電力業(yè)內(nèi)網(wǎng)安全管理發(fā)展趨勢(shì)及解決方案
評(píng)論: 更新日期:2016年03月20日
??? 主機(jī)防火墻
??? 通過(guò)主機(jī)防火墻����,一方面,可以阻斷來(lái)自外部的入侵�����,防止外來(lái)入侵給終端計(jì)算機(jī)帶來(lái)危害�����;另一方面,也可以對(duì)終端計(jì)算機(jī)的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行控制����,防止內(nèi)網(wǎng)用戶對(duì)網(wǎng)絡(luò)資源的濫用行為,如BT下載導(dǎo)致網(wǎng)絡(luò)帶寬過(guò)渡占用�。
通過(guò)以上加固措施,使得終端計(jì)算機(jī)的安全強(qiáng)度和抵抗安全風(fēng)險(xiǎn)能力大大提高��。更進(jìn)一步����,還可以對(duì)未及時(shí)更新補(bǔ)丁、未安裝防病毒軟件的計(jì)算機(jī)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制和隔離��,使其形成內(nèi)網(wǎng)中的“孤島”����。避免該終端計(jì)算機(jī)對(duì)內(nèi)網(wǎng)其它主機(jī)造成安全威脅。
??? 2) 接入控制解決方案
??? 所謂的接入控制�,是指對(duì)接入內(nèi)網(wǎng)的終端計(jì)算機(jī)進(jìn)行身份鑒別或者安全狀態(tài)檢查,阻止未授權(quán)或不安全的終端計(jì)算機(jī)接入內(nèi)網(wǎng)和訪問(wèn)內(nèi)網(wǎng)資源���。通過(guò)接入控制�,可以將外來(lái)計(jì)算機(jī)阻擋在內(nèi)網(wǎng)之外���,也可以將內(nèi)網(wǎng)中安全性較差(未及時(shí)安裝補(bǔ)丁和防火墻軟件)的計(jì)算機(jī)隔離出內(nèi)網(wǎng)��,保證內(nèi)網(wǎng)整體的安全性��。
??? ARP欺騙阻斷
??? 對(duì)于非授權(quán)計(jì)算機(jī)和不安全的計(jì)算機(jī)可以采用ARP欺騙的方式����,用虛假的MAC地址刷新目標(biāo)計(jì)算機(jī)的ARP緩存,導(dǎo)致該計(jì)算機(jī)無(wú)法與內(nèi)網(wǎng)其它設(shè)備通訊�,達(dá)到阻止其訪問(wèn)網(wǎng)絡(luò)資源的目的。
??? 與交換機(jī)聯(lián)動(dòng)阻斷
??? 更進(jìn)一步的技術(shù)則是通過(guò)與交換機(jī)的聯(lián)動(dòng)��,自動(dòng)判斷接入計(jì)算機(jī)的交換機(jī)接口����,如果發(fā)現(xiàn)接入計(jì)算機(jī)未經(jīng)過(guò)授權(quán)或者安全性較差���,則通知交換機(jī)禁用該計(jì)算機(jī)所在的端口�����。徹底阻斷計(jì)算機(jī)的接入�。
??? 以上兩種方式各有優(yōu)缺點(diǎn)����,如果能夠配合使用�,則可極大提高計(jì)算機(jī)接入控制能力�。通過(guò)接入控制,可最大限度地保證內(nèi)網(wǎng)的整體安全性����。
??? 3) 行為監(jiān)控解決方案
??? 對(duì)于用戶數(shù)量達(dá)到上千的電力企業(yè),如何規(guī)范內(nèi)網(wǎng)用戶行為����,是節(jié)約成本、提高效率的關(guān)鍵因素之一��。對(duì)用戶行為的監(jiān)控���,包括用戶網(wǎng)絡(luò)資源的使用是否合理��、是否進(jìn)行了與工作無(wú)關(guān)的網(wǎng)絡(luò)訪問(wèn)等�����。如:BT下載����、MSN/QQ聊天、瀏覽與工作無(wú)關(guān)的網(wǎng)站��、玩電腦游戲�����、觀看視頻���、聽(tīng)音樂(lè)等��。
??? 進(jìn)程監(jiān)控
??? 通過(guò)對(duì)終端計(jì)算機(jī)運(yùn)行的進(jìn)程進(jìn)行監(jiān)控���,可以發(fā)現(xiàn)用戶正在運(yùn)行的程序??梢酝ㄟ^(guò)進(jìn)程黑名單的方式限制用戶運(yùn)行某些程序�,例如游戲、攻擊工具���、視頻播放器����、MP3播放器等�。限制用戶利用計(jì)算機(jī)進(jìn)行與工作無(wú)關(guān)的操作����。
??? 上網(wǎng)控制
??? 通過(guò)對(duì)終端計(jì)算機(jī)的上網(wǎng)控制���,可以限定終端計(jì)算機(jī)的網(wǎng)站訪問(wèn)�、網(wǎng)絡(luò)聊天和BT下載行為��,使得終端計(jì)算機(jī)的用戶行為得到有效控制���,既可避免用戶濫用網(wǎng)絡(luò)資源�����,又能降低隨意瀏覽互聯(lián)網(wǎng)帶來(lái)的安全隱患����。
??? 配置管理解決方案
??? 配置管理主要完成終端計(jì)算機(jī)的各種信息的收集和系統(tǒng)參數(shù)的配置�����。通過(guò)配置管理�,IT管理人員可以準(zhǔn)確掌握每臺(tái)終端計(jì)算機(jī)的配置狀況和運(yùn)行參數(shù),并對(duì)批量地對(duì)終端計(jì)算機(jī)的運(yùn)行參數(shù)進(jìn)行遠(yuǎn)程修改。
??? 主機(jī)信息收集
??? 收集終端計(jì)算機(jī)相關(guān)信息�,如主機(jī)名、IP地址���、網(wǎng)絡(luò)參數(shù)����、帳戶信息�����、安裝軟件清單�����、硬件清單����、驅(qū)動(dòng)程序清單、服務(wù)清單���、進(jìn)程清單、系統(tǒng)日志等�����。為終端計(jì)算機(jī)的維護(hù)和故障診斷提供參考。
??? 網(wǎng)絡(luò)參數(shù)設(shè)定
??? 設(shè)置終端計(jì)算機(jī)的網(wǎng)絡(luò)參數(shù)��,包括IP地址�����、網(wǎng)關(guān)����、DNS、WINS等���。當(dāng)網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變動(dòng)時(shí)��,可以快速重新變更計(jì)算機(jī)網(wǎng)絡(luò)參數(shù)�����。大大減輕IT管理人員的網(wǎng)絡(luò)管理壓力�。
??? 遠(yuǎn)程維護(hù)解決方案
??? 遠(yuǎn)程維護(hù)作為IT管理人員一項(xiàng)不可缺少的工作�,如果沒(méi)有良好的技術(shù)手段做支撐,僅僅依靠電話����、郵件等方式往往無(wú)法解決問(wèn)題�����。從而加重了IT管理人員的負(fù)擔(dān)��。遠(yuǎn)程維護(hù)就是依靠技術(shù)手段和工具���,遠(yuǎn)程對(duì)終端計(jì)算機(jī)進(jìn)行故障診斷、系統(tǒng)修復(fù)和日常維護(hù)等�����。
遠(yuǎn)程協(xié)助
??? 通過(guò)遠(yuǎn)程協(xié)助���,IT管理人員可以響應(yīng)遠(yuǎn)程終端計(jì)算機(jī)的協(xié)助請(qǐng)求�,臨時(shí)接管遠(yuǎn)程終端計(jì)算機(jī)����,進(jìn)行本地化操作。例如:開(kāi)關(guān)機(jī)�、搜索可疑文件、服務(wù)/進(jìn)程查看���、系統(tǒng)配置查看�、資源使用監(jiān)視等�����。IT管理人員完成維護(hù)操作后���,釋放對(duì)終端計(jì)算機(jī)的接管�����。
??? 預(yù)警平臺(tái)
??? 預(yù)警平臺(tái)可以為IT管理人員與終端用戶建立一個(gè)即時(shí)通訊的平臺(tái)�����,通過(guò)該平臺(tái)�,IT管理人員可以接受和回復(fù)終端用戶的咨詢�����,可以得到終端計(jì)算機(jī)的安全告警�,也可以定期向終端用戶發(fā)布安全預(yù)警信息和安全管理策略等。方便了IT管理人員與用戶的交流和交互���。
??? 內(nèi)網(wǎng)安全管理新趨勢(shì)
??? 在電力行業(yè)��,由于技術(shù)和產(chǎn)品的限制�����,前幾年已經(jīng)采取內(nèi)網(wǎng)安全管理措施的企業(yè)��,大多選用了多個(gè)安全產(chǎn)品�,通過(guò)各產(chǎn)品間的協(xié)同工作,共同完成終端計(jì)算機(jī)的管理��。應(yīng)該說(shuō)��,這種方案取得了一定的效果�。但是也面臨各產(chǎn)品之間的交互以及與信息共享的難題。由于這些產(chǎn)品由不同安全廠商供應(yīng)����,很難真正實(shí)現(xiàn)產(chǎn)品之間的聯(lián)動(dòng),給IT管理人員帶來(lái)不少麻煩�����。
??? 隨著技術(shù)的進(jìn)步��,目前的電力行業(yè)內(nèi)網(wǎng)安全管理已經(jīng)呈現(xiàn)出新的趨勢(shì),包括:
??? 1) 內(nèi)網(wǎng)安全管理重心繼續(xù)向終端計(jì)算機(jī)轉(zhuǎn)移
??? 內(nèi)網(wǎng)安全管理明顯地服務(wù)器區(qū)域轉(zhuǎn)向了終端計(jì)算機(jī)���,因?yàn)榻K端計(jì)算機(jī)數(shù)量眾多��,任何一臺(tái)出現(xiàn)安全隱患,對(duì)整個(gè)內(nèi)網(wǎng)都可能會(huì)產(chǎn)生巨大的沖擊和破壞��。
??? 2) 對(duì)功能高度集成的終端安全產(chǎn)品提出了需求
??? 企業(yè)用戶逐漸認(rèn)識(shí)到�,內(nèi)網(wǎng)的安全管理是一個(gè)有機(jī)的整體,不是靠安全產(chǎn)品的簡(jiǎn)單堆砌就能解決���,采用高度功能集成的安全產(chǎn)品可能是一個(gè)更好的選擇�����。目前�����,國(guó)內(nèi)已經(jīng)出現(xiàn)了適合內(nèi)網(wǎng)安全管理的功能高度集成的終端安全產(chǎn)品��。這類(lèi)產(chǎn)品的功能定位逐漸明確��,具有適合內(nèi)網(wǎng)安全管理的鮮明特色�����。
??? 3) 終端安全加固與運(yùn)行維護(hù)并重
??? 終端計(jì)算機(jī)作為員工日常工作的工具�����,當(dāng)然要保證其安全性���。不過(guò)����,企業(yè)用戶逐漸認(rèn)識(shí)到��,終端計(jì)算機(jī)的使用最終目的是為了降低成本��、提高效率�����。因此內(nèi)網(wǎng)既要安全���,也要易于維護(hù)���。應(yīng)該通過(guò)技術(shù)手段提高終端計(jì)算機(jī)的維護(hù)管理水平�����。
??? 目前�,內(nèi)網(wǎng)安全管理已經(jīng)成為一個(gè)專門(mén)的安全領(lǐng)域���。在該領(lǐng)域內(nèi)�,逐漸形成了一批有影響力的安全廠商��。對(duì)于計(jì)劃考慮采取內(nèi)網(wǎng)安全管理措施的企業(yè)�����,目前已經(jīng)有了更加適合的產(chǎn)品解決方案�。例如�,北京圣博潤(rùn)高新技術(shù)有限公司推出的LanSecS內(nèi)網(wǎng)安全管理系統(tǒng),針對(duì)電力行業(yè)終端計(jì)算機(jī)數(shù)量眾多�,網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜的行業(yè)特點(diǎn),有針對(duì)性地加強(qiáng)了網(wǎng)絡(luò)管理功能��。并將終端管理與網(wǎng)絡(luò)管理有機(jī)結(jié)合在一起�,提出了“單點(diǎn)防護(hù)、網(wǎng)絡(luò)聯(lián)動(dòng)�、全面管理”的內(nèi)網(wǎng)安全管理新思路����,進(jìn)一步完善了內(nèi)網(wǎng)安全管理理念�����。通過(guò)終端加固��、終端監(jiān)控���、終端維護(hù)��、接入控制����、網(wǎng)絡(luò)管理�、資產(chǎn)管理等功能的協(xié)同與交互,幫助電力行業(yè)用戶利用單一產(chǎn)品就可實(shí)現(xiàn)全面的內(nèi)網(wǎng)安全管理�����。不僅大大節(jié)省了企業(yè)的投資�����、也減輕了IT管理人員的內(nèi)網(wǎng)管理負(fù)擔(dān),提高了工作效率��。目前在電力行業(yè)中��,該產(chǎn)品已經(jīng)擁有東北電網(wǎng) >����、包頭供電局 、云南大朝山水電 有限公司���、錦州東港電力��、山東荷澤供電公司 >等幾十家成功案例。為電力行業(yè)的內(nèi)網(wǎng)安全管理做出了應(yīng)有的努力���。
?
