大勢至(北京)軟件工程有限公司
免費會員
具體成交價以合同協議為準
大勢至電力行業上網行為管理、企業數據防解決方案
電力行業特點
電力行業是國家的支柱產業,持續、穩定、高效的電力供應是關系到國計民生的大事。隨著電力行業的不斷發展,電力行業信息化程度不斷提高,電力網絡系統中的應用越來越多。同時,隨著Internet技術的發展,建立在Internet架構上的跨地區、全行業系統內部信息網開始逐步建立,網上應用著各種電力業務及辦公系統。與此同時,電力信息網絡系統的網絡安全問題愈來愈顯得重要。
電力企業網絡管理的問題
當前電力行業網絡管理的主要問題是局域網的安全問題。這些問題可分為如下幾類:
1、電力公司局域網計算機終端安全問題
盡管多數電力企業對終端計算機的安全加固已經采取了部分安全措施,例如安裝了防病毒軟件和個人防火墻軟件,甚至部署了漏洞掃描系統定期對終端計算機進行漏洞掃描,督促用戶及時更新操作系統補丁等,這些舉措雖然起到一定的安全防護作用。但是,由于員工隨意插入U盤而導致電腦感染病毒,隨意修改操作系統關鍵位置(如注冊表、組策略)而引發的電腦安全風險以及隨意下載和安裝軟件引發的電腦故障、中毒等問題依然無法進行有效的管控。
2、外部電腦、移動設備和終端電腦的接入控制
電力行業很多企業都是大中型企業,局域網計算機數量眾多。IT管理人員很難統計內網計算機的確切數量,也無法區分哪些是內網使用的計算機,哪些是外來的非使用的計算機。這種狀況下,很難控制外來人員隨意的計算機接入。而一旦外部電腦或非電腦接入局域網,一方面會占用局域網網絡帶寬資源,另一方面還可以非法訪問局域網服務器文件或與局域網其他電腦通訊,經常造成商業機密的泄露,給電力企業信息安全帶來巨大風險。
同時,對于內網使用的計算機感染了病毒和木馬,IT管理人員也無法及時定位和自動阻斷該計算機的破壞行為,使得被感染的電腦有可能向局域網進行病毒擴散,甚至引發網絡攻擊行為的出現,對內網安全造成重大影響。
此外,當員工向局域網接入無線路由器、手機、隨身wifi等移動設備時,常常缺乏監管而造成網絡資源的濫用,甚至引發一些網絡安全隱患。
3、局域網終端電腦、移動設備的上網行為監控
雖然電力企業通過信息化、網絡系統等大幅度提升了工作效率和生產效率,但是也同樣存在隨意上網、濫用網絡資源而導致的消極影響。比如經常有員工利用終端計算機進行與業務無關的互聯網訪問、文件下載、玩計算機游戲、看電影等。首先,這些用戶行為給企業造成了生產力損失,降低了工作效率;其次,員工對互聯網的過渡訪問會占用企業極大的網絡帶寬,給正常用戶的網絡使用造成沖擊;另外,上網會增加終端計算機感染病毒和木馬的可能性,給內網帶來新的安全隱患和風險。因此,如何規范員工的終端計算機使用,并對其行為進行控制,給IT管理人員提出了新的課題。
4、局域網終端計算機的資產統計和配置管理
由于電腦企業局域網網絡結構通常比較龐大,內網計算機數量很多,如何實時統計這些硬件資產同樣是一件非常重要的網絡管理工作。例如,要準確掌握每臺計算機的軟硬件配置信息,通過手工方式將是非常耗時和繁瑣的工作。要想實時并準確地掌握內網終端計算機的配置狀況與配置變更狀況,必須通過技術手段和工具來輔助實現,才能有效節省成本和資源,提高內網管理的效率。
5、局域網終端計算機的遠程管理、遠程支持
對于電力企業的網絡管理人員而言,由于網絡結構復雜,終端計算機數量巨大,網絡管理問題時有發生,網絡管理人員無法實時、一一進行現場解決,通常需要進行遠程維護。如何實時監視終端計算機的運行狀況,并且方便地對終端計算機進行遠程維護,是IT管理人員迫切需要解決的問題。
6、局域網文件服務器共享文件的權限設置和管理
電力企業局域網通常也設置了文件服務器,并且通常共享一些文件供局域網終端計算機訪問。雖然通過Windows AD域控制器的方式可以起到一定的共享文件訪問權限的管控。但依然無法有效、精細地控制共享文件某些訪問權限。比如只讓打開共享文件而禁止另存為本地磁盤、只讓讀取共享文件而禁止復制共享文件、只讓修改共享文件而禁止刪除共享文件,以及禁止打印共享文件、禁止拖拽共享文件到訪問者自己的電腦,從而防止共享文件存儲到員工自己的電腦而導致的可能。
電力企業內網安全管理解決方案
針對電力企業內網終端計算機存在的一些安全問題,很多電力企業紛紛采取各種舉措來加強單位內網終端計算機的管理。很多單位制定了嚴苛的終端計算機使用制度和規定,部署了一些網絡運維系統從技術層面提升終端安全,一些網絡管理人員的網絡安全意識有了提高,各種終端安全、網絡安全的舉措也一一建立起來,終端計算機的安全水準有很大提升。
大勢至(北京)軟件工程有限公司作為一家專業的上網行為管理和信息安全防護的廠家,在電力行業網絡管理領域具有自己*的優勢,甚至可以解決一線廠家無法解決的網絡安全、信息安全和上網行為管理的各種問題。具體如下:
1、終端計算機安全加固解決方案
對終端計算機的安全加固可采取的措施有:補丁管理、防病毒軟件監測、主機防火墻。這些措施均增強了終端計算機的安全性和健壯性。但是還遠遠不夠,例如員工經常隨意安裝一些與工作無關的軟件,一些懂技術的員工隨意修改電腦的注冊表、組策略,甚至以U盤、光盤啟動電腦而繞過常規網絡運維系統、殺毒軟件和防火墻的監控。這種情況下,我公司的“大勢至網絡運維管理系統”就可以提供有效的管控。
大勢至網絡運維管理系統可以對操作系統關鍵位置進行有效的管控,禁止隨意修改注冊表、組策略等操作系統關鍵位置,禁止通過U盤、光盤等方式啟動電腦。同時,還可以禁止終端計算機隨意安裝軟件,或者只讓終端計算機運行某些軟件,訪問的網站等等,從而極大地保護了終端計算機的安全。
2、內網接入控制解決方案
針對電力內網存在終端計算機、移動設備隨意接入的情況,可以部署大“大勢至網絡準入控制系統”,而且只需要在局域網一臺電腦部署,就可以實時掃描局域網接入的終端電腦或移動設備,阻止未或不安全的終端計算機接入內網和訪問內網資源。通過接入控制,可以將外來計算機阻擋在內網之外,也可以將內網中安全性較差(未及時安裝補丁和防火墻軟件)的計算機隔離出內網,保證內網整體的安全性。此外,還可以進行局域網IP和MAC地址綁定,防止隨意修改IP地址,防止局域網電腦安裝嗅探軟件或抓包軟件進行非法抓包情況,防止局域網ARP攻擊行為以及禁止局域網代理上網的情況發生,從而極大地保護了局域網網絡安全。
同時,大勢至網絡準入控制系統除了常規的基于地址解析協議的端口重定向隔離技術之外,還可以通過與交換機的聯動,自動判斷接入計算機的交換機接口,如果發現接入計算機未經過或者安全性較差,則通知交換機禁用該計算機所在的端口,*阻斷計算機的接入,實現了較大程度上的終端接入控制。
3、終端電腦上網行為監控解決方案
通過大勢至網絡行為管理系統(聚生網管)可以對局域網電腦進行有效的上網行為管控。與同類網絡管理系統必須通過串接、橋接或旁路部署方式不同,聚生網管監控軟件基于的“虛擬網關”技術,可以直接部署在局域網任意一臺電腦上,內網其他電腦不需要安裝客戶端,也不需要調整網絡結構就可以實現的網絡行為控制,可以有效禁止局域網迅雷下載、禁止員工玩游戲、禁止上班炒股、禁止網購、禁止P2P下載、禁止在線看視頻等,同時還可以限制電腦網速,防止局域網電腦隨意搶占網絡帶寬的行為,保護了網絡資源。
兩種部署方式,首先可以在一個聚生網管的控制機上面額外配置多塊網卡(較高配置6塊),然后通過每個網卡分別接入各個局域網上的交換機的方式實現對多個局域網的監控,如圖(一)所示。如果存在多個多個交換機、多個局域網的情況下,可以在每個局域網對應的交換機下面各配置一臺聚生網管的控制機,分別控制各自的局域網,如圖(二)所示。
同時,針對電力企業網絡規模通常較大,并且經常采用三層交換機劃分多網段的情況,聚生網管系統集成了的“創新直連”架構,只需要接入三層交換機的一個網段就可以控制所有網段的電腦上網行國內同類網絡管理系統必須采用串接、橋接和旁路方式部署網絡管理軟件的弊端,是當前國內較優監控三層交換機多網段的網管軟件部署方式。如下圖所示:
4、服務器共享文件的訪問權限設置方案
針對電力企業局域網服務器共享文件安全管理的問題,大勢至局域網共享文件管理系統可以全面設置服務器共享文件的安全,只需要在文件服務器上安裝之后,就可以設置共享文件的各種訪問權限,可以根據服務器賬號或訪問者MAC地址的方式來分配訪問權限,可以只讓讀取共享文件而阻止復制共享文件、只讓修改共享文件而禁止刪除共享文件、只讓打開共享文件而禁止另存為本地磁盤,以及阻止拖拽共享文件、打印共享文件的行為,從而保護了服務器共享文件的安全。
本系統基于NDIS核心層文件過濾驅動進行實現,其中,較上層是一個NDIS Protocol Driver,它向上提供一個Transport Driver Interface(TDI),向下通過NDIS接口與下面的NDIS中間層的上邊界交互,NDIS中間層的下邊界通過NDIS接口與下層的NDIS Miniport Driver交互。較后,由NDIS Miniport Driver利用NDIS接口與物理網絡設備NetCard交互。處理流程如下:
此外,本系統還可以詳細記錄局域網用戶訪問共享文件的日志,從而便于時候備查和審計。
總之,電力行業網絡管理直接關系到電力系統的穩定和高效運行,直接關系到國民經濟各個環節的正常運轉。因此電力企業的網絡管理工作也極其重要,大勢至公司憑借*的網絡管理產品,以及在各級電力企業的大量客戶,可以為國內電力企業網絡管理做出自己貢獻。此外,大勢至公司憑借強大的研發團隊,還可以為電力企業定制開發各種網絡管理功能,進一步滿足電力企業網絡管理的個性化需求,真正幫助電力企業實現網絡管理的目的。
