近年來，電力行業信息化發展迅速，無論是發電企業還是電網公司，企業內部網絡和各類信息化應用系統的建設已經逐步完善，網絡和信息安全防護措施逐漸成熟?？梢哉f，電力行業的信息化已經從“建設時期”進入了“維護和管理時期”。如何使信息化“建設時期”的投入轉化為企業真正的生產力，從而降低成本、提高效率，是當前電力行業各企業普遍關心并努力解決的問題之一。
 
    電力行業的內網結構復雜、應用系統眾多，網絡和應用系統的運維消耗了管理人員相當的精力。然而，根據統計發現，企業內網和應用系統發生故障的原因很少是由于網絡設備和應用系統自身的問題，更多的是因為企業內網的其它安全因素導致，如病毒爆發、資源濫用、惡意接入、用戶誤操作等。而這些安全因素，則幾乎全部來源于用戶終端計算機。因此，企業內網和應用系統的維護管理不是獨立的，應該從內網安全管理的全局出發，從事故發生的根源開始，對內網安全進行通盤考慮。

    內網安全管理面臨的問題

    當前電力行業內網安全管理面臨不少問題，其中如何有效地對內網終端計算機進行管理，困擾了相當多的IT管理人員。這些問題可分為如下幾類：

    1) 終端計算機的安全加固

    盡管多數電力企業對終端計算機的安全加固已經采取了部分安全措施，例如安裝了防病毒軟件和個人防火墻軟件，甚至部署了漏洞掃描系統定期對終端計算機進行漏洞掃描，督促用戶及時更新操作系統補丁。但是，這些努力措施卻沒有起到應有的效果。首先，企業管理者不能保證所有的終端用戶都安裝了防病毒軟件和防火墻軟件；其次，即便安裝了這些防護軟件，用戶也常常因為各種原因無法及時更新病毒庫，也不知道如何正確配置防火墻策略；另外，系統漏洞掃描雖然可以獲得終端計算機的補丁缺失情況，但是卻缺乏有效的補丁安裝手段。所有這些因素，均導致終端計算機的安全無法保障。

    2) 終端計算機的接入控制

    電力行業企業一般來說都屬于大中型企業，內網計算機數量眾多。IT管理人員很難統計內網計算機的確切數量，也無法區分哪些是內網授權使用的計算機，哪些是外來的非授權使用的計算機。這種狀況下，很難控制外來人員隨意的計算機接入。很容易導致企業內網機密信息的泄漏，往往等泄密事件發生了，卻還無法判斷到底是哪一個環節出了差錯。
另外，對于內網授權使用的計算機，任何一臺感染了病毒和木馬，IT管理人員也無法及時定位和自動阻斷該計算機的破壞行為。往往需要花費很長的時間才能判斷和定位該計算機，然后再通過手動的方式斷網。對安全強度差的終端計算機缺乏有效的安全狀態檢測和內網接入控制，是IT管理人員比較頭疼的問題之一。

    3) 終端計算機的行為監控

    在電力行業中，內網的建設和使用的確為企業提供了效率增長的工具，但是部分企業卻發現恰恰正是由于內網的使用，反而導致部分員工的工作效率成倍下降。這主要是由于這些員工經常利用終端計算機進行與業務無關的互聯網訪問、文件下載、網絡聊天、玩計算機游戲?？措娪暗?。首先，這些用戶行為給企業造成了生產力損失，降低了工作效率；其次，員工對互聯網的過渡訪問會占用企業極大的網絡帶寬，給正常用戶的網絡使用造成沖擊；另外，上網會增加終端計算機感染病毒和木馬的可能性，給內網帶來新的安全隱患和風險。因此，如何規范員工的終端計算機使用，并對其行為進行控制，給IT管理人員提出了新的課題。

    4) 終端計算機的配置管理

    對于電力行業龐大的企業網絡和眾多的終端計算機，依靠傳統的資產登記管理辦法，根本無法做到對計算機配置信息的準確掌握，對計算機配置的變化也無法及時跟蹤。例如，要準確掌握每臺計算機的軟硬件配置信息，通過手工方式將是非常耗時和繁瑣的工作。要想實時并準確地掌握內網終端計算機的配置狀況與配置變更狀況，必須通過技術手段和工具來輔助實現，才能有效節省成本和資源，提高內網管理的效率。

    5) 終端計算機的遠程維護

    對于網絡規模普遍較大的電力企業來說，終端計算機的數量眾多，IT管理人員無法實時掌握每臺終端計算機的運行狀態。當終端計算機出現故障需要維護時，IT管理人員如果采用現場維護的方式，一方面增加了人力成本，另外由于人力資源有限，也無法保證維護的及時性。如何實時監視終端計算機的運行狀況，并且方便地對終端計算機進行遠程維護，是IT管理人員迫切需要解決的問題。

    內網安全管理解決方案

    針對以上幾類IT管理人員面臨的終端計算機管理問題，隨著近年來網絡安全焦點從互聯網向企業內網的轉移，電力行業部分企業也采取了一些終端管理措施，并取得了一定的效果。隨著企業信息化水平和IT管理人員技術水平的提升，電力行業對內網終端計算機的管理逐漸形成了較為完善的、符合本行業特點的內網安全管理解決方案。在探索內網安全管理解決方案的同時，也出現了一些新的需求趨勢。

    1) 安全加固解決方案

    對終端計算機的安全加固可采取的措施有：補丁管理、防病毒軟件監測、主機防火墻。這些措施均增強了終端計算機的安全性和健壯性。  

    補丁管理

    通過補丁管理，能夠對內網終端計算機缺失補丁進行定期檢測和自動安裝與更新，保證系統與軟件缺陷一經發現便可及時修補。通過補丁分發管理，大大減少了操作系統和應用軟件漏洞被利用所造成的安全隱患和經濟損失。同時，IT管理人員還可以實時統計當前各終端計算機的補丁缺失情況、補丁安裝情況以及補丁安裝的進度等，得到全網的終端計算機補丁安裝快照。方便了對補丁分發過程的監控。

    防病毒軟件監測

    通過防病毒軟件監測，可以判斷終端計算機是否安裝了防病毒軟件、防病毒軟件運行是否正常以及病毒庫是否保持最新等情況。如果以上幾條不滿足設定的策略要求，監測系統可以向IT管理人員發送報警信息。另外，監測系統還可阻斷終端計算機的內網接入和內網訪問，確保易被感染的終端計算機無法使用內網。

    主機防火墻

    通過主機防火墻，一方面，可以阻斷來自外部的入侵，防止外來入侵給終端計算機帶來危害；另一方面，也可以對終端計算機的網絡訪問行為進行控制，防止內網用戶對網絡資源的濫用行為，如BT下載導致網絡帶寬過渡占用。
通過以上加固措施，使得終端計算機的安全強度和抵抗安全風險能力大大提高。更進一步，還可以對未及時更新補丁、未安裝防病毒軟件的計算機進行網絡訪問控制和隔離，使其形成內網中的“孤島”。避免該終端計算機對內網其它主機造成安全威脅。

    2) 接入控制解決方案

    所謂的接入控制，是指對接入內網的終端計算機進行身份鑒別或者安全狀態檢查，阻止未授權或不安全的終端計算機接入內網和訪問內網資源。通過接入控制，可以將外來計算機阻擋在內網之外，也可以將內網中安全性較差（未及時安裝補丁和防火墻軟件）的計算機隔離出內網，保證內網整體的安全性。

    ARP欺騙阻斷

    對于非授權計算機和不安全的計算機可以采用ARP欺騙的方式，用虛假的MAC地址刷新目標計算機的ARP緩存，導致該計算機無法與內網其它設備通訊，達到阻止其訪問網絡資源的目的。

    與交換機聯動阻斷

    更進一步的技術則是通過與交換機的聯動，自動判斷接入計算機的交換機接口，如果發現接入計算機未經過授權或者安全性較差，則通知交換機禁用該計算機所在的端口。徹底阻斷計算機的接入。

    以上兩種方式各有優缺點，如果能夠配合使用，則可極大提高計算機接入控制能力。通過接入控制，可最大限度地保證內網的整體安全性。

    3) 行為監控解決方案

    對于用戶數量達到上千的電力企業，如何規范內網用戶行為，是節約成本、提高效率的關鍵因素之一。對用戶行為的監控，包括用戶網絡資源的使用是否合理、是否進行了與工作無關的網絡訪問等。如：BT下載、MSN/QQ聊天、瀏覽與工作無關的網站、玩電腦游戲、觀看視頻、聽音樂等。

    進程監控
 
    通過對終端計算機運行的進程進行監控，可以發現用戶正在運行的程序?？梢酝ㄟ^進程黑名單的方式限制用戶運行某些程序，例如游戲、攻擊工具、視頻播放器、MP3播放器等。限制用戶利用計算機進行與工作無關的操作。

    上網控制

    通過對終端計算機的上網控制，可以限定終端計算機的網站訪問、網絡聊天和BT下載行為，使得終端計算機的用戶行為得到有效控制，既可避免用戶濫用網絡資源，又能降低隨意瀏覽互聯網帶來的安全隱患。

    配置管理解決方案

    配置管理主要完成終端計算機的各種信息的收集和系統參數的配置。通過配置管理，IT管理人員可以準確掌握每臺終端計算機的配置狀況和運行參數，并對批量地對終端計算機的運行參數進行遠程修改。

    主機信息收集

收集終端計算機相關信息，如主機名、IP地址、網絡參數、帳戶信息、安裝軟件清單、硬件清單、驅動程序清單、服務清單、進程清單、系統日志等。為終端計算機的維護和故障診斷提供參考。

    網絡參數設定

    設置終端計算機的網絡參數，包括IP地址、網關、DNS、WINS等。當網絡結構發生變動時，可以快速重新變更計算機網絡參數。大大減輕IT管理人員的網絡管理壓力。

    遠程維護解決方案

    遠程維護作為IT管理人員一項不可缺少的工作，如果沒有良好的技術手段做支撐，僅僅依靠電話、郵件等方式往往無法解決問題。從而加重了IT管理人員的負擔。遠程維護就是依靠技術手段和工具，遠程對終端計算機進行故障診斷、系統修復和日常維護等。

    遠程協助

    通過遠程協助，IT管理人員可以響應遠程終端計算機的協助請求，臨時接管遠程終端計算機，進行本地化操作。例如：開關機、搜索可疑文件、服務/進程查看、系統配置查看、資源使用監視等。IT管理人員完成維護操作后，釋放對終端計算機的接管。
    預警平臺

    預警平臺可以為IT管理人員與終端用戶建立一個即時通訊的平臺，通過該平臺，IT管理人員可以接受和回復終端用戶的咨詢，可以得到終端計算機的安全告警，也可以定期向終端用戶發布安全預警信息和安全管理策略等。方便了IT管理人員與用戶的交流和交互。

    內網安全管理新趨勢 

    在電力行業，由于技術和產品的限制，前幾年已經采取內網安全管理措施的企業，大多選用了多個安全產品，通過各產品間的協同工作，共同完成終端計算機的管理。應該說，這種方案取得了一定的效果。但是也面臨各產品之間的交互以及與信息共享的難題。由于這些產品由不同安全廠商供應，很難真正實現產品之間的聯動，給IT管理人員帶來不少麻煩。

    隨著技術的進步，目前的電力行業內網安全管理已經呈現出新的趨勢，包括：

    1) 內網安全管理重心繼續向終端計算機轉移

    內網安全管理明顯地服務器區域轉向了終端計算機，因為終端計算機數量眾多，任何一臺出現安全隱患，對整個內網都可能會產生巨大的沖擊和破壞。

    2) 對功能高度集成的終端安全產品提出了需求

    企業用戶逐漸認識到，內網的安全管理是一個有機的整體，不是靠安全產品的簡單堆砌就能解決，采用高度功能集成的安全產品可能是一個更好的選擇。目前，國內已經出現了適合內網安全管理的功能高度集成的終端安全產品。這類產品的功能定位逐漸明確，具有適合內網安全管理的鮮明特色。

    3) 終端安全加固與運行維護并重

    終端計算機作為員工日常工作的工具，當然要保證其安全性。不過，企業用戶逐漸認識到，終端計算機的使用最終目的是為了降低成本、提高效率。因此內網既要安全，也要易于維護。應該通過技術手段提高終端計算機的維護管理水平。
    目前，內網安全管理已經成為一個專門的安全領域。在該領域內，逐漸形成了一批有影響力的安全廠商。對于計劃考慮采取內網安全管理措施的企業，目前已經有了更加適合的產品解決方案。例如，北京圣博潤高新技術有限公司推出的LanSecS內網安全管理系統，針對電力行業終端計算機數量眾多，網絡結構復雜的行業特點，有針對性地加強了網絡管理功能。并將終端管理與網絡管理有機結合在一起，提出了“單點防護、網絡聯動、全面管理”的內網安全管理新思路，進一步完善了內網安全管理理念。通過終端加固、終端監控、終端維護、接入控制、網絡管理、資產管理等功能的協同與交互，幫助電力行業用戶利用單一產品就可實現全面的內網安全管理。不僅大大節省了企業的投資、也減輕了IT管理人員的內網管理負擔，提高了工作效率。目前在電力行業中，該產品已經擁有東北電網、包頭供電局、云南大朝山水電有限公司、錦州東港電力、山東荷澤供電公司等幾十家成功案例。為電力行業的內網安全管理做出了應有的努力。