电力企业与VoIP技术-中国电力网.docVIP

南京供电公司的网络信息安全建设与管理 王宏延，杨少华 （南京供电公司 210008） 0概述 为了使南京供电公司的电力生产、经营和管理工作能够迎接本世纪的挑战，具备长远的发展后劲，南京供电公司早在上个世纪90年代初就从战略高度开始实施建设了南京电力城域信息网，用以提高生产经营和管理效率。目前，南京供电公司已经建成覆盖电力生产、建设、经营、管理、科研、设计等领域的管理信息系统。并且随着应用系统的不断开发与应用，电力系统生产、经营和管理工作对网络的依赖程度越来越高，因此网络的安全性也就格外重要。对电力系统来说，网络安全仅此于电网安全。 1网络系统概况.1 网络概况 .2 网络结构 。网络又按照所属的部门、职能、安全重要程度分为许多子网，包括：财务子网、办公子网、中心服务器子网等。我们基于，在Catalyst 交换机上划分虚拟局域网（VLAN）。不同的局域网分属不同的广播域。 .3 网络应用 为用户提供如1．文件共享、办公自动化、WWW服务、电子邮件服务； 2．文件数据的统一存储；3．针对的应用在数据库服务器上进行二次开发(如财务系统)；4．提供与Internet的访问；5．通过公开服务器对外发布企业信息、发送电子邮件等；网络.1安全管理规范 面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还花大力气加强网络安全管理规范的建立因为诸多的不安全因素恰恰反映在组织管理和人员等方面，这是计算机网络安全必须考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》《》制订严格的作规程.2网络设备安全管理 对于南京供电公司的网络设备，我们进行了如下的安全加固措施： 升级相应设备的IOS软件。选择支持3DES的最新软件版本。 采用SSH加密的管理协议，对整个远程登录、管理过程加密，避免窃听者攻击 。对密码，我们通过命令Service password-encryption将密码加密后保存。 关闭网络设备中不需要的一些服务，增加设备的可靠性。 通过access-list /access-class访问控制列表，限制一些服务如SSH, telnet，HTTP(S), SNMP等的源地址登录。这样，即使知道了管理员的密码，也无法登录到设备上。 NTP(时间同步协议)使各设备之间时间同步，使事件的综合分析成为可能（某些事件或事件的一部分先后在不同网络设备上出现）。 以南京供电公司的6500交换机交换引擎为例，进行如下安全加固措施： 1) 升级软件：升级到最新版本（可能需要硬件升级） 方法： copy tftp bootflash 2)???? 使用更安全管理方式(SSH)：需要K9版软件 方法： set crypto key rsa 2048 3)???? 限制登录地址： 方法：set ip permit ssh set ip permit enable ssh set ip permit enable telnet set ip permit enable snmp 4)???? 记录设备日志（含时间同步）： 方法：set logg server enable set logg server 3 Set ntp authenticate enable Set ntp client enable Set ntp authentication trust-key 1 md5 sgdb Set ntp peer key 1 //指向本地8540 2.3网络系统安全管理 由于南京电力公司企业内联网，提供全市各分、县公司、银行、变电站、管理所等单位的接入和互连，故对可靠性的要求十分高。因此在网络方案前期的设计中我们就以实现高可靠性为突出重点，采取了以下措施来保证系统的高可靠性： 线路的设计上要求传输网络为相应的互连电路提供通道的迂回保护，保证网络连接不发生中断； 路由器采用冗余引擎和电源； 选择工作稳定的内部网关协议； 为此南京供电公司通过组建ATM环网和MPLS/VPN环网，把核心的分、县公司纳入环网节点，保证了核心网络的可靠性。在市公司采用两台CISCO 6509作为核心交换，全冗余网络构架，每台6509均为双电源、双引擎设置，两台6509之间同时采用双链路冗余备份，确保任一引擎、任一电源、任一链路、任一交换机失效时网络依然畅通，大大地提高了系统的安全可靠性。而在分、县公司则采用双电源双引擎的交换机，保证网络的可靠性。 根据实际的业务需要，MAC地址绑定方式，只有指定的MAC地址，并通过对应的用户名和密码进行认证，才能合法接入网络，。配备相应的安全设备：在内部网与外部网之间，设置防火墙实现