黃河城域網安全防護管理系統的應用研究

萬 鵬 李慶金 龐 進

（黃委山東水文水資源局，山東濟南 250100）

1 研究背景

黃河城域網是由濟駐局機關、下屬單位及宿舍區網絡組成。以信息中心機房為核心，通過光纖分別連接路由器、三層交換機實現了網絡的互聯互通。城域網內有計算機2000多臺，服務器30多臺，部署有cisco、quidway、H3C等三層交換機、路由器、防火墻、入侵檢測、二層交換機等設備。

局機關和各單位之間的網絡信息業務如：防汛指揮、水量調度、日常辦公、政務公開、信息發布等都在網絡上運行，它已經成為山東黃河防汛管理等各項工作必不可少的工具和平臺。

近年來，山東黃河在信息化建設方面投入了大量的人力、物力，網絡設備綜合性能和骨干網絡傳輸帶寬有了大幅度的提高，但在網絡安全方面的投入還不夠，沒有建立完善的安全防護系統；不能對用戶進行嚴格的管理與控制；當網絡出現病毒或故障時，不能迅速地進行管理和定位。

對于上述情況，技術人員進行深入研究，結合山東黃河辦公網絡系統存在的安全問題，開發了針對整個城域網多方位的防護管理系統，可以實時監控、定位、管理整個網絡設備和終端設備，有效解決目前網絡系統內存在的諸多問題，提高網絡安全防護能力，為進一步提升山東黃河網絡整體性能發揮了巨大的作用。

2 存在問題

近年來，隨著網絡用戶數量不斷增加，應用范圍不斷擴展,對網絡的維護和安全提出了更高的要求。雖采取了一系列的安全防護措施，投資購置了網絡安全設備和產品，但仍存在著威脅網絡安全運行的因素，主要問題如下。

2.1 缺乏有效的統計方法,無法得知網絡使用狀況

對于黃河網絡的使用情況，公網出口帶寬的占用情況，用戶最常發生的網絡訪問行為，用戶最常訪問的網站等，網絡管理者都無法掌握真實情況，只能靠員工的反映簡單了解 IP訪問情況，查詢、審計非常不便。

2.2 無法做到細致的訪問控制

沒有完善的互聯網訪問權限控制手段，僅僅依靠傳統的防火墻等設備，無法有效管控內網員工的各種網絡訪問行為，不僅降低了工作效率，甚至通過Email泄漏機構機密信息，給單位帶來直接經濟損失，并引起不必要的法律糾紛。

2.3 無法有效管控帶寬流量及系統的帶寬需求

現有的公網出口帶寬比較有限,如果有幾個內部用戶全速下載BT、eMule等，其他用戶和業務系統的訪問會變得極其緩慢，而網絡管理者無法有效的獲知現有帶寬資源的使用情況和利用率，對相關的網絡訪問行為無法有效管控。

2.4 無法對用戶網絡行為進行有效監控和審計

內網員工可能通過 MSN、Email郵件等方式將機構的信息資產通過郵件及附件發送到公網，造成內部信息的泄漏，并招致法律問題；而傳統防火墻的解決方案，對用戶的網絡訪問行為無法進行有效的監控和審計，不能做到有據可查。

3 設計原則及依據

3.1 設計原則

（1）效率風險規避。能夠對與工作無關的應用進行控制與管理，并且通過阻斷，流控等多種手段進行管理。系統內置的網站和應用數據庫可以持續升級，并且對違規行為進行告警。

（2）安全風險規避。可以對帶有惡意代碼、木馬的網站的訪問進行阻斷，能夠對內部木馬對外的發送行為進行阻斷，可以對網站包含的惡意代碼進行實時過濾。為了確保行為的標準性，要可以對代理回避技術進行過濾。

（3）網絡可管理性。對系統存儲的日志進行查詢，統計，輸出簡明報告，報告可訂閱。能夠實時監控網絡中的流量排名，用戶排名，網站排名，應用排名。

（4）人員識別。采用用戶名與密碼登錄方式進入黃河城域網，加強人員管理，可通過對系統中的用戶、部門進行策略設置，以及日志的查詢統計。

3.2 設計依據

該項目的實施均嚴格執行中華人民共和國水利部《水文基礎設施建設及技術裝備標準》SL276-2002[1]、《水文自動測報系統規范》SL 61-94[2]中的相關要求。

4 系統部署

部署的安全防護系統串接在用戶網絡鏈路中，如同連接在出口網關和內網交換機之間的“智能網線”，對流經安全防護系統的所有數據流進行審計、控制、攔截、流量管理等操作。安全防護系統的WAN 口同局域網的網關相連，LAN 口（DMZ口）同局域網交換機連接。對進出的數據進行監控與管理。安全防護系統部署圖如圖1所示。

圖1 安全防護系統部署圖

5 系統特點

（1）該系統建立了多種身份認證和權限控制上網模式，對接入局域網的人員進行識別辨認，防止了非法用戶的侵入，保護了用戶安全。

對用戶訪問通過web方式+ip/mac綁定認證結合方式，攔截了未經允許私自接入網內的用戶，對系統中的用戶和部門進行策略的樹型結構設置，避免了用戶私自更改IP，導致IP地址沖突等問題。用戶信息等數據配置如圖2所示。

圖2 用戶信息配置圖

（2）在網絡系統內實現了網頁訪問控制及其他網絡行為控制，降低了感染病毒木馬等網絡風險。

該系統對應用進行控制與管理，通過阻斷、流控等多種手段進行管理，對違規行為可進行告警。它包括 150 多種常見應用的識別和管控規則，定期從專業安全公司網站上自動更新應用識別庫，從源頭上切斷病毒、木馬的潛入，并結合終端安全檢查等多種安全手段，實現立體式安全護航，確保安全上網。

圖3 查詢結果表

（3）該系統通過配置界面實時監控和分析網絡流量，提供細致的優化分配帶寬和流量管理功能，提高網絡的利用效率，提升了網絡訪問速度。

系統提供了豐富的網絡可視化報表，如圖 3“查詢結果”中所示，報告讓管理者詳細掌握了網絡內部流量的使用情況，找到造成網絡故障的原因和網絡瓶頸所在，從而對精細化管理網絡提供了有效依據。保障電子政務系統、視頻會議系統等辦公應用獲得足夠的帶寬支持，提升上網速度和辦公應用的使用效率。

（4）該系統可通過日志審計和報表中心對網絡進行管理統計，把握網絡的整體健康狀況，確保網絡的安全運行。

通過安全防護系統“應用審計”模塊，如圖 4所示，能實現針對不同用戶(組)進行行為記錄和審計，網絡行為控制等功能。系統自動生成行為日志，便于管理人員統計、查詢，維護網絡安全。

圖4 應用審計模塊

6 社會與經濟效益

該系統的應用，提高了整個黃河城域網的安全性和穩定性，構建了更加穩定的防汛信息交流和網絡辦公平臺，尤其在黃河低水調度、調水調沙等關鍵渡汛時期，保證了網絡運行安全和水雨情信息的順暢傳遞，社會效益明顯。

通過對出入網絡各種操作制定的規則，根據實際情況完善系統的配置數據，并在設備中啟動 arp防護聯動，用戶計算機感染病毒的幾率大幅減少，網絡故障次數明顯降低，提升了網絡安全性能，提高了網絡維護質量。同時優化了帶寬管理，提升網絡的訪問質量，用戶的滿意度得到了提高，節省了可觀的前期投資，經濟效益明顯。

[1]SL276-2002,水文基礎設施建設及技術裝備標準[S].中華人民共和國水利部.北京:中國水利水電出版社,2002

[2]SL 61-94,水文自動測報系統規范[S].中華人民共和國水利部.北京:水利電力出版社,1994