摘要:文中就信息网络安全技术,结合营口供电公司的实际,基于网络与信息安全方面的考虑,从网络安全制度,VLAN的划分,防火墙的具体应用,防病毒软件的安装与实施,入侵检测系统的选型与应用等几个方面来论述营口供电公司在网络与信息安全技术上的实施。
关键词:VLAN划分 防火墙 防病毒软件 入侵检测
1 安全防范措施
网络安全性问题是一个综合问题,它包含网络设备和人为因素两个方面,因此,在网络安全性方面我们制定如下制度:
1、加强用户口令管理制度,合理设置口令的长度、更换周期,及时注销到期帐号;
2、利用网络系统及网络应用的权限机制,对不同网络用户提供不同的访问权限;
3、定期分析运行记录,防止非法入网和越权访问;
4、网络病毒防范系统;
5、加强行政管理,进行网络安全教育和培训;
6、用防火墙实现内外网间网络安全性;
7、通过访问列表维护内部VLAN间的网络的安全性;
8、通过软件设置VLAN内的安全设置。
在标准的OSI模型中,从上到下一共有7层, 但对于现在事实上的标准,TCP/IP协议,则只有5层,从下到上依次为物理层、数据链路层、网络层、传输层和应用层。对于物理层,数据基本上是不保密的,但对于其他层,都可以设置权限,限制非法用户的访问,在以下的叙述中,我们将以财务子网的安全性为例进行我们安全性的准备。
1、通过跨主干的VLAN划分,可以将调度大楼财务处和其他二级单位的财务室划在一个VLAN内,形成一个私有网段,虽然几个区域距离分散,但从逻辑上看,他们都在一个网段内,即如果财务处发出一个广播给内部人员,所有区的财务人员都将收到广播,但其他人员,即使和财务人员在一个交换机上的,都将收不到任何信息,这样,从数据链路层保护了安全,但同时限制了网段相互访问。
2、通过具有三层交换能力的交换机,使虚网之间的访问成为可能,但同时带来了安全隐患,即如果允许访问,则能提供所有服务,而不能提供访问过滤,为了保护财务VLAN内的数据,我们采用具有访问控制功能的路由交换机BIG6808,提供访问列表,可以针对IP包的源地址、目的地址、TCP/UDP的端口数进行访问过滤,可使财务VLAN内的用户能访问外部数据,但外部用户访问财务必须要有权限,这样,从网络层和传输层保证了财务数据的安全。
3. 应用层安全:通过应用软件,在服务器上设置密码和口令,设置目录权限和文件权限,限制用户访问。
采取以上解决方法,能使财务VLAN内的成员方便的访问外网,但其他VLAN内的用户是看不见财务VLAN的,对外服务器的维