南京供電公司的網(wǎng)絡(luò)信息安全建設(shè)與管理

2013-12-03 16:30:59 電力信息化　點(diǎn)擊量：評(píng)論 (0)

0概述為了使南京供電公司的電力生產(chǎn)、經(jīng)營(yíng)和管理工作能夠迎接本世紀(jì)的挑戰(zhàn)，具備長(zhǎng)遠(yuǎn)的發(fā)展后勁，南京供電公司早在上個(gè)世紀(jì)90年代初就從戰(zhàn)略高度開始實(shí)施建設(shè)了南京電力城域信息網(wǎng)，用以提高生產(chǎn)經(jīng)營(yíng)和管理效率。

擇支持3DES的最新軟件版本。

2. 采用SSH加密的管理協(xié)議，對(duì)整個(gè)遠(yuǎn)程登錄、管理過程加密，避免竊聽者攻擊。對(duì)密碼，我們通過命令Service password-encryption將密碼加密后保存。

3. 關(guān)閉網(wǎng)絡(luò)設(shè)備中不需要的一些服務(wù)，增加設(shè)備的可靠性。

4. 通過access-list /access-class訪問控制列表，限制一些服務(wù)如SSH, telnet，HTTP(S), SNMP等的源地址登錄。這樣，即使知道了管理員的密碼，也無法登錄到設(shè)備上。

5. NTP(時(shí)間同步協(xié)議)使各設(shè)備之間時(shí)間同步，使事件的綜合分析成為可能（某些事件或事件的一部分先后在不同網(wǎng)絡(luò)設(shè)備上出現(xiàn)）。

以南京供電公司的6500交換機(jī)交換引擎為例，進(jìn)行如下安全加固措施：

1) 升級(jí)軟件：升級(jí)到最新版本（可能需要硬件升級(jí)）

方法： copy tftp bootflash

2) 使用更安全管理方式(SSH)：需要K9版軟件

方法： set crypto key rsa 2048

3) 限制登錄地址：

方法：set ip permit 10.33.65.9 ssh

set ip permit enable ssh

set ip permit enable telnet

set ip permit enable snmp

4) 記錄設(shè)備日志（含時(shí)間同步）：

方法：set logg server enable

set logg server 10.33.65.33

Set ntp authenticate enable

Set ntp client enable

Set ntp authentication trust-key 1 md5 sgdb

Set ntp peer 10.33.255.1 key 1 //指向本地8540

2.3網(wǎng)絡(luò)系統(tǒng)安全管理

由于南京電力公司企業(yè)內(nèi)聯(lián)網(wǎng)，提供全市各分、縣公司、銀行、變電站、管理所等單位的接入和互連，故對(duì)可靠性的要求十分高。因此在網(wǎng)絡(luò)方案前期的設(shè)計(jì)中我們就以實(shí)現(xiàn)高可靠性為突出重點(diǎn)，采取了以下措施來保證系統(tǒng)的高可靠性：

 線路的設(shè)計(jì)上要求傳輸網(wǎng)絡(luò)為相應(yīng)的互連電路提供通道的迂回保護(hù)，保證網(wǎng)絡(luò)連接不發(fā)生中斷；

 路由器采用冗余引擎和電源；

 選擇工作穩(wěn)定的內(nèi)部網(wǎng)關(guān)協(xié)議；

為此南京供電公司通過組建ATM環(huán)網(wǎng)和MPLS/VPN環(huán)網(wǎng)，把核心的分、縣公司納入環(huán)網(wǎng)節(jié)點(diǎn)，保證了核心網(wǎng)絡(luò)的可靠性。在市公司采用兩臺(tái)CISCO 6509作為核心交換，全冗余網(wǎng)絡(luò)構(gòu)架，每臺(tái)6509均為雙電源、雙引擎設(shè)置，兩臺(tái)6509之間同時(shí)采用雙鏈路冗余備份，確保任一引擎、任一電源、任一鏈路、任一交換機(jī)失效時(shí)網(wǎng)絡(luò)依然暢通，大大地提高了系統(tǒng)的安全可靠性。而在分、縣公司則采用雙電源雙引擎的交換機(jī)，保證網(wǎng)絡(luò)的可靠性。

根據(jù)實(shí)際的業(yè)務(wù)需要，對(duì)終端接入采用了MAC地址綁定方式，只有指定的MAC地址，并通過對(duì)應(yīng)的用戶名和密碼進(jìn)行認(rèn)證，才能合法接入網(wǎng)絡(luò)，同時(shí)對(duì)交換機(jī)的每個(gè)端口的接入設(shè)備的MAC地址進(jìn)行了嚴(yán)格的管理控制。嚴(yán)格控制外來用戶對(duì)南京供電公司的網(wǎng)絡(luò)資源進(jìn)行訪問，采用授權(quán)和訪問策略的

責(zé)任編輯：和碩涵

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請(qǐng)讀者僅作參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊