiàn)網(wǎng)絡(luò)病毒的主動防御，切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道。

（3）以入侵防御系統(tǒng)IPS應用層安全設(shè)備，作為防火墻的重要補充，很好的解決了應用層防御安全威脅，通過在線部署，IPS可以檢測并直接阻斷惡意流量。

（4）將上網(wǎng)行為管理設(shè)備置于核心交換機與防火墻之間。通過對在線用戶狀態(tài)、Web訪問內(nèi)容、外發(fā)信息、網(wǎng)絡(luò)應用、帶寬占用情況等進行實時監(jiān)控，在上網(wǎng)行為管理設(shè)備上設(shè)置不同的策略，阻擋P2P應用，釋放網(wǎng)絡(luò)帶寬，有效地解決了內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之間的安全使用和管理問題。

3.內(nèi)網(wǎng)安全解決方案

內(nèi)網(wǎng)安全是網(wǎng)絡(luò)安全建設(shè)的重點，由于內(nèi)網(wǎng)節(jié)點數(shù)量多、分布復雜、終端用戶安全應用水平參差不齊等原因，也是安全建設(shè)的難點。

（1）主要利用構(gòu)建虛擬局域網(wǎng)VLAN技術(shù)來實現(xiàn)對內(nèi)部子網(wǎng)的物理隔離。通過在交換機上劃分VLAN可以將整個網(wǎng)絡(luò)劃分為幾個不同的廣播域，將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，實現(xiàn)內(nèi)部一個網(wǎng)段與另一個網(wǎng)段的物理隔離，防止影響一個網(wǎng)段的安全事故透過整個網(wǎng)絡(luò)傳播，限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。

（2）建立企業(yè)門戶系統(tǒng)，用戶的訪問控制部署統(tǒng)一的用戶認證服務，實現(xiàn)單點登錄功能，統(tǒng)一存儲所有應用系統(tǒng)的用戶認證信息，而授權(quán)等操作則由各應用系統(tǒng)完成，即統(tǒng)一存儲、分布授權(quán)。

（3）系統(tǒng)軟件部署安全、漏洞更新，定期對系統(tǒng)進行安全更新、漏洞掃描，自動更新Windows操作系統(tǒng)和Office、Exchange Server以及SQL Server等安全、漏洞補丁。安裝網(wǎng)絡(luò)版的防病毒軟件，定期更新最新病毒定義文件，制定統(tǒng)一的策略，客戶端定期從病毒服務器下載安裝新的病毒定義文件，有效減少了病毒的影響；配置郵件安全網(wǎng)關(guān)系統(tǒng)，為郵件用戶提供屏蔽垃圾郵件、查殺電子郵件病毒和實現(xiàn)郵件內(nèi)容過濾等功能，有效地從網(wǎng)絡(luò)層到應用層保護郵件服務器不受各種形式的網(wǎng)絡(luò)攻擊。

4.數(shù)據(jù)中心安全解決方案

作為數(shù)據(jù)交換最頻繁、資源最密集的地方，數(shù)據(jù)中心出現(xiàn)任何安全防護上的疏漏必將導致不可估量的損失，因此數(shù)據(jù)中心安全解決方案十分重要。

（1）構(gòu)建網(wǎng)絡(luò)鏈接從鏈路層到應用層的多層防御體系。由交換機提供數(shù)據(jù)鏈路層的攻擊防御。數(shù)據(jù)中心網(wǎng)絡(luò)邊界安全定位在傳輸層與網(wǎng)絡(luò)層的安全上，通過防火墻可以把安全信任網(wǎng)絡(luò)和非安全網(wǎng)絡(luò)進行隔離，并提供對DDoS和多種畸形報文攻擊的防御。IPS可以針對應用流量做深度分析與檢測能力，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)流量中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)應用層的保護。

（2）建立數(shù)據(jù)備份和異地容災方案，建立了完善的數(shù)據(jù)備份體系，保證數(shù)據(jù)崩潰時能夠?qū)崿F(xiàn)數(shù)據(jù)的完全恢復。同時在異地建立一個備份站點，通過網(wǎng)絡(luò)以異步的方式，把主站點的數(shù)據(jù)備份到備份站點，利用地理上的分離來保證系統(tǒng)和數(shù)據(jù)對災難性事件的抵御能力。

5.安全信息管理與培訓

（1）網(wǎng)絡(luò)管理是計算機網(wǎng)絡(luò)安全重要組成部分，在組織架構(gòu)上，應采用虛擬團隊的模式，成立了相關(guān)信息安全管理小組。從決策、監(jiān)督和具體執(zhí)行三個層面為網(wǎng)絡(luò)信息安全工作提供保障。建立規(guī)范嚴謹?shù)墓芾碇贫龋贫ㄏ鄳囊?guī)范、配套制度能保證規(guī)范執(zhí)行到位，保障了網(wǎng)絡(luò)信息安全工作的“有章可循，有據(jù)可查”。主要涉及：安全策略管理、業(yè)務流程管理、應用軟件開發(fā)管理、操作系統(tǒng)管理、網(wǎng)絡(luò)安全管理、應急備份措施、運行流程管理、場所管理、安全法律法規(guī)的執(zhí)行等。

（2）人員素質(zhì)的高低對信息安全方面至關(guān)重要；提高人員素質(zhì)的前提就是加強培訓，特別加強是對專業(yè)信息人員的培訓工作。

四、結(jié)束語

該企業(yè)信息與網(wǎng)絡(luò)安全體系建設(shè)以技術(shù)、管理的安全理念為核心，從組織架構(gòu)的建設(shè)、安全制度的制定、先進安全技術(shù)的應用三個層面，構(gòu)建一個多層次、全方位網(wǎng)絡(luò)防護體系。在統(tǒng)一的安全策略基礎(chǔ)上，利用安全產(chǎn)品間的分工協(xié)作，并針對局部關(guān)鍵問題點進行安全部署，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點防御為全面防御、變分散管理為集中管理，達到提升網(wǎng)絡(luò)對安全威脅的整體防御能力。

參考文獻

[1]（美）Stephen Northcutt.深入剖析網(wǎng)絡(luò)邊界安全[M].機械工業(yè)出版社，2003.

[2]程慶梅，徐學鵬.網(wǎng)絡(luò)安全管理員[M].機械工業(yè)出版社，2012.