電力行業(yè)特點(diǎn)

電力行業(yè)是國家的支柱產(chǎn)業(yè)，持續(xù)、穩(wěn)定、高效的電力供應(yīng)是關(guān)系到國計(jì)民生的大事。隨著電力行業(yè)的不斷發(fā)展，電力行業(yè)信息化程度不斷提高，電力網(wǎng)絡(luò)系統(tǒng)中的應(yīng)用越來越多。同時(shí)，隨著Internet技術(shù)的發(fā)展，建立在Internet架構(gòu)上的跨地區(qū)、全行業(yè)系統(tǒng)內(nèi)部信息網(wǎng)開始逐步建立，網(wǎng)上應(yīng)用著各種電力業(yè)務(wù)及辦公系統(tǒng)。與此同時(shí)，電力信息網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全問題愈來愈顯得重要。

電力企業(yè)網(wǎng)絡(luò)管理的問題

當(dāng)前電力行業(yè)網(wǎng)絡(luò)管理的主要問題是局域網(wǎng)的安全問題。這些問題可分為如下幾類：

1、電力公司局域網(wǎng)計(jì)算機(jī)終端安全問題

盡管多數(shù)電力企業(yè)對(duì)終端計(jì)算機(jī)的安全加固已經(jīng)采取了部分安全措施，例如安裝了防病毒軟件和個(gè)人防火墻軟件，甚至部署了漏洞掃描系統(tǒng)定期對(duì)終端計(jì)算機(jī)進(jìn)行漏洞掃描，督促用戶及時(shí)更新操作系統(tǒng)補(bǔ)丁等，這些舉措雖然起到一定的安全防護(hù)作用。但是，由于員工隨意插入U(xiǎn)盤而導(dǎo)致電腦感染病毒，隨意修改操作系統(tǒng)關(guān)鍵位置（如注冊(cè)表、組策略）而引發(fā)的電腦安全風(fēng)險(xiǎn)以及隨意下載和安裝軟件引發(fā)的電腦故障、中毒等問題依然無法進(jìn)行有效的管控。

2、外部電腦、移動(dòng)設(shè)備和終端電腦的接入控制

電力行業(yè)很多企業(yè)都是大中型企業(yè)，局域網(wǎng)計(jì)算機(jī)數(shù)量眾多。IT管理人員很難統(tǒng)計(jì)內(nèi)網(wǎng)計(jì)算機(jī)的確切數(shù)量，也無法區(qū)分哪些是內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)，哪些是外來的非授權(quán)使用的計(jì)算機(jī)。這種狀況下，很難控制外來人員隨意的計(jì)算機(jī)接入。而一旦外部電腦或非授權(quán)電腦接入局域網(wǎng)，一方面會(huì)占用局域網(wǎng)網(wǎng)絡(luò)帶寬資源，另一方面還可以非法訪問局域網(wǎng)服務(wù)器文件或與局域網(wǎng)其他電腦通訊，經(jīng)常造成商業(yè)機(jī)密的泄露，給電力企業(yè)信息安全帶來巨大風(fēng)險(xiǎn)。

同時(shí)，對(duì)于內(nèi)網(wǎng)授權(quán)使用的計(jì)算機(jī)感染了病毒和木馬，IT管理人員也無法及時(shí)定位和自動(dòng)阻斷該計(jì)算機(jī)的破壞行為，使得被感染的電腦有可能向局域網(wǎng)進(jìn)行病毒擴(kuò)散，甚至引發(fā)網(wǎng)絡(luò)攻擊行為的出現(xiàn)，對(duì)內(nèi)網(wǎng)安全造成重大影響。

此外，當(dāng)員工向局域網(wǎng)接入無線路由器、手機(jī)、隨身wifi等移動(dòng)設(shè)備時(shí)，常常缺乏監(jiān)管而造成網(wǎng)絡(luò)資源的濫用，甚至引發(fā)一些網(wǎng)絡(luò)安全隱患。

3、局域網(wǎng)終端電腦、移動(dòng)設(shè)備的上網(wǎng)行為監(jiān)控

雖然電力企業(yè)通過信息化、網(wǎng)絡(luò)系統(tǒng)等大幅度提升了工作效率和生產(chǎn)效率，但是也同樣存在隨意上網(wǎng)、濫用網(wǎng)絡(luò)資源而導(dǎo)致的消極影響。比如經(jīng)常有員工利用終端計(jì)算機(jī)進(jìn)行與業(yè)務(wù)無關(guān)的互聯(lián)網(wǎng)訪問、文件下載、網(wǎng)絡(luò)聊天、玩計(jì)算機(jī)游戲、看電影等。首先，這些用戶行為給企業(yè)造成了生產(chǎn)力損失，降低了工作效率；其次，員工對(duì)互聯(lián)網(wǎng)的過渡訪問會(huì)占用企業(yè)極大的網(wǎng)絡(luò)帶寬，給正常用戶的網(wǎng)絡(luò)使用造成沖擊；另外，上網(wǎng)會(huì)增加終端計(jì)算機(jī)感染病毒和木馬的可能性，給內(nèi)網(wǎng)帶來新的安全隱患和風(fēng)險(xiǎn)。因此，如何規(guī)范員工的終端計(jì)算機(jī)使用，并對(duì)其行為進(jìn)行控制，給IT管理人員提出了新的課題。

4、局域網(wǎng)終端計(jì)算機(jī)的資產(chǎn)統(tǒng)計(jì)和配置管理

由于電腦企業(yè)局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)通常比較龐大，內(nèi)網(wǎng)計(jì)算機(jī)數(shù)量很多，如何實(shí)時(shí)統(tǒng)計(jì)這些硬件資產(chǎn)同樣是一件非常重要的網(wǎng)絡(luò)管理工作。例如，要準(zhǔn)確掌握每臺(tái)計(jì)算機(jī)的軟硬件配置信息，通過手工方式將是非常耗時(shí)和繁瑣的工作。要想實(shí)時(shí)并準(zhǔn)確地掌握內(nèi)網(wǎng)終端計(jì)算機(jī)的配置狀況與配置變更狀況，必須通過技術(shù)手段和工具來輔助實(shí)現(xiàn)，才能有效節(jié)省成本和資源，提高內(nèi)網(wǎng)管理的效率。

5、局域網(wǎng)終端計(jì)算機(jī)的遠(yuǎn)程管理、遠(yuǎn)程支持

對(duì)于電力企業(yè)的網(wǎng)絡(luò)管理人員而言，由于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，終端計(jì)算機(jī)數(shù)量巨大，網(wǎng)絡(luò)管理問題時(shí)有發(fā)生，網(wǎng)絡(luò)管理人員無法實(shí)時(shí)、一一進(jìn)行現(xiàn)場(chǎng)解決，通常需要進(jìn)行遠(yuǎn)程維護(hù)。如何實(shí)時(shí)監(jiān)視終端計(jì)算機(jī)的運(yùn)行狀況，并且方便地對(duì)終端計(jì)算機(jī)進(jìn)行遠(yuǎn)程維護(hù)，是IT管理人員迫切需要解決的問題。

6、局域網(wǎng)文件服務(wù)器共享文件的權(quán)限設(shè)置和管理

電力企業(yè)局域網(wǎng)通常也設(shè)置了文件服務(wù)器，并且通常共享一些文件供局域網(wǎng)終端計(jì)算機(jī)訪問。雖然通過WindowsAD域控制器的方式可以起到一定的共享文件訪問權(quán)限的管控。但依然無法有效、精細(xì)地控制共享文件某些訪問權(quán)限。比如只讓打開共享文件而禁止另存為本地磁盤、只讓讀取共享文件而禁止復(fù)制共享文件、只讓修改共享文件而禁止刪除共享文件，以及禁止打印共享文件、禁止拖拽共享文件到訪問者自己的電腦，從而防止共享文件存儲(chǔ)到員工自己的電腦而導(dǎo)致泄密的可能。

電力企業(yè)內(nèi)網(wǎng)安全管理解決方案

針對(duì)電力企業(yè)內(nèi)網(wǎng)終端計(jì)算機(jī)存在的一些安全問題，很多電力企業(yè)紛紛采取各種舉措來加強(qiáng)單位內(nèi)網(wǎng)終端計(jì)算機(jī)的管理。很多單位制定了嚴(yán)苛的終端計(jì)算機(jī)使用制度和規(guī)定，部署了一些網(wǎng)絡(luò)運(yùn)維系統(tǒng)從技術(shù)層面提升終端安全，一些網(wǎng)絡(luò)管理人員的網(wǎng)絡(luò)安全意識(shí)有了提高，各種終端安全、網(wǎng)絡(luò)安全的舉措也一一建立起來，終端計(jì)算機(jī)的安全水準(zhǔn)有很大提升。

大勢(shì)至（北京）軟件工程有限公司作為一家專業(yè)的上網(wǎng)行為管理和信息安全防護(hù)的領(lǐng)先廠家，在電力行業(yè)網(wǎng)絡(luò)管理領(lǐng)域具有自己獨(dú)特的優(yōu)勢(shì)，甚至可以解決一線廠家無法解決的網(wǎng)絡(luò)安全、信息安全和上網(wǎng)行為管理的各種問題。具體如下：

1、終端計(jì)算機(jī)安全加固解決方案

對(duì)終端計(jì)算機(jī)的安全加固可采取的措施有：補(bǔ)丁管理、防病毒軟件監(jiān)測(cè)、主機(jī)防火墻。這些措施均增強(qiáng)了終端計(jì)算機(jī)的安全性和健壯性。但是還遠(yuǎn)遠(yuǎn)不夠，例如員工經(jīng)常隨意安裝一些與工作無關(guān)的軟件，一些懂技術(shù)的員工隨意修改電腦的注冊(cè)表、組策略，甚至以U盤、光盤啟動(dòng)電腦而繞過常規(guī)網(wǎng)絡(luò)運(yùn)維系統(tǒng)、殺毒軟件和防火墻的監(jiān)控。這種情況下，我公司的“大勢(shì)至網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)”就可以提供有效的管控。

大勢(shì)至網(wǎng)絡(luò)運(yùn)維管理系統(tǒng)可以對(duì)操作系統(tǒng)關(guān)鍵位置進(jìn)行有效的管控，禁止隨意修改注冊(cè)表、組策略等操作系統(tǒng)關(guān)鍵位置，禁止通過U盤、光盤等方式啟動(dòng)電腦。同時(shí)，還可以禁止終端計(jì)算機(jī)隨意安裝軟件，或者只讓終端計(jì)算機(jī)運(yùn)行某些軟件，訪問指定的網(wǎng)站等等，從而極大地保護(hù)了終端計(jì)算機(jī)的安全。

2、內(nèi)網(wǎng)接入控制解決方案

針對(duì)電力內(nèi)網(wǎng)存在終端計(jì)算機(jī)、移動(dòng)設(shè)備隨意接入的情況，可以部署大“大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)”（下載地址：http://www.grabsun.com/wailaidiannaokongzhi.html），而且只需要在局域網(wǎng)一臺(tái)電腦部署，就可以實(shí)時(shí)掃描局域網(wǎng)接入的終端電腦或移動(dòng)設(shè)備，阻止未授權(quán)或不安全的終端計(jì)算機(jī)接入內(nèi)網(wǎng)和訪問內(nèi)網(wǎng)資源。通過接入控制，可以將外來計(jì)算機(jī)阻擋在內(nèi)網(wǎng)之外，也可以將內(nèi)網(wǎng)中安全性較差（未及時(shí)安裝補(bǔ)丁和防火墻軟件）的計(jì)算機(jī)隔離出內(nèi)網(wǎng)，保證內(nèi)網(wǎng)整體的安全性。此外，還可以進(jìn)行局域網(wǎng)IP和MAC地址綁定，防止隨意修改IP地址，防止局域網(wǎng)電腦安裝嗅探軟件或抓包軟件進(jìn)行非法抓包情況，防止局域網(wǎng)ARP攻擊行為以及禁止局域網(wǎng)代理上網(wǎng)的情況發(fā)生，從而極大地保護(hù)了局域網(wǎng)網(wǎng)絡(luò)安全。

同時(shí)，大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)除了常規(guī)的基于地址解析協(xié)議的端口重定向隔離技術(shù)之外，還可以通過與交換機(jī)的聯(lián)動(dòng)，自動(dòng)判斷接入計(jì)算機(jī)的交換機(jī)接口，如果發(fā)現(xiàn)接入計(jì)算機(jī)未經(jīng)過授權(quán)或者安全性較差，則通知交換機(jī)禁用該計(jì)算機(jī)所在的端口，徹底阻斷計(jì)算機(jī)的接入，實(shí)現(xiàn)了最大程度上的終端接入控制。

3、終端電腦上網(wǎng)行為監(jiān)控解決方案

通過大勢(shì)至網(wǎng)絡(luò)行為管理系統(tǒng)（下載地址：http://www.grabsun.com/wangguan.html）可以對(duì)局域網(wǎng)電腦進(jìn)行有效的上網(wǎng)行為管控。與同類網(wǎng)絡(luò)管理系統(tǒng)必須通過串接、橋接或旁路部署方式不同，聚生網(wǎng)管監(jiān)控軟件基于獨(dú)創(chuàng)的“虛擬網(wǎng)關(guān)”技術(shù)，可以直接部署在局域網(wǎng)任意一臺(tái)電腦上，內(nèi)網(wǎng)其他電腦不需要安裝客戶端，也不需要調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)就可以實(shí)現(xiàn)全方位的網(wǎng)絡(luò)行為控制，可以有效禁止局域網(wǎng)迅雷下載、禁止員工玩游戲、禁止上班炒股、禁止網(wǎng)購、禁止P2P下載、禁止在線看視頻等，同時(shí)還可以限制電腦網(wǎng)速，防止局域網(wǎng)電腦隨意搶占網(wǎng)絡(luò)帶寬的行為，保護(hù)了網(wǎng)絡(luò)資源。

兩種部署方式，首先可以在一個(gè)聚生網(wǎng)管的控制機(jī)上面額外配置多塊網(wǎng)卡（最高配置6塊），然后通過每個(gè)網(wǎng)卡分別接入各個(gè)局域網(wǎng)上的交換機(jī)的方式實(shí)現(xiàn)對(duì)多個(gè)局域網(wǎng)的監(jiān)控，如圖（一）所示。如果存在多個(gè)多個(gè)交換機(jī)、多個(gè)局域網(wǎng)的情況下，可以在每個(gè)局域網(wǎng)對(duì)應(yīng)的交換機(jī)下面各配置一臺(tái)聚生網(wǎng)管的控制機(jī)，分別控制各自的局域網(wǎng)，如圖（二）所示。

同時(shí)，針對(duì)電力企業(yè)網(wǎng)絡(luò)規(guī)模通常較大，并且經(jīng)常采用三層交換機(jī)劃分多網(wǎng)段的情況，聚生網(wǎng)管系統(tǒng)集成了獨(dú)創(chuàng)的“創(chuàng)新直連”架構(gòu)，只需要接入三層交換機(jī)的一個(gè)網(wǎng)段就可以控制所有網(wǎng)段的電腦上網(wǎng)行為，遙遙領(lǐng)先國內(nèi)同類網(wǎng)絡(luò)管理系統(tǒng)必須采用串接、橋接和旁路方式部署網(wǎng)絡(luò)管理軟件的弊端，是當(dāng)前國內(nèi)最優(yōu)監(jiān)控三層交換機(jī)多網(wǎng)段的網(wǎng)管軟件部署方式。如下圖所示：

4、文件服務(wù)器共享文件的訪問權(quán)限設(shè)置方案

針對(duì)電力企業(yè)局域網(wǎng)服務(wù)器共享文件安全管理的問題，大勢(shì)至局域網(wǎng)共享文件管理系統(tǒng)（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html）可以全面設(shè)置服務(wù)器共享文件的安全，只需要在文件服務(wù)器上安裝之后，就可以設(shè)置共享文件的各種訪問權(quán)限，可以根據(jù)服務(wù)器賬號(hào)或訪問者M(jìn)AC地址的方式來分配訪問權(quán)限，可以只讓讀取共享文件而阻止復(fù)制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤，以及阻止拖拽共享文件、打印共享文件的行為，從而保護(hù)了服務(wù)器共享文件的安全。

本系統(tǒng)基于NDIS核心層文件過濾驅(qū)動(dòng)進(jìn)行實(shí)現(xiàn)，其中，最上層是一個(gè)NDISProtocolDriver，它向上提供一個(gè)TransportDriverInterface(TDI)，向下通過NDIS接口與下面的NDIS中間層的上邊界交互，NDIS中間層的下邊界通過NDIS接口與下層的NDISMiniportDriver交互。最后，由NDISMiniportDriver利用NDIS接口與物理網(wǎng)絡(luò)設(shè)備NetCard交互。處理流程如下：

此外，本系統(tǒng)還可以詳細(xì)記錄局域網(wǎng)用戶訪問共享文件的日志，從而便于時(shí)候備查和審計(jì)。

總之，電力行業(yè)網(wǎng)絡(luò)管理直接關(guān)系到電力系統(tǒng)的穩(wěn)定和高效運(yùn)行，直接關(guān)系到國民經(jīng)濟(jì)各個(gè)環(huán)節(jié)的正常運(yùn)轉(zhuǎn)。因此電力企業(yè)的網(wǎng)絡(luò)管理工作也極其重要，大勢(shì)至公司憑借獨(dú)特的網(wǎng)絡(luò)管理產(chǎn)品，以及在各級(jí)電力企業(yè)的大量客戶，可以為國內(nèi)電力企業(yè)網(wǎng)絡(luò)管理做出自己貢獻(xiàn)。此外，大勢(shì)至公司憑借強(qiáng)大的研發(fā)團(tuán)隊(duì)，還可以為電力企業(yè)定制開發(fā)各種網(wǎng)絡(luò)管理功能，進(jìn)一步滿足電力企業(yè)網(wǎng)絡(luò)管理的個(gè)性化需求，真正幫助電力企業(yè)實(shí)現(xiàn)網(wǎng)絡(luò)管理的目的。

最新評(píng)論