电力信息网络安全加固方案
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2 用户身份合法性检测——身份认证
一般对用户身份认证最常见的方式是采用“用 户名+密码”进行认证,这种身份认证方式安全保 障系数低,存在重大的安全漏洞,由于“用户名+密 码”的方式安全防护强度非常低,对于黑客和非法 入侵者来说只要盗取了相关用户身份凭证,同时由 于用户经常采用弱口令,这样黑客和非法入侵者就 能以任何一台设备进入网络,从而产生安全问题甚 至安全事故;另外,内部员工还可以凭借本人或其 他人的用户名及密码,利用任一台未经过安全状态 检查的设备进人网络,这台设备就会对整个网络系 统的安全产生威胁,因为被利用的设备没有经过安 全状态的检查,设备自身存在的病毒、间谍软件、木 马程序等恶意程序就可能在网络中爆发和泛滥,严 重威胁网络系统的安全。
1 电力信息网络安全加固解决方案
根据多年电力行业信息化的维护经验,提出 电力信息网络安全加固解决方案,该方案主要由 终端安全防护和安全管理中心等关键部件组成。 终端安全防护通过EAD系统实现对用户身份合法 性检测、客户端安全状态评估、合法用户的授权访 问、用户行为审计,对接入网络的用户终端强制实 施企业安全策略,严格控制终端用户的网络使用 行为,有效地加强了用户终端的主动防御能力,同 时为网络管理人员提供了有效、易用的管理工具 和手段。安全管理中心通过事件管理中心(SEC center)和响应管理控制中心(IMC SCC)配合并联 动,事件管理中心主要完成对全网安全事件的采 集、分析、关联、汇聚、报表报告展示,响应控制中 心实现了安全事件与网管系统(IMC平台)、用户 管理系统(EAD/UAM)的结合,对需要响应的重要 事件可灵活进行短信通知、E—mail通知、交换机端
辨t}喵“蝣尊腰-—峨蠢劐愀鼍●.蓐箍愀,I《谨●:■●臻薰≯静每.卿q髓
r0瞬tvt,-璐“噼糌魍晰t艟鳘±t囊自慷舟氇艘女蝗蠢。∞事匿釜到重■.#蕾嘻t黼
q
垂工^鞴嚼}聃聱盎毽黼别譬带链建瓣曩霹蠡
誊
扩一~;:”■……。i譬
一
篙。_■ 1j。…。
图2 EAD iNode客户端支持802.1X、VPN、Portal接入
在企业网内部,接入终端一般是通过交换机接 入企业网络的,这些接人终端的安全状态将直接影 响整个网络的运行安全。为了确保只有符合企业 安全标准的用户接人网络,EAD可以通过交换机的 配合,强制用户在接入网络前通过802.1 X方式进行 身份认证和安全状态评估,帮助管理员实施企业安 全策略。业内最广泛的接人方式支持如图1所示。 同时EAD端点准入解决方案支持最广泛的接入方
憩曩——■自躺黪∥
sp薯黼
’
纛露黧隧嬲目镕黼;弘
_
。
■1。剩鹱躺黼§豁霸黼蒜辩il臻溉#篓黼嚣l辇蠹蘸鞲㈣馨蓦鹫霉㈣④g㈣罐攀罄≤鳝㈣霹黪
1I霸计,I?喵¨#嚣毽鬻鞑¥奠纂翻呐t_}啤:;州¨埘t^瑚
《
≈螂1i}氆“%盘t潮目☆¨t“k¨hm蓬行雕,醯嚣耀■毫动·雄槲
一锄w*t}懈㈣嚣s—耐”-^·hr*蠡程鼻幸-嗣嘴稍}棒蠡舶尊
责任编辑王思宁 收稿日期:2008—03—22
电力信息网络安全加固方,溧水,211200
本文链接:/Conference_6680739.aspx
前面介绍到了EAD除基于用户名和密码的身 份认证外,EAD还支持身份与接入终端的MAC地 址、IP地址、所在VLAN、接入设备【P、接人设备端口 号等信息进行绑定,这样针对每个网络,可以设置 不同的信息来与用户名和密码进行绑定,将对用户 认证的安全级别和强度大大提高,这样不同网络的 电脑就无法混用了。另外安全策略服务器与安全 客户端配合可以对各种外联或代理进行禁止。无 论用户采用何种方式,包括IE代理、双网卡以及内 网用户通过Modem上网等都可以进行控制,这种禁 止方式,可以进行灵活选择,满足不同组网需要。
口控制、用户阻断、加入黑名单、在线提醒等响应 操作。
通过部署端点准入防御(EAD,Endpoint Admis— sion Defense)对终端用户进行严格的安全防护,同 时通过SEC center与IMC SCC进行联动,将不同领 域的网络安全部件融合成一个无缝的安全体系,使 网络的安全防护水平大大提升。
一741—
式,包括:802.1X、Portal、VPN、无线等多种认证接人 方式,是业界目前支持接人方式种类最全的,可以 满足用户在各种组网环境下实现用户接入认证(见 图2)。
黧一一… 一 一一
图1 EAD iNode客户端支持无线接入
鬻a瓣窘蝴霪鬻窭pt彦簟鬻冀瞬登骥纛i蓥g黪§鬻、缸黪:挚专…。 …。,%…。…:f…。喾…藏8 攀翱瞒臻∞瓣寨
0 引言
随着电力行业信息化的不断发展,网络在日常 工作中变得不可缺少,但同时网络中存在的各种安 全问题,给日常维护工作带来了很大影响。为了更 好地将网络为工作所用,就必须很好解决网络带来 的安全问题。行之有效的办法就是提升网络与信 息系统边界安全防护水平,将原有内部办公业务和 访问Internet业务分开,确保内部业务的安全,在网 络出口部署安全防护设备,同时重点加强对终端用 户的管理,保证用户终端的安全、阻止威胁入侵网 络,对用户的网络访问行为进行有效的控制,是保 证企业网络安全运行的前提。
除基于用户名和密码的身份认证外,EAD还支 持身份与接人终端的MAC地址、IP地址、所在 VLAN、接入设备IP、接人设备端口号等信息进行绑 定,支持智能卡、数字证书认证,增强身份认证的安 全性,从而彻底杜绝了账号盗用和非法接入等情况 的出现。
另外EAD安全策略服务器具备绑定信息自学 习功能,自动学习绑定信息,可以减少管理员手工 录入的工作量;支持一个用户绑定多对IP和MAC 地址,有效解决单用户多终端问题。
电力信息网络安全加固方案
周俊礼
(溧水县供电公司,江苏溧水211200)
摘要:随着电力行业信息化的不断发展,计算机网络在日常工作中变得不可缺少,但同时网络中存在的各 种安全问题也给日常维护工作带来了很大影响。用网络安全加固的方法,确保用户终端的安全,阻止威胁入 侵网络,实现用户电脑专网专用,从用户接入网络时实现了网络的安全防护。 关键词:电力信息化;网络安全;加固;身份认证
3 用户身份合法性检测——内网外联 管理
为了提高网络安全防护能力,会将原有内部办 公业务和访问Internet业务分开,确保内部业务的 安全。这样就会形成一个用户有2台电脑来连接不 同的网络,会存在用户可能有意或无意将属于不同 网络的电脑混用,造成泄密。由于用“用户名+密 码”的方式是不能识别设备特征的,为了避免泄密 情况的出现,对于用户的身份认证还需要与电脑的 硬件信息绑定起来,这样才能避免不同网络的电脑 混用的情况冉现。另外还需要可以检测用户私自 通过设置代理,以双网卡的方式、Modem等方式进 行违反安全防护要求的网络访问。
通过以上2种策略部署,就可以彻底杜绝不同 网络的电脑进行混用的情况出现了。
4结语
通过部署EAD解决方案实现对用户身份合法 性检测,可以确保用户安全地接入网络,实现用户 电脑专网专用,实现了网络的安全防护。
⑩作者简介: 周俊礼(1958一),男,江苏溧水人,高级工程师,从事电
力通信、自动化和网络设备的运行、维护、管理和设计T作。
一般对用户身份认证最常见的方式是采用“用 户名+密码”进行认证,这种身份认证方式安全保 障系数低,存在重大的安全漏洞,由于“用户名+密 码”的方式安全防护强度非常低,对于黑客和非法 入侵者来说只要盗取了相关用户身份凭证,同时由 于用户经常采用弱口令,这样黑客和非法入侵者就 能以任何一台设备进入网络,从而产生安全问题甚 至安全事故;另外,内部员工还可以凭借本人或其 他人的用户名及密码,利用任一台未经过安全状态 检查的设备进人网络,这台设备就会对整个网络系 统的安全产生威胁,因为被利用的设备没有经过安 全状态的检查,设备自身存在的病毒、间谍软件、木 马程序等恶意程序就可能在网络中爆发和泛滥,严 重威胁网络系统的安全。
1 电力信息网络安全加固解决方案
根据多年电力行业信息化的维护经验,提出 电力信息网络安全加固解决方案,该方案主要由 终端安全防护和安全管理中心等关键部件组成。 终端安全防护通过EAD系统实现对用户身份合法 性检测、客户端安全状态评估、合法用户的授权访 问、用户行为审计,对接入网络的用户终端强制实 施企业安全策略,严格控制终端用户的网络使用 行为,有效地加强了用户终端的主动防御能力,同 时为网络管理人员提供了有效、易用的管理工具 和手段。安全管理中心通过事件管理中心(SEC center)和响应管理控制中心(IMC SCC)配合并联 动,事件管理中心主要完成对全网安全事件的采 集、分析、关联、汇聚、报表报告展示,响应控制中 心实现了安全事件与网管系统(IMC平台)、用户 管理系统(EAD/UAM)的结合,对需要响应的重要 事件可灵活进行短信通知、E—mail通知、交换机端
辨t}喵“蝣尊腰-—峨蠢劐愀鼍●.蓐箍愀,I《谨●:■●臻薰≯静每.卿q髓
r0瞬tvt,-璐“噼糌魍晰t艟鳘±t囊自慷舟氇艘女蝗蠢。∞事匿釜到重■.#蕾嘻t黼
q
垂工^鞴嚼}聃聱盎毽黼别譬带链建瓣曩霹蠡
誊
扩一~;:”■……。i譬
一
篙。_■ 1j。…。
图2 EAD iNode客户端支持802.1X、VPN、Portal接入
在企业网内部,接入终端一般是通过交换机接 入企业网络的,这些接人终端的安全状态将直接影 响整个网络的运行安全。为了确保只有符合企业 安全标准的用户接人网络,EAD可以通过交换机的 配合,强制用户在接入网络前通过802.1 X方式进行 身份认证和安全状态评估,帮助管理员实施企业安 全策略。业内最广泛的接人方式支持如图1所示。 同时EAD端点准入解决方案支持最广泛的接入方
憩曩——■自躺黪∥
sp薯黼
’
纛露黧隧嬲目镕黼;弘
_
。
■1。剩鹱躺黼§豁霸黼蒜辩il臻溉#篓黼嚣l辇蠹蘸鞲㈣馨蓦鹫霉㈣④g㈣罐攀罄≤鳝㈣霹黪
1I霸计,I?喵¨#嚣毽鬻鞑¥奠纂翻呐t_}啤:;州¨埘t^瑚
《
≈螂1i}氆“%盘t潮目☆¨t“k¨hm蓬行雕,醯嚣耀■毫动·雄槲
一锄w*t}懈㈣嚣s—耐”-^·hr*蠡程鼻幸-嗣嘴稍}棒蠡舶尊
责任编辑王思宁 收稿日期:2008—03—22
电力信息网络安全加固方,溧水,211200
本文链接:/Conference_6680739.aspx
前面介绍到了EAD除基于用户名和密码的身 份认证外,EAD还支持身份与接入终端的MAC地 址、IP地址、所在VLAN、接入设备【P、接人设备端口 号等信息进行绑定,这样针对每个网络,可以设置 不同的信息来与用户名和密码进行绑定,将对用户 认证的安全级别和强度大大提高,这样不同网络的 电脑就无法混用了。另外安全策略服务器与安全 客户端配合可以对各种外联或代理进行禁止。无 论用户采用何种方式,包括IE代理、双网卡以及内 网用户通过Modem上网等都可以进行控制,这种禁 止方式,可以进行灵活选择,满足不同组网需要。
口控制、用户阻断、加入黑名单、在线提醒等响应 操作。
通过部署端点准入防御(EAD,Endpoint Admis— sion Defense)对终端用户进行严格的安全防护,同 时通过SEC center与IMC SCC进行联动,将不同领 域的网络安全部件融合成一个无缝的安全体系,使 网络的安全防护水平大大提升。
一741—
式,包括:802.1X、Portal、VPN、无线等多种认证接人 方式,是业界目前支持接人方式种类最全的,可以 满足用户在各种组网环境下实现用户接入认证(见 图2)。
黧一一… 一 一一
图1 EAD iNode客户端支持无线接入
鬻a瓣窘蝴霪鬻窭pt彦簟鬻冀瞬登骥纛i蓥g黪§鬻、缸黪:挚专…。 …。,%…。…:f…。喾…藏8 攀翱瞒臻∞瓣寨
0 引言
随着电力行业信息化的不断发展,网络在日常 工作中变得不可缺少,但同时网络中存在的各种安 全问题,给日常维护工作带来了很大影响。为了更 好地将网络为工作所用,就必须很好解决网络带来 的安全问题。行之有效的办法就是提升网络与信 息系统边界安全防护水平,将原有内部办公业务和 访问Internet业务分开,确保内部业务的安全,在网 络出口部署安全防护设备,同时重点加强对终端用 户的管理,保证用户终端的安全、阻止威胁入侵网 络,对用户的网络访问行为进行有效的控制,是保 证企业网络安全运行的前提。
除基于用户名和密码的身份认证外,EAD还支 持身份与接人终端的MAC地址、IP地址、所在 VLAN、接入设备IP、接人设备端口号等信息进行绑 定,支持智能卡、数字证书认证,增强身份认证的安 全性,从而彻底杜绝了账号盗用和非法接入等情况 的出现。
另外EAD安全策略服务器具备绑定信息自学 习功能,自动学习绑定信息,可以减少管理员手工 录入的工作量;支持一个用户绑定多对IP和MAC 地址,有效解决单用户多终端问题。
电力信息网络安全加固方案
周俊礼
(溧水县供电公司,江苏溧水211200)
摘要:随着电力行业信息化的不断发展,计算机网络在日常工作中变得不可缺少,但同时网络中存在的各 种安全问题也给日常维护工作带来了很大影响。用网络安全加固的方法,确保用户终端的安全,阻止威胁入 侵网络,实现用户电脑专网专用,从用户接入网络时实现了网络的安全防护。 关键词:电力信息化;网络安全;加固;身份认证
3 用户身份合法性检测——内网外联 管理
为了提高网络安全防护能力,会将原有内部办 公业务和访问Internet业务分开,确保内部业务的 安全。这样就会形成一个用户有2台电脑来连接不 同的网络,会存在用户可能有意或无意将属于不同 网络的电脑混用,造成泄密。由于用“用户名+密 码”的方式是不能识别设备特征的,为了避免泄密 情况的出现,对于用户的身份认证还需要与电脑的 硬件信息绑定起来,这样才能避免不同网络的电脑 混用的情况冉现。另外还需要可以检测用户私自 通过设置代理,以双网卡的方式、Modem等方式进 行违反安全防护要求的网络访问。
通过以上2种策略部署,就可以彻底杜绝不同 网络的电脑进行混用的情况出现了。
4结语
通过部署EAD解决方案实现对用户身份合法 性检测,可以确保用户安全地接入网络,实现用户 电脑专网专用,实现了网络的安全防护。
⑩作者简介: 周俊礼(1958一),男,江苏溧水人,高级工程师,从事电
力通信、自动化和网络设备的运行、维护、管理和设计T作。