電力業(yè)內網安全管理發(fā)展趨勢及解決方案
??? 主機防火墻
??? 通過主機防火墻,一方面,可以阻斷來自外部的入侵�����,防止外來入侵給終端計算機帶來危害�;另一方面�����,也可以對終端計算機的網絡訪問行為進行控制�,防止內網用戶對網絡資源的濫用行為,如BT下載導致網絡帶寬過渡占用�����。
通過以上加固措施����,使得終端計算機的安全強度和抵抗安全風險能力大大提高。更進一步�,還可以對未及時更新補丁、未安裝防病毒軟件的計算機進行網絡訪問控制和隔離��,使其形成內網中的“孤島”��。避免該終端計算機對內網其它主機造成安全威脅����。
??? 2) 接入控制解決方案
??? 所謂的接入控制,是指對接入內網的終端計算機進行身份鑒別或者安全狀態(tài)檢查���,阻止未授權或不安全的終端計算機接入內網和訪問內網資源�����。通過接入控制����,可以將外來計算機阻擋在內網之外�,也可以將內網中安全性較差(未及時安裝補丁和防火墻軟件)的計算機隔離出內網,保證內網整體的安全性��。
??? ARP欺騙阻斷
??? 對于非授權計算機和不安全的計算機可以采用ARP欺騙的方式���,用虛假的MAC地址刷新目標計算機的ARP緩存�,導致該計算機無法與內網其它設備通訊�,達到阻止其訪問網絡資源的目的�。
??? 與交換機聯(lián)動阻斷
??? 更進一步的技術則是通過與交換機的聯(lián)動���,自動判斷接入計算機的交換機接口�����,如果發(fā)現(xiàn)接入計算機未經過授權或者安全性較差���,則通知交換機禁用該計算機所在的端口。徹底阻斷計算機的接入�。
??? 以上兩種方式各有優(yōu)缺點,如果能夠配合使用�,則可極大提高計算機接入控制能力。通過接入控制���,可最大限度地保證內網的整體安全性���。
??? 3) 行為監(jiān)控解決方案
??? 對于用戶數(shù)量達到上千的電力企業(yè),如何規(guī)范內網用戶行為�����,是節(jié)約成本�����、提高效率的關鍵因素之一。對用戶行為的監(jiān)控�,包括用戶網絡資源的使用是否合理、是否進行了與工作無關的網絡訪問等����。如:BT下載���、MSN/QQ聊天��、瀏覽與工作無關的網站��、玩電腦游戲����、觀看視頻���、聽音樂等�。
??? 進程監(jiān)控
??? 通過對終端計算機運行的進程進行監(jiān)控���,可以發(fā)現(xiàn)用戶正在運行的程序�。可以通過進程黑名單的方式限制用戶運行某些程序�,例如游戲、攻擊工具���、視頻播放器���、MP3播放器等。限制用戶利用計算機進行與工作無關的操作�。
??? 上網控制
??? 通過對終端計算機的上網控制,可以限定終端計算機的網站訪問���、網絡聊天和BT下載行為��,使得終端計算機的用戶行為得到有效控制���,既可避免用戶濫用網絡資源,又能降低隨意瀏覽互聯(lián)網帶來的安全隱患�。
??? 配置管理解決方案
??? 配置管理主要完成終端計算機的各種信息的收集和系統(tǒng)參數(shù)的配置。通過配置管理�,IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數(shù),并對批量地對終端計算機的運行參數(shù)進行遠程修改�����。
??? 主機信息收集
??? 收集終端計算機相關信息,如主機名����、IP地址、網絡參數(shù)��、帳戶信息�、安裝軟件清單、硬件清單�、驅動程序清單�����、服務清單���、進程清單��、系統(tǒng)日志等�。為終端計算機的維護和故障診斷提供參考���。
??? 網絡參數(shù)設定
??? 設置終端計算機的網絡參數(shù)�,包括IP地址����、網關�����、DNS�、WINS等�����。當網絡結構發(fā)生變動時����,可以快速重新變更計算機網絡參數(shù)。大大減輕IT管理人員的網絡管理壓力����。
??? 遠程維護解決方案
??? 遠程維護作為IT管理人員一項不可缺少的工作,如果沒有良好的技術手段做支撐��,僅僅依靠電話�����、郵件等方式往往無法解決問題。從而加重了IT管理人員的負擔��。遠程維護就是依靠技術手段和工具����,遠程對終端計算機進行故障診斷、系統(tǒng)修復和日常維護等�。
遠程協(xié)助
??? 通過遠程協(xié)助,IT管理人員可以響應遠程終端計算機的協(xié)助請求�����,臨時接管遠程終端計算機�����,進行本地化操作��。例如:開關機�����、搜索可疑文件���、服務/進程查看、系統(tǒng)配置查看��、資源使用監(jiān)視等。IT管理人員完成維護操作后��,釋放對終端計算機的接管����。
??? 預警平臺
??? 預警平臺可以為IT管理人員與終端用戶建立一個即時通訊的平臺,通過該平臺����,IT管理人員可以接受和回復終端用戶的咨詢,可以得到終端計算機的安全告警�����,也可以定期向終端用戶發(fā)布安全預警信息和安全管理策略等��。方便了IT管理人員與用戶的交流和交互�。
??? 內網安全管理新趨勢
??? 在電力行業(yè),由于技術和產品的限制����,前幾年已經采取內網安全管理措施的企業(yè),大多選用了多個安全產品�����,通過各產品間的協(xié)同工作,共同完成終端計算機的管理���。應該說���,這種方案取得了一定的效果。但是也面臨各產品之間的交互以及與信息共享的難題�����。由于這些產品由不同安全廠商供應�,很難真正實現(xiàn)產品之間的聯(lián)動,給IT管理人員帶來不少麻煩��。
??? 隨著技術的進步��,目前的電力行業(yè)內網安全管理已經呈現(xiàn)出新的趨勢����,包括:
??? 1) 內網安全管理重心繼續(xù)向終端計算機轉移
??? 內網安全管理明顯地服務器區(qū)域轉向了終端計算機�����,因為終端計算機數(shù)量眾多,任何一臺出現(xiàn)安全隱患�����,對整個內網都可能會產生巨大的沖擊和破壞����。
??? 2) 對功能高度集成的終端安全產品提出了需求
??? 企業(yè)用戶逐漸認識到,內網的安全管理是一個有機的整體��,不是靠安全產品的簡單堆砌就能解決�,采用高度功能集成的安全產品可能是一個更好的選擇。目前��,國內已經出現(xiàn)了適合內網安全管理的功能高度集成的終端安全產品���。這類產品的功能定位逐漸明確�,具有適合內網安全管理的鮮明特色��。
??? 3) 終端安全加固與運行維護并重
??? 終端計算機作為員工日常工作的工具�����,當然要保證其安全性�����。不過,企業(yè)用戶逐漸認識到�,終端計算機的使用最終目的是為了降低成本、提高效率�����。因此內網既要安全��,也要易于維護�����。應該通過技術手段提高終端計算機的維護管理水平�。
??? 目前,內網安全管理已經成為一個專門的安全領域�。在該領域內,逐漸形成了一批有影響力的安全廠商����。對于計劃考慮采取內網安全管理措施的企業(yè),目前已經有了更加適合的產品解決方案�。例如�����,北京圣博潤高新技術有限公司推出的LanSecS內網安全管理系統(tǒng),針對電力行業(yè)終端計算機數(shù)量眾多�����,網絡結構復雜的行業(yè)特點�,有針對性地加強了網絡管理功能。并將終端管理與網絡管理有機結合在一起�,提出了“單點防護、網絡聯(lián)動����、全面管理”的內網安全管理新思路,進一步完善了內網安全管理理念����。通過終端加固、終端監(jiān)控��、終端維護���、接入控制����、網絡管理、資產管理等功能的協(xié)同與交互�,幫助電力行業(yè)用戶利用單一產品就可實現(xiàn)全面的內網安全管理。不僅大大節(jié)省了企業(yè)的投資�、也減輕了IT管理人員的內網管理負擔,提高了工作效率�。目前在電力行業(yè)中,該產品已經擁有東北電網 >�����、包頭供電局 ���、云南大朝山水電 有限公司���、錦州東港電力、山東荷澤供電公司 >等幾十家成功案例��。為電力行業(yè)的內網安全管理做出了應有的努力���。
?
