电力企业网络边界安全防护应用的探讨_NoRestriction.pdfVIP

匿型垂垂圈鎏垂圈蚕亟嚣 …——……——…～～ 电力企业网络边界安全防护应用的探讨 袁 方 (安徽省电力科学研究院，安徽合肥230022) 摘要：局域网是电力企业最基础的系统之一，它的安全、可靠和稳定对电力企业的各种网络业务应用起到 关键作用。但对电力企业网络的来自不同网络不同区域问的恶意攻击，尤其是内部攻击逐渐成为主要危险 源。在对国家电网公司日益强调信息安全的大环境下，结合时下较为流行的网络攻击手段，整理归纳了在企 业边界路南上构筑安全防护的技术手段，就部分恶意攻击的特性进行了分析，提出了栩应的解决方法。 关键词：企业网络；信息安全；边界；路由 服务攻击。在这种攻击中，攻击者使用假冒的源地 0 引言 址向你的网络广播地址发送一个“ICMPecho”请 对于局域网来说，路由器已经成为正在使用之 求。这要求所有的主机对这个广播请求做_}__n回应。 中的最重要的安全设备之一。从安徽电力网络的 这种情况至少会降低你的网络性能。 路由没置命令根据请求，参考相应的路由器信 典型拓扑结构来看，大多数企业网络都有一个主要 息文件，了解如何关闭IP直接广播。以思科为例， 的接入点。这就是通常与专用防火墙一起使用的 “边界路由器”。 “Central(config)#noip 经过恰当的设置，边缘路由器能够把几乎所有 闭思科路由器的lP直接广播地址。 的危险分子挡在本企业的网络之外。值得注意的 3 如果可能，关闭路由器的HTTP 是从大多数对电力企业网络的攻击往往来自于 设置 10．138．x．x，也就是说，这些危险分子就隐藏在我 们身边的网络中。 正如思科的技术说明中简要说明的那样，H‘11I、P 在下列策略中，将研究一下在企业局域网络与 使用的身份识别协议相当于向整个网络发送一个 企业局域网络之问的边界路由上，可以用来保护网 未加密的口令。然而，遗憾的是，HrIrllP协议中没有 络安全的9个方便的策略。这些策略能够保证企业 一个用于验证口令或者一次性口令的有效规定。 拥有一道保护网络的砖墙，而不是一个敞开的大门。 虽然这种未加密的口令对于你从远程位置设 置你的路由器也许是非常方便的，但是，你能够做 1 修改默认的口令 到的事情其他人也照样可以做到。特别是如果你 在信息安全业内，根据卡内基梅隆大学的 仍在使用默认的口令!如果你必须远程管理路由 器，你一定要确保使用SNMPv3以上版本的协议，因 CERT／Cc(计算机应急反应小组／控制中心)的研 究，80％的安全突破事件是由薄弱的13令引起的。为它支持更严格的口令。 网络上有大多数路由器的广泛的默认口令列表。 4封锁ICMPping请求 你可以肯定在某些地方的某个人会知道你的生H 等。简单的密码可能会被密码破译软件攻破。至 ping的主要目的是识别目前正在使用的主机。 于密码的强壮程度这里不作深入讨论。 因此，ping通常用于更大规模的协同性攻击之前的