摘要：互聯(lián)網(wǎng)絡(luò)技術(shù)的發(fā)展越來(lái)越快，但各種網(wǎng)絡(luò)安全問(wèn)題不斷出現(xiàn)，供電公司的網(wǎng)絡(luò)技術(shù)人員應(yīng)該從哪些方面進(jìn)行網(wǎng)絡(luò)安全改造以保證供電網(wǎng)絡(luò)正常運(yùn)行是亟需解決的問(wèn)題。文章分析了供電公司網(wǎng)絡(luò)安全改造中存在的常見(jiàn)問(wèn)題和難點(diǎn)，然后在問(wèn)題分析的基礎(chǔ)上針對(duì)性地給出了改造方法和途徑。

關(guān)鍵詞：供電公司；網(wǎng)絡(luò)安全；供電網(wǎng)絡(luò)；電力安全；電力資源供應(yīng) 文獻(xiàn)標(biāo)識(shí)碼：A

中圖分類號(hào)：TP393 文章編號(hào)：1009-2374（2015）18-0043-02 DOI：10.13535/j.cnki.11-4406/n.2015.18.022

電力安全和電力資源供應(yīng)影響著社會(huì)生活的各個(gè)方面，主要工作在于電力資源分配、傳變和輸送的供電公司，應(yīng)與電力用戶、上級(jí)管理單位以及電力資源生產(chǎn)企業(yè)主動(dòng)聯(lián)系。隨著我國(guó)網(wǎng)絡(luò)技術(shù)和計(jì)算機(jī)技術(shù)的快速發(fā)展完善，供電公司也越來(lái)越看重其自身與電力用戶和外部相關(guān)單位之間的聯(lián)系，網(wǎng)絡(luò)安全問(wèn)題的重要性也日漸凸顯。網(wǎng)絡(luò)安全技術(shù)在供電企業(yè)中得到了廣泛的應(yīng)用。但是，受到網(wǎng)絡(luò)安全人員自身能力以及網(wǎng)絡(luò)安全系統(tǒng)缺陷等方面的限制，隨著網(wǎng)絡(luò)發(fā)展速度的加快，供電公司網(wǎng)絡(luò)安全技術(shù)人員自身應(yīng)逐步增強(qiáng)專業(yè)技術(shù)能力，以提高供電網(wǎng)絡(luò)系統(tǒng)的安全性。文章首先分析目前供電網(wǎng)絡(luò)安全改造中存在的問(wèn)題，然后提出了解決措施。

1 供電公司網(wǎng)絡(luò)安全改造中的常見(jiàn)問(wèn)題

第一，通過(guò)本地認(rèn)證方式進(jìn)行本地登陸。供電公司對(duì)于這一問(wèn)題的規(guī)定為：管理SNMP和SSH交換機(jī)，SNMP啟用訪問(wèn)控制列表模式，以Radius認(rèn)證為基礎(chǔ)實(shí)現(xiàn)遠(yuǎn)程登錄，全部系統(tǒng)應(yīng)用者均有獨(dú)立賬號(hào)，從console進(jìn)行本地認(rèn)證能夠由網(wǎng)絡(luò)設(shè)備登陸本地電腦。第二，ARP攻擊的有效預(yù)防。供電公司對(duì)于這一問(wèn)題的規(guī)定為：將DHCP Snooping應(yīng)用于全部供電設(shè)備，DAI應(yīng)用于全部新設(shè)備，避免受到ARP攻擊。通過(guò)保留IP的形式，通過(guò)DHCP服務(wù)器分配地址。第三，HUB（HUB是一個(gè)多端口的轉(zhuǎn)發(fā)器，當(dāng)以HUB為中心設(shè)備時(shí)，網(wǎng)絡(luò)中某條線路產(chǎn)生了故障，并不影響其他線路的工作）的混接控制。該現(xiàn)象所導(dǎo)致的安全隱患表現(xiàn)為：供電公司的網(wǎng)絡(luò)與路由器、HUB等設(shè)備相互連接，這就容易增加用戶用電的困難。供電網(wǎng)絡(luò)安全改造過(guò)程中，利用人工檢查與網(wǎng)管系統(tǒng)相結(jié)合的方式，確定相關(guān)的UB端口，一次接入，將HUB這一環(huán)節(jié)撤銷，保證增加端口，經(jīng)8口交換機(jī)網(wǎng)管，替代傳統(tǒng)設(shè)備，保證網(wǎng)絡(luò)與全部交換機(jī)接入端口相互連接。第四，為多個(gè)部門建立Radius服務(wù)器的賬號(hào)。供電公司對(duì)于這一問(wèn)題的規(guī)定為：建立獨(dú)立的桌面管理系統(tǒng)數(shù)據(jù)庫(kù)或是部門之間關(guān)聯(lián)的數(shù)據(jù)庫(kù)，驗(yàn)證全部部門用戶密碼和賬戶基本相同。第五，網(wǎng)絡(luò)接入認(rèn)證，確保桌面管理系統(tǒng)的安裝率。供電公司對(duì)于這一問(wèn)題的規(guī)定為：桌面管理系統(tǒng)安裝率100%，嚴(yán)格認(rèn)證網(wǎng)絡(luò)和計(jì)算機(jī)之間的連接。其主要的安全問(wèn)題是：不安裝桌面客戶端的電腦，電腦終端會(huì)自動(dòng)化分和修復(fù)VLAN，訪問(wèn)服務(wù)器，自動(dòng)將客戶端、殺毒軟件和補(bǔ)丁安裝在電腦上。客戶端安裝后，各部門可以由客戶端進(jìn)入并選擇，則獲取其中的地址和系統(tǒng)用戶名。

2 供電公司網(wǎng)絡(luò)安全的解決途徑

交換機(jī)在接入后，IEEE 802.1x協(xié)議將會(huì)生效，并從Radius服務(wù)器中認(rèn)證用戶。802.1x計(jì)算機(jī)客戶端軟件在一般狀態(tài)下，與終端接口交換機(jī)接入后，802.1x協(xié)議則會(huì)生效，并設(shè)定各個(gè)端口只能夠認(rèn)證通過(guò)一臺(tái)終端。對(duì)于相同的HUB和交換，因其不能提供協(xié)議認(rèn)證端口，能夠進(jìn)行暫時(shí)性的uilt-auth認(rèn)證，從而確保通過(guò)所有終端認(rèn)證。交換機(jī)更換后，取消端口認(rèn)證，并配置下級(jí)交換機(jī)認(rèn)證。將Radius服務(wù)器設(shè)置于信息中心，從而確保Radius服務(wù)器工作的可靠性，并保證2臺(tái)以上的Radius服務(wù)器，使其實(shí)現(xiàn)賬號(hào)的自動(dòng)同步。在配置交換機(jī)時(shí)，對(duì)各個(gè)端口的MAC地址數(shù)量進(jìn)行嚴(yán)格控制，設(shè)置值默認(rèn)為1。通過(guò)對(duì)登陸交換機(jī)進(jìn)行檢查，確定HUB的端口，通過(guò)分線的方法達(dá)到接入要求，也可用管理交換機(jī)替換原來(lái)的HUB，從而確保交換機(jī)接入端口僅僅存在一臺(tái)認(rèn)證通過(guò)的終端與網(wǎng)絡(luò)相互連接，也可下接設(shè)備為802.1x接入認(rèn)證提供支持。Cisco交換機(jī)與終端端口相互連接后，會(huì)將BPDUGUARD功能啟動(dòng)，進(jìn)而避免計(jì)算機(jī)端口與HUB或交換機(jī)隨意連接，進(jìn)而形成網(wǎng)絡(luò)環(huán)路。

在網(wǎng)絡(luò)監(jiān)察過(guò)程中，終端可能并未打開(kāi)，這就容易形成端口與多臺(tái)計(jì)算機(jī)相互連接的現(xiàn)象，需要進(jìn)行嚴(yán)格控制，在其他終端開(kāi)機(jī)后，無(wú)法實(shí)現(xiàn)網(wǎng)絡(luò)連接。信息中心技術(shù)支持人員需要配置交換機(jī)，保證其與網(wǎng)絡(luò)的順利連接。在交換機(jī)端口與管理交換機(jī)相互連接，而非終端時(shí)，需要將BPDPGUARD功能關(guān)閉，避免交換機(jī)端口的自動(dòng)關(guān)閉。建立每個(gè)VLAN獨(dú)立的ACL并應(yīng)用后，實(shí)現(xiàn)VLAN之間三層隔離的目標(biāo)。因?yàn)槟壳暗臉I(yè)務(wù)主要體現(xiàn)為信息中心機(jī)房?jī)?nèi)，因而VLAN只能夠訪問(wèn)信息中心服務(wù)器，且不限制訪問(wèn)其他兄弟單位網(wǎng)絡(luò)。自動(dòng)綁定交換機(jī)端口和MAC地址，通過(guò)“port-security maximum”對(duì)所有交換機(jī)端口接入終端的數(shù)量進(jìn)行控制。利用DHCP服務(wù)器內(nèi)的IP地址保留方式，綁定MAC地址和IP地址，而且，在開(kāi)啟交換機(jī)DAI功能后，只能允許終端以過(guò)DHCP方式獲取IP地址，避免終端手動(dòng)指定IP地址，進(jìn)而出現(xiàn)IP地址沖突或是盜用問(wèn)題。聯(lián)合應(yīng)用DAI和DHCP Snooping，有助于ARP攻擊的控制。以保留IP的形式在DHCP服務(wù)器上對(duì)IP地址進(jìn)行重新分配，從而實(shí)現(xiàn)綁定IP地址和MAC地址的目標(biāo)。為了對(duì)非法DHCP服務(wù)器進(jìn)行限制，應(yīng)控制交換機(jī)，確保全部終端均獲得合法DHCP服務(wù)器的地址。少數(shù)計(jì)算機(jī)需要經(jīng)常性與各個(gè)VLAN網(wǎng)絡(luò)接入，應(yīng)實(shí)現(xiàn)VLAN內(nèi)各個(gè)IP地址的分配。

3 結(jié)語(yǔ)

綜上所述，隨著供電公司網(wǎng)絡(luò)安全改造過(guò)程的逐步深入，由此所導(dǎo)致的困難和問(wèn)題也逐步凸顯，并引起了相關(guān)企業(yè)管理人員的關(guān)注。因?yàn)樽冸娬韭握系K是供電公司網(wǎng)絡(luò)安全改造中最經(jīng)常遇到的問(wèn)題，所以維操隊(duì)工作人員需要收集各種筆記本電腦的MAC地址，并綁定需要介入的電站內(nèi)交換機(jī)指定端口。維操隊(duì)工作人員的筆記本只能夠與特定端口相連接，這一處理方法能夠最大限度地提高操作站內(nèi)筆記本應(yīng)用的安全性和便利性。

參考文獻(xiàn)

[1] 牛春燕.阜新供電公司網(wǎng)絡(luò)系統(tǒng)升級(jí)改造[J].電力企業(yè)信息基礎(chǔ)架構(gòu)研究，2012，1（3）.

[2] 許欽彪，文濤.網(wǎng)絡(luò)設(shè)備應(yīng)急與備份系統(tǒng)在供電系統(tǒng)中的建設(shè)與應(yīng)用[J].安徽電力工程職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2014，19（9）.

[3] 張庶.供電企業(yè)雙網(wǎng)隔離工程在南陽(yáng)供電公司的實(shí)施[J].電力信息化，2010，（6）.

[4] 葉水勇，汪淑芬，汪路，陳晏.利用RSA雙因素身份認(rèn)證技術(shù)實(shí)現(xiàn)安全防護(hù)[J].電力信息與通信技術(shù)，2014，（4）.

[5] 王棟，劉識(shí)，王懷宇，等.電力行業(yè)三級(jí)信息系統(tǒng)等級(jí)保護(hù)典型設(shè)計(jì)研究[J].電力信息化，2012，10（8）.

作者簡(jiǎn)介：曾隆豐（1963-），供職于江西煤業(yè)集團(tuán)有限公司豐城電力分公司，研究方向：機(jī)電。

（責(zé)任編輯：秦遜玉）