浅析电力局域网安全管理的几个方面

浅析电力局域网的几个方面 浅析电力局域网安全管理的几个方面,技术研究, 王利广 约2688字 摘要: 根据多年的经验,一下电力局域网安全管理需要注意的几个方面。 关键词: 局域网;信息安全;数据库;病毒 中图分类号:TP3文献标识码:A文章编号:1671-7597(2010)0510059-01 随着计算机信息技术的发展,网络已成为我们生活的重要组成部分。但网络在应用过程中也会带来许多问题,由于频繁使用互联网,病毒的传播日益猖獗,黑客的攻击也越来越多,给局域网数据的管理、网络的安全带来很多问题,笔者从事局域网的管理工作多年,结合自己的工作实际,提出一些关于局域网的安全管理方面的经验与教训,供大家借鉴。 1 加强服务器主机的独立性 局域网中,通常有一台以上的主服务器,提供所有计算机的连结并控制。这台计算机就是黑客攻击的主要目标。因此,企业内部应对服务器主机的安全性加强控制,尽可能将其独立,不要将重要资料放置此处,将重要资料独立放在内部机器上,这样可保证资料的安全性、完整性。 2 网络分段 把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。以前,网段分离是物理概念,组网单位要为各网段单独购置集线器等网络设备。现在有了虚拟网技术,网段分离成为逻辑概念,网络管理员可以在网络控制台上对网段做任意划分。 网络分段可分为物理分段和逻辑分段两种方式: 物理分段通常是指将网络从物理层和数据链路层(ISO/OSI)模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。 逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。 3 防火墙技术 如果网络在没有防火墙的环境中,网络安全性完全依赖主系统的安全性。在一定意义上,所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大,把所有主系统保持在相同的安全性水平上的可管理能力就越小,随着安全性的失策和失误越来越普遍,入侵就时有发生。防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护,而是让所有对系统的访问通过某一点,并且保护这一点,并尽可能地对外界屏蔽保护网络的信息和结构。它是设置在可信任的内部网络和不可信任的外界之间的一道屏障,它可以实施比较广泛的安全政策来控制信息流,防止不可预料的潜在的入侵破坏。防火墙系统可以是路由器,也可以是个人机、主系统或者是一批主系统,专门用于把网点或子网同那些可能被子网外的主系统滥用的和服务隔绝。 防火墙可以从通信协议的各个层次以及应用中获取、存储并管理相关的信息,以便实施系统的访问安全决策控制。防火墙的技术已经经历了三个阶段,即包过滤技术、代理技术和状态监视技术。 防火墙是一种用来阻止外面的未经授权的用户的非法访问你的网络下的设备的工具,它通常是软件和硬件的结合体。 为了更好地理解防火墙的工作原理,我们就使用以前提到过的例子来说明。首先,大多数网络身份验证除了用户帐号和口令之外的,就是IP地址,IP地址是INTERNET网络上最普遍的身份索引,它有动态和静态两种。 1)动态IP地址指每次强制分配给不同上网机器的主机的地址。ISP提供的拨号服务通常是分配动态IP地址,一个拨号计算机通常每次拨号都有一个不同的IP但是总有一个范围。 2)静态IP地址是固定不变的地址,它可以是某台连入Internet的主机地址,静态IP分几 类,一类是whois可以查询到的,并且此类IP地址主要是Internet中最高层主机的地址,这些主机可以是域名服务器,httpd服务器(Web Server)、邮件服务器、BBS主机或者网络棋类游戏服务器。另一类静态IP地址被分配给Internet网络中的第二层和第三层的主机,这些机器有固定的物理地址。然而他们不一定有注册的主机名。 4 使用企业级杀毒软件 在网络病毒日益猖獗的今天,不管人们多么小心翼翼,仍然会难免碰翻病毒这个“潘多拉”盒子。在这时候,选择一个功力高深的网络版病毒“杀手”就至关重要了。一般而言,查杀是否彻底细致,界面是否友好方便,能否实现远程控制、集中管理是决定一个“杀手”的三大要素。现在病毒日益猖獗,日常需要写入服务器的单机的安全也特别重要,我建议购买企业版杀毒软件,并控制写入服务器的客户端,网管可以随时杀毒,保证写入数据的安全性,服务器的安全性。 最好选择从事反病毒行业历史比较悠久,在市场上有较高知名度企业研发的产品,千万不能贪便宜选择不知名厂商生产的廉价产品,不仅产品质量、售后服务得不到保证,而且一旦造成损失,将会得不偿失。 5 防止黑客攻击 随着宽带网络的普及,个人服务器、家庭局域网如雨后春笋般出现在小区局域网和校园网中,他们根据自己的喜好开设的各种各样的共享服务,为广大网虫们提供了丰富的共享资源,但由于自身的精力与资金的原因不能建立完善的防护体系,往往成为黑客和准黑客们的试验品,造成数据的丢失或硬件的损坏。因此如何保证网络安全及自身机器的安全就成了一个越来越重要的问题。 黑客与管理员是两个互相独立又互相了解的对立面,一个好的管理员如果不了解黑客的思路、做法,就无法来设置安全策略保护自己的网络,而一个黑客如果不熟悉各种安全措施,在面对着种类繁多的防护措施又会无从下手,双方为了攻击与反击想尽了方法,用尽了手段。正所谓“工欲善其事,必先利其器”,如果我们想要保护自己防范攻击就必须先了解对方的想法和思路以及他们使用的方法和工具,这样我们就可以根据他们所采用的方式方法来制定自己的安全策略,做到因法而异,准备以不变应万变,来对抗入侵。 6 数据库的安全保护 服务器中的程序、数据是动态的,随时变化,因此要作好备份工作,备份要多留几份,这样才使系统崩溃时,可以及时恢复数据,保证工作正常进行。 随时修改口令、密码,不要将密码泄露出去,服务器不用时就进入锁定状态,免得由于误错做,引起故障,带来不必要的麻烦。 目前电力局域网因病毒、黑客攻击而造成的安全问题,讨论了采用加强服务器主机的独立性,确保资料的安全性和完整性;通过网络分段,减少各系统被正面攻击的机会;采用防火墙技术,提高网络安全性;使用企业级杀毒工具,保障系统不被病毒攻击;使用各种方法防止黑客攻击;经常进行数据备份,对数据库进行安全保护等方法,可以有效地保障电力企业局域网的安全运行,使局域网络在企业的生产经营过程中发挥应有的作用。 参考文献: [1]何艳辉、王达,网管员必读——网络管理,电子工业出版社,2005-1.