【 摘 要 】 随着企业信息化步伐的加快，大多数企业利用计算机和局域网来辅助企业管理，如在电力企业中已开发运行成熟的OA系统、调配一体化、ERP、GIS、应急指挥系统等一些信息管理系统，通过局域网的方式极大地提高了企业的工作效率。然而伴随着近几年网络安全技术的发展，局域网用户访问控制管理日显突出，虽然终端用户也采用了防病毒、防火墙、漏洞扫描和入侵检测等安全措施，来提升局域网的运行速度和数据安全。但是，网络安全仍然存在诸多隐患。目前日益突出的问题是：由单位内部网引发的安全问题。随着电力企业内部局域网与互联网相互联接，无疑给企业的局域网管理带来了很大的压力和挑战。这就要求我们的网络管理者要高度重视网络本身的安全行为控制管理问题。有了一套行之有效的上网行为控制措施，就可保证局域网的畅通和安全运行。
　　【 关键词 】 局域网；行为控制；方案
　　1 电力企业局域网络现状
　　国内众多企业在建立自己的局域网后，往往面临单位早期开发的各种应用专业软件在网内由于数据格式对接困难而无法共享，造成大量数据的重复建立。而建立局域网的作用本身就是要有效地实现企业内部的资源共享、信息发布、技术交流、生产组织、企业管理等。
　　目前企业局域网大多都是按照千兆网络建立的，信息点覆盖整个单位的生产和管理全过程，从而给企业内各部门提供了一个快速、便捷的信息交流平台。在内部网运行的OA系统就可实现企业的无纸化电子办公。当然如果企业仅有内网是远远不够的，局域网必须要通过与外部Internet的连接，企业终端用户可以直接与互联网建立联接。利用千兆高速网络交换技术给用户提供了快速、方便的数据交换平台的同时，也为局域网的安全带来了更大的风险。当终端用户达到600个以上的情况后，局域网络管理就比较困难了。如网络欺骗、病毒攻击、用户越权访问等，往往将造成整个网络的瘫痪。因此；在已建成的企业局域网中严格建立并实施一套完整、可控制的用户上网行为解决方案就显得极为迫切。
　　1.1 网络中的安全构架
　　企业的组网技术可有多种不同选择，但常用的是以太网和ATM网，在电力企业局域网中，通常的网络结构是：局域网一般由内网和外网两部分组成。内网又分成主干网和一些相对独立的子网。VPN服务器可看做是局域网中的一个子网，通过VPN把企业内部网和外部网连接起来，从而在二者之间起隔离阻断作用，有效地防止外网黑客的入侵。
　　对于企业网内已运行的管理信息平台可采用VSEAF统一用户权限认证管理体系，该体系安全可靠，能实现多层次、精确的权限控制，可将内部用户和外部用户安全隔离，保证了管理信息系统安全稳定。
　　电力企业局域网按访问职能可以划分为内部网络和Internet两个区域。内部网络又可按照所属系统、安全重要程度划为不同子网，如电力调度远动系统、企业门户网站、OA办公系统、生产及人财物管理子系统、电网地理信息GIS系统、客户交费子网、事故应急指挥系统等。在网络安全方案设计中，要重点考虑基于网络用户的安全重要程度和要保护的对象，可以在Catalyst 型交换机中划分多个虚拟局域网（VLAN），在主交换机中将整个局域网划分成多个独立的不同网段。
　　1.2 企业局域网络中的安全隐患
　　电力企业局域网与Internet直接连结，作为网络管理者就要考虑与内网与外部Internet连结的风险，如Internet的非授权访问、DOS攻击、黑客攻击等。
　　局域网内公开服务器的安全隐患最大，往往就是这类公开服务器最易遭到攻击后扩散到内部网用户中。因此在企业建立网络时应该考虑多采用安全服务器。内部网络中应考虑将不同功能和安全级别的网络服务器分割开。
　　1.2.1网络安全防护的脆弱
　　网络安全防护是一个系统性和长期性的任务。一是随着网络的日益开放，电网中实时运行控制系统终端的大量增加，造成对网络数据库服务器的依赖性越来越强，电力生产控制系统也越来越庞大，大量数据的安全性相对也极脆弱。二是计算机网络技术的日新月异，黑客的攻击手段也发展很快，你今天能有很有效的防火墙或隔离装置、安全策略，可能明天就无效。因此,必须依靠一套不断更新和完善的安全措施来及时应对，堵住可能出现的漏洞,防患于未然。
　　1.2.2 内部网络用户的非授权访问
　　网络用户终端越权访问已成为局域网安全体系中的一个薄弱环节，一旦出现，将威胁到整个网络的安全。内部网络用户的非授权访问，也就是没有预先经过管理员同意和授权，就使用网络或数据资源，即被看作是非授权访问，部分用户有意避开网络访问控制机制，对网络设备及资源进行非正常使用，或擅自修改并扩大访问权限。
　　1.2.3 网络用户的越权登陆控制问题
　　内部局域网会出现假冒他人身份，未经授权而非法使用他人计算机的情况；信息资源的管理；由于出现越权访问，使得单位的一些重要资源泄露；企业员工经常在上班时间玩游戏，办理个人私事，比如上网聊天、炒股、购物等情况，管理员很难控制；由于个别或一批员工从互联网下载视频，导致整个局域网的网速缓慢，从而极大地影响了正常电子办公。
　　2 局域网络中安全行为管理控制对策
　　针对以上局域网管理普遍存在的问题，目前较为可行的就是采用一套基于局域网管理的安全访问控制解决方案。该局域网安全访问控制解决方案是基于PKI理论，通过软硬件结合的方式，实行统一的控制服务器来实现网络访问策略的集中管理。
　　在应用程序开发前就应考虑必需要有用户登录验证，防止非授权用户访问的功能。总之，在进行网络方案设计时，应综合考虑到电力企业对局域网在网络安全、畅通、稳定可靠的要求，要对电力企业网络中已开发运行的系统潜在的安全风险进行综合考虑。
　　在信息中心部署一台CA服务器，用来给内网用户发放数字证书；另外还需配备两台服务器，一台作认证服务器用于对终端用户的身份进行认证；另一台安装局域网终端访问控制软件，作为访问控制服务器用，在访问控制服务器上进行集中的安全部署策略，制定一套安全策略方案来实现对客户端计算机的安全管理。通过安全控制中心可实现对局域网客户端进行集中式的管理。
　　局域网中采用终端访问控制技术。通过局域网管理员在访问控制服务器上配置，授权不同的用户对网络的访问权限，对局域网内的每个终端用户都要建立或注册自己的数字证书。用户登录个人PC必须使用SecureKey，一旦将SecureKey从计算机上拔出，系统会自动锁定或注销该用户。这样就防止了局域网内非法使用他人的电脑。
　　在控制服务器中可以设置网内的PC终端用户是否准许其上网，在网络中指定允许终端用户运行的应用软件和访问的网址；同时对不可访问的资源，如禁止用户访问的应用软件、网络游戏、关键字网站、视频下载等。
　　网络中数据库的安全与控制。数据库的安全问题最主要的就是访问控制策略。访问控制策略主要应考虑用户的最小特权策略和最大共享策略。
　　最小特权策略就是把信息共享局限在实际工作中确实需要的部分用户的范围内。其余的访问权限一律封闭。这样可把企业数据信息外泄限制在最小范围内，同时数据库的完整性也能得到加强。
　　最大共享策略就是最大限度地利用数据库信息。在满足保密的前提下实现最大限度的共享。比如对厂务公开、图书馆资料、企业文化等数据库，一般都可随时登录查询。但有些非常机密珍贵的数据资源就需要专门的授权才能登录访问。
　　3 结论
　　本文提出的局域网访问控制解决思路与对策，可有效地解决企业面临的局域网终端用户管理失控问题，网络畅通了自然就减轻了网络管理员的负担，同时在局域网的建设中也提供了一些有意义的尝试和探索经验。通过建立一套行之有效的安全行为控制方案，从而实现和确保了企业局域网络用户的正常电子办公和数据处理。局域网安全管理控制方案的实施必将为电力企业信息网络正常运行提供一套可靠的防火墙。
　　参考文献
　　[1] 张沪寅,吴黎兵,吕慧.计算机网络管理实用教程(第2版).武汉大学出版社.
　　[2] 洛克哈特(Andrew Lockhart),陈新.网络安全Hacks(第2版).中国电力出版社.
　　[3] 国家电网公司人力资源部.电网调度自动化主站维护(套装上下册) .中国电力出版社.
　　
　　作者简介：
　　李斌（1964-），男，四川广元人，本科，工程师；研究方向：电力企业信息网络安全策略应对。