当前位置:
托克托电厂是国家“十五”期间重点建设项目,也是国家“西部大开发”和“西电东送”的重点工程,电厂规划容量为8台600MW火电机组,分四期建设每期2台600MW火电机组。自2003年一期工程两台机组双投以来,公司于2004年和2005年分别完成了二、三期工程的双投任务,实现了连续三年每年投产两台600MW机组的高速发展,2006年当四期工程两台机组再次双投发电后,托电的总装机容量将达到480万千瓦,并一举成为全国最大的火力发电厂。
一、网络现状分析托克托发电公司网络规模大,办公和生产网属于同一个网络,其中网络的核心由3台北电的PP8606组成,1台PP8086用于生产主控,2台PP8086用于办公网。互联网速度是百兆接入速度。从ISP接入到清华得实NETST5000上,然后从NETST5000接入核心交换机,同时通过互联网接入,有两台vpn设备和总公司之间实现VPN连接,组成专网,同时连接到核心交换机上。其中有两台重要的生产服务器连接到核心交换机上。
1.1网络上存在的一些缺陷网上的病毒难以彻底清除。由于现代病毒的网络化传播,已经清除过病毒的计算机刚一上网,马上就又被其他带毒的计算机感染,致使计算机和网络上的病毒相互感染,难以清杀干净。由于现在病毒多是在网络上快速传播,这些病毒一旦大范围发作,将会阻塞网络,导致网络无法正常运行。
重要的生产服务器没有得到有效的保护,由病毒或者人为的攻击导致网络速度过慢时有发生,缺乏有效的监控手段。
客户端在上网时候,很容易下载一些感染病毒的文件,病毒一旦进入网络内部,很容易造成大面积爆发,影响正常的应用。
客户端操作系统存在漏洞的情况普遍存在,这更容易造成了病毒传播更为容易。
客户端上网没有严格的内容过滤、审核手段,一些非法的信息流入网络内部,造成不良影响。网络中心缺乏有效的监督、管理机制。
- 对于病毒问题,采用整套解决方案,在中心能够有效的监测、管理网络中存在的计算机病毒,同时提供及时统一的升级服务。在互连网和企业内部架设一台网关防毒设备,减少病毒从互联网进入企业内部的几率。
- 对于重要的服务器进行保护,包括对重要服务器的攻击、非法访问的日志进行记录。
- 监测用户上网的访问日志,包括邮件、和网站的访问等。能够生成有效、可读的日志。
- 对客户端进行有效的补丁分发管理。
2.1瑞星病毒防御设计理念
(1)管理是重点
没有集中管理的防病毒系统是无效的防毒系统。在公安信息网网络整体防病毒的方案中,我们结合公安信息网网络结构以及行政管理结构,构建了集中统一管理与分级管理相结合的管理系统,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得各级管理人员可以在任何时间、任何地点通过管理控制台对整个防毒系统进行管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。
确立集中管理与分级管理相结合的原则,既能够保证管理的统一性,又能够做到责权分明;既能够达到病毒防护策略的统一性,又能够实现某一具体网络环境、网络应用服务下的病毒防护策略的具体应用。
通过对整个网络防病毒系统病毒日志的统计分析,及时发现病毒爆发疫情状况、网络防病毒系统新的脆弱性。
(2)技术是保障
通过瑞星公司提供的全方位产品以及世界最优秀的病毒查杀引擎,实现全方位、多层防护,针对服务器、工作站、邮件服务器等部署病毒防护系统,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范。
(3)服务是后盾
服务是整体防病毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。
瑞星公司本地化服务为防病毒提供了坚强后盾。
瑞星本地化服务包含两个含义:一个是研发本地化服务;一个是售后服务本地化。研发本地化服务可以根据国内实际情况快速提供病毒代码更新、软件功能更新等;售后服务本地化指为公安信息网网络系统防病毒提供瑞星公司专业的售后技术支持服务,为用户购买的产品提供技术保障。
结合大唐电力托克托发电公司目前的网络情况,对网络中存在的问题进行分析,设计方案如下
2.2.1网关防病毒方案设计部分网关作为整个托克托电厂的第一层,最前沿,已经成为病毒传播和扩散的最主要途径。如果等病毒已经进入局域网后再作剿杀,显然为时已晚。因此,通过网关把病毒拒绝在网络之外是最好的解决办法。这种办法还可以防止将网络内部受到感染的病毒文件传到其它的网络当中,使得各个网络能够互相独立。
瑞星防毒墙正是为解决这一问题而产生的,瑞星防毒墙是瑞星公司的最新网络安全解决方案中的系列产品之一。瑞星防毒墙为网络安全树立了一个新的典范,专为企业所设计。
瑞星公司拥有丰富的产品系列符合不同的网络环境的应用,防毒墙的产品共分为3个等级(1000系列、3000系列、5000系列和9000系列),从SOHO到大型IDC/ISP都可以满足要求。产品适用于SOHO用户,小型、中型或大型企业,高校、金融机构,高流量的电子商务网站,电信、IDC/ISP以及其他网络安全的环境。此方案中,根据托克托电厂的网络规模,我们选择了瑞星千兆防毒墙RSW-9000。
瑞星防毒墙的组成包括一个基本单元多个可扩充的模块。基本单元包含了瑞星防毒墙的主要功能:病毒扫描、状态检测防火墙、IP安全虚拟专用网(IPSec-VPN)、网络缓存和本地记录。
根据托克托电厂实际网络结构,我们把网关级防病毒部署位置在托克托的中心节点(信息中心)处,具体部署位置在互联网和企业防毒墙NETST5000之间。
设计简述
本方案描述了采用瑞星公司的瑞星2006网络版防病毒产品为托克托发电网络构建的整体的网络防病毒系统,该方案贯彻了如下三点整体防毒的基本设计思想:
1)全方位、多层次立体防毒
立体防病毒体系简单地说,就是将电脑的使用过程进行逐层分解,在每台工作站、服务器、邮件/群件服务器及网关处全部安装相应的防病毒产品,对每一层进行分别控制和管理,在不同层面上查杀病毒,不给病毒留有任何藏身的空间,从而达到病毒整体防护的效果,将电脑的每一个安全环节都监控起来,从而全方位地保护了用户电脑和网络的安全。
从整体讲,每个防毒产品都只是防病毒产品家族内的一员,每个产品可以独立使用,也可以相互配合使用,对用户而言,只有建立一个有层次的、立体的防病毒体系,才能有效制止病毒在网络内部的蔓延。
在本方案中,我们部署了多层次立体病毒防护体系,具体是:
- 客户端:分别在客户端部署瑞星杀毒软件网络版客户端杀毒软件。
- 服务器:分别在各种操作系统的应用服务器(Windows NT/2000、
Unix,Linux)端部署瑞星服务器版杀毒软件。
这样从服务器到桌面各环节分别部署防病毒产品,从而有效控制病毒的各种传播途径,全方位保护网络的安全。
2)集中监控管理
没有集中管理的防毒系统是无效的网络防毒系统。在大唐托克托发电厂防毒方案中,我们部署了瑞星中央控管系统来管理整个防病毒系统,即在大唐托克托网络中建立防病毒中央控管系统。主要负责管理和监控整个托克托发电厂网络中的主机,这样,保证了整个防毒产品可以从大唐电力托克托网络中及时得到更新,同时又使得管理人员可以对整个防毒系统进行统一集中管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。
瑞星上网行为监控系统采用工业计算机构架,达到100M网络的高速分析能力,对HTTP、SMTP、POP3和基于HTTP协议的其他应用协议具有100%的记录能力。上网信息识别粒度达到每一个URL请求及每个邮件的邮件头;并且,瑞星上网行为监控系统会自动总结对每一个URL请求的反馈,监控系统自动分析URL请求的关联性,压缩日志记录数据量,把最有价值的信息留存起来。
该行为监控系统不影响任何用户的常规操作,所以对用户和用户网络来说是“透明”的,它的安装和调试并不影响用户网络的使用,也不需要用户设置任何计算机属性,最大程度的减少用户工作量和因为添加网络设备导致的用户网络结构变化。
网控在大唐电力托克托发电厂的应用
瑞星网络监控产品部署在核心交换机的一个端口上,通过端口镜像技术,监控所有计算机的上网活动。瑞星网控系统正常提供三个网络接口使用,E0、E1两个接口为探测口,可以串接在网络中,也可以旁路接在网络中,E2作管理连接使用。本次项目采用的是旁路方式。两个探测口提供了多种探测方式,方便网络架设,从而可以尽可能少的修改原有的网络结构。
入侵检测系统作为一种积极主动的安全防护工具,提供了对内部攻击、外部攻击和误操作的实时防护,在计算机网络和系统受到危害之前进行报警、拦截和响应。它具有以下主要作用:
1)通过检测和记录网络中的安全违规行为,惩罚网络犯罪,防止网络入侵事件的发生;
2)检测其它安全措施未能阻止的攻击或安全违规行为;
3)检测黑客在攻击前的探测行为,预先给管理员发出警报;
4)报告计算机系统或网络中存在的安全威胁;
5)提供有关攻击的信息,帮助管理员诊断网络中存在的安全弱点,利于其进行修补;
6)在大型、复杂的计算机网络中布置入侵检测系统,可以显著提高网络安全管理的质量。
本次项目针对信息中心重要的服务器进行保护,重要服务器都直接连接在核心交换机上,因此我们在该交换机上,针对重要的服务器网络接口进行端口镜像,IDS通过分析网络数据,发现网络攻击行为。