談?chuàng)P州供電公司信息網絡的安全規(guī)劃與建設

2013-12-03 16:23:25 電力信息化　點擊量：評論 (0)

摘要：通過對揚州供電公司信息網絡安全管理現(xiàn)狀的分析，找到目前公司存在的信息網絡安全管理缺陷，提出信息網絡安全管理的總體構想，并分析構成信息網絡安全的物理安全、鏈路安全、網絡安全、系統(tǒng)安全、信息安

容易被攻擊的服務器獨立放到一個特定的保護區(qū)中，這樣的區(qū)域一般稱之為非軍事區(qū)。

4．2．2、防火墻的部署

根據揚州供電公司信息網絡現(xiàn)狀，市公司局域網使用Cisco Catalyst 6500為核心交換機，各縣（市）公司以Catalyst 4500為核心交換機。對于防火墻的部署，我們有兩種可選方案：

（1）在核心交換機Catalyst6500上配置防火墻模塊?？梢砸訴LAN為基礎劃分安全區(qū)域，利用硬件防火墻的高性能為VLAN間提供防火墻的保護。

（2）利用CISCO IOS內置的防火墻特性。Catalyst6500交換機的NATIVE IOS版本均提供內置的防火墻特性CBAC，可以以VLAN為基礎劃分安全區(qū)域，利用IOS中基于狀態(tài)(stateful)的防火墻功能（CBAC）為VLAN間提供防火墻的保護。

4．3、入侵檢測系統(tǒng)

4．3．1、入侵檢測方案設計

目前比較常用的安全產品是防火墻，但防火墻是一種靜態(tài)的防護措施，只能實現(xiàn)訪問控制和過濾等基本功能，對于一些復雜和變化的網絡環(huán)境，防火墻則難以適應。

入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異?，F(xiàn)象的技術，是一種用于檢測計算機網絡中違反安全策略行為的技術。

4．3．2、入侵檢測系統(tǒng)部署

市公司局域網中已經部署了一臺聯(lián)想IDS系統(tǒng)，根據目前使用的情況來看，其本身的性能能夠滿足當前的需要。但是該系統(tǒng)屬于“基于網絡的IDS系統(tǒng)”，即Network-based IDS(縮寫為NIDS)，為了保障IDS系統(tǒng)的完整性，有必要在關鍵服務器上配置“基于主機的IDS系統(tǒng)”，即Host-based IDS（縮寫為HIDS），NIDS和HIDS相互配合，充分發(fā)揮IDS系統(tǒng)的作用。

4．4、漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)安全檢測涉及到網絡中的防火墻、路由器、主機（Microsoft Windows、 LINUX 、 IBM AIX、SUN 、HPUX 等）漏洞及開啟的服務，文件的內容和配置以及系統(tǒng)安全補丁等問題。應用漏洞掃描系統(tǒng)可以提前警告網絡系統(tǒng)中的弱點所在，防止黑客入侵和內部人員的誤用。

在市公司局域網內安裝漏洞掃描系統(tǒng)，定期對市公司及各縣（市）公司信息網絡進行漏洞掃描，主動發(fā)現(xiàn)安全漏洞，消除安全隱患。

5、系統(tǒng)安全

5．1、操作系統(tǒng)的安全

操作系統(tǒng)是應用軟件和服務運行的公共平臺，操作系統(tǒng)安全漏洞是網絡入侵的重要因素。因此，首先必須選擇安全的操作系統(tǒng)平臺。

1、用戶識別和認證

系統(tǒng)通過用戶名識別用戶，至少提供基本的用戶名口令認證機制。

2、自主型訪問控制

系統(tǒng)可以根據用戶的注冊名決定用戶的訪問控制權限，用戶可以自己決定所擁有的資源的授權。

5．2、數據庫的安全

數據庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數據信息