黃山供電公司網(wǎng)絡與信息安全剖析

2013-12-03 16:27:34 電力信息化　點擊量：評論 (0)

摘要：電力企業(yè)近年來信息化建設和發(fā)展迅速，在網(wǎng)絡、硬件和信息系統(tǒng)各發(fā)面取得突出成就的同時，也必然存在一些問題，深刻的總結(jié)剖析現(xiàn)狀才能更好的發(fā)展未來，本文是在對黃山供電公司網(wǎng)絡及各應用系統(tǒng)進行細致

10.138.182.* 、10.138.183.*、 10.138.160.* 三個網(wǎng)段，共劃分13個不同VLAN，以防止網(wǎng)絡產(chǎn)生廣播風暴。

1．2 存在問題及解決辦法：

目前公司的主干交換機、防火墻、路由器、所有二級交換機都是單機運行，沒有備用設備，一旦主干交換機出現(xiàn)故障，將會造成公司網(wǎng)絡的全部癱瘓，二級交換機出現(xiàn)故障，將會造成公司網(wǎng)絡部分癱瘓，而防火墻或路由器出現(xiàn)故障，將使公司網(wǎng)絡與省公司網(wǎng)絡無法連通，造成癱瘓。因此在2005年黃山供電公司網(wǎng)絡升級改造科技項目中，我們將購置一臺Cisco 6509主干交換機，并和原來的Cisco 6506主干交換機通過千兆心跳線連接，采用雙機熱備技術(即HSRP)實現(xiàn)雙機冗余，負載均衡運行。每臺主干交換機都通過千兆鏈路與所有二級交換機實現(xiàn)連接，這樣當一臺主干交換機失效時，所有二級交換機都會自動轉(zhuǎn)移到另一臺主干交換機上運行，從而保證所有二級交換機網(wǎng)絡連接不中斷。同時購置二臺Cisco PIX 525防火墻，通過心跳線相連，實現(xiàn)雙機冗余，一主一備運行，一旦主防火墻失效，備用防火墻自動投入運行，另在每臺防火墻上配置一塊10/100M接口用于連接到三個DMZ區(qū)域，如把公司的網(wǎng)頁服務器、縣公司接入點放在DMZ區(qū)。

由于公司光纖通道數(shù)量有限，不能滿足所有二級交換機與主干交換機實現(xiàn)雙光纖鏈路運行，若某臺主干交換出現(xiàn)故障，只能靠手動拔插光纖模塊，不能真正實現(xiàn)自動切換。因此今后公司還需再架設一條光纖，使所有二級交換機與主干交換機實現(xiàn)雙光纖鏈路運行。

目前營銷系統(tǒng)與銀行聯(lián)網(wǎng)沒有加任何防火墻設備，存在漏洞，根據(jù)省公司安全統(tǒng)一部署方案，將在營銷系統(tǒng)與銀行聯(lián)網(wǎng)之間加裝一臺具有集成安全網(wǎng)關同時具備了網(wǎng)關防毒功能的防火墻，并部署一臺入侵檢測和入侵保護設備。同時也將在五個縣公司與公司網(wǎng)絡之間，安裝一臺具有集成安全網(wǎng)關同時具備了網(wǎng)關防毒功能的防火墻，并部署一臺入侵檢測和入侵保護設備。并且將在公司防火墻與路有器之間再安裝一臺千兆的具有集成安全網(wǎng)關同時具備了網(wǎng)關防毒功能的防火墻，并部署一臺入侵檢測和入侵保護設備，部署本地的安全管理服務器, 收集本地區(qū)的安全產(chǎn)品日志信息并上傳到省公司網(wǎng)絡中心的主服務器,從而實現(xiàn)安全產(chǎn)品的統(tǒng)一管理,產(chǎn)生統(tǒng)一的報告、報警信息。

由于目前公司所有二級交換機不具備IP地址和主機地址綁定功能，若網(wǎng)絡中某人盜用別人的IP地址，就會造成產(chǎn)生IP地址沖突，嚴重影響網(wǎng)絡的正常運行，因此在2005年黃山供電公司網(wǎng)絡升級改造科技項目中，我們將購置具有交換機端口與IP地址和MAC地址綁定功能的二級交換機，并進行IP地址和MAC地址綁定，當工作站盜用別人的IP地址時，就不能上網(wǎng)，從而徹底杜絕亂改IP地址，造成IP地址沖突的現(xiàn)象。