系统网络安全与病毒防护
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统网络安全与病毒防护
1序言 (1)
2网络安全 (1)
2.1防火墙的主要技术手段 (2)
2.2应用功能描述 (2)
2.3保证防火墙系统自身的安全 (2)
2.4防止来自外部网黑客对内部网的攻击 (3)
2.5防止内部网用户对信息网络安全的破坏 (4)
2.6实现网络访问控制 (5)
3病毒防治 (6)
1 序言
随着网络互联技术与互联网以及电力负荷管理系统飞速的发展,对电力负荷管理系统来说,通过外部系统获得数据或者为外部系统提供数据已经成为必然,局内各个系统之间的互联以及与国际互联网的联通,一方面获得了外部的无穷的信息。另一方面也带来了安全性、保密性的要求,作为一个核心的部门,网络安全以及病毒防治已经成为电力负荷管理系统主要的工作之一,我们就这两个方面着重介绍如何提高电力负荷管理系统的网络安全性以及流行的防治病毒的工具。
2 网络安全
电力负荷管理系统网络为典型的局域网,在与外部进行互联的时候有几种方式可以使用,如下表所示:
防火墙是理想的选择,下面就着重介绍一下这种方法:
典型的负荷管理系统网络结构图
2.1 防火墙的主要技术手段
●负荷管理系统的防火墙,通过设置有效的安全策略及用户一次性口令认证方法,控制
外部访问者对内部网的访问。
●使用防火墙可以进行统一的集中控制管理。通过防火墙的管理主机,管理所有的防火
墙系统,并可以灵活地设置在负荷管理系统网络的各个关键位置的访问控制,例如可
以针对网络内部的不同设备进行个性化的管理控制。
●防火墙支持各种网络协议,例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、
RealAudio、SMTP、TELNET、Internet Phone等网络协议,支持CISCO、SGI等多媒体
点播协议,例如OSPF、IGMP等广播协议。对各种常用应用系统例如Oracle、Notes、
SQL Server等完全支持。
●防火墙如同网络上的监视器,可以轻松记录负荷管理系统网络内部每一位用户的访问
情况,同时可以对网络的各种使用情况进行统计,生成各种报表、统计图、趋势图等。
防火墙的实时监控系统能够了解防火墙当前的工作状态,同时了解网络的通讯情况与
攻击的详细信息。
●防火墙具有实时入侵检测系统,完全实现防患于未然。能够对各种网络攻击方式进行
识别,例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等,
同时以邮件方式对系统管理员进行报警。
●防火墙具有一个优秀的功能,就是能够将一台负荷管理系统网络中的终端设备的网卡
MAC地址与它的网络IP地址进行捆绑,完全实现两者的一一对应。当信息网内部有人
私自篡改IP地址妄图盗用他人权限时,由于其IP地址与MAC地址不匹配,防火墙拒
绝其通过,禁止其访问同时向系统管理员进行邮件报警。
2.2 应用功能描述
●防止来自外部的黑客攻击
●防止来自内部的恶意攻击
●实现内部应用网与外部网之间的网络通讯
●双向的访问控制
●网络通讯的实时监控
●强大的安全审计
●基于事件分析与告警服务
2.3 保证防火墙系统自身的安全
软件方面——基于交换模式下的隐形防火墙
防火墙软件在设计结构上是基于数据链路层的防火墙软件,在网络应用中不存在网络IP地址,因此防火墙系统自身不会能为攻击者攻击的目标,从而保证网络的安全。
硬件方面——具有工控机性能的“黑匣子”
工控机从硬件设备的运行稳定性、安全性同其他的设备相比是非常优秀的,防火墙采用工控机性能的“黑匣子”作为防火墙系统的硬件平台,从而在硬件设备方面保证了防火墙最大的安全性。
监控主机与管理主机的物理分离
通过将防火墙的安全防范功能与管理功能分别放置于不同的主机设备中,有效的避免了人为因素对防火墙系统安全性的影响。
2.4 防止来自外部网黑客对内部网的攻击
智能身份识别
防火墙具有严格的一次性口令身份认证功能,能够有效解决以下几种情况对网络安全所带来的安全隐患:
●窥探网络传输中用户名称、口令
●扫描网络传输中用户信息
●截取网络传输中用户名称、口令
●侦听网络传输中用户名称、口令
以上几种盗取用户名称、口令的方式广泛存在,例如各种扫描工具、侦听软件等随处可以得到。防火墙严格的一次性口令身份认证保证用户名称、口令的绝对安全。
它的特性是用户口令唯一一次性有效。在防火墙认证服务器中建立用户信息库,当用户希望通过防火墙建立网络连接时,防火墙认证服务器向用户提出认证请求同时生成一个随机数,与服务请求捆绑在一起加密发送给用户,用户输入用户名称、口令后与认证请求、随机数捆绑后加密传输给防火墙的认证服务器。认证服务器解密后分离出用户名称与口令,并判断其是否合法性,如果合法防火墙允许其进行正常的网络通讯,否则拒绝服务。由于用户名称、口令与服务请求、随机数一同加密,以密文方式传输,加密后的信息在网络传输中即使被攻击者盗取也无法获得用户真正的名称与口令。即使将盗取的密文信息发送给认证服务器进行认证,由于密文信息与认证请求是一一对应的、对密文信息的认证一次有效,认证服务器根本不会对这种盗取的密文信息进行认证。防火墙一次性口令认证过程准确、有效,由于整个认证环节都由系统本身完成,因而确保认证过程的绝对可信性。另外防火墙系统还支持遵守RADIUS协议第三方认证系统,从而使系统的认证能力具有很强的可扩展性。
通过防火墙一次性口令身份认证保证信息用户名称、口令安全性,防止盗用用户名称、口令。
防火墙是唯一实现一次性口令身份认证的防火墙,国内其他防火墙均不具有此功能。对于不具有此功能的防火墙就不能够防止用户身份、口令盗用,后果将会不堪设想。
基于应用层的包过滤