电力行业特点

电力行业是国家的支柱产业,持续、稳定、高效的电力供应是关系到国计民生的大事。随着电力行业的不断发展,电力行业信息化程度不断提高,电力网络系统中的应用越来越多。同时,随着Internet技术的发展,建立在Internet架构上的跨地区、全行业系统内部信息网开始逐步建立,网上应用着各种电力业务及办公系统。与此同时,电力信息网络系统的网络安全问题愈来愈显得重要。


电力企业网络管理的问题

当前电力行业网络管理的主要问题是局域网的安全问题。这些问题可分为如下几类:

1、电力公司局域网计算机终端安全问题

尽管多数电力企业对终端计算机的安全加固已经采取了部分安全措施,例如安装了防病毒软件和个人防火墙软件,甚至部署了漏洞扫描系统定期对终端计算机进行漏洞扫描,督促用户及时更新操作系统补丁等,这些举措虽然起到一定的安全防护作用。但是,由于员工随意插入U盘而导致电脑感染病毒,随意修改操作系统关键位置(如注册表、组策略)而引发的电脑安全风险以及随意下载和安装软件引发的电脑故障、中毒等问题依然无法进行有效的管控。

2、外部电脑、移动设备和终端电脑的接入控制

电力行业很多企业都是大中型企业,局域网计算机数量众多。IT管理人员很难统计内网计算机的确切数量,也无法区分哪些是内网授权使用的计算机,哪些是外来的非授权使用的计算机。这种状况下,很难控制外来人员随意的计算机接入。而一旦外部电脑或非授权电脑接入局域网,一方面会占用局域网网络带宽资源,另一方面还可以非法访问局域网服务器文件或与局域网其他电脑通讯,经常造成商业机密的泄露,给电力企业信息安全带来巨大风险。

同时,对于内网授权使用的计算机感染了病毒和木马,IT管理人员也无法及时定位和自动阻断该计算机的破坏行为,使得被感染的电脑有可能向局域网进行病毒扩散,甚至引发网络攻击行为的出现,对内网安全造成重大影响。

此外,当员工向局域网接入无线路由器、手机、随身wifi等移动设备时,常常缺乏监管而造成网络资源的滥用,甚至引发一些网络安全隐患。

3、局域网终端电脑、移动设备的上网行为监控

虽然电力企业通过信息化、网络系统等大幅度提升了工作效率和生产效率,但是也同样存在随意上网、滥用网络资源而导致的消极影响。比如经常有员工利用终端计算机进行与业务无关的互联网访问、文件下载、网络聊天、玩计算机游戏、看电影等。首先,这些用户行为给企业造成了生产力损失,降低了工作效率;其次,员工对互联网的过渡访问会占用企业极大的网络带宽,给正常用户的网络使用造成冲击;另外,上网会增加终端计算机感染病毒和木马的可能性,给内网带来新的安全隐患和风险。因此,如何规范员工的终端计算机使用,并对其行为进行控制,给IT管理人员提出了新的课题。

4、局域网终端计算机的资产统计和配置管理

由于电脑企业局域网网络结构通常比较庞大,内网计算机数量很多,如何实时统计这些硬件资产同样是一件非常重要的网络管理工作。例如,要准确掌握每台计算机的软硬件配置信息,通过手工方式将是非常耗时和繁琐的工作。要想实时并准确地掌握内网终端计算机的配置状况与配置变更状况,必须通过技术手段和工具来辅助实现,才能有效节省成本和资源,提高内网管理的效率。

5、局域网终端计算机的远程管理、远程支持

对于电力企业的网络管理人员而言,由于网络结构复杂,终端计算机数量巨大,网络管理问题时有发生,网络管理人员无法实时、一一进行现场解决,通常需要进行远程维护。如何实时监视终端计算机的运行状况,并且方便地对终端计算机进行远程维护,是IT管理人员迫切需要解决的问题。

6、局域网文件服务器共享文件的权限设置和管理

电力企业局域网通常也设置了文件服务器,并且通常共享一些文件供局域网终端计算机访问。虽然通过Windows AD域控制器的方式可以起到一定的共享文件访问权限的管控。但依然无法有效、精细地控制共享文件某些访问权限。比如只让打开共享文件而禁止另存为本地磁盘、只让读取共享文件而禁止复制共享文件、只让修改共享文件而禁止删除共享文件,以及禁止打印共享文件、禁止拖拽共享文件到访问者自己的电脑,从而防止共享文件存储到员工自己的电脑而导致泄密的可能。


电力企业内网安全管理解决方案

针对电力企业内网终端计算机存在的一些安全问题,很多电力企业纷纷采取各种举措来加强单位内网终端计算机的管理。很多单位制定了严苛的终端计算机使用制度和规定,部署了一些网络运维系统从技术层面提升终端安全,一些网络管理人员的网络安全意识有了提高,各种终端安全、网络安全的举措也一一建立起来,终端计算机的安全水准有很大提升。

大势至(北京)软件工程有限公司作为一家专业的上网行为管理和信息安全防护的领先厂家,在电力行业网络管理领域具有自己独特的优势,甚至可以解决一线厂家无法解决的网络安全、信息安全和上网行为管理的各种问题。具体如下: 

1、终端计算机安全加固解决方案

对终端计算机的安全加固可采取的措施有:补丁管理、防病毒软件监测、主机防火墙。这些措施均增强了终端计算机的安全性和健壮性。但是还远远不够,例如员工经常随意安装一些与工作无关的软件,一些懂技术的员工随意修改电脑的注册表、组策略,甚至以U盘、光盘启动电脑而绕过常规网络运维系统、杀毒软件和防火墙的监控。这种情况下,我公司的“大势至网络运维管理系统”就可以提供有效的管控。

大势至网络运维管理系统可以对操作系统关键位置进行有效的管控,禁止随意修改注册表、组策略等操作系统关键位置,禁止通过U盘、光盘等方式启动电脑。同时,还可以禁止终端计算机随意安装软件,或者只让终端计算机运行某些软件,访问指定的网站等等,从而极大地保护了终端计算机的安全。

2、内网接入控制解决方案

针对电力内网存在终端计算机、移动设备随意接入的情况,可以部署大“大势至网络准入控制系统”,而且只需要在局域网一台电脑部署,就可以实时扫描局域网接入的终端电脑或移动设备,阻止未授权或不安全的终端计算机接入内网和访问内网资源。通过接入控制,可以将外来计算机阻挡在内网之外,也可以将内网中安全性较差(未及时安装补丁和防火墙软件)的计算机隔离出内网,保证内网整体的安全性。此外,还可以进行局域网IP和MAC地址绑定,防止随意修改IP地址,防止局域网电脑安装嗅探软件或抓包软件进行非法抓包情况,防止局域网ARP攻击行为以及禁止局域网代理上网的情况发生,从而极大地保护了局域网网络安全。

同时,大势至网络准入控制系统除了常规的基于地址解析协议的端口重定向隔离技术之外,还可以通过与交换机的联动,自动判断接入计算机的交换机接口,如果发现接入计算机未经过授权或者安全性较差,则通知交换机禁用该计算机所在的端口,彻底阻断计算机的接入,实现了最大程度上的终端接入控制。

准入.png

3、终端电脑上网行为监控解决方案

通过大势至网络行为管理系统(聚生网管)可以对局域网电脑进行有效的上网行为管控。与同类网络管理系统必须通过串接、桥接或旁路部署方式不同,聚生网管监控软件基于独创的“虚拟网关”技术,可以直接部署在局域网任意一台电脑上,内网其他电脑不需要安装客户端,也不需要调整网络结构就可以实现全方位的网络行为控制,可以有效禁止局域网迅雷下载、禁止员工玩游戏、禁止上班炒股、禁止网购、禁止P2P下载、禁止在线看视频等,同时还可以限制电脑网速,防止局域网电脑随意抢占网络带宽的行为,保护了网络资源。

两种部署方式,首先可以在一个聚生网管的控制机上面额外配置多块网卡(最高配置6块),然后通过每个网卡分别接入各个局域网上的交换机的方式实现对多个局域网的监控,如图(一)所示。如果存在多个多个交换机、多个局域网的情况下,可以在每个局域网对应的交换机下面各配置一台聚生网管的控制机,分别控制各自的局域网,如图(二)所示。

俩.jpg

同时,针对电力企业网络规模通常较大,并且经常采用三层交换机划分多网段的情况,聚生网管系统集成了独创的“创新直连”架构,只需要接入三层交换机的一个网段就可以控制所有网段的电脑上网行为,遥遥领先国内同类网络管理系统必须采用串接、桥接和旁路方式部署网络管理软件的弊端,是当前国内最优监控三层交换机多网段的网管软件部署方式。如下图所示:

QQ图片20170221164654.png

4、服务器共享文件的访问权限设置方案

针对电力企业局域网服务器共享文件安全管理的问题,大势至局域网共享文件管理系统可以全面设置服务器共享文件的安全,只需要在文件服务器上安装之后,就可以设置共享文件的各种访问权限,可以根据服务器账号或访问者MAC地址的方式来分配访问权限,可以只让读取共享文件而阻止复制共享文件、只让修改共享文件而禁止删除共享文件、只让打开共享文件而禁止另存为本地磁盘,以及阻止拖拽共享文件、打印共享文件的行为,从而保护了服务器共享文件的安全。

本系统基于NDIS核心层文件过滤驱动进行实现,其中,最上层是一个NDIS Protocol Driver,它向上提供一个Transport Driver Interface(TDI),向下通过NDIS接口与下面的NDIS中间层的上边界交互,NDIS中间层的下边界通过NDIS接口与下层的NDIS Miniport Driver交互。最后,由NDIS Miniport Driver利用NDIS接口与物理网络设备NetCard交互。处理流程如下:

驱动.png.jpg

此外,本系统还可以详细记录局域网用户访问共享文件的日志,从而便于时候备查和审计。

总之,电力行业网络管理直接关系到电力系统的稳定和高效运行,直接关系到国民经济各个环节的正常运转。因此电力企业的网络管理工作也极其重要,大势至公司凭借独特的网络管理产品,以及在各级电力企业的大量客户,可以为国内电力企业网络管理做出自己贡献。此外,大势至公司凭借强大的研发团队,还可以为电力企业定制开发各种网络管理功能,进一步满足电力企业网络管理的个性化需求,真正帮助电力企业实现网络管理的目的。