供电公司的网络安全改造分析.docVIP

供电公司的网络安全改造分析 　　电力安全和电力资源供应影响着社会生活的各个方面，主要工作在于电力资源分配、传变和输送的供电公司，应与电力用户、上级管理单位以及电力资源生产企业主动联系。随着我国网络技术和计算机技术的快速发展完善，供电公司也越来越看重其自身与电力用户和外部相关单位之间的联系，网络安全问题的重要性也日渐凸显。网络安全技术在供电企业中得到了广泛的应用。但是，受到网络安全人员自身能力以及网络安全系统缺陷等方面的限制，随着网络发展速度的加快，供电公司网络安全技术人员自身应逐步增强专业技术能力，以提高供电网络系统的安全性。文章首先分析目前供电网络安全改造中存在的问题，然后提出了解决措施。 　　1供电公司网络安全改造中的常见问题 　　第一，通过本地认证方式进行本地登陆。供电公司对于这一问题的规定为：管理SNMP和SSH交换机，SNMP启用访问控制列表模式，以Radius认证为基础实现远程登录，全部系统应用者均有独立账号，从console进行本地认证能够由网络设备登陆本地电脑。第二，ARP攻击的有效预防。供电公司对于这一问题的规定为：将DHCP Snooping应用于全部供电设备，DAI应用于全部新设备，避免受到ARP攻击。通过保留IP的形式，通过DHCP服务器分配地址。第三，HUB(HUB是一个多端口的转发器，当以HUB为中心设备时，网络中某条线路产生了故障，并不影响其他线路的工作)的混接控制。该现象所导致的安全隐患表现为：供电公司的网络与路由器、HUB等设备相互连接，这就容易增加用户用电的困难。供电网络安全改造过程中，利用人工检查与网管系统相结合的方式，确定相关的UB端口，一次接入，将HUB这一环节撤销，保证增加端口，经8口交换机网管，替代传统设备，保证网络与全部交换机接入端口相互连接。第四，为多个部门建立Radius服务器的账号。供电公司对于这一问题的规定为：建立独立的桌面管理系统数据库或是部门之间关联的数据库，验证全部部门用户密码和账户基本相同。第五，网络接入认证，确保桌面管理系统的安装率。供电公司对于这一问题的规定为：桌面管理系统安装率100%，严格认证网络和计算机之间的连接。其主要的安全问题是：不安装桌面客户端的电脑，电脑终端会自动化分和修复VLAN，访问服务器，自动将客户端、杀毒软件和补丁安装在电脑上。客户端安装后，各部门可以由客户端进入并选择，则获取其中的地址和系统用户名。 　　2供电公司网络安全的解决途径 　　交换机在接入后，IEEE 802.1x协议将会生效，并从Radius服务器中认证用户。802.1x计算机客户端软件在一般状态下，与终端接口交换机接入后，802.1x协议则会生效，并设定各个端口只能够认证通过一台终端。对于相同的HUB和交换，因其不能提供协议认证端口，能够进行暂时性的uilt-auth认证，从而确保通过所有终端认证。交换机更换后，取消端口认证，并配置下级交换机认证。将Radius服务器设置于信息中心，从而确保Radius服务器工作的可靠性，并保证2台以上的Radius服务器，使其实现账号的自动同步。在配置交换机时，对各个端口的MAC地址数量进行严格控制，设置值默认为1。通过对登陆交换机进行检查，确定HUB的端口，通过分线的方法达到接入要求，也可用管理交换机替换原来的HUB，从而确保交换机接入端口仅仅存在一台认证通过的终端与网络相互连接，也可下接设备为802.1x接入认证提供支持。Cisco交换机与终端端口相互连接后，会将BPDUGUARD功能启动，进而避免计算机端口与HUB或交换机随意连接，进而形成网络环路。 　　在网络监察过程中，终端可能并未打开，这就容易形成端口与多台计算机相互连接的现象，需要进行严格控制，在其他终端开机后，无法实现网络连接。信息中心技术支持人员需要配置交换机，保证其与网络的顺利连接。在交换机端口与管理交换机相互连接，而非终端时，需要将BPDPGUARD功能关闭，避免交换机端口的自动关闭。建立每个VLAN独立的ACL并应用后，实现VLAN之间三层隔离的目标。因为目前的业务主要体现为信息中心机房内，因而VLAN只能够访问信息中心服务器，且不限制访问其他兄弟单位网络。自动绑定交换机端口和MAC地址，通过“port-security maximum”对所有交换机端口接入终端的数量进行控制。利用DHCP服务器内的IP地址保留方式，绑定MAC地址和IP地址，而且，在开启交换机DAI功能后，只能允许终端以过DHCP方式获取IP地址，避免终端手动指定IP地址，进而出现IP地址冲突或是盗用问题。联合应用DAI和DHCP Snooping，有助于ARP攻击的控制。以保留IP的形式在DHCP服务器上对IP地址进行重新分配，从而实现绑定IP地址