九江供电系统分析报告书及建议.doc

九江供电公司电力营销系统安全分析报告及整改方案 一、信息安全背景 1.1、引言 在当今的全球商业环境中，信息的重要性被广泛接受，信息系统在各类组织中得到了广泛应用。许多组织对其信息系统不断增长的依赖性，加上在信息系统上运作业务的风险、收益和机会，使IT治理成为治理越来越关键的一部分。 现实世界的任何系统都是一串复杂的环节，安全措施必须渗透到系统的所有地方这些事故不仅仅是简单的信息系统瘫痪的问题，其直接后果是导致巨大的经济损失，还造成了不良的社会影响。 如上图所示为九江供电公司电力营销系统网络拓扑结构图。整个网络架构主要以支撑供电公司电力营销系统为主，其数据及网络安全要求级别要求较高。整个网络的正常运行与否及数据防护将直接影响到供电公司电费收支管理。 目前，九江供电公司在飞机坝建立新大楼，营业网点基本集中于飞机坝新址。就当前网络状况而言，飞机坝客户端通过光纤环网接入供电公司中心机房，网络通道经由一台CISCO3550交换机接入小型机。在这条链路的出口处，部署了一台CISCO PIX525防火墙。 该网络在部署安全措施时，由于诸如设备限制、网络环境限制等原因，仅在防火墙上设置了访问控制列表，就该网络现状分析目前存在以下安全及管理隐患： 内外网共用：如拓扑图红色链路所示，该条网络链路内外网共用设备，没有进行物理隔离，由于因特网安全性不高，在客户端上网的同时存在着被黑客窥探攻击、网络病毒攻击等安全隐患，而在内外网共用网络中，一旦黑客或病毒通过因特网侵入，那么整个网络将受到攻击威胁，包括本网核心部分的服务器。一旦服务器被攻击或被病毒感染，将造成信息泄露、业务中断甚至网络瘫痪等严重后果，将直接造成不可估量的经济损失。 防病毒薄弱：目前整个网络仅在每个客户端安装了诺顿，而网络其他节点，尤其是核心部分的服务器没有做具体的病毒防护，无法达到全网病毒防护。 防火墙：目前网络中部署的是一台CISCO PIX525防火墙，由于该型号防火墙属老产品，防护机制性能较弱，如该防火墙无法在应用层进行管理防护，无法与目前其他安全产品或安全系统进行安全防护联动。 交换机模块化：该链路中部署了一台CICSO 3550交换机作为交换设备，而该交换机并不是模块化的，如交换机引擎，而一旦部件损坏无法修复，将无法替换部件，须整台设备更换，造成维护费用高。 单链路网络：目前该网链路采用的是单链路网络，没有链路冗余，如果链路发生中断，那么网络业务也将随之中断。 入侵检测系统：安全防护是综合性的防护，防火墙仅为防护的一个环节，全面的防护除部署防火墙，防病毒等措施外，还应部署入侵检测设备，并实行所有安全产品及系统联动，共同防护。入侵检测是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。 ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- ----------------------------精品word文档 值得下载 值得拥有---------------------------------------------- -----------------------------------------------------------------------------------------------------------------------------