信息网络安全的现状与思考.doc

弋阳县供电有限责任公司信息网络安全的现状与思考 　 前言：弋阳县供电有限责任从现公司信息网络安全的现状出发，运用全面质量管理手段，从人、机、料、法、环五个方面深入分析信息网络安全管理中存在的问题，并与信息网络安全防护技术的发展相结合，针对性的提出信息网络安全防护的迫切需求和建议措施。 信息化是社会生产力和生产方式发展的必然趋势，也是时代文明的重要标志。同时，信息化的加速发展，必然带动弋阳县供电有限责任公司管理升级、生产经营效能提高，信息流传递的高效、顺畅和便捷，信息作为一种重要资源，被越来越多的人所认识。由于生产自动化程度和集约化发展的要求，较早的引入了信息化的发展战略，并合理的提出了结合自身实际的一些网络安全解决方案，并取得了一定成绩，但及存在很多方面的不足。因此，采取更加科学有效的方法和思路，加快弋阳县供电有限责任网络建设及网络安全建设的步伐。 信息网络安全的定义 　　信息网络安全是指防止信息网络本身及其采集、加工、存储、传输的信息数据被故意或偶然的非授权泄露、更改、破坏或使信息被非法辨认、控制，即保障信息的可用性、机密性、完整性、可控性、不可抵赖性。 　　一、信息网络基本现状 　　弋阳县供电有限责任公司县出于生产经营及管理需要，在公司局势网的建设基础上建成了县调自动化系统，变电站实现了“四遥”和无人值守，信息网络建设在内部局域网的基础上接入省公司的电力信息广域网，实现了县局、市局和省公司的网络互联。建立在此基础上的管理系统基本覆盖生产、营销、财务、行政办公等，涵盖了全局的主要管理业务，并早已实用化。 公司网络采用星型结构，拓展性强，但易整体瘫痪。100M广域网与市局连接，各变电站租用电信专用通信（2*2M）与县调相联，租用电信10MVPN通道与各供电所相联。各终端用户均以集线器级联保持对服务器等的访问，两个主交换机都是以24口自适应交换机。 图1：公司网络基本拓朴图 公司建有自动化通迅机房，面积共36平方米，配有通迅机柜，线路机柜，及电源机柜，机房面积有限，且各种机柜都已陈旧，主要装设程控交换机，光通迅设备，通迅保障电池，数据通迅交换机等。机房共设置服务器6台，调度自动化系统，财务管理系统，OA办公系统，营销系统等六个应用化系统安装在这6台服务器并运行于公司网络基础上。 公司通迅设备简单，两台24口自适应交换机但当重任，其它终端都以集线器级联维，仅能维持简单的通迅，不能对公司的网络进行管理，更不能对公司对公司网络的正常运行提供更高有效的保障。下附弋阳县通迅设备清单 名称 数量 购置年月 TP-link24口自适应交换机 2 2005年3月 TP-LINK8口集线器 33 2005年3月/2008年8月 欣全路由器 1 2008年1月 公司外网租用电信宽带接入，与公司内网采用硬隔离。 建立了公司统一的网络防毒体系。 二、存在问题 （一）公司网络设备太过简单，由于各个应用系统的不断增加，现有设备远远根本不能维持网络的正常安全有效运行。 1、没有实效控制公司网络安全有效运行的中心设备 弋阳县供电公司没有二层交换机，更没有核心三交换机，所有网络运行与管理都靠手工来完成，实现不了对公司网络的管理。没有防火墙对公司安全等级高的调度自动化系统，财务管理系统的网络进行隔离。 2、公司网络运行效率低，且经常会出现整体瘫痪的现象，且根本原因无从查起。 （二）公司通迅机房面积过小。按照《全国电力系统通迅机房设置标准》要求，县级供电企业应按C类机房进行设置。 　　（三）不同网络之间未进行严格的等级划分。按照《全国电力二次系统安全防护总体方案》要求，不同安全等级的网络之间必须进行安全等级划分。 　　1、纵向互联：实时监控系统间的互联。 　　弋阳县供电公司调度自动化系统与地调系统间通过载波单向转发数据，单向的数据传输无法实现真正意义的数据共享；主站与厂站之间没有实现光纤双通道（主备通道），且租用电信专用通道，这给安全等级高的调度自动化系统带来极大的安全隐患，没有采用MPLS VPN技术组建调度数据网，不满足国调二次安防对调度数据网的要求。变电站的图像监控系统与信息内网相连，变电站的安全系统极易受到攻击。 　　2、横向互联：实时监控系统和非实时监控系统间的连接。 弋阳县供电有限责任公司调度自动化系统与信息网络之间直接相联，没有真正实现与信息内网的正向隔离器实现物理隔离和单向数据安全访问，没有采用IP加密认证装置，I区与II、III区之间没有严格分开，没有按照国调的要求部署隔离装置，包括正向装置和反向装置。I区和II区之间没有防火墙进行隔离。 3：公司信息内网的管理 因公司一直的设备缺陷，没有实现公司VLAN+IP+MAC的软硬件管理，日常工作只能以手工来完成，很难实现因员工的误操作