信息內網網絡邊界安全防護研究

葉水勇

(國網黃山供電公司，安徽 黃山 245000)

國網黃山供電公司的部分業務使用到第三方運營商提供的專線通道業務操作。根據國網公司提出的信息安全治理提升工作需求，認為僅依靠第三方運營商承諾的專線存在安全風險[1-2]。國網黃山供電公司信息網絡與省市公司交互業務多，因此網絡邊界的穩定性、安全性將關系到公司數據保密的安全?，F決定對網絡系統進行網絡邊界安全優化服務，加強網絡邊界安全穩定。

1 信息內網網絡邊界安全防護項目的需求分析

國網黃山供電公司信息內網接入邊界安全防護基礎設施硬件方面與國網“安全管理提升”活動的要求存在差異，現公司決定根據“信息安全治理提升專項活動”的要求，進一步規范安全信息網絡邊界部分，實施信息安全管理提升，國網公司要求的信息內網接入邊界網絡拓撲圖如圖1所示。

圖1 信息內網接入邊界網絡拓撲圖

通過對網絡邊界業務系統安全優化工作，來保障網絡邊界業務系統可靠運行，此次網絡邊界業務系統安全優化項目所要實現的需求如下。

為存在第三方營運商提供通道的業務系統部署邊界安全網關；建立安全訪問區域原則，必須建立DMZ區域，阻斷從第三方營運商過來的數據直接訪問供電公司信息內網；部署的強安全訪問規則，過濾用戶業務的開放端口，檢測數據包的完整性；部署通道加密設備,保障第三方通道上數據傳遞的私密性[3-4]。

2 信息內網網絡邊界安全防護項目的建設原則

國網黃山供電公司的網絡邊界安全項目最終目的是保證那些經過第三方運營商專線通道訪問公司業務服務器流量的安全性和完整性，防止信息網絡遭受攻擊癱瘓、防止應用系統被破壞、防止業務數據丟失、防止企業信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊，以確保信息系統安全穩定運行，確保業務數據安全[5-6]。

信息內網網絡邊界安全防護的建設原則如下。

(1)進行第三方網絡邊界安全優化，在信息內網邊界部署邊界安全網關,實現傳統安全防護、防應用層攻擊、防病毒檢測和過濾等。

(2)建立內網安全訪問原則，引入DMZ區域，內網(Trust區域)實現對DMZ區域開放限制端口,DMZ區域對第三方通道的UnTrust區域用戶開放限制端口，保證信息內網數據庫的安全運行。

(3)采用加密設備保證邊界系統業務流量的安全性、保密性和完整性。

綜上所述，項目的意義是為了使得國網黃山供電公司所有邊界業務系統流量的安全和完整，抵制使用第三方通道所帶來的不安全因素。

3 安全防護實施方案

根據國網黃山供電公司網絡邊界安全架構項目的規劃，此次項目為三大運營商(移動、電信、聯通三家公司)共3套系統實施邊界安全，詳細實施方案如下。

每個邊界都部署一套安全網關隔離系統,使用最新版的系統軟件，并將信息內網系統服務器統一部署在邊界安全網關內側；涉及到邊界業務系統必須部署業務前置機，并將前置機統一放置在安全網關的DMZ區域。通過運營商進行傳遞的數據，部署在安全網關的外部區域，并部署通道加密裝置，確保數據的安全性、完整性、私密性[7-8]。邊界安全方案示意如圖2所示。

圖2 邊界安全方案示意圖

4 安全防護實施內容

4.1 部署邊界防火墻

(1)邊界安全防護關注如何對進出該邊界的數據流進行有效地檢測和控制，有效的檢測機制包括基于網絡的入侵檢測、對流經邊界的信息進行內容過濾，有效的控制措施包括網絡訪問控制、入侵防護以及對于遠程用戶的標識與認證/訪問權限控制[9-10]。本次項目采用安全、高效、可靠的下一代安全防火墻解決方案，為邊界安全打造L2-L7層的多層安全防護體系構架，把安全風險降到最低，打造安全、可靠、高效的邊界網絡，主要從以下幾方面進行防護：①網絡安全，主要訪問控制、DOS攻擊防護、NAT地址轉換；②應用安全，主要包括漏洞攻擊、非安全應用控制、惡意地址防護、病毒木馬蠕蟲過濾、應用訪問控制；③Web安全，主要包括SQL注入、跨站腳本、敏感信息防泄露；④設備自身安全，主要包括抗DOS/DOS屬性、管理員SSL加密登陸、業務與管理分離管理。

(2)進行邊界安全架構防護，防止邊界外的用戶直接訪問信息內網。計劃將邊界需要訪問的服務器放置在前置區(即防火墻的DMZ區),通過安全策略限制前置服務器訪問內網，同時禁止邊界設備直接訪問內網[11-12]。

(3)進行邊界安全防護目標是使邊界的內部不受來自外部的攻擊，同時也用于防止惡意的內部人員跨越邊界對外實施攻擊，或外部人員通過開放接口、隱通道進入內部網絡；在發生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發現攻擊企圖，安全事件發生后可以提供入侵事件記錄以進行審計追蹤[13-14]。日志系統示意圖如圖3所示。

圖3 日志系統示意圖

4.2 部署通道加密

本次項目計劃在各運營商提供的通道兩邊部署網絡加密機，實現通道加密。采用的加密設備支持IPSEC國際標準，支持國家密碼管理委員會批準算法、3DES/168位等多種加密算法。節點中數據的傳輸采用“通道”技術，保證數據在傳輸過程中不受外界的干擾，并且節點設備和接入網關僅開放與安全數據傳輸相關的端口，杜絕了黑客可乘之機[15-16]。

另外，在三大運營商(移動、電信、聯通三家公司)分別部署一套加密系統，任何一個接入節點的變化和故障不會影響到其他接入節點。節點設備和接入網關為低功耗硬件設備，適用于長期開機運行的需求。同時全硬件結構避免了由于軟件兼容性、操作系統穩定性、操作人員技術水平等方面對系統穩定性帶來的影響，保證了用戶節點的穩定性。

5 實施效果

通過網絡邊界安全架構項目的實施，最終達到優化資源配置、加強運行控制、推進精細管理、提升信息應用系統運行專業水平的目的[17]。

(1)通過優化邊界架構，使得國網黃山供電公司的網絡邊界架構清晰、運維管理方便合理，提升了網絡運維效率。

(2)采用下一代防火墻架構和加密機隊通道加密的方式，提升了邊界的防護能力，避免了病毒、惡意攻擊等帶來的安全隱患，為邊界業務的開展提供了安全保障。

(3)提高了網絡邊界業務的安全性及穩定性，對現有網絡邊界業務系統進行了優化，為各項業務的進一步發展提供了堅實的基礎。

6 結語

國網黃山供電公司通過網絡邊界安全項目的實施，最終保證那些經過第三方運營商專線通道訪問公司業務服務器流量的安全性和完整性，防止信息網絡遭受攻擊發生癱瘓、防止應用系統被破壞、防止業務數據丟失、防止企業信息泄密、防止終端病毒感染、防止有害信息傳播、防止惡意滲透攻擊等，從而確保信息系統安全穩定運行，確保業務數據安全。