電力行業(yè)特點

電力行業(yè)是國家的支柱產(chǎn)業(yè)，持續(xù)、穩(wěn)定、高效的電力供應是關系到國計民生的大事。隨著電力行業(yè)的不斷發(fā)展，電力行業(yè)信息化程度不斷提高，電力網(wǎng)絡系統(tǒng)中的應用越來越多。同時，隨著Internet技術的發(fā)展，建立在Internet架構上的跨地區(qū)、全行業(yè)系統(tǒng)內部信息網(wǎng)開始逐步建立，網(wǎng)上應用著各種電力業(yè)務及辦公系統(tǒng)。與此同時，電力信息網(wǎng)絡系統(tǒng)的網(wǎng)絡安全問題愈來愈顯得重要。

電力企業(yè)網(wǎng)絡管理的問題

當前電力行業(yè)網(wǎng)絡管理的主要問題是局域網(wǎng)的安全問題。這些問題可分為如下幾類：

1、電力公司局域網(wǎng)計算機終端安全問題

盡管多數(shù)電力企業(yè)對終端計算機的安全加固已經(jīng)采取了部分安全措施，例如安裝了防病毒軟件和個人防火墻軟件，甚至部署了漏洞掃描系統(tǒng)定期對終端計算機進行漏洞掃描，督促用戶及時更新操作系統(tǒng)補丁等，這些舉措雖然起到一定的安全防護作用。但是，由于員工隨意插入U盤而導致電腦感染病毒，隨意修改操作系統(tǒng)關鍵位置（如注冊表、組策略）而引發(fā)的電腦安全風險以及隨意下載和安裝軟件引發(fā)的電腦故障、中毒等問題依然無法進行有效的管控。

2、外部電腦、移動設備和終端電腦的接入控制

電力行業(yè)很多企業(yè)都是大中型企業(yè)，局域網(wǎng)計算機數(shù)量眾多。IT管理人員很難統(tǒng)計內網(wǎng)計算機的確切數(shù)量，也無法區(qū)分哪些是內網(wǎng)授權使用的計算機，哪些是外來的非授權使用的計算機。這種狀況下，很難控制外來人員隨意的計算機接入。而一旦外部電腦或非授權電腦接入局域網(wǎng)，一方面會占用局域網(wǎng)網(wǎng)絡帶寬資源，另一方面還可以非法訪問局域網(wǎng)服務器文件或與局域網(wǎng)其他電腦通訊，經(jīng)常造成商業(yè)機密的泄露，給電力企業(yè)信息安全帶來巨大風險。

同時，對于內網(wǎng)授權使用的計算機感染了病毒和木馬，IT管理人員也無法及時定位和自動阻斷該計算機的破壞行為，使得被感染的電腦有可能向局域網(wǎng)進行病毒擴散，甚至引發(fā)網(wǎng)絡攻擊行為的出現(xiàn)，對內網(wǎng)安全造成重大影響。

此外，當員工向局域網(wǎng)接入無線路由器、手機、隨身wifi等移動設備時，常常缺乏監(jiān)管而造成網(wǎng)絡資源的濫用，甚至引發(fā)一些網(wǎng)絡安全隱患。

3、局域網(wǎng)終端電腦、移動設備的上網(wǎng)行為監(jiān)控

雖然電力企業(yè)通過信息化、網(wǎng)絡系統(tǒng)等大幅度提升了工作效率和生產(chǎn)效率，但是也同樣存在隨意上網(wǎng)、濫用網(wǎng)絡資源而導致的消極影響。比如經(jīng)常有員工利用終端計算機進行與業(yè)務無關的互聯(lián)網(wǎng)訪問、文件下載、網(wǎng)絡聊天、玩計算機游戲、看電影等。首先，這些用戶行為給企業(yè)造成了生產(chǎn)力損失，降低了工作效率；其次，員工對互聯(lián)網(wǎng)的過渡訪問會占用企業(yè)極大的網(wǎng)絡帶寬，給正常用戶的網(wǎng)絡使用造成沖擊；另外，上網(wǎng)會增加終端計算機感染病毒和木馬的可能性，給內網(wǎng)帶來新的安全隱患和風險。因此，如何規(guī)范員工的終端計算機使用，并對其行為進行控制，給IT管理人員提出了新的課題。

4、局域網(wǎng)終端計算機的資產(chǎn)統(tǒng)計和配置管理

由于電腦企業(yè)局域網(wǎng)網(wǎng)絡結構通常比較龐大，內網(wǎng)計算機數(shù)量很多，如何實時統(tǒng)計這些硬件資產(chǎn)同樣是一件非常重要的網(wǎng)絡管理工作。例如，要準確掌握每臺計算機的軟硬件配置信息，通過手工方式將是非常耗時和繁瑣的工作。要想實時并準確地掌握內網(wǎng)終端計算機的配置狀況與配置變更狀況，必須通過技術手段和工具來輔助實現(xiàn)，才能有效節(jié)省成本和資源，提高內網(wǎng)管理的效率。

5、局域網(wǎng)終端計算機的遠程管理、遠程支持

對于電力企業(yè)的網(wǎng)絡管理人員而言，由于網(wǎng)絡結構復雜，終端計算機數(shù)量巨大，網(wǎng)絡管理問題時有發(fā)生，網(wǎng)絡管理人員無法實時、一一進行現(xiàn)場解決，通常需要進行遠程維護。如何實時監(jiān)視終端計算機的運行狀況，并且方便地對終端計算機進行遠程維護，是IT管理人員迫切需要解決的問題。

6、局域網(wǎng)文件服務器共享文件的權限設置和管理

電力企業(yè)局域網(wǎng)通常也設置了文件服務器，并且通常共享一些文件供局域網(wǎng)終端計算機訪問。雖然通過WindowsAD域控制器的方式可以起到一定的共享文件訪問權限的管控。但依然無法有效、精細地控制共享文件某些訪問權限。比如只讓打開共享文件而禁止另存為本地磁盤、只讓讀取共享文件而禁止復制共享文件、只讓修改共享文件而禁止刪除共享文件，以及禁止打印共享文件、禁止拖拽共享文件到訪問者自己的電腦，從而防止共享文件存儲到員工自己的電腦而導致泄密的可能。

電力企業(yè)內網(wǎng)安全管理解決方案

針對電力企業(yè)內網(wǎng)終端計算機存在的一些安全問題，很多電力企業(yè)紛紛采取各種舉措來加強單位內網(wǎng)終端計算機的管理。很多單位制定了嚴苛的終端計算機使用制度和規(guī)定，部署了一些網(wǎng)絡運維系統(tǒng)從技術層面提升終端安全，一些網(wǎng)絡管理人員的網(wǎng)絡安全意識有了提高，各種終端安全、網(wǎng)絡安全的舉措也一一建立起來，終端計算機的安全水準有很大提升。

大勢至（北京）軟件工程有限公司作為一家專業(yè)的上網(wǎng)行為管理和信息安全防護的領先廠家，在電力行業(yè)網(wǎng)絡管理領域具有自己獨特的優(yōu)勢，甚至可以解決一線廠家無法解決的網(wǎng)絡安全、信息安全和上網(wǎng)行為管理的各種問題。具體如下：

1、終端計算機安全加固解決方案

對終端計算機的安全加固可采取的措施有：補丁管理、防病毒軟件監(jiān)測、主機防火墻。這些措施均增強了終端計算機的安全性和健壯性。但是還遠遠不夠，例如員工經(jīng)常隨意安裝一些與工作無關的軟件，一些懂技術的員工隨意修改電腦的注冊表、組策略，甚至以U盤、光盤啟動電腦而繞過常規(guī)網(wǎng)絡運維系統(tǒng)、殺毒軟件和防火墻的監(jiān)控。這種情況下，我公司的“大勢至網(wǎng)絡運維管理系統(tǒng)”就可以提供有效的管控。

大勢至網(wǎng)絡運維管理系統(tǒng)可以對操作系統(tǒng)關鍵位置進行有效的管控，禁止隨意修改注冊表、組策略等操作系統(tǒng)關鍵位置，禁止通過U盤、光盤等方式啟動電腦。同時，還可以禁止終端計算機隨意安裝軟件，或者只讓終端計算機運行某些軟件，訪問指定的網(wǎng)站等等，從而極大地保護了終端計算機的安全。

2、內網(wǎng)接入控制解決方案

針對電力內網(wǎng)存在終端計算機、移動設備隨意接入的情況，可以部署大“大勢至網(wǎng)絡準入控制系統(tǒng)”（下載地址：http://www.grabsun.com/wailaidiannaokongzhi.html），而且只需要在局域網(wǎng)一臺電腦部署，就可以實時掃描局域網(wǎng)接入的終端電腦或移動設備，阻止未授權或不安全的終端計算機接入內網(wǎng)和訪問內網(wǎng)資源。通過接入控制，可以將外來計算機阻擋在內網(wǎng)之外，也可以將內網(wǎng)中安全性較差（未及時安裝補丁和防火墻軟件）的計算機隔離出內網(wǎng)，保證內網(wǎng)整體的安全性。此外，還可以進行局域網(wǎng)IP和MAC地址綁定，防止隨意修改IP地址，防止局域網(wǎng)電腦安裝嗅探軟件或抓包軟件進行非法抓包情況，防止局域網(wǎng)ARP攻擊行為以及禁止局域網(wǎng)代理上網(wǎng)的情況發(fā)生，從而極大地保護了局域網(wǎng)網(wǎng)絡安全。

同時，大勢至網(wǎng)絡準入控制系統(tǒng)除了常規(guī)的基于地址解析協(xié)議的端口重定向隔離技術之外，還可以通過與交換機的聯(lián)動，自動判斷接入計算機的交換機接口，如果發(fā)現(xiàn)接入計算機未經(jīng)過授權或者安全性較差，則通知交換機禁用該計算機所在的端口，徹底阻斷計算機的接入，實現(xiàn)了最大程度上的終端接入控制。

3、終端電腦上網(wǎng)行為監(jiān)控解決方案

通過大勢至網(wǎng)絡行為管理系統(tǒng)（下載地址：http://www.grabsun.com/wangguan.html）可以對局域網(wǎng)電腦進行有效的上網(wǎng)行為管控。與同類網(wǎng)絡管理系統(tǒng)必須通過串接、橋接或旁路部署方式不同，聚生網(wǎng)管監(jiān)控軟件基于獨創(chuàng)的“虛擬網(wǎng)關”技術，可以直接部署在局域網(wǎng)任意一臺電腦上，內網(wǎng)其他電腦不需要安裝客戶端，也不需要調整網(wǎng)絡結構就可以實現(xiàn)全方位的網(wǎng)絡行為控制，可以有效禁止局域網(wǎng)迅雷下載、禁止員工玩游戲、禁止上班炒股、禁止網(wǎng)購、禁止P2P下載、禁止在線看視頻等，同時還可以限制電腦網(wǎng)速，防止局域網(wǎng)電腦隨意搶占網(wǎng)絡帶寬的行為，保護了網(wǎng)絡資源。

兩種部署方式，首先可以在一個聚生網(wǎng)管的控制機上面額外配置多塊網(wǎng)卡（最高配置6塊），然后通過每個網(wǎng)卡分別接入各個局域網(wǎng)上的交換機的方式實現(xiàn)對多個局域網(wǎng)的監(jiān)控，如圖（一）所示。如果存在多個多個交換機、多個局域網(wǎng)的情況下，可以在每個局域網(wǎng)對應的交換機下面各配置一臺聚生網(wǎng)管的控制機，分別控制各自的局域網(wǎng)，如圖（二）所示。

同時，針對電力企業(yè)網(wǎng)絡規(guī)模通常較大，并且經(jīng)常采用三層交換機劃分多網(wǎng)段的情況，聚生網(wǎng)管系統(tǒng)集成了獨創(chuàng)的“創(chuàng)新直連”架構，只需要接入三層交換機的一個網(wǎng)段就可以控制所有網(wǎng)段的電腦上網(wǎng)行為，遙遙領先國內同類網(wǎng)絡管理系統(tǒng)必須采用串接、橋接和旁路方式部署網(wǎng)絡管理軟件的弊端，是當前國內最優(yōu)監(jiān)控三層交換機多網(wǎng)段的網(wǎng)管軟件部署方式。如下圖所示：

4、文件服務器共享文件的訪問權限設置方案

針對電力企業(yè)局域網(wǎng)服務器共享文件安全管理的問題，大勢至局域網(wǎng)共享文件管理系統(tǒng)（下載地址：http://www.grabsun.com/gongxiangwenjianshenji.html）可以全面設置服務器共享文件的安全，只需要在文件服務器上安裝之后，就可以設置共享文件的各種訪問權限，可以根據(jù)服務器賬號或訪問者MAC地址的方式來分配訪問權限，可以只讓讀取共享文件而阻止復制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤，以及阻止拖拽共享文件、打印共享文件的行為，從而保護了服務器共享文件的安全。

本系統(tǒng)基于NDIS核心層文件過濾驅動進行實現(xiàn)，其中，最上層是一個NDISProtocolDriver，它向上提供一個TransportDriverInterface(TDI)，向下通過NDIS接口與下面的NDIS中間層的上邊界交互，NDIS中間層的下邊界通過NDIS接口與下層的NDISMiniportDriver交互。最后，由NDISMiniportDriver利用NDIS接口與物理網(wǎng)絡設備NetCard交互。處理流程如下：

此外，本系統(tǒng)還可以詳細記錄局域網(wǎng)用戶訪問共享文件的日志，從而便于時候備查和審計。

總之，電力行業(yè)網(wǎng)絡管理直接關系到電力系統(tǒng)的穩(wěn)定和高效運行，直接關系到國民經(jīng)濟各個環(huán)節(jié)的正常運轉。因此電力企業(yè)的網(wǎng)絡管理工作也極其重要，大勢至公司憑借獨特的網(wǎng)絡管理產(chǎn)品，以及在各級電力企業(yè)的大量客戶，可以為國內電力企業(yè)網(wǎng)絡管理做出自己貢獻。此外，大勢至公司憑借強大的研發(fā)團隊，還可以為電力企業(yè)定制開發(fā)各種網(wǎng)絡管理功能，進一步滿足電力企業(yè)網(wǎng)絡管理的個性化需求，真正幫助電力企業(yè)實現(xiàn)網(wǎng)絡管理的目的。

最新評論