隨著勒索病毒事件的發(fā)生，網(wǎng)絡(luò)安全擺在了重要的位置，為此，我國(guó)于2016年11月7日頒布了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》。

電力公司作為國(guó)家戰(zhàn)略性企業(yè)，緊跟時(shí)代發(fā)展步伐，充分利用大云物移智和信息化的優(yōu)勢(shì)，國(guó)家調(diào)度、地方調(diào)度及員工的正常工作都需要網(wǎng)絡(luò)，而當(dāng)前網(wǎng)絡(luò)面臨著用戶帳號(hào)、密碼被大量竊取/誤用、私有或機(jī)密資料被泄露或被篡改、個(gè)人被假冒身份而造成損害、釣魚網(wǎng)站層出不窮等問題，因此亟待總結(jié)歸納網(wǎng)絡(luò)安全防護(hù)措施。本課題根據(jù)筆者所從事的網(wǎng)絡(luò)安全工作實(shí)際出發(fā)，提出網(wǎng)絡(luò)安全防護(hù)合理化建議。

網(wǎng)絡(luò)安全防護(hù)措施

在網(wǎng)絡(luò)建設(shè)和維護(hù)中，網(wǎng)絡(luò)安全成為了一個(gè)不可或缺的部分。網(wǎng)絡(luò)安全的范圍十分廣泛，包括了網(wǎng)絡(luò)的方方面面。本文提出的網(wǎng)絡(luò)安全防護(hù)措施主要包括提高作業(yè)人員或用戶的網(wǎng)絡(luò)安全意識(shí)、網(wǎng)絡(luò)安全防范技術(shù)體系。其中前者最關(guān)鍵。

1.加大信息安全教育

對(duì)于信息運(yùn)維人員要加大信息安全教育，增強(qiáng)人們安全意識(shí)和安全素質(zhì)。

因此，為了提高公司的網(wǎng)絡(luò)安全，要對(duì)技術(shù)人員進(jìn)行安全培訓(xùn)，主要包括：網(wǎng)絡(luò)安全理論培訓(xùn)、安全意識(shí)教育、崗位技能培訓(xùn)、安全技術(shù)培訓(xùn)、安全產(chǎn)品培訓(xùn)，對(duì)定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對(duì)不同崗位制定相應(yīng)的安全培訓(xùn)計(jì)劃。在工作時(shí)，還應(yīng)嚴(yán)格執(zhí)行工作票制度。

2.網(wǎng)絡(luò)安全防范技術(shù)體系

常見的網(wǎng)絡(luò)安全的技術(shù)體系主要包括身份認(rèn)證技術(shù)、訪問控制技術(shù)、安全審計(jì)技術(shù)、漏洞掃描技術(shù)、病毒掃描技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)以及入侵防御技術(shù)。

（1）安全網(wǎng)絡(luò)拓?fù)涞囊?guī)劃設(shè)計(jì)

對(duì)于電力公司，考慮到生產(chǎn)調(diào)度和工業(yè)電視對(duì)安全性的需求，設(shè)計(jì)時(shí)需要雙鏈路雙冗余，管理信息外網(wǎng)和外網(wǎng)之間的邊界應(yīng)采用公司認(rèn)可的隔離裝置進(jìn)行安全隔離，在出口路由器與核心交換機(jī)之間應(yīng)安裝防火墻、串接入侵防御系統(tǒng)IPS（或在核心交換機(jī)上以旁路模式接入侵檢測(cè)系統(tǒng)IDS）等安全設(shè)備，且在路由器上應(yīng)采用用戶認(rèn)證、加密傳輸?shù)劝踩胧Ｔ跅l件允許的情況下，可以放置安全接入平臺(tái)。

安全接入平臺(tái)較常見的技術(shù)或設(shè)備包括：

通過防火墻建立隔離本地和外部網(wǎng)絡(luò)的防御系統(tǒng)；

通過IDS/IPS監(jiān)視經(jīng)過防火墻的全部通信并查找可能是惡意的攻擊通信，并在這種攻擊擴(kuò)散到網(wǎng)絡(luò)其他地方之前阻止這些惡意的通信；

通過部署身份認(rèn)證服務(wù)器來組織管理個(gè)人身份認(rèn)證信息；

利用可信邊界安全網(wǎng)關(guān)保證用戶的物理身份與數(shù)字身份相符；

通過CA服務(wù)器對(duì)數(shù)字證書進(jìn)行發(fā)放和管理；

利用IPSec VPN實(shí)現(xiàn)多專用網(wǎng)安全連接；

通過集中監(jiān)控審計(jì)對(duì)網(wǎng)絡(luò)中的各種設(shè)備和系統(tǒng)進(jìn)行集中的、可視的綜合審計(jì)，及時(shí)發(fā)現(xiàn)安全隱患，提高安全系統(tǒng)成效；

利用網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的連接，從根本上杜絕可被黑客利用的安全漏洞。

（2）網(wǎng)絡(luò)設(shè)備的防護(hù)措施

網(wǎng)絡(luò)設(shè)備主要包括路由器和交換機(jī)，主要防治非法DHCP欺騙、開啟環(huán)路檢測(cè)（STP)、ARP網(wǎng)關(guān)欺騙及廣播風(fēng)暴的控制。近期的比特幣病毒事件就是通過相應(yīng)的端口（如 135、139、443端口）非法侵入電腦終端。為了保障網(wǎng)絡(luò)設(shè)備的安全，主要采用以下措施：

第一，設(shè)置訪問控制列表ACL策略，設(shè)置deny拒絕動(dòng)作，以限制相應(yīng)的非法IP地址和關(guān)閉不必要的端口非法侵入。

第二，要限制管理員的登錄IP地址。

第三，在核心交換機(jī)上要進(jìn)行MAC地址、IP地址以及端口的綁定。

第四，設(shè)備登錄用戶權(quán)限分級(jí)，加強(qiáng)口令安全將設(shè)備納入網(wǎng)管，確保讀寫團(tuán)體字的安全，開啟Trap功能。

第五，限制能夠管理設(shè)備的IP地址，包括網(wǎng)管和遠(yuǎn)程登錄。

第六，限制登錄地址。

第七，配置密碼認(rèn)證。

第八，配置用戶認(rèn)證。

第九，協(xié)議認(rèn)證和端口認(rèn)證。

第十，需要定期進(jìn)行數(shù)據(jù)備份和配置備份。

（3）安全設(shè)備的防護(hù)措施

安全設(shè)備主要包括防火墻、入侵防御系統(tǒng)IPS、入侵檢測(cè)系統(tǒng)IDS、漏洞掃描設(shè)備、安全審計(jì)設(shè)備及病毒掃描設(shè)備。安全設(shè)備的防護(hù)措施主要為：

第一，設(shè)置合理的安全策略，允許特定的IP地址可以訪問防火墻內(nèi)部的安全區(qū)域，其余來自于外界的IP地址均不可以訪問內(nèi)網(wǎng)，同時(shí)限制內(nèi)網(wǎng)用戶訪問非法IP地址。

第二，定期更新防火墻、IPS及IDS的病毒庫和特征庫，以阻止新產(chǎn)生的病毒。

（4）終端設(shè)備的防護(hù)措施

個(gè)人終端安全防護(hù)措施也是必須要考慮的重要部分，其防護(hù)措施主要由：

第一，必須安裝殺毒軟件進(jìn)行病毒防治，且要定期掃描操作系統(tǒng)漏洞，定期打補(bǔ)丁。

第二，關(guān)閉不必要的服務(wù)，比如 FTP、SSH。

第三，關(guān)閉空閑端口，按需開放。

第四，終端設(shè)備用戶應(yīng)妥善保管賬號(hào)及密碼。

第五，辦公計(jì)算機(jī)必須安裝防病毒、桌面管理等安全防護(hù)軟件，卸載或禁用計(jì)算機(jī)防病毒、桌面管理等安全防護(hù)軟件，拆卸、更換終端設(shè)備硬件，應(yīng)經(jīng)本單位信息運(yùn)維單位批準(zhǔn)。

第六，個(gè)人終端使用無線網(wǎng)絡(luò)傳輸業(yè)務(wù)數(shù)據(jù)時(shí)，應(yīng)具備接入認(rèn)證、隔離及加密等安全措施。

結(jié)語

網(wǎng)絡(luò)是保證電網(wǎng)調(diào)度和員工正常工作的前提，網(wǎng)絡(luò)安全是不能忽略的重要保障。

本課題結(jié)合筆者所從事的網(wǎng)絡(luò)安全工作實(shí)際出發(fā)，提出了一些網(wǎng)絡(luò)安全防護(hù)合理化建議。希望能夠從事對(duì)網(wǎng)絡(luò)安全工作的人員有一定的參考，共同保障我國(guó)的電網(wǎng)網(wǎng)絡(luò)與信息安全。