黄山供电公司网络与信息安全剖析.docVIP

黄山供电公司网络与信息安全剖析 叶水勇，叶 飞（黄山供电公司 信息中心， 安徽 黄山 245000） 摘 要：电力企业近年来信息化建设和发展迅速，在网络、硬件和信息系统各发面取得突出成就的同时，也必然存在一些问题，深刻的总结剖析现状才能更好的发展未来，本文是在对黄山供电公司网络及各应用系统进行细致分析的情况下提出的一些具体的整改措施和方法。 关键词：信息化；网络与信息安全；剖析 0．引言 随着公司网络与信息化建设的不断发展,目前我公司的网络已经覆盖到公司各部门、各单位，网络覆盖率为百分之百，同时各个应用系统已经在公司各部门、各单位得到广泛使用，与公司的各类业务紧密联系、息息相关，各个应用系统的数据就是企业的宝贵资源，一旦网络中断或应用系统无法正常运行，将使公司的业务无法正常运行，同时也将造成严重的社会后果，数据一旦丢失，也将给企业造成严重的经济损失。 网络系统： 1．1 网络系统的现状： 外网方面：公司的主干交换机Cisco 6506通过100M与趋势防病毒防火墙连接，再通过100M与网络防火墙Cisco PIX 515连接，再通过100M与网络路由器Cisco 3640连接，最后网络路由器Cisco 3640通过2*2M与省公司连通，并与Internet实现互联，同时通过5*2M与五个县公司连接。 内网方面：公司的主干交换机Cisco 6506通过千兆与公司所有二级交换机连接，二级交换机通过100M连接到所有工作站，最终实现主干为千兆,百兆到桌面,网络覆盖公司各单位、各部门及所有变电站，网络覆盖率为百分之百。 网络防火墙Cisco PIX 515设有一个DMZ区，安全级别为50%，供公司网页服务器使用。 通过把所有对主干交换机Cisco 6506访问的信息映射到某个端口，再通过这个端口与天阗入侵监测设备连接，通过入侵监测系统软件对Cisco 6506的访问进行实时监测，从而及时了解网络运行情况。 调度SCADA系统：11楼交换机通过100M连接到安氏防火墙上，再经过隔离装置到调度SCADA系统，最后再到华为路由器，最终实现与省公司调度网联网。 财务网络：8楼二级交换机通过100M连接到Cisco PIX 525防火墙，再连接到财务自己的交换机上，最终连接到财务网络。 客户中心与银行联网方面：营销服务器连接二台前置机，其中一台前置机通过光纤收发器直接连接到工行服务器，另一台前置机先连接到路由器Cisco 1700，再通过租用电信64K DDN专线与农行路由器连接，再连接到农行服务器。 GPRS系统：GPRS系统服务器拥有三块网卡，其中一块网卡连接到一台交换机，再连接到所有GPRS工作站；另一个网卡与公司网络连接，实现发短信功能；还有一块网卡与一台FortiGate防火墙连接，最后再通过租用电信GPRS通道与所有抄表设备连接。 公司网络目前拥有10.138.182.* 、10.138.183.*、 10.138.160.* 三个网段，共划分13个不同VLAN，以防止网络产生广播风暴。 1．2 存在问题及解决办法： 目前公司的主干交换机、防火墙、路由器、所有二级交换机都是单机运行，没有备用设备，一旦主干交换机出现故障，将会造成公司网络的全部瘫痪，二级交换机出现故障，将会造成公司网络部分瘫痪，而防火墙或路由器出现故障，将使公司网络与省公司网络无法连通，造成瘫痪。因此在2005年黄山供电公司网络升级改造科技项目中，我们将购置一台Cisco 6509主干交换机，并和原来的Cisco 6506主干交换机通过千兆心跳线连接，采用双机热备技术(即HSRP)实现双机冗余，负载均衡运行。每台主干交换机都通过千兆链路与所有二级交换机实现连接，这样当一台主干交换机失效时，所有二级交换机都会自动转移到另一台主干交换机上运行，从而保证所有二级交换机网络连接不中断。同时购置二台Cisco PIX 525防火墙，通过心跳线相连，实现双机冗余，一主一备运行，一旦主防火墙失效，备用防火墙自动投入运行，另在每台防火墙上配置一块10/100M接口用于连接到三个DMZ区域，如把公司的网页服务器、县公司接入点放在DMZ区。 由于公司光纤通道数量有限，不能满足所有二级交换机与主干交换机实现双光纤链路运行，若某台主干交换出现故障，只能靠手动拔插光纤模块，不能真正实现自动切换。因此今后公司还需再架设一条光纤，使所有二级交换机与主干交换机实现双光纤链路运行。 目前营销系统与银行联网没有加任何防火墙设备，存在漏洞，根据省公司安全统一部署方案，将在营销系统与银行联网之间加装一台具有集成安全网关同时具备了网关防毒功能的防火墙，并部署一台入侵检测和入侵保护设备。同时也将在五个县公司与公司网络之间，安装一台具有集成安全网关同时具备了网关