營口供電公司在網絡與信息安全技術上的應用與實施

2013-12-04 14:59:56 電力信息化　點擊量：評論 (0)

摘要：文中就信息網絡安全技術，結合營口供電公司的實際，基于網絡與信息安全方面的考慮，從網絡安全制度，VLAN的劃分，防火墻的具體應用，防病毒軟件的安裝與實施，入侵檢測系統(tǒng)的選型與應用等幾個方面來論述營

摘要：文中就信息網絡安全技術，結合營口供電公司的實際，基于網絡與信息安全方面的考慮，從網絡安全制度，VLAN的劃分，防火墻的具體應用，防病毒軟件的安裝與實施，入侵檢測系統(tǒng)的選型與應用等幾個方面來論述營口供電公司在網絡與信息安全技術上的實施。

關鍵詞：VLAN劃分防火墻防病毒軟件入侵檢測

1 安全防范措施

網絡安全性問題是一個綜合問題，它包含網絡設備和人為因素兩個方面，因此，在網絡安全性方面我們制定如下制度：

1、加強用戶口令管理制度，合理設置口令的長度、更換周期，及時注銷到期帳號；

2、利用網絡系統(tǒng)及網絡應用的權限機制，對不同網絡用戶提供不同的訪問權限；

3、定期分析運行記錄，防止非法入網和越權訪問；

4、網絡病毒防范系統(tǒng)；

5、加強行政管理，進行網絡安全教育和培訓；

6、用防火墻實現(xiàn)內外網間網絡安全性；

7、通過訪問列表維護內部VLAN間的網絡的安全性；

8、通過軟件設置VLAN內的安全設置。

在標準的OSI模型中，從上到下一共有7層，但對于現(xiàn)在事實上的標準，TCP/IP協(xié)議，則只有5層，從下到上依次為物理層、數(shù)據鏈路層、網絡層、傳輸層和應用層。對于物理層，數(shù)據基本上是不保密的，但對于其他層，都可以設置權限，限制非法用戶的訪問，在以下的敘述中，我們將以財務子網的安全性為例進行我們安全性的準備。

1、通過跨主干的VLAN劃分，可以將調度大樓財務處和其他二級單位的財務室劃在一個VLAN內，形成一個私有網段，雖然幾個區(qū)域距離分散，但從邏輯上看，他們都在一個網段內，即如果財務處發(fā)出一個廣播給內部人員，所有區(qū)的財務人員都將收到廣播，但其他人員，即使和財務人員在一個交換機上的，都將收不到任何信息，這樣，從數(shù)據鏈路層保護了安全，但同時限制了網段相互訪問。

2、通過具有三層交換能力的交換機，使虛網之間的訪問成為可能，但同時帶來了安全隱患，即如果允許訪問，則能提供所有服務，而不能提供訪問過濾，為了保護財務VLAN內的數(shù)據，我們采用具有訪問控制功能的路由交換機BIG6808，提供訪問列表，可以針對IP包的源地址、目的地址、TCP/UDP的端口數(shù)進行訪問過濾，可使財務VLAN內的用戶能訪問外部數(shù)據，但外部用戶訪問財務必須要有權限，這樣，從網絡層和傳輸層保證了財務數(shù)據的安全。

3. 應用層安全：通過應用軟件，在服務器上設置密碼和口令，設置目錄權限和文件權限，限制用戶訪問。

采取以上解決方法，能使財務VLAN內的成員方便的訪問外網，但其他VLAN內的用戶是看不見財務VLAN的，對外服務器的維