朔州供電分公司網絡安全改造的研究與設計

摘 要:本文首先簡單介紹了朔州供電分公司網絡的現在情況，進一步介紹了網絡安全改造前后的基本狀況，重點講解了網絡安全改造中用到的關鍵技術，最后對朔州供電分公司的網絡提出了新的展望。

關鍵詞:網絡安全 漏洞掃描 防火墻

中圖分類號:TP393文獻標識碼:A文章編號:1673-9795(2012)06(a)-0229-02

當今，通信技術突飛猛進，信息產業成為全世界發展速度最快的產業之一，信息產業已融入了國民經濟的各個領域，成為推動國民經濟快速發展的動力之一。

地市信息內網的業務包括了營銷、財務、ERP等系統，各系統獨立成域，需要在獨立成域之后業務流進行強安全策略控制及針對業務的應用層安全威脅過濾。

目前各地市網絡現狀的差異主要體現在數據中心網絡結構不同，大部分采用先匯聚到服務器匯聚交換機，再由匯聚交換機上聯核心的方式;仍有部分地市采用了服務器直接掛接在核心交換機的方式。

1 項目概況

從網絡現狀上來看，目前存在的問題集中在以下幾個方面。

(1)數據中心區域，缺乏針對業務系統的有效隔離和安全防護，目前服務器裸露在內網的桌面主機之前，而且不同的業務沒有安全隔離措施，無法滿足安全性的要求。

(2)廣域網上聯區域，目前的防火墻只能做三到四層的安全策略，無法做到針對病毒木馬、惡意代碼等的有效防護。

(3)全網的安全問題無法第一時間獲知，多采用了設備手動檢查的方式發現安全告警，再采用響應措施，屬于被動響應。

(4)針對市局局域網和城區城域網上聯到核心交換機的數據流，沒有有效的技術手段實現精細化的控制策略。

(5)無對網絡中服務器或數據庫目前存在SQL注入漏洞、緩沖區溢出漏洞、IPV6緩沖區溢出、蠕蟲、默認用戶存在弱口令等高風險漏洞的檢測。

以上幾個問題，最終導致的結果就是，業務的安全性不可控、不可管，帶來的威脅隱患直接影響到省市公司的生產經營(圖1)。

1.1 新網概況

如圖2所示，改造后的網絡在服務器和核心交換機之間增加了兩臺防火墻，在服務器匯聚交換機與核心交換機間增加高性能防火墻實現服務器群與各區域經核心層的業務流量的安全隔離，通過在廣域網接入區防火墻和核心交換機之間部署的入侵防御設備，實現二到七層攻擊防護。

(1)數據中心安全加固:服務器群所在的數據中心，是業務系統的集中所在，也是安全隔離和防護的重點。采用數據中心匯聚層或核心層部署防火墻和入侵防御設備，可以很好地解決這一問題。

(2)隱患掃描系統對用戶網絡的漏洞進行自動發現、統計分析并提供相應的修補措施的系統，達到對整個網絡系統的詳實的安全評估。用戶能夠通過隱患掃描系統集中找出最新的安全漏洞，并且集中了解漏洞的內容，不需要用戶時時刻刻關注不