当前位置:首页 >> 信息与通信 >>

低成本网络安全解决之道


2013 年全国发电厂热工自动化专业年会论文集

其它

低成本网络安全解决之道 ----Active Directory 在电力系统办公网络中的应 用
薛姗姗 周 爽 (华电潍坊发电有限公司)



要:电力企业的综合办公网(MIS 网)由于其承担越来越多的生产、经营、管理功能,网络功能日益庞大、

节点众多,面临的安全性问题复杂多变。由于近些年来电力行业的不景气且信息专业并非主业部门,信息化项目不 易到企业的大力支持。如何利用低成本的方案来解决企业网络面临的安全风险,是当前电力信息安全重要课题。本 文介绍了使用 Active Directory(活动目录)方式实现集团化网络集中管控、高效部署的一种低成本网络安全解决 方案。 关键词:集中管控;高效部署;低成本

1 电力系统网络安全现状分析
近年来,随着信息技术在电力企业的广泛应用,电力企业逐渐建立了电力调度网、生产控制网、 综合办公网、基于因特网的服务网络等各类信息自动化网络设施,如今信息网络已经成为了电力企 业日常生产和经营必不可少的重要支持系统。随着因特网的日益发达,网上随处可以下载到黑客攻 击工具和教程,受到各种利益的驱使很容易让一个具备不多电脑知识的人轻松对电力企业的网络造 成危害。同时,由于办公网络用户经常利用 U 盘、光盘等介质;共享文件夹、FTPserver 等网络共享 方式传播文件和应用程序,极容易造成病毒、木马的广泛传播。国家电监会虽在 2008 年发布 5 号令 强制要求电力调度网、生产控制网与综合办公网、因特网的物理隔离,并在同级网络间部署横向认 证设备,有效杜绝了关键生产网络的安全风险。但电力企业综合办公网络由于网络结构复杂、信息 节点众、安全防护区域等级最低等原因,其安全问题鲜有较完善的解决方案。电力企业的综合办公 网承担着企业日常办公、生产经营管理、金融收支、ERP 系统等重要的业务。一旦办公网络发生故 障,生产、经营数据无法分析,工单、政令不能上传下达,视频监控无法查看,企业运转将陷入极 其被动状态。

2367

2013 年全国发电厂热工自动化专业年会论文集

其它

图:信息网络面临的安全风险 电力企业的办公网网络特点 1、办公地点分散、信息节点众多,难以做到对所有节点的全面管控。 2、信息系统庞大、应用系统类型繁多,各应用系统的平台不统一。 3、信息系统设计电力生产、经营、管理等各方面,不同岗位有不同网络访问需求。 4、操作人员计算机应用水平、信息安全意识参差不齐。 5、各组织单位通过电力广域网互联互通,较大的网络范围增加了被攻击的风险和病毒的广泛传 播的可能。

2 电力系统内网安全问题
电力信息网络主要面临的主要安全风险有拒绝服务攻击、网络嗅探侦听、病毒传播、信息篡改、 信息泄密等。历数近些年来,电力系统内部网络上发生的大规模不安全问题主要有: 2002 年左右“冲击波”病毒利用 windows 系统漏洞进行传播, 在网络上受到感染的计算机不 停重启,无法正常使用。 2006 年爆发的“熊猫烧香”病毒,通过各种介质和网络传播、感染 exe 程序、删除 gho 等文件, 导致用户资料损失。 2008 年前后 ARP 类木马程序大行其道、受感染的计算机大量发送虚假数据包堵塞网关造成网 络大面积瘫痪。

2368

2013 年全国发电厂热工自动化专业年会论文集

其它

从 21 世纪初发现的“灰鸽子”木马程序及其变种,自其发明之日直至今天,一直是黑客用来控 制远程客户端的重要工具。 解决如此庞大和复杂网络的安全问题,必然要投入较大的人力和物力方可理清网络结构和应用 需求。为解决电力企业办公网的安全问题,部分企业采取了双终端配置,既一个岗位配备 2 台计算 机终端,一台用来访问企业内部局域网和广域网,另一台专门用来访问因特网。此方式虽然解决了 内部网络与因特网的互联互通,从一定程度上避免了因特网木马、黑客、病毒等直接攻击。但此方 式存在几种缺点:一是信息设备资金投入大,所有信息设备需要双份配置,资源浪费较为严重;二 是难以控制操作人员的具体行为,无法避免 U 盘、光盘等介质将病毒交叉传染;三是无法防范外来 计算机接入、外来人员擅自动用企业网内电脑等“社会工程学”类的攻击和泄密。另有些单位因为 网络安全防范投资太大,信息安全问题难以得到企业的支持,仅仅控制内部办公网与因特网之间的 防护,忽视网络内部可能发起的病毒、泄密等情况,哪儿发生问题处理哪儿的问题。这种头疼医头、 脚疼医脚的方式给网络维护人员带来了大量工作,且当网络病毒泛滥时,整个网络将发生大面积瘫 痪,影响正常生产经营秩序。

3 基于 AD 的安全解决方案
由于电力企业办公网络上使用终端均为 windows 系列操作系统,我们可以发挥 Active Directory (以下简称 AD)在安全和集中管理上的优势,只需在少数的服务器上规划相应策略,即可实现用户 登录进行集中式安全认证;对网内传输数据进行非对称式加密;对不同用户的访问内容和访问时间 进行限制;对用户的在网络中的各种行为做日志记录;对计算机的安全性策略集中配置;对计算机 强制安装安全防护软件。 通过上述技术手段,可以实现综合办公网络中客户端的认证、加密和被动安全防御,从很大程 度上解决当前网络面临的安全性问题。建设基于 AD 的安全网络主要步骤如下:

3.1 规划企业级 AD 架构
架设 AD 服务器:建立以总部为父域,各级单位为子域的 AD 架构。 规划 AD 逻辑站点:以地理位置为边界,建立逻辑站点;合理布局“全局编录”实现 AD 信息 的快速可靠复制。 建立 AD 账户和组织单元(OU),将客户端计算机加入 AD,根据不同的策略类型将计算机加 入到不同的 OU 中,并委派相应的 AD 用户作为各子域和 OU 的管理员。

3.2 架设 AD 辅助服务
? 建立 windows 升级服务(WSUS),实现 windows 升级补丁的内部高速下载和定制安装。

2369

2013 年全国发电厂热工自动化专业年会论文集

其它

? 软件。 ?

建立 windows 文件服务(WFS),用以存放需要定制分发安装的安全防护软件和各类应用

建立 windows 权限管理服务(RMS),确保组织内部受控文档的查阅、修改、打印等权限

限定,防止受控文档被非法用户操作。 ? 建立 windows 虚拟私有网络服务(VPN),以便平板电脑、PAD、手机等移动设备实现身

份验证和访问控制。

3.3 配置 AD 相关的安全性策略
根据企业网络应用情况建立各类 IP 安全策略。根据各子域、OU 的需求,将各 IP 安全策略挂接 到相应的作用域。实现对各终端计算机、服务器的网络访问和网络端口开放情况进行控制,达到有 效控制客户端网络访问目标。 启用服务器的加密和认证机制。对办公网内服务器执行强制加密认证策略(需要安全)、客户 机执行协商加密认证策略(请求安全),以达到综合办公网内客户端访问服务器的通讯、内部客户 机之间的通信必须经过 PKI 体系的安全认证和加密传输。由于外来计算机无法获取相应的身份认证 信息,从而实现了综合办公网内的信息访问安全。 配置“软件分发”策略。将打包为.cab 格式的各类应用软件,通过软件分发组策略,统一分发 到办公网络上的客户端上,从而实现安装软件的可控,避免用户自行通过网络或其他存储介质拷贝 安装软件导致病毒传播情况发生。同时由于软件分发策略会自动检测客户端上分发的应用程序是否 完好,一旦发生文件丢失或破坏,软件分发策略会自动修复客户端的应用程序。 设置“用户配置”组策略。例如:设置用户账户使用符合规范的安全密码,包括密码长度、密 码组成类型、密码有效使用时间。配合账户锁定阈值、账户锁定时间等策略。可以有效防止因密码 过于简单、密码长期使用被人猜测或采用暴力手段破解。由于现行软件多采用基于 IE 浏览器的 B/S 架构,通过组策略统一设置 IE 安全选项、站点安全级别,将因特网站点安全级别设置为中高、将办 公网站点加入可信站点,如此可有效防止钓鱼网站、挂马网站对浏览器的破坏,同时不阻止办公网 内基于 IE 浏览器的插件正常运行。 设置“计算机配置”组策略。例如:禁止光盘、硬盘自动运行程序,可有效防止自动运行类病 毒的攻击。设置网内的 WSUS 服务器地址,可以实现 Windows、Office、SQLserver 等系统的补丁实 现内网更新,避免了部分用户不更新系统漏洞补丁的风险。 设置远程访问策略。阻止客户端计算机被远程登录带来的风险;设置允许部分移动办公用户通 过 VPN 登录,实现身份认证和传输加密。

4 使用 AD 进行网络安全管理的优势

2370

2013 年全国发电厂热工自动化专业年会论文集

其它

1)通过上述规划和配置方式,在域根服务器部署主要的安全策略,各子域和 OU 根据各自的实 际情况差异化选择安全策略的作用域,即可实现大量信息节点安全策略、安全软件的快速部署和强 制实施,从而大大提高办公网络的安全防范水平。 2)只需少数信息安全技术人员规划和部署策略,即可实现广泛的系统安全,减少信息网络维护 工作量。 3)由于 AD 域控制器及其辅助服务的资源消耗较小,可以在一台服务器上复用安装多种 AD 服 务,甚至可以使用虚拟机安装 AD 域控制器及其他辅助服务器,企业硬件设备投资大大降低。 4)通过 AD 的安全认证和传输加密,避免了网络窃听和信息篡改行为。 5)外来人员由于没有 AD 中的账户无法实现网络登录,避免了外部攻击和信息窃取。 6)由此可见,用 AD 在电力企业办公网中进行安全管理是较为高效和可靠的。越是大型的网络 使用这种管理方式,越能减少了维护人员和安全设备的投资。所以说使用 AD 进行网络管理不失为 一种低成本的安全解决之道。

5 总结
使用 AD 架构管理网络可以低成本高效率实现信息网络安全的集中和高效管理,但由于造成网 络上的不安全因素是多方面的,技术只是一种手段,并不能百分百的解决所有问题。如果企业能配 合相应的行政措施,建立相应的信息安全管理制度。例如,通过培训提高操作人员的安全防范意识、 禁制外来人员将设备接入网络或独自操作网内设备、离开设备前随手锁定或关闭计算机等措施,一 定能够极大提高电力企业办公网的安全和稳定性。

参考文献:
[1]《Windows Server 2008 R2 Active Directory 配置指南》 [2]《电力信息安全探讨》 张小飞 朱洁 戴有炜

作者简介:
薛姗姗,助理工程师,一直从事热控专业检修与维护工作。工作单位:华电潍坊发电有限公司。单位地址:潍 坊市高新区清池街办华电潍坊发电有限公司。邮编:261204

2371


相关文章:
网络安全演讲稿
网络安全演讲稿_计划/解决方案_实用文档。网络安全演讲稿 篇一:网络安全演讲稿 ...不受时间、地点、条件限制的网络诈骗,其“低成本和高收益” 又在一定程度上...
无线网络安全所面临的问题和前景
(三) 校园网无线网络安全解决方案...8 第五章 设计...通过统一的短 距离无线链路,在各种数字设备之间实现灵活、安全、低成本、小功耗的话音和数据通信。 蓝牙...
无线网络安全问题的介绍
详细介绍了无线网络安全的基础知识和问题解决方案。...无线网络技术是21世纪全球信息技术发展的重要标志之一...(2) 低成本, 无线网络不需要大量的工程布线,同时...
互联网隐私安全演讲稿
互联网隐私安全演讲稿_计划/解决方案_实用文档。互联...不受时间、地点、条件限制的网络诈骗,其“低成本和...还真不是,他们晒东西的同时,还能讲的头头是道,...
网络安全需求分析
攻击者在突破第一道防线后 ,延缓或阻断其到达攻击...在网络上运行关键业务时 ,网络安全是首先要解决的...护内部免受攻击和危害、 低成本并提高用户工作效率。...
网络安全
(1)运行系统安全:即保证信息处理和传输系统的安全,包括计算机系统 机房环境 和...不受时间、地点、条件限 制的网络诈骗, 其“低成本和高收益”又在一定程度上...
网络安全讲稿
网络安全讲稿_计划/解决方案_实用文档。网络安全讲稿...不受时间、地点、条件限制的网络诈骗,其“低成本和...成都艺术节主页等都报 道有黑客入侵,他们在主页上...
网络安全
2. 网络安全生产厂商的目标市场定位从根本上说,网络安全解决方案应以用户的需求...挖掘企业的真实需求,为其提供低成本、高可靠性和实用性的网络安全解 决方案。 ...
网络安全教育.A卷答案doc
(√) 18、 为了缓解舆论压力, 公务人员在处理突发...网络安全和信息化是一体之两翼、驱动之双轮,必须统 ...低成本性 4、2014 年国家各部委政府透明度排名前三...
水利水电建设集团VPN解决方案-07_图文
水利水电建设集团 VPN 安全接入解决方案 华为 3Com 技术有限公司 2006 年 11 ...项目监理,财务等业务开展,现在需要采用低成本的接入方式,实现广域网络的建设和连接...
更多相关标签: