论文部分内容阅读
摘 要: 随着国家电网公司信息化“SG186”工程的加快推进,公司信息系统将逐步发挥越来越重要的作用,加强网络与信息安全工作是当务之急。通过介绍信息安全在直属单位信息化过程中的重要性,并结合管理处在信息安全方面采取的相应措施,着重分析通过应用VLAN划分等技术来提高管理处的网络与信息系统的安全性。
关键词: 信息系统;安全性;VLAN技术;硬件防火墙
中图分类号:TP39 文献标识码:A 文章编号:1671-7597(2011)0820141-01
1 信息系统安全
1.1 信息系统安全的主要任务
信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
1.2 信息安全整体防护策略
国网公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。
2 信息安全防护措施——VLAN技术
2.1 VLAN技术
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
2.2 VLAN划分
1)基于端口的VLAN
基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。
2)基于MAC地址的VLAN
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
3)基于路由的VLAN
路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
4)基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。
2.3 划分VLAN的优点
1)控制网络的广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。
2)确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。而VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能确保网络的安全性。
3)简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
3 VLAN技术在管理处信息安全中的应用
3.1 管理处信息网络VLAN划分介绍
管理处信息内网采用的VLAN划分方法是最常应用的一种基于端口的VLAN划分。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。具体划分情况如下:
3.2 管理处VLA N技术具体应用
1)对于领导和财务这两个特殊的部门,他们对于安全保密要求比较高,所以对这两个部门进行单独的VLAN的划分,并通过交换机上的路由设置,使得其它VLAN的广播和单播流量都不会转发到这两个VLAN,实现了安全保密的要求,同时并不影响这两个VLAN对其它VLAN的访问。
2)提高了办公效率,降低了管理成本,管理处人员从一个换流站到另一个换流站工作时,由于划分了VLAN,相当于还是在一个子网里面,不用因为办公地点的改变而耗费时间和精力去更改计算机设置。
3)通过划分VLAN可以使网络管理变的更加简单、有效。信息管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。
4)将管理处整个网络划分成5个VLAN后,由于每个VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了管理处带宽传输效率。
4 其它信息安全防护措施技术
4.1 硬件防火墙
硬件防火墙系统可以说是网络的第一道防线,所以防火墙技术早已是一般企业用来保护企业网络安全的主要机制。防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。
在信息安全性和可靠性方面,防火墙具有以下优点:
1)为保护网络安全,基于访问控制列表的包过滤可以在网络层和传输层检测数据包,防止非法入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。包过滤和状态检测防火墙的实现可以防止来自外部网络的入侵。
2)支持NAT(Network Address Translation)特性。除基本功能外,防火墙的NAT特性还支持对单独用户并发连接数目进行限制,在满足通常网络应用的同时又减少了资源被恶意占用,避免了对网络造成的冲击。
3)支持AAA、RADIUS身份验证协议。
4)支持VPN(包括GRE、L2TP),提供了IPSec、IKE等技术,保障了用户在Internet环境下私有网络的安全性。
5)路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。
6)提供VRRP(Virtual Router Redundancy Protocol)技术,确保通信线路或设备发生故障时可提供备用方案,有效增强了网络的强壮性和可靠性。
4.2 综合网管系统
通过综合网管管理系统,管理处信息管理员对管理处整个网络及网络内的计算机进行监控。
同时具有以下优点:
1)可以迅速搜索网内所有网络资源,对于网络的异常状态及时发出报警,并为网管人员提供各种形式的报表和报告,从而帮助网管人员更加方便地对网络设备进行管理。
2)提供上网控制、即时通讯管理、端口控制、网站访问限制、网页内容过滤、IP地址绑定、IP访问控制、IP流量管理、系统管理、网络管理、日志监控等多种设置。
3)控制网络流量,提高日志分析报告,满足网络管理人员各种分析统计需求,为管理处网络的规划和设计提供量化依据。
5 结语
VLAN技术的应用,使网络工作组的划分突破了地理位置的限制,而完全根据管理功能来划分,基于管理处下属各个换流站分布距离远的特点,这种基于工作流的分组模式很适合管理处的各个部门的划分。随着管理处网络的规模不断扩大和发展,使VLAN技术在管理处的信息网络上得到更广泛的应用。
参考文献:
[1]朱雁辉,防火墙与网络封包截获技术[M].电子工业出版社,2002.
[2]张红旗,信息网络安全[M].清华大学出版社,2002.
[3]王达等,虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
作者简介:
郭涛(1982-),男,本科,助理工程师,从事电力通信设备检修工作。
关键词: 信息系统;安全性;VLAN技术;硬件防火墙
中图分类号:TP39 文献标识码:A 文章编号:1671-7597(2011)0820141-01
1 信息系统安全
1.1 信息系统安全的主要任务
信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
1.2 信息安全整体防护策略
国网公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。
2 信息安全防护措施——VLAN技术
2.1 VLAN技术
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。
2.2 VLAN划分
1)基于端口的VLAN
基于端口的VLAN的划分是最简单、最有效的VLAN划分方法。该方法只需网络管理员针对于网络设备的交换端口进行重新分配组合在不同的逻辑网段中即可。而不用考虑该端口所连接的设备是什么。
2)基于MAC地址的VLAN
MAC地址其实就是指网卡的标识符,每一块网卡的MAC地址都是唯一的。基于MAC地址的VLAN划分其实就是基于工作站、服务器的VLAN的组合。在网络规模较小时,该方案亦不失为一个好的方法,但随着网络规模的扩大,网络设备、用户的增加,则会在很大程度上加大管理的难度。
3)基于路由的VLAN
路由协议工作在七层协议的第三层:网络层,即基于IP和IPX协议的转发。这类设备包括路由器和路由交换机。该方式允许一个VLAN跨越多个交换机,或一个端口位于多个VLAN中。
4)基于策略的VLAN
基于策略的VLAN的划分是一种比较有效而直接的方式。这主要取决于在VLAN的划分中所采用的策略。
2.3 划分VLAN的优点
1)控制网络的广播风暴
采用VLAN技术,可将某个交换端口划到某个VLAN中,而一个VLAN的广播风暴不会影响其它VLAN的性能。
2)确保网络安全
共享式局域网之所以很难保证网络的安全性,是因为只要用户插入一个活动端口,就能访问网络。而VLAN能限制个别用户的访问,控制广播组的大小和位置,甚至能锁定某台设备的MAC地址,因此VLAN能确保网络的安全性。
3)简化网络管理
网络管理员能借助于VLAN技术轻松管理整个网络。例如需要为完成某个项目建立一个工作组网络,其成员可能遍及全国或全世界,此时,网络管理员只需设置几条命令,就能在几分钟内建立该项目的VLAN网络,其成员使用VLAN网络,就像在本地使用局域网一样。
3 VLAN技术在管理处信息安全中的应用
3.1 管理处信息网络VLAN划分介绍
管理处信息内网采用的VLAN划分方法是最常应用的一种基于端口的VLAN划分。这种划分VLAN的方法是根据以太网交换机的交换端口来划分的,它是将VLAN交换机上的物理端口和VLAN交换机内部的PVC(永久虚电路)端口分成若干个组,每个组构成一个虚拟网,相当于一个独立的VLAN交换机。具体划分情况如下:
3.2 管理处VLA N技术具体应用
1)对于领导和财务这两个特殊的部门,他们对于安全保密要求比较高,所以对这两个部门进行单独的VLAN的划分,并通过交换机上的路由设置,使得其它VLAN的广播和单播流量都不会转发到这两个VLAN,实现了安全保密的要求,同时并不影响这两个VLAN对其它VLAN的访问。
2)提高了办公效率,降低了管理成本,管理处人员从一个换流站到另一个换流站工作时,由于划分了VLAN,相当于还是在一个子网里面,不用因为办公地点的改变而耗费时间和精力去更改计算机设置。
3)通过划分VLAN可以使网络管理变的更加简单、有效。信息管理员可以通过网管软件可以查询VLAN间和VLAN内通信的数据包的分类信息,以及应用数据包的分类信息,这些信息可以确定路由系统和经常访问的服务器的最佳配置十分有用。
4)将管理处整个网络划分成5个VLAN后,由于每个VLAN都是一个独立的广播域,而广播只能在本地VLAN内进行,从而大大减少了广播对网络带宽的占用,提高了管理处带宽传输效率。
4 其它信息安全防护措施技术
4.1 硬件防火墙
硬件防火墙系统可以说是网络的第一道防线,所以防火墙技术早已是一般企业用来保护企业网络安全的主要机制。防火墙所使用的控制技术、自身的安全保护能力、网络结构、安全策略等因素都会影响企业网络的安全性。
在信息安全性和可靠性方面,防火墙具有以下优点:
1)为保护网络安全,基于访问控制列表的包过滤可以在网络层和传输层检测数据包,防止非法入侵。ASPF能够检测应用层协议的信息,并对应用的流量进行监控。包过滤和状态检测防火墙的实现可以防止来自外部网络的入侵。
2)支持NAT(Network Address Translation)特性。除基本功能外,防火墙的NAT特性还支持对单独用户并发连接数目进行限制,在满足通常网络应用的同时又减少了资源被恶意占用,避免了对网络造成的冲击。
3)支持AAA、RADIUS身份验证协议。
4)支持VPN(包括GRE、L2TP),提供了IPSec、IKE等技术,保障了用户在Internet环境下私有网络的安全性。
5)路由协议OSPF、RIP2都具有MD5认证功能,确保所交换路由信息的可靠性。
6)提供VRRP(Virtual Router Redundancy Protocol)技术,确保通信线路或设备发生故障时可提供备用方案,有效增强了网络的强壮性和可靠性。
4.2 综合网管系统
通过综合网管管理系统,管理处信息管理员对管理处整个网络及网络内的计算机进行监控。
同时具有以下优点:
1)可以迅速搜索网内所有网络资源,对于网络的异常状态及时发出报警,并为网管人员提供各种形式的报表和报告,从而帮助网管人员更加方便地对网络设备进行管理。
2)提供上网控制、即时通讯管理、端口控制、网站访问限制、网页内容过滤、IP地址绑定、IP访问控制、IP流量管理、系统管理、网络管理、日志监控等多种设置。
3)控制网络流量,提高日志分析报告,满足网络管理人员各种分析统计需求,为管理处网络的规划和设计提供量化依据。
5 结语
VLAN技术的应用,使网络工作组的划分突破了地理位置的限制,而完全根据管理功能来划分,基于管理处下属各个换流站分布距离远的特点,这种基于工作流的分组模式很适合管理处的各个部门的划分。随着管理处网络的规模不断扩大和发展,使VLAN技术在管理处的信息网络上得到更广泛的应用。
参考文献:
[1]朱雁辉,防火墙与网络封包截获技术[M].电子工业出版社,2002.
[2]张红旗,信息网络安全[M].清华大学出版社,2002.
[3]王达等,虚拟专用网(VPN)精解[M].北京:清华大学出版社,2004.
作者简介:
郭涛(1982-),男,本科,助理工程师,从事电力通信设备检修工作。