互聯(lián)網(wǎng)技術論文:供電公司的網(wǎng)絡安全改造分析
網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。以下是學習啦小編今天為大家精心準備的互聯(lián)網(wǎng)技術論文范文:供電公司的網(wǎng)絡安全改造分析。內(nèi)容僅供參考,歡迎閱讀!
供電公司的網(wǎng)絡安全改造分析全文如下:
電力安全和電力資源供應影響著社會生活的各個方面,主要工作在于電力資源分配、傳變和輸送的供電公司,應與電力用戶、上級管理單位以及電力資源生產(chǎn)企業(yè)主動聯(lián)系。隨著我國網(wǎng)絡技術和計算機技術的快速發(fā)展完善,供電公司也越來越看重其自身與電力用戶和外部相關單位之間的聯(lián)系,網(wǎng)絡安全問題的重要性也日漸凸顯。
網(wǎng)絡安全技術在供電企業(yè)中得到了廣泛的應用。但是,受到網(wǎng)絡安全人員自身能力以及網(wǎng)絡安全系統(tǒng)缺陷等方面的限制,隨著網(wǎng)絡發(fā)展速度的加快,供電公司網(wǎng)絡安全技術人員自身應逐步增強專業(yè)技術能力,以提高供電網(wǎng)絡系統(tǒng)的安全性。文章首先分析目前供電網(wǎng)絡安全改造中存在的問題,然后提出了解決措施。
1 供電公司網(wǎng)絡安全改造中的常見問題
第一,通過本地認證方式進行本地登陸。供電公司對于這一問題的規(guī)定為:管理SNMP和SSH交換機,SNMP啟用訪問控制列表模式,以Radius認證為基礎實現(xiàn)遠程登錄,全部系統(tǒng)應用者均有獨立賬號,從console進行本地認證能夠由網(wǎng)絡設備登陸本地電腦。
第二,ARP攻擊的有效預防。供電公司對于這一問題的規(guī)定為:將DHCP Snooping應用于全部供電設備,DAI應用于全部新設備,避免受到ARP攻擊。通過保留IP的形式,通過DHCP服務器分配地址。
第三,HUB(HUB是一個多端口的轉(zhuǎn)發(fā)器,當以HUB為中心設備時,網(wǎng)絡中某條線路產(chǎn)生了故障,并不影響其他線路的工作)的混接控制。該現(xiàn)象所導致的安全隱患表現(xiàn)為:供電公司的網(wǎng)絡與路由器、HUB等設備相互連接,這就容易增加用戶用電的困難。供電網(wǎng)絡安全改造過程中,利用人工檢查與網(wǎng)管系統(tǒng)相結(jié)合的方式,確定相關的UB端口,一次接入,將HUB這一環(huán)節(jié)撤銷,保證增加端口,經(jīng)8口交換機網(wǎng)管,替代傳統(tǒng)設備,保證網(wǎng)絡與全部交換機接入端口相互連接。
第四,為多個部門建立Radius服務器的賬號。供電公司對于這一問題的規(guī)定為:建立獨立的桌面管理系統(tǒng)數(shù)據(jù)庫或是部門之間關聯(lián)的數(shù)據(jù)庫,驗證全部部門用戶密碼和賬戶基本相同。第五,網(wǎng)絡接入認證,確保桌面管理系統(tǒng)的安裝率。供電公司對于這一問題的規(guī)定為:桌面管理系統(tǒng)安裝率100%,嚴格認證網(wǎng)絡和計算機之間的連接。其主要的安全問題是:不安裝桌面客戶端的電腦,電腦終端會自動化分和修復VLAN,訪問服務器,自動將客戶端、殺毒軟件和補丁安裝在電腦上??蛻舳税惭b后,各部門可以由客戶端進入并選擇,則獲取其中的地址和系統(tǒng)用戶名。
2 供電公司網(wǎng)絡安全的解決途徑
交換機在接入后,IEEE 802.1x協(xié)議將會生效,并從Radius服務器中認證用戶。802.1x計算機客戶端軟件在一般狀態(tài)下,與終端接口交換機接入后,802.1x協(xié)議則會生效,并設定各個端口只能夠認證通過一臺終端。對于相同的HUB和交換,因其不能提供協(xié)議認證端口,能夠進行暫時性的uilt-auth認證,從而確保通過所有終端認證。交換機更換后,取消端口認證,并配置下級交換機認證。將Radius服務器設置于信息中心,從而確保Radius服務器工作的可靠性,并保證2臺以上的Radius服務器,使其實現(xiàn)賬號的自動同步。
在配置交換機時,對各個端口的MAC地址數(shù)量進行嚴格控制,設置值默認為1。通過對登陸交換機進行檢查,確定HUB的端口,通過分線的方法達到接入要求,也可用管理交換機替換原來的HUB,從而確保交換機接入端口僅僅存在一臺認證通過的終端與網(wǎng)絡相互連接,也可下接設備為802.1x接入認證提供支持。Cisco交換機與終端端口相互連接后,會將BPDUGUARD功能啟動,進而避免計算機端口與HUB或交換機隨意連接,進而形成網(wǎng)絡環(huán)路。
在網(wǎng)絡監(jiān)察過程中,終端可能并未打開,這就容易形成端口與多臺計算機相互連接的現(xiàn)象,需要進行嚴格控制,在其他終端開機后,無法實現(xiàn)網(wǎng)絡連接。信息中心技術支持人員需要配置交換機,保證其與網(wǎng)絡的順利連接。在交換機端口與管理交換機相互連接,而非終端時,需要將BPDPGUARD功能關閉,避免交換機端口的自動關閉。建立每個VLAN獨立的ACL并應用后,實現(xiàn)VLAN之間三層隔離的目標。因為目前的業(yè)務主要體現(xiàn)為信息中心機房內(nèi),因而VLAN只能夠訪問信息中心服務器,且不限制訪問其他兄弟單位網(wǎng)絡。
自動綁定交換機端口和MAC地址,通過“port-security maximum”對所有交換機端口接入終端的數(shù)量進行控制。利用DHCP服務器內(nèi)的IP地址保留方式,綁定MAC地址和IP地址,而且,在開啟交換機DAI功能后,只能允許終端以過DHCP方式獲取IP地址,避免終端手動指定IP地址,進而出現(xiàn)IP地址沖突或是盜用問題。聯(lián)合應用DAI和DHCP Snooping,有助于ARP攻擊的控制。以保留IP的形式在DHCP服務器上對IP地址進行重新分配,從而實現(xiàn)綁定IP地址和MAC地址的目標。為了對非法DHCP服務器進行限制,應控制交換機,確保全部終端均獲得合法DHCP服務器的地址。少數(shù)計算機需要經(jīng)常性與各個VLAN網(wǎng)絡接入,應實現(xiàn)VLAN內(nèi)各個IP地址的分配。
3 結(jié)語
綜上所述,隨著供電公司網(wǎng)絡安全改造過程的逐步深入,由此所導致的困難和問題也逐步凸顯,并引起了相關企業(yè)管理人員的關注。因為變電站漫游障礙是供電公司網(wǎng)絡安全改造中最經(jīng)常遇到的問題,所以維操隊工作人員需要收集各種筆記本電腦的MAC地址,并綁定需要介入的電站內(nèi)交換機指定端口。維操隊工作人員的筆記本只能夠與特定端口相連接,這一處理方法能夠最大限度地提高操作站內(nèi)筆記本應用的安全性和便利性。
【供電公司的網(wǎng)絡安全改造分析】相關文章:
4.淺談城市配電網(wǎng)規(guī)劃現(xiàn)狀及問題
5.校園網(wǎng)基本網(wǎng)絡搭建及網(wǎng)絡安全設計分析論文
6.電力論文