营口供电公司科技部反事故斗争工作方案.doc

营口供电公司在网络与信息安全技术上的应用与实施张勇(营口供电公司信息中心115000)摘要:文中就信息网络安全技术,结合营口供电公司的实际,基于网络与信息安全方面的考虑,从网络安全制度,VLAN的划分,防火墙的具体应用,防病毒软件的安装与实施,入侵检测系统的选型与应用等几个方面来论述营口供电公司在网络与信息安全技术上的实施。关键词:VLAN划分防火墙防病毒软件入侵检测安全防范措施网络安全性问题是一个综合问题,它包含网络设备和人为因素两个方面,因此,在网络安全性方面我们制定如下制度:1、加强用户口令管理制度,合理设置口令的长度、更换周期,及时注销到期帐号;2、利用网络系统及网络应用的权限机制,对不同网络用户提供不同的访问权限;3、定期分析运行记录,防止非法入网和越权访问;4、网络病毒防范系统;5、加强行政管理,进行网络安全教育和培训;6、用防火墙实现内外网间网络安全性;7、通过访问列表维护内部VLAN间的网络的安全性;8、通过软件设置VLAN内的安全设置。在标准的OSI模型中,从上到下一共有7层,但对于现在事实上的标准,TCP/IP协议,则只有5层,从下到上依次为物理层、数据链路层、网络层、传输层和应用层。对于物理层,数据基本上是不保密的,但对于其他层,都可以设置权限,限制非法用户的访问,在以下的叙述中,我们将以财务子网的安全性为例进行我们安全性的准备。1、通过跨主干的VLAN划分,可以将调度大楼财务处和其他二级单位的财务室划在一个VLAN内,形成一个私有网段,虽然几个区域距离分散,但从逻辑上看,他们都在一个网段内,即如果财务处发出一个广播给内部人员,所有区的财务人员都将收到广播,但其他人员,即使和财务人员在一个交换机上的,都将收不到任何信息,这样,从数据链路层保护了安全,但同时限制了网段相互访问。2、通过具有三层交换能力的交换机,使虚网之间的访问成为可能,但同时带来了安全隐患,即如果允许访问,则能提供所有服务,而不能提供访问过滤,为了保护财务VLAN内的数据,我们采用具有访问控制功能的路由交换机BIG6808,提供访问列表,可以针对IP包的源地址、目的地址、TCP/UDP的端口数进行访问过滤,可使财务VLAN内的用户能访问外部数据,但外部用户访问财务必须要有权限,这样,从网络层和传输层保证了财务数据的安全。3. 应用层安全:通过应用软件,在服务器上设置密码和口令,设置目录权限和文件权限,限制用户访问。采取以上解决方法,能使财务VLAN内的成员方便的访问外网,但其他VLAN内的用户是看不见财务VLAN的,对外服务器的维护由财务部专门负责,为减少维护人员的工作量,可以规定更新时间。一般部门的网络安全对于一般部门,对于网络的安全要求不是太高,我们采用以下解决方法:1. 划分VLAN:如学生和老师的VLAN是不可路由的,相互不能通信,自然安全。2. 操作系统控制:如在NT操作系统里划分域,控制域间访问,并控制公共服务器的权限。3. 应用软件:通过应用层软件,设置口令或共享,限制访问。我们采用基于HPOpenView平台的本公司的具有自主版权的网管软件HammerVIEW,作为对整个网络进行配置管理、性能管理、统计管理、失效管理、安全管理等的平台。HammerVIEW是具有卓越性能的网络管理软件,用于管理网络中所有的Hammer系列交换机产品。HammerVI