系统网络安全与病毒防护1序言 (1)2网络安全 (1)2.1防火墙的主要技术手段 (2)2.2应用功能描述 (2)2.3保证防火墙系统自身的安全 (2)2.4防止来自外部网黑客对内部网的攻击 (3)2.5防止内部网用户对信息网络安全的破坏 (4)2.6实现网络访问控制 (5)3病毒防治 (6)1 序言随着网络互联技术与互联网以及电力负荷管理系统飞速的发展，对电力负荷管理系统来说，通过外部系统获得数据或者为外部系统提供数据已经成为必然，局内各个系统之间的互联以及与国际互联网的联通，一方面获得了外部的无穷的信息。

另一方面也带来了安全性、保密性的要求，作为一个核心的部门，网络安全以及病毒防治已经成为电力负荷管理系统主要的工作之一，我们就这两个方面着重介绍如何提高电力负荷管理系统的网络安全性以及流行的防治病毒的工具。

2 网络安全电力负荷管理系统网络为典型的局域网，在与外部进行互联的时候有几种方式可以使用，如下表所示：防火墙是理想的选择，下面就着重介绍一下这种方法：典型的负荷管理系统网络结构图2.1 防火墙的主要技术手段●负荷管理系统的防火墙，通过设置有效的安全策略及用户一次性口令认证方法，控制外部访问者对内部网的访问。

●使用防火墙可以进行统一的集中控制管理。

通过防火墙的管理主机，管理所有的防火墙系统，并可以灵活地设置在负荷管理系统网络的各个关键位置的访问控制，例如可以针对网络内部的不同设备进行个性化的管理控制。

●防火墙支持各种网络协议，例如DNS、finger、FTP、Gopher、HTTP、IRC、NNTP、Quicktime、RealAudio、SMTP、TELNET、Internet Phone等网络协议，支持CISCO、SGI等多媒体点播协议，例如OSPF、IGMP等广播协议。

对各种常用应用系统例如Oracle、Notes、SQL Server等完全支持。

●防火墙如同网络上的监视器，可以轻松记录负荷管理系统网络内部每一位用户的访问情况，同时可以对网络的各种使用情况进行统计，生成各种报表、统计图、趋势图等。

防火墙的实时监控系统能够了解防火墙当前的工作状态，同时了解网络的通讯情况与攻击的详细信息。

●防火墙具有实时入侵检测系统，完全实现防患于未然。

能够对各种网络攻击方式进行识别，例如网络协议异常、拒绝服务攻击DOS、网络扫描、网络欺骗、地址盗用等，同时以邮件方式对系统管理员进行报警。

●防火墙具有一个优秀的功能，就是能够将一台负荷管理系统网络中的终端设备的网卡MAC地址与它的网络IP地址进行捆绑，完全实现两者的一一对应。

当信息网内部有人私自篡改IP地址妄图盗用他人权限时，由于其IP地址与MAC地址不匹配，防火墙拒绝其通过，禁止其访问同时向系统管理员进行邮件报警。

2.2 应用功能描述●防止来自外部的黑客攻击●防止来自内部的恶意攻击●实现内部应用网与外部网之间的网络通讯●双向的访问控制●网络通讯的实时监控●强大的安全审计●基于事件分析与告警服务2.3 保证防火墙系统自身的安全软件方面——基于交换模式下的隐形防火墙防火墙软件在设计结构上是基于数据链路层的防火墙软件，在网络应用中不存在网络IP地址，因此防火墙系统自身不会能为攻击者攻击的目标，从而保证网络的安全。

硬件方面——具有工控机性能的“黑匣子”工控机从硬件设备的运行稳定性、安全性同其他的设备相比是非常优秀的，防火墙采用工控机性能的“黑匣子”作为防火墙系统的硬件平台，从而在硬件设备方面保证了防火墙最大的安全性。

监控主机与管理主机的物理分离通过将防火墙的安全防范功能与管理功能分别放置于不同的主机设备中，有效的避免了人为因素对防火墙系统安全性的影响。

2.4 防止来自外部网黑客对内部网的攻击智能身份识别防火墙具有严格的一次性口令身份认证功能，能够有效解决以下几种情况对网络安全所带来的安全隐患：●窥探网络传输中用户名称、口令●扫描网络传输中用户信息●截取网络传输中用户名称、口令●侦听网络传输中用户名称、口令以上几种盗取用户名称、口令的方式广泛存在，例如各种扫描工具、侦听软件等随处可以得到。

防火墙严格的一次性口令身份认证保证用户名称、口令的绝对安全。

它的特性是用户口令唯一一次性有效。

在防火墙认证服务器中建立用户信息库，当用户希望通过防火墙建立网络连接时，防火墙认证服务器向用户提出认证请求同时生成一个随机数，与服务请求捆绑在一起加密发送给用户，用户输入用户名称、口令后与认证请求、随机数捆绑后加密传输给防火墙的认证服务器。

认证服务器解密后分离出用户名称与口令，并判断其是否合法性，如果合法防火墙允许其进行正常的网络通讯，否则拒绝服务。

由于用户名称、口令与服务请求、随机数一同加密，以密文方式传输，加密后的信息在网络传输中即使被攻击者盗取也无法获得用户真正的名称与口令。

即使将盗取的密文信息发送给认证服务器进行认证，由于密文信息与认证请求是一一对应的、对密文信息的认证一次有效，认证服务器根本不会对这种盗取的密文信息进行认证。

防火墙一次性口令认证过程准确、有效，由于整个认证环节都由系统本身完成，因而确保认证过程的绝对可信性。

另外防火墙系统还支持遵守RADIUS协议第三方认证系统，从而使系统的认证能力具有很强的可扩展性。

通过防火墙一次性口令身份认证保证信息用户名称、口令安全性，防止盗用用户名称、口令。

防火墙是唯一实现一次性口令身份认证的防火墙，国内其他防火墙均不具有此功能。

对于不具有此功能的防火墙就不能够防止用户身份、口令盗用，后果将会不堪设想。

基于应用层的包过滤防火墙具有基于应用层的包过滤功能，对各种网络服务进行访问控制，是唯一基于应用层访问控制的防火墙。

能够有效地对以下几种情况进行访问控制管理：●利用“黑名单”指定不允许访问的网络地址，“未被禁止的就是允许的”●利用“白名单”指定允许访问的网络地址，“未被允许的就是禁止的”●利用“禁止URL”指定不允许访问的WWW网址。

有些网络地址提供非法信息，是严格禁止访问的，利用黑名单来明确禁止对这些地址的访问。

通过“白名单”来指定只允许访问有限的几个网络地址，其他地址均不允许访问。

对于提供如色情、反动等非法信息的网络站点，通过“禁止URL”来禁止对这些站点的访问，另外通过对内部网的WWW服务器的某些URL屏蔽，可以消除服务器本身的安全漏洞，从而对WWW服务器进行保护。

因此防火墙是一种基于应用层访问控制的包过滤防火墙。

这一功能的特性是使访问控制具有高度的针对性。

防火墙按照安全规则对每一个数据包的包头信息进行过滤，将获得数据包网络地址与“黑、白名单”中指定的网络地址进行比较，以判断其合法性。

如果合法允许通过，否则拒绝通过。

此功能可以使用户对指定的网络地址进行有针对性的访问控制，使网络安全规则更加方便灵活、安全可靠。

根据我国国情如果没有这种基于应用层的访问控制就不能够明确禁止对某些非法网络地址、网络站点的访问，就有可能成为传播非法信息的途径，社会造成严重的危害。

防火墙能够根据应用层不同的网络服务进行安全检测，并具有网络访问控制的功能，从而实现对各种网络应用服务进行管理。

基于TCP/IP协议的包过滤能够对信息包的端口、源地址、目的地址、网络协议、通讯服务、信息传输方向等多种信息进行基于TCP/IP网络协议的包过滤操作。

实时入侵检测与防范端口扫描防火墙具有强大的实时入侵检测功能，能够有效防止多种DOS（服务拒绝）攻击对电业局负控信息网的攻击，同时能够识别大量对电业局负控信息网进行端口扫描入侵活动。

2.5 防止内部网用户对信息网络安全的破坏IP地址与MAC地址的绑定防火墙是一种既防内又防外的防火墙每一块网卡都具有一个唯一标识号码，也就是指网卡的MAC地址，每一个网卡的MAC地址都是同网卡一一对应。

对于网络协议为TCP/IP的网络两台设备进行通讯时，网络接口具有网络IP地址，防火墙提供将内部网络用户IP地址同它的MAC地址进行绑定的功能，这样在防火墙内部就建立了网卡的IP地址同网卡的MAC地址一一对应的关系，因此通过防火墙就实现了IP地址同网卡的MAC地址即网卡的绑定。

通过绑定功能即使盗用负荷管理系统网络的IP地址，也因IP地址与MAC地址不匹配而盗用失败。

在网络管理中IP地址盗用现象经常发生，不仅对网络的正常使用造成影响，同时由于被盗用的地址往往具有较高的权限，因而也对用户造成了大量的经济上的损失和潜在的安全隐患。

防火墙的IP/MAC地址绑定功能可以很好地解决这一问题，通过与硬件物理地址的绑定，使盗用的IP地址无法通过防火墙系统。

每一个网络终端设备均具有物理MAC地址，防火墙通过将设备的MAC地址与IP地址绑定，有效防止了内部用户非法盗用IP地址。

完备的安全审计防火墙提高了强大的安全审计功能，具有最全面的安全审计功能的防火墙。

可以根据以下多种方式进行安全审计：●根据时间范围进行安全审计●根据IP网络地址进行安全审计●根据信息包的传输方向进行安全审计●根据信息包的处理方式进行安全审计●根据信息包的MAC地址进行安全审计●根据信息包的数量进行安全审计●根据信息包的字节数量进行安全审计●根据网络服务进行安全审计防火墙具有专用的安全审计数据库，能够根据审计原则进行单项统计、复合统计，生成各种统计图、统计表等。

通过防火墙强大的安全审计功能，可以对网络中所有的信息记录分析，发现潜在的安全隐患，使管理员对所有网络活动了如指掌。

根据出现的不同情况制定相应的策略，对攻击者的入侵提前做好防御措施。

一次性的口令身份认证通过一次性的口令认证有效保护了使用者的权限，保证了使用者的合法性，用户口令的安全就可有效防止非法使用者的盗用，就可保护网络的安全。

2.6 实现网络访问控制●面向对象的安全规则编辑网络在防火墙安全规则上可以针对单独的主机、一组主机、一个网段进行设置，是一种面向对象的安全规则编辑方式。

●网络通讯端口可以根据网络通讯端口设置安全规则，可以针对电业局保护对象开放某些服务端口，这样其他的通讯端口均对外关闭。

●网络协议防火墙支持多种网络协议如TCP、UDP、ICMP等，在安全规则中可以按照网络协议进行设置。

●信息传输方向、操作方式一个网络通讯连接的建立，信息必有来源同时有目的地，防火墙在设置安全规则时均可以进行明确的指定，有效地保证了电业局通讯连接的合法化。

因此可以根据信息传输方向设置安全规则，同时可以在安全规则中设置允许、拒绝等操作方式。

●通讯时间在安全规则中可以按照星期几、每一天具体的时间设置，实现电业局的网络访问控制。

●网络服务可以根据网络服务设置安全规则。

通过以上的描述,我们可以看出,防火墙通过强大的控制功能,灵活的设置,可以很容易的实现负荷管理系统网络不受外部以及内部的恶意攻击,提高了负荷管理系统的安全性,保密性做到了任何外部网络对负荷管理系统的内部情况“看不见”,外部非法入侵者及特殊信息“进不来”,机要敏感信息“拿不走”,任何的非法对外访问“出不去”。