談揚州供電公司信息網絡的安全規劃與建設

2013-12-03 16:23:25 電力信息化　點擊量：評論 (0)

摘要：通過對揚州供電公司信息網絡安全管理現狀的分析，找到目前公司存在的信息網絡安全管理缺陷，提出信息網絡安全管理的總體構想，并分析構成信息網絡安全的物理安全、鏈路安全、網絡安全、系統安全、信息安

摘要：通過對揚州供電公司信息網絡安全管理現狀的分析，找到目前公司存在的信息網絡安全管理缺陷，提出信息網絡安全管理的總體構想，并分析構成信息網絡安全的物理安全、鏈路安全、網絡安全、系統安全、信息安全五部份內容。

1、揚州供電公司信息網絡安全管理現狀

目前，揚州供電公司信息網絡采取了多種手段來保障網絡運行的安全，主要如下：

1.1、利用MPLS技術實現多業務系統的安全互聯

省公司統一規劃的MPLS/VPN網絡改造實施之后，采用MPLS技術對原有的廣域網接入方式進行了改造，采用基于MPLS的VPN技術對覆蓋全省的業務系統劃分VPN，進行安全隔離，并提供安全有效的信息交互手段。這樣各個業務系統雖然承載在一個大的物理網絡上，但網絡的邏輯結構已將其安全隔離，并在統一的方式下進行信息交互。

1.2、市公司配置了IDS入侵監測系統，提供對市公司局域網內服務器和關鍵業務網段的監控。

1.3、使用防火墻實現與銀行的安全互連。

1.4、根據應用層次、應用類型的各不相同，我們對具體的虛網網段，配置了安全訪問控制列表（ACL），實現對虛網網段的保護。

2、問題分析

在網絡建設和維護的實踐過程中，發現揚州供電公司信息網絡安全存在以下幾方面的問題：

1、缺乏統一的安全策略：目前信息網絡安全的建設主要是針對不同的安全問題和安全隱患分別采用了相應的安全措施，扮演的主要是“救火員”的角色。而不是在對全公司信息資源進行通盤評估的基礎上建立一個統一的安全管理策略。因此，隨著網絡規模的擴展和網絡新應用的開展，單個孤立的系統無機的結合在一起，這給信息網絡的安全管理帶來了隱患，嚴重影響信息網絡的安全可靠運行。

2、現有安全手段力度不夠：目前局域網內的安全手段有兩種：（1）保護服務器和主要網段的聯想IDS系統、（2）控制虛網間流量的訪問控制列表（ACL）。這兩個手段均有其自身的不足：（1）IDS系統作為一種事后安全機制，其安全功能的發揮與系統本身所能識別的攻擊類型密切相關，當發生的非法攻擊并不能為IDS識別時，IDS系統無法發揮作用；（2）訪問控制列表可以根據TCP/UDP/IP層的信息對流量進行過濾，但對于一些復雜的應用比如基于H.323協議的多媒體應用，ACL無法發揮作用。

3、網絡安全的覆蓋范圍不全面：揚州供電公司信息網絡是基于TCP/IP互連的綜合網絡，根據TCP/IP協議簇的特性，全面的網絡安全應包括OSI七層協議層次的安全，目前的網絡安全仍然局限在單個的方面或層次。

4、如何由安全問題的被動響應轉為主動、智能地防御？近幾年來網絡蠕