《利用网络新技术实现网络及信息系统精细化管理》由会员分享,可在线阅读,更多相关《利用网络新技术实现网络及信息系统精细化管理(4页珍藏版)》请在金锄头文库上搜索。
1、匿要! :篓篓:= 一癌力信息厨络建没与断管理2 0 D 6 车电力行业信息亿年会论文集利用网络新技术实现网络及信息系统精细化管理六安供电公司科技信息部宋华茂【摘要】针对电力企业网络及信息安全发展的要求,采用先进的网络安全设备和其网络安全防范性能,并根据实际应用制定了细致的安全访问控制策略,规范了策略的审批、应用流程,实现了精细化的网络安全管理。【关键字】网络安全设备网络及信息系统安全精细化为确保供电企业计算机网络及信息系统安全,应用精细化管理的方法对网络及信息安全的防护技术进行研究和分析,制定详细的局域网安全策略及其实现流程,从根本上保证网络及信息系统的安全可靠运行。分析网络中存在安全问题供
2、电企业的计算机局域网受到的安全威胁主要表现在非法访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒等。其中最主要威胁是计算机病毒和网络黑客的破坏和攻击,特别是特洛伊木马和蠕虫问题,以及计算机黑客程序的威胁,使计算机系统随时会受到攻击而瘫痪。近期,随着P 2 P 软件的大量应用,其多连接,大流量的传输数据也对网络产生了极大的威胁,因此,缺乏良好管理和精细化安全策略保护的计算机网络将如履薄冰,十分危险。二、提出解决网络安全问题的方案网络中安全问题主要表现在网络设备本身的安全、主机系统的安全、信息系统的安全、客户端的安全。物理上的安全问题可以采用设备冗余的方法来解决,但是受到病毒
3、及其他安全威胁造成的安全问题就必须采用一定的安全策略来主动防范了。通过对网络设备本身所具有的安全特性的研究和实践,归纳以下方法来解决绝大多数安全问题。( 一) 、优化V L A N “ 配置,合理分割局域网安全区域目前,绝大多数供电企业都采用交换式以太网,并配置了3 层交换设备。利用这些资源可以采用v IA N 技术来隔离网络冲突域,阻止网络广播。A N 技术可以基于M A C 地址、端口、逻辑地址等多种划分方法,将由交换机组成的整个网络从逻辑上分割成若干个广播域,同一广播域的计算机组成一个逻辑子网。V L A N 将逻辑网络与物理网络分开,隔离广播域,极大地方便了网络节点的移动、增减和变动,
4、增强了网络的安全性,提高了网络的性能和可扩展性。( 二) 、严格规划v L A N 间的信息交互,隔离,A N 间非法访问对于V k k N 与V L A N 之间,应规划详细的访问控制列表,通过访问控制授权v L A N 间的合法访问,隔离V L A N 间的非法访问。这样做,不但可以有效保证每个j A N 间的信息安全,实践证明,也是防范网络蠕虫病毒传播的有效手段。六安供电公司局域网正是严格采用了V A L N 问的授权管理,才圄慰圜慰怒窭墨密翟罂翟翟翟譬墨= 翟翟翟甚翟翟鋈翌= = :三= 二夏8 0 1幽垒堕垄型笪,皇丝皇叁监塞苤皇垄笪皇旦笪壁丝皇堡堡笪堡= :二兰:三翼:! ! !
5、塑能在几次大范围的网络蠕虫病毒爆发期间未受影响。当然,V A L N 间的访问控制需要在核心交换机加载大量的访问控制列表,这可能会影响信息传输的效率。针对这种情况,可以考虑使用一些硬件的模块来加强性能,比如C I S C O 的基于核心交换机的安全模块F W S M ,它安装在C i s c o C a t a l y s t 6 5 0 0 系列交换机中,基于C i s c o P I X T M F i r e w a l l 技术,能够提供C i s c oP I X 安全设备系列相同的安全性和可靠性,使V L A N 之间集成了防火墙功能,吞吐量达到5 G B 以上。通过配置F W S
6、 M ,V L A N 之间,用户V L A N 和服务器V L A N 之间都可以有很强的安全保障,网络管理力度增大。( 三) 、应用V A C L 优化访问控制列表,保护重要应用安全要严格控制网络的安全等级、有效隔离V L A N 间的非法访问,势必会规划大量的V L A N 和访问控制列表来细化网络的安全区域和访问限制,这样就会增加网络的复杂度和网络设备的负担,而V A C L技术恰恰可以有效的解决这个矛盾,V A C L 是基于二层的用于控制同一V L A N 内部访问的访问控制列表,它可以精确控制同一V L A N 内计算机等设备之间的访问,是V L A N 技术的有力补充和加强,它
7、保障划分于同一V L A N 并连接在同一台交换机的设备如服务器等之间相互合法访问,隔离它们之间的非法访问,能极大的增强服务器的安全防护能力。( 四) 、使用I D S ,监控和保护已授权的访问在对V L A N 之间,主机之间进行了有效的隔离和精细化的访问授权后,虽然杜绝了绝大部分的安全问题,但是只要是服务就要提供访问,如w w 服务要开通T C P 8 0 端口,S Q LS E R V E R 要开通T C P l 4 3 3 端口,那么如果病毒或攻击利用这些端口的漏洞来实施攻击的话,如何来防范呢,针对这种情况,我们配置了C i s c oC m a l y s t6 5 0 0 系列入
8、侵检测系统( I D S M 2 ) 服务模块,它可以通过V L A N 访问控制列表( V A C L ) 获取功能来提供对数据流的访问权限。V A C L 可以支持无限个V L A N 。每秒5 0 0 M b( M b p s ) 的I D S 检测能力可以提供高速的分组检查功能,让用户可以为各种类型的网络和流量提供更多的保护。多种用于获取和响应的技术,包括S P A N R S P A N 和V A C L 获取功能,以及屏蔽和T C P 重置功能,从而让用户可以监控不同的网段和流量,同时采取及时的措施,以消除威胁。在配置了I D S模块后,我们首先将它和防火墙模块及到各县公司的路由器
9、建立了联动,然后打开了一些常用的安全特性,如限制同一源地址和目的地址的连接数,限制网络中数据包的大小,监控网络中P 2 P 软件的使用等,其次对主机提供服务的端口进行进行监控,通过观察和实践,我们发现其效果明显。三、规划实施精细化的安全策略( 一) 、规划服务器访问安全策略1 、服务器安全分组根据服务器中应用的安全要求将服务器分组并定制相应的访问控制列表来控制接入的安全。可以遵从如下原则:( 1 ) 、专用业务服务器由各个部门业务服务器组成,相应的访问权限较为严格,访问精度达到“端1 1 2 级别“,主要有:O A 服务器、生产服务器、营销服务器、财务服务器等( 2 ) 、通用业务服务器由需要
10、被所有用户访问的服务器或者需开放端口过多的服务器组成,相应访问权限控制较低,主要有:病毒服务器、呼叫服务器、F I 甲服务器等。( 3 ) 、各个服务器针对需要进行业务访问部门开放相应的服务端口。( 具体开放端口见附表)( 4 ) 、各个不需要进行相互访问的服务器之间通过V A C L 进行隔离按照以上原则,建议将服务器分为以下3 组:8 0 2 := 三= = = = = = = 黧篡签三= 翟= 譬= 翟翟翟翟罂罂塑墨墨墨匿璧矍塞:、胄力信息厨络建设与运行营理I2 0 0 6 车鱼力行业信息化年会论文集公用服务器组:包括域服务器、D H C P 服务器、公用文件服务器等等。( 所有用户都需
11、要访问)通用服务器:包括网管服务器、F F P 服务器等。( 部分管理人员需要访问,对部分用户开放)业务服务器:包括各个业务的相关服务器。( 只对指定人员、网段开放指定服务端口)所有公用服务器组对所有用户开放相应的服务端口;所有通用服务器对指定用户开放相应的服务端口:所有应用服务器只对相应的网段开放指定的应用端口。同一服务器组的服务器要是没有相互访问的需求,之间也使用V A C L 加以隔离。这样,一旦出现问题所波及网络范围也是最小的。2 、服务器服务端口统计分析和V L A N 安全等级规划统计应用服务器中应用系统的使用对象和需要开放的服务端口,进行详细的整理及统计。并根据各个部门的实际需求
12、进行调整,根据最后的设计完成了局域网服务器部分的访问安全策略。基于F W S M 防火墙模块的状态过滤技术,根据相应安全策略来进行配置。在同一V L A N 内部通过V A C L 的2 层访问列表技术来实现同一组服务器之间的安全防护,确保了每台服务器安全的独立性。具体做法如下:( 1 ) 、统计目前服务器上安装的数据库、应用系统及使用这些应用系统所需要开放的端口;( 2 ) 、根据部室对数据库和应用系统访问的要求,本着既能够保证服务器中数据库和应用系统安全稳定运行,又能节约口地址资源的原则划分V l a n ,将对服务器需求相近的部门划分到同一个V l a n ;依据各部门计算机数量来制定V
13、 l a n 地址数和确定V l a n 子网掩码。( 3 ) 、划定应用V l a n 后,根据各V l a n 的实际需求情况来确定V l a n 的安全等级,其中将各部门V l a n的安全等级都设为同一等级,利用F W S M 模块本身的功能实现各部门之间缺省情况下不能互相访问,已隔离V L A N 间的访问,防止病毒爆发。( 4 ) 、统计现有已经公布的经常使用的端口号和常用服务,封闭经常被黑客攻击和病毒感染的端口,减少被攻击和感染的几率:( 5 ) 、针对不同服务器的安全需求,将所有服务器分为2 个网段,分为专用业务服务器( s e r v e d )及通用业务服务器( s e r
14、 v e r 2 ) 。( 6 ) 、各个不需要进行相互访问的服务器之间通过V A C L 进行隔离 ( 二) 应用s ,实施精确防护:对开通的服务端口,逐一匹配到I D S 中,并打开限制同一源地址和目的地址的连接数,限制网络中数据包的大小,监控网络中P 2 P 软件等可以有效杜绝网络风暴的安全特性,并对主机提供服务的端口进行进行监控,发现攻击行为将自动联动到F W S M 模块和周边路由器中,立即封锁攻击源并形成日志。四、网络精细化管理安全策略的实施1 、技术人员现有的应用规划好V l a n 划分、服务器的分区、安全策略2 、科技信息部组织专题会议对规划进行讨论、修改并审核通过3 、将规
15、划报公司分管领导审批4 、技术人员根据审批后的安全策略规划形成安全配置文档5 、在相应的设备中应用配置文档6 、技术人员和应用人员进行安全策略的测试并完善配置文档7 、在测试完全通过后形成完整的配置文档,并归档保存。曼鲤鱼叟垄! 三些笪皇鲨圭叁堕苎叁堕垄堡皇旦丝堡丝皇重复笪堡二三兰三篓篓凰五、安全精细化动态管理新增业务开通流程( 流程图略:) :( 1 ) 业务部门新增服务器开通流程如下:_业务部门填写“服务器开通申请表”提交公司科技信息部。一根据业务部门的需求决定服务器安装的数据库和应用软件,科技信息部网络运行维护人员按照服务器应用的需求,决定服务器放在什么区域,并分配其P 地址,并在服务器
16、网段做好V a c l 防护。-统计新增服务器需要开放的端口,形成开放端口与应用系统相对应:并根据防火墙模块F W S M 和I D S 模块的配置要求,形成相应的访问策略;_科技信息部网络运行维护人员将“服务器开通申请表”提交科技信息部主任修改和审核;一将“服务器开通申请表”由公司总工程师审核;_公司总工程师审核确认之后交网络管理人员开通i网络运行维护人员在C I S C 0 6 5 0 9F W S M 和I D S 模块上配置制定好的访问策略,开通服务器访问权限,并联系业务部门测试确认。( 2 ) 业务部门业务服务器开通新业务流程如下( 流程图略:) :_业务部门填写“服务器开通申请表”提交公司科技信息部;_根据业务部门的需求决定服务器安装的数据库和应用软件,科技信息部网络运行维护人员统计需要开放的端口,形成开放端口与应用对应;并根据防火墙模块F W S M 和I D S 模块的配置要求,形成相应的访问策略;_科技信息部网络运行维护人员将“服务器开通申请表”提交科技信息部主任修改和审核;-将“服务器开通申请表”由公司总工程师审核;_公司总工程
