葉水勇

(國(guó)網(wǎng)黃山供電公司，安徽 黃山 245000)

國(guó)網(wǎng)黃山供電公司的部分業(yè)務(wù)使用到第三方運(yùn)營(yíng)商提供的專線通道業(yè)務(wù)操作。根據(jù)國(guó)網(wǎng)公司提出的信息安全治理提升工作需求，認(rèn)為僅依靠第三方運(yùn)營(yíng)商承諾的專線存在安全風(fēng)險(xiǎn)[1-2]。國(guó)網(wǎng)黃山供電公司信息網(wǎng)絡(luò)與省市公司交互業(yè)務(wù)多，因此網(wǎng)絡(luò)邊界的穩(wěn)定性、安全性將關(guān)系到公司數(shù)據(jù)保密的安全?，F(xiàn)決定對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行網(wǎng)絡(luò)邊界安全優(yōu)化服務(wù)，加強(qiáng)網(wǎng)絡(luò)邊界安全穩(wěn)定。

1 信息內(nèi)網(wǎng)網(wǎng)絡(luò)邊界安全防護(hù)項(xiàng)目的需求分析

國(guó)網(wǎng)黃山供電公司信息內(nèi)網(wǎng)接入邊界安全防護(hù)基礎(chǔ)設(shè)施硬件方面與國(guó)網(wǎng)“安全管理提升”活動(dòng)的要求存在差異，現(xiàn)公司決定根據(jù)“信息安全治理提升專項(xiàng)活動(dòng)”的要求，進(jìn)一步規(guī)范安全信息網(wǎng)絡(luò)邊界部分，實(shí)施信息安全管理提升，國(guó)網(wǎng)公司要求的信息內(nèi)網(wǎng)接入邊界網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。

圖1 信息內(nèi)網(wǎng)接入邊界網(wǎng)絡(luò)拓?fù)鋱D

通過(guò)對(duì)網(wǎng)絡(luò)邊界業(yè)務(wù)系統(tǒng)安全優(yōu)化工作，來(lái)保障網(wǎng)絡(luò)邊界業(yè)務(wù)系統(tǒng)可靠運(yùn)行，此次網(wǎng)絡(luò)邊界業(yè)務(wù)系統(tǒng)安全優(yōu)化項(xiàng)目所要實(shí)現(xiàn)的需求如下。

為存在第三方營(yíng)運(yùn)商提供通道的業(yè)務(wù)系統(tǒng)部署邊界安全網(wǎng)關(guān)；建立安全訪問(wèn)區(qū)域原則，必須建立DMZ區(qū)域，阻斷從第三方營(yíng)運(yùn)商過(guò)來(lái)的數(shù)據(jù)直接訪問(wèn)供電公司信息內(nèi)網(wǎng)；部署的強(qiáng)安全訪問(wèn)規(guī)則，過(guò)濾用戶業(yè)務(wù)的開(kāi)放端口，檢測(cè)數(shù)據(jù)包的完整性；部署通道加密設(shè)備,保障第三方通道上數(shù)據(jù)傳遞的私密性[3-4]。

2 信息內(nèi)網(wǎng)網(wǎng)絡(luò)邊界安全防護(hù)項(xiàng)目的建設(shè)原則

國(guó)網(wǎng)黃山供電公司的網(wǎng)絡(luò)邊界安全項(xiàng)目最終目的是保證那些經(jīng)過(guò)第三方運(yùn)營(yíng)商專線通道訪問(wèn)公司業(yè)務(wù)服務(wù)器流量的安全性和完整性，防止信息網(wǎng)絡(luò)遭受攻擊癱瘓、防止應(yīng)用系統(tǒng)被破壞、防止業(yè)務(wù)數(shù)據(jù)丟失、防止企業(yè)信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊，以確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全[5-6]。

信息內(nèi)網(wǎng)網(wǎng)絡(luò)邊界安全防護(hù)的建設(shè)原則如下。

(1)進(jìn)行第三方網(wǎng)絡(luò)邊界安全優(yōu)化，在信息內(nèi)網(wǎng)邊界部署邊界安全網(wǎng)關(guān),實(shí)現(xiàn)傳統(tǒng)安全防護(hù)、防應(yīng)用層攻擊、防病毒檢測(cè)和過(guò)濾等。

(2)建立內(nèi)網(wǎng)安全訪問(wèn)原則，引入DMZ區(qū)域，內(nèi)網(wǎng)(Trust區(qū)域)實(shí)現(xiàn)對(duì)DMZ區(qū)域開(kāi)放限制端口,DMZ區(qū)域?qū)Φ谌酵ǖ赖腢nTrust區(qū)域用戶開(kāi)放限制端口，保證信息內(nèi)網(wǎng)數(shù)據(jù)庫(kù)的安全運(yùn)行。

(3)采用加密設(shè)備保證邊界系統(tǒng)業(yè)務(wù)流量的安全性、保密性和完整性。

綜上所述，項(xiàng)目的意義是為了使得國(guó)網(wǎng)黃山供電公司所有邊界業(yè)務(wù)系統(tǒng)流量的安全和完整，抵制使用第三方通道所帶來(lái)的不安全因素。

3 安全防護(hù)實(shí)施方案

根據(jù)國(guó)網(wǎng)黃山供電公司網(wǎng)絡(luò)邊界安全架構(gòu)項(xiàng)目的規(guī)劃，此次項(xiàng)目為三大運(yùn)營(yíng)商(移動(dòng)、電信、聯(lián)通三家公司)共3套系統(tǒng)實(shí)施邊界安全，詳細(xì)實(shí)施方案如下。

每個(gè)邊界都部署一套安全網(wǎng)關(guān)隔離系統(tǒng),使用最新版的系統(tǒng)軟件，并將信息內(nèi)網(wǎng)系統(tǒng)服務(wù)器統(tǒng)一部署在邊界安全網(wǎng)關(guān)內(nèi)側(cè)；涉及到邊界業(yè)務(wù)系統(tǒng)必須部署業(yè)務(wù)前置機(jī)，并將前置機(jī)統(tǒng)一放置在安全網(wǎng)關(guān)的DMZ區(qū)域。通過(guò)運(yùn)營(yíng)商進(jìn)行傳遞的數(shù)據(jù)，部署在安全網(wǎng)關(guān)的外部區(qū)域，并部署通道加密裝置，確保數(shù)據(jù)的安全性、完整性、私密性[7-8]。邊界安全方案示意如圖2所示。

圖2 邊界安全方案示意圖

4 安全防護(hù)實(shí)施內(nèi)容

4.1 部署邊界防火墻

(1)邊界安全防護(hù)關(guān)注如何對(duì)進(jìn)出該邊界的數(shù)據(jù)流進(jìn)行有效地檢測(cè)和控制，有效的檢測(cè)機(jī)制包括基于網(wǎng)絡(luò)的入侵檢測(cè)、對(duì)流經(jīng)邊界的信息進(jìn)行內(nèi)容過(guò)濾，有效的控制措施包括網(wǎng)絡(luò)訪問(wèn)控制、入侵防護(hù)以及對(duì)于遠(yuǎn)程用戶的標(biāo)識(shí)與認(rèn)證/訪問(wèn)權(quán)限控制[9-10]。本次項(xiàng)目采用安全、高效、可靠的下一代安全防火墻解決方案，為邊界安全打造L2-L7層的多層安全防護(hù)體系構(gòu)架，把安全風(fēng)險(xiǎn)降到最低，打造安全、可靠、高效的邊界網(wǎng)絡(luò)，主要從以下幾方面進(jìn)行防護(hù)：①網(wǎng)絡(luò)安全，主要訪問(wèn)控制、DOS攻擊防護(hù)、NAT地址轉(zhuǎn)換；②應(yīng)用安全，主要包括漏洞攻擊、非安全應(yīng)用控制、惡意地址防護(hù)、病毒木馬蠕蟲(chóng)過(guò)濾、應(yīng)用訪問(wèn)控制；③Web安全，主要包括SQL注入、跨站腳本、敏感信息防泄露；④設(shè)備自身安全，主要包括抗DOS/DOS屬性、管理員SSL加密登陸、業(yè)務(wù)與管理分離管理。

(2)進(jìn)行邊界安全架構(gòu)防護(hù)，防止邊界外的用戶直接訪問(wèn)信息內(nèi)網(wǎng)。計(jì)劃將邊界需要訪問(wèn)的服務(wù)器放置在前置區(qū)(即防火墻的DMZ區(qū)),通過(guò)安全策略限制前置服務(wù)器訪問(wèn)內(nèi)網(wǎng)，同時(shí)禁止邊界設(shè)備直接訪問(wèn)內(nèi)網(wǎng)[11-12]。

(3)進(jìn)行邊界安全防護(hù)目標(biāo)是使邊界的內(nèi)部不受來(lái)自外部的攻擊，同時(shí)也用于防止惡意的內(nèi)部人員跨越邊界對(duì)外實(shí)施攻擊，或外部人員通過(guò)開(kāi)放接口、隱通道進(jìn)入內(nèi)部網(wǎng)絡(luò)；在發(fā)生安全事件前期能夠通過(guò)對(duì)安全日志及入侵檢測(cè)事件的分析發(fā)現(xiàn)攻擊企圖，安全事件發(fā)生后可以提供入侵事件記錄以進(jìn)行審計(jì)追蹤[13-14]。日志系統(tǒng)示意圖如圖3所示。

圖3 日志系統(tǒng)示意圖

4.2 部署通道加密

本次項(xiàng)目計(jì)劃在各運(yùn)營(yíng)商提供的通道兩邊部署網(wǎng)絡(luò)加密機(jī)，實(shí)現(xiàn)通道加密。采用的加密設(shè)備支持IPSEC國(guó)際標(biāo)準(zhǔn)，支持國(guó)家密碼管理委員會(huì)批準(zhǔn)算法、3DES/168位等多種加密算法。節(jié)點(diǎn)中數(shù)據(jù)的傳輸采用“通道”技術(shù)，保證數(shù)據(jù)在傳輸過(guò)程中不受外界的干擾，并且節(jié)點(diǎn)設(shè)備和接入網(wǎng)關(guān)僅開(kāi)放與安全數(shù)據(jù)傳輸相關(guān)的端口，杜絕了黑客可乘之機(jī)[15-16]。

另外，在三大運(yùn)營(yíng)商(移動(dòng)、電信、聯(lián)通三家公司)分別部署一套加密系統(tǒng)，任何一個(gè)接入節(jié)點(diǎn)的變化和故障不會(huì)影響到其他接入節(jié)點(diǎn)。節(jié)點(diǎn)設(shè)備和接入網(wǎng)關(guān)為低功耗硬件設(shè)備，適用于長(zhǎng)期開(kāi)機(jī)運(yùn)行的需求。同時(shí)全硬件結(jié)構(gòu)避免了由于軟件兼容性、操作系統(tǒng)穩(wěn)定性、操作人員技術(shù)水平等方面對(duì)系統(tǒng)穩(wěn)定性帶來(lái)的影響，保證了用戶節(jié)點(diǎn)的穩(wěn)定性。

5 實(shí)施效果

通過(guò)網(wǎng)絡(luò)邊界安全架構(gòu)項(xiàng)目的實(shí)施，最終達(dá)到優(yōu)化資源配置、加強(qiáng)運(yùn)行控制、推進(jìn)精細(xì)管理、提升信息應(yīng)用系統(tǒng)運(yùn)行專業(yè)水平的目的[17]。

(1)通過(guò)優(yōu)化邊界架構(gòu)，使得國(guó)網(wǎng)黃山供電公司的網(wǎng)絡(luò)邊界架構(gòu)清晰、運(yùn)維管理方便合理，提升了網(wǎng)絡(luò)運(yùn)維效率。

(2)采用下一代防火墻架構(gòu)和加密機(jī)隊(duì)通道加密的方式，提升了邊界的防護(hù)能力，避免了病毒、惡意攻擊等帶來(lái)的安全隱患，為邊界業(yè)務(wù)的開(kāi)展提供了安全保障。

(3)提高了網(wǎng)絡(luò)邊界業(yè)務(wù)的安全性及穩(wěn)定性，對(duì)現(xiàn)有網(wǎng)絡(luò)邊界業(yè)務(wù)系統(tǒng)進(jìn)行了優(yōu)化，為各項(xiàng)業(yè)務(wù)的進(jìn)一步發(fā)展提供了堅(jiān)實(shí)的基礎(chǔ)。

6 結(jié)語(yǔ)

國(guó)網(wǎng)黃山供電公司通過(guò)網(wǎng)絡(luò)邊界安全項(xiàng)目的實(shí)施，最終保證那些經(jīng)過(guò)第三方運(yùn)營(yíng)商專線通道訪問(wèn)公司業(yè)務(wù)服務(wù)器流量的安全性和完整性，防止信息網(wǎng)絡(luò)遭受攻擊發(fā)生癱瘓、防止應(yīng)用系統(tǒng)被破壞、防止業(yè)務(wù)數(shù)據(jù)丟失、防止企業(yè)信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊等，從而確保信息系統(tǒng)安全穩(wěn)定運(yùn)行，確保業(yè)務(wù)數(shù)據(jù)安全。