谈扬州供电公司信息网络的安全规划与建设

2013-12-03 16:23:25 电力信息化　点击量：评论 (0)

摘要：通过对扬州供电公司信息网络安全管理现状的分析，找到目前公司存在的信息网络安全管理缺陷，提出信息网络安全管理的总体构想，并分析构成信息网络安全的物理安全、链路安全、网络安全、系统安全、信息安

摘要：通过对扬州供电公司信息网络安全管理现状的分析，找到目前公司存在的信息网络安全管理缺陷，提出信息网络安全管理的总体构想，并分析构成信息网络安全的物理安全、链路安全、网络安全、系统安全、信息安全五部份内容。

1、扬州供电公司信息网络安全管理现状

目前，扬州供电公司信息网络采取了多种手段来保障网络运行的安全，主要如下：

1.1、利用MPLS技术实现多业务系统的安全互联

省公司统一规划的MPLS/VPN网络改造实施之后，采用MPLS技术对原有的广域网接入方式进行了改造，采用基于MPLS的VPN技术对覆盖全省的业务系统划分VPN，进行安全隔离，并提供安全有效的信息交互手段。这样各个业务系统虽然承载在一个大的物理网络上，但网络的逻辑结构已将其安全隔离，并在统一的方式下进行信息交互。

1.2、市公司配置了IDS入侵监测系统，提供对市公司局域网内服务器和关键业务网段的监控。

1.3、使用防火墙实现与银行的安全互连。

1.4、根据应用层次、应用类型的各不相同，我们对具体的虚网网段，配置了安全访问控制列表（ACL），实现对虚网网段的保护。

2、问题分析

在网络建设和维护的实践过程中，发现扬州供电公司信息网络安全存在以下几方面的问题：

1、缺乏统一的安全策略：目前信息网络安全的建设主要是针对不同的安全问题和安全隐患分别采用了相应的安全措施，扮演的主要是“救火员”的角色。而不是在对全公司信息资源进行通盘评估的基础上建立一个统一的安全管理策略。因此，随着网络规模的扩展和网络新应用的开展，单个孤立的系统无机的结合在一起，这给信息网络的安全管理带来了隐患，严重影响信息网络的安全可靠运行。

2、现有安全手段力度不够：目前局域网内的安全手段有两种：（1）保护服务器和主要网段的联想IDS系统、（2）控制虚网间流量的访问控制列表（ACL）。这两个手段均有其自身的不足：（1）IDS系统作为一种事后安全机制，其安全功能的发挥与系统本身所能识别的攻击类型密切相关，当发生的非法攻击并不能为IDS识别时，IDS系统无法发挥作用；（2）访问控制列表可以根据TCP/UDP/IP层的信息对流量进行过滤，但对于一些复杂的应用比如基于H.323协议的多媒体应用，ACL无法发挥作用。

3、网络安全的覆盖范围不全面：扬州供电公司信息网络是基于TCP/IP互连的综合网络，根据TCP/IP协议簇的特性，全面的网络安全应包括OSI七层协议层次的安全，目前的网络安全仍然局限在单个的方面或层次。

4、如何由安全问题的被动响应转为主动、智能地防御？近几年来网络蠕