(宜阳县供电公司河南洛阳471600)
摘要:随着全国各地电力信息网建设的加快,以及各大区电网间光纤网络互联的实现,我国电力信息网建设已经提升到一个新的水平,例如电力生产、电力调度、业务管理、行政管理、自动化实时信息传输等业务的迅速增长,还有视频应用需求的增长,全国大型供电企业均已建成了企业内部的局域网,实现了信息共享。考虑到电力行业数据的重要性,我们根据上级要求,并采用技术手段,保障了网络的安全性。
关键词:网络;安全;措施;VLAN
一、实施背景
1.1系统状况分析
宜阳县供电公司网络基础建设已就绪,应用服务器及网络设备已全部安装到位。网络结构有以下特点:
1.1.1宜阳县供电公司内网是由一台路由器、二台核心交换机和十二台接入交换机组成。部署有硬件防火墙一台用来保护网络的安全。各部门计算机分别通过接入交换机连接到内网。
1.1.2各供电所所通过自架光纤连接到宜阳县供电公司内网。
1.1.3县公司与市公司通过路由器和主备链路进行连接。
1.1.4目前的软件只有OA系统,服务器采用了Windows2003server等提供服务。
由以上情况可以看出,宜阳县供电公司网络的构成还是比较复杂的。由于网络本身的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。攻击者可以窃听网络上的信息、窃取用户的口令、数据库的信息;还可能篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点、释放计算机病毒等等。这些数字信息一旦被攻击者破坏,后果是非常严重的。除此之外内部工作人员能较多地接触内部信息,工作中的任何不小心都可能给信息安全带来威胁,这些都使信息安全问题越来越复杂。
1.2系统隐患分析
目前宜阳县供电公司网可能存在的主要安全隐患有以下几个方面:
1.2.1系统范围比较庞大、路由结构比较复杂、与各楼联接方式较多,容易产生技术漏洞和薄弱环节;
1.2.2来自内部网用户的安全威胁,在局域网内部有恶意者利用自己的技术,对局域网中的其它用户实施攻击,破坏他人的文件;给他人安装木马程序,非法越权利用他人的网络资源;
1.2.3路由的安全性;
1.2.4操作系统(包括服务器和PC)的安全性,没有安全的操作系统的支持,网络安全也毫无根基可言;
1.2.5应用服务(数据库等)的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少,如果系统设置失误,很容易造成损失;
1.2.6采用的TCP/IP协议族软件,本身缺乏安全性。
二、工作思路
国网公司也对信息网络的安全性提出了更高的要求,如信息内网、外网完全隔离,安装硬件防火墙,安装桌面终端,安装杀毒软件,网络核心安装双设备以及子网的划分等,针对上级要求,我公司根据资金情况,除了安装相应的软件、硬件外,还采用技术手段,对信息内网进行VLAN划分,加固网络安全。
为了保障此项工作的开展,宜阳公司成立了网络安全工作领导小组,由公司经理任组长,下设办公室,做到分工明确,责任具体到人,确保该项工作顺利实施。
三、主要做法
3.1为了保证公司的网络安全,原有网络作为信息内网,重新组建了信息外网,信息内外网设备不能交叉使用,做到了信息内外网完全隔离。
3.2定期公布最新的防病毒软件病毒库,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
3.3加强移动存储介质使用,严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用;严禁将安全移动存储介质用于其他用途,涉及公司企业秘密的信息必须存放在保密区;严禁将安全移动存储介质中涉及公司企业秘密的信息拷贝到外网计算机。在安全移动存储介质使用过程中,应当注意检查病毒、木马等恶意代码。
3.4加强外来设备管理。严禁外来计算机接入信息内、外网,公司内网设备都进行了地址绑定,外网设备登录网络需进行密码验证,外来设备是无法进行这些工作的,保障了网络安全性。
3.5加强了网络安全的宣传工作,对于上级部门发来的网络安全文件、要求,及时通过局域网的公告栏发布出去,让大家通过网络学习,对网络安全性有一定的认识,从思想上引起高度重视。
3.6为了解决发生在网络第二层的信道冲突和发生在网络第三层的广播风暴问题,保证网络的安全性,VLAN技术可以有效地解决这些问题,因此我们在公司内网核心交换机上进行了VLAN划分(划分VLAN必须是在三层交换机上进行)。如果网络没有进行VLAN划分,不能将广播风暴控制在一个VLAN内部,局域网内有一台计算机中病毒后,很快就会在同一个网段内进行传播,造成大面积计算机中毒。以前网络上流行的熊猫烧香病毒,就是很好的例子,当时我局有个别机器中了这种病毒后,还没发现是哪台计算机,病毒很快就在局域网中传播开了,结果造成全公司90%以上机器感染病毒不能正常工作,出现网络瘫痪现象。
如果局域网内某些业务部门计算机上的数据比较重要,不想让其它部门人员访问,如果不进行VLAN划分,就很难做到。而且我们内部有些人网络安全意识差,机器密码比较简单,很容易被其它人猜到,造成计算机上文件、数据丢失。只有进行VLAN划分,不同子网之间就不能直接访问,由于不同VLAN之间的数据交换是通过网络层路由来实现的,能够从根本上保证计算机的安全。为了保证我局信息网络的安全性,结合我局的实际情况,对网络进行了VLAN划分。VLAN划分的形式有好几种,根据我公司网络的实际情况,我们采用的是基于端口的方式,通过VLAN的划分,避免了病毒在子网间的传播,保证了网络的安全性。
3.6.1工作流程
3.6.1.1准备工作
我们先对我公司的整个网络进行了规划,把信息内网的两个网段分成了7个子网。一是把局直网段划为6个子网,分别是95598系统、备用网段、网络设备、应用系统、办公楼和局后楼。二是把乡所的设备放在一个子网中。
3.6.1.2具体做法
我们先在主核心交换机上按照事先规划的方案对VLAN进行配置,然后对核心上的所有端口进行了所属VLAN的设置,并对楼层交换机上的端口也进行了相应的设置,同时对备核心也进行了相应配置。
对划在不同VLAN中的计算机按照事先的规划进行了IP地址、子网掩码和网关的配置,并测试的网络的连通性。
3.6.1.3达到效果
一是减少了病毒传播和网络攻击的范围。现在如果发现哪个子网内有病毒,先对这个子网内的计算机进行杀毒,就能保证其它子网内计算机的安全。
二是确保了网络内计算机的安全性。对于业务部门和数据安全性要求较高的部门,我们可以把该部门计算机单独划为一个子网,使其它部门的计算机不能直接对该计算机进行访问,保证了该计算机的安全性。
三是使IP地址得到了合理的利用。以前我公司内网只有两个网段,一是办公网网段,另一个网段是95598系统用,办公网段内计算机比较多IP不够用,而95598系统只用几个IP,却占用了一个网段,造成IP地址浪费现象。现在进行合理的VLAN划分后,把原来空闲的IP地址都划在了不同的子网中,使IP地址得到了充分利用。
四、结语
通过以上工作的开展,首先从硬件上保证了网络的安全性,使原来一出现病毒疫情就无法控制的局面得到了有效的控制。另外从思想上也提高了大家对网络安全的认识,现在大家都知道弱口令、违规外联、外来优盘等对网络的危害,这些问题大家都能避免,保证了公司局域网的安全。
参考文献:
1、宜阳电业局网络安全整体解决方案
作者简介:
甄利娜(1973年7月),女,生于河南省洛阳市宜阳县,本科学历,工程师,信息通信专业。