1供电公司网络安全改造中的常见问题
第一,通过本地认证方式进行本地登陆。供电公司对于这一问题的规定为:管理SNMP和SSH交换机,SNMP启用访问控制列表模式,以Radius认证为基础实现远程登录,全部系统应用者均有独立账号,从console进行本地认证能够由网络设备登陆本地电脑。
第二,ARP攻击的有效预防。供电公司对于这一问题的规定为:将DHCPSnooping应用于全部供电设备,DAI应用于全部新设备,避免受到ARP攻击。通过保留IP的形式,通过DHCP服务器分配地址。
第三,HUB(HUB是一个多端口的转发器,当以HUB为中心设备时,网络中某条线路产生了故障,并不影响其他线路的工作)的混接控制。该现象所导致的安全隐患表现为:供电公司的网络与路由器、HUB等设备相互连接,这就容易增加用户用电的困难。供电网络安全改造过程中,利用人工检查与网管系统相结合的方式,确定相关的UB端口,一次接入,将HUB这一环节撤销,保证增加端口,经8换机网管,替代传统设备,保证网络与全部交换机接入端口相互连接。第四,为多个部门建立Radius服务器的账号。供电公司对于这一问题的规定为:建立独立的桌面管理系统数据库或是部门之间关联的数据库,验证全部部门用户密码和账户基本相同。第五,网络接入认证,确保桌面管理系统的安装率。供电公司对于这一问题的规定为:桌面管理系统安装率100%,严格认证网络和计算机之间的连接。其主要的安全问题是:不安装桌面客户端的电脑,电脑终端会自动化分和修复VLAN,访问服务器,自动将客户端、杀毒软件和补丁安装在电脑上。客户端安装后,各部门可以由客户端进入并选择,则获取其中的地址和系统用户名。
2供电公司网络安全的解决途径
交换机在接入后,IEEE802.1x协议将会生效,并从Radius服务器中认证用户。802.1x计算机客户端软件在一般状态下,与终端接换机接入后,802.1x协议则会生效,并设定各个端口只能够认证通过一台终端。对于相同的HUB和交换,因其不能提供协议认证端口,能够进行暂时性的uilt-auth认证,从而确保通过所有终端认证。交换机更换后,取消端口认证,并配置下级交换机认证。将Radius服务器设置于信息中心,从而确保Radius服务器工作的可靠性,并保证2台以上的Radius服务器,使其实现账号的自动同步。在配置交换机时,对各个端口的MAC地址数量进行严格控制,设置值默认为1。通过对登陆交换机进行检查,确定HUB的端口,通过分线的方法达到接入要求,也可用管理交换机替换原来的HUB,从而确保交换机接入端口仅仅存在一台认证通过的终端与网络相互连接,也可下接设备为802.1x接入认证提供支持。Cisco交换机与终端端口相互连接后,会将BPDUGUARD功能启动,进而避免计算机端口与HUB或交换机随意连接,进而形成网络环路。在网络监察过程中,终端可能并未打开,这就容易形成端口与多台计算机相互连接的现象,需要进行严格控制,在其他终端开机后,无法实现网络连接。信息中心技术支持人员需要配置交换机,保证其与网络的顺利连接。在交换机端口与管理交换机相互连接,而非终端时,需要将BPDPGUARD功能关闭,避免交换机端口的自动关闭。
建立每个VLAN独立的ACL并应用后,实现VLAN之间三层隔离的目标。因为目前的业务主要体现为信息中心机房内,因而VLAN只能够访问信息中心服务器,且不限制访问其他兄弟单位网络。自动绑定交换机端口和MAC地址,通过“port-securitymaximum”对所有交换机端口接入终端的数量进行控制。利用DHCP服务器内的IP地址保留方式,绑定MAC地址和IP地址,而且,在开启交换机DAI功能后,只能允许终端以过DHCP方式获取IP地址,避免终端手动指定IP地址,进而出现IP地址冲突或是盗用问题。联合应用DAI和DHCPSnooping,有助于ARP攻击的控制。以保留IP的形式在DHCP服务器上对IP地址进行重新分配,从而实现绑定IP地址和MAC地址的目标。为了对非法DHCP服务器进行限制,应控制交换机,确保全部终端均获得合法DHCP服务器的地址。少数计算机需要经常性与各个VLAN网络接入,应实现VLAN内各个IP地址的分配。
3结语
综上所述,随着供电公司网络安全改造过程的逐步深入,由此所导致的困难和问题也逐步凸显,并引起了相关企业管理人员的关注。因为变电站漫游障碍是供电公司网络安全改造中最经常遇到的问题,所以维操队工作人员需要收集各种笔记本电脑的MAC地址,并绑定需要介入的电站内交换机指定端口。维操队工作人员的笔记本只能够与特定端口相连接,这一处理方法能够最大限度地提高操作站内笔记本应用的安全性和便利性。
作者:曾隆丰 单位:江西煤业集团有限公司丰城电力分公司
