大慶油田VPDN安全接入部署研究

朱鑫霖

（大慶油田信息技術公司，黑龍江 大慶 163000）

隨著信息化網(wǎng)絡建設的發(fā)展，各種具有跨區(qū)域遠程數(shù)據(jù)信息交流、終端、分站等越來越多，這種運營模式也逐漸成為現(xiàn)代企業(yè)網(wǎng)絡情況的主流需求。為了數(shù)字采集的便利性，數(shù)據(jù)中心和各二級分中心，然后直接到終端，需要實時地進行信息傳輸和資源調(diào)用，越來越多地依賴傳輸網(wǎng)絡。但是，由于網(wǎng)絡的開放性和通信協(xié)議原始設計的局限性影響，很多信息采用明文或低安全的方式傳輸，特別是企業(yè)生產(chǎn)數(shù)據(jù)這種敏感信息如果被非法訪問、網(wǎng)絡攻擊、信息竊取等，會為企業(yè)的正常運行帶來安全隱患，甚至造成不可估量的損失。

1 安全防護部署

為解決油田部分偏遠地區(qū)網(wǎng)絡無法覆蓋生產(chǎn)場所，以及為保障移動作業(yè)工程施工數(shù)據(jù)傳輸需求，充分利用運營商4G網(wǎng)絡覆蓋廣的優(yōu)勢，按照網(wǎng)絡安全管理辦法相關要求構建4G VPDN專用網(wǎng)絡，需開通與運營商的4G虛擬專網(wǎng)接入專線，實現(xiàn)數(shù)據(jù)和視頻安全傳輸，以符合中國石油企業(yè)網(wǎng)信息安全相關標準。為保證油田VPDN虛擬專網(wǎng)業(yè)務開通，大慶油田智慧指揮中心已經(jīng)在油田公司生產(chǎn)網(wǎng)DMZ區(qū)部署了VPDN接入平臺，包括相應接入路由器、防火墻、數(shù)據(jù)轉發(fā)服務器等設備，平臺按照《信息安全技術網(wǎng)絡安全等級保護基本要求》，在安全區(qū)域邊界、安全計算環(huán)境、安全通信網(wǎng)絡、接入層網(wǎng)絡4個方面制訂統(tǒng)一的網(wǎng)絡安全策略，確保業(yè)務數(shù)據(jù)安全傳輸，有效防御網(wǎng)絡攻擊。

2 VPDN安全部署涉及的技術

利用移動通信網(wǎng)絡，網(wǎng)絡互連及遠程訪問網(wǎng)絡中，效率高、價格低廉、迅速、安全性高、可靠性強的解決方案就是VPDN，其還具備可擴展性，可對移動辦公安全通信需求、企業(yè)分支機構、政府機構等安全通信需求進行滿足，已經(jīng)成為企業(yè)中最關鍵性的接入業(yè)務。安全防護主要打造防火墻、審計、網(wǎng)管等安全防護資源池。根據(jù)策略引用把接入終端按照生產(chǎn)業(yè)務應用引入相應的油田生產(chǎn)網(wǎng)劃分的VPND中形成一個個信息孤島。同時，有特殊需求的用戶可以進行互聯(lián)互通，VPDN有以下幾點好處。

（1）縮減企業(yè)成本：針對VPND應用、移動辦公等開展遠程訪問工作中，無須重復性地進行專線開通，其可以節(jié)約專線費用，降低企業(yè)運營成本，節(jié)約網(wǎng)絡維護費用和鏈路租用費用。

（2）強烈移動性：其可以在任何存在3G或者4G無線網(wǎng)絡覆蓋位置上應用，可以隨時依靠無線向企業(yè)內(nèi)網(wǎng)接入，接入條件不會對其產(chǎn)生限制。

（3）其建網(wǎng)速度較快，拓展方便，定制簡便；二級單位需要進行無線上網(wǎng)設備的購置，比如，無線路由器和網(wǎng)卡等，并對其開展簡單化的配置即可完成。其可迅速建立自身專用網(wǎng)絡，以促進工作效率的提升，增加員工生產(chǎn)力，促進油田競爭能力的全面增長。

（4）可靠性及安全性強：隧道技術在VPDN中的應用，可構建網(wǎng)絡層和邏輯隧道的加密干預，可以采取口令保護、防火墻、權限設置和身份驗證等形式，確保數(shù)據(jù)完整程度的提升，降低數(shù)據(jù)非法竊取情況的發(fā)生。

其中涉及的相關技術：

（1）APN。APN（Access Point Name接入點名稱），其全稱為虛擬撥號專網(wǎng)技術其建立在撥號用戶之上，屬于虛擬的專用網(wǎng)絡，依靠IP網(wǎng)絡自身承載功能，必須將其與授權機制、加密機制及認證機制結合，將專用虛擬虛擬數(shù)據(jù)通信網(wǎng)絡在公用網(wǎng)絡中構建。實質(zhì)：利用無線資源替代部分有線資源，構建用戶數(shù)據(jù)通信網(wǎng)絡。

APN節(jié)點直接接入運營商物聯(lián)網(wǎng)專用網(wǎng)絡，利用運營商骨干網(wǎng)絡的安全防護性保障數(shù)據(jù)安全，提供專享的APN鑒權接入(只有符合客戶專用APN域名的無線卡才能接入，該域名的申請和綁定都需要經(jīng)過特定流程）。使用專用行業(yè)網(wǎng)關GGSN/LTE，與互聯(lián)網(wǎng)GGSN網(wǎng)關互相獨立。SGSN和GGSN基于PDP（分組數(shù)據(jù)報文）上下文轉發(fā)報文，不同客戶之間以及同一客戶不同用戶之間完全隔離。核心網(wǎng)報文轉發(fā)全部經(jīng)過GTP隧道封裝，終端和客戶網(wǎng)絡都無法進入核心網(wǎng)絡。

運營商無線部分的安全防護：①3G/4G快速功率控制將信號隱藏在噪聲中，無法被監(jiān)聽。②增強的128位5元組（隨機數(shù)RAND、期望響應XRES、加密密鑰CK、完整性密鑰IK和認證令牌AUTN）鑒權密碼算法。③網(wǎng)絡以臨時識別碼（TMSI）給用戶在傳輸信息中屏蔽用戶真實身份。④CK的128位加密密鑰，分組加密算法函數(shù)f8利用KASUMI分組方式加密數(shù)據(jù)，以降低消息被偽造和惡意篡改的發(fā)生率。⑤將雙向認證提供。其不僅可以進行MS的基站移動終端認證，也可以進行移動終端的認證，可減少偽基站的攻擊。⑥加密接入鏈路數(shù)據(jù)，將其向RNC——無線網(wǎng)絡控制器延伸。⑦RNA無線接入網(wǎng)絡為運營商網(wǎng)絡，其主要負責將信息由無線信號之中提取，并向電路域及分組域轉發(fā)，傳輸過程中，數(shù)據(jù)也會加密和壓縮。并且，RAN均為底層設備，從這些設備角度來講，數(shù)據(jù)上層具有抽象的含義，且RAN設備自身并未存在安全隱患。⑧安全機制（3G/4G）均存在可拓展性，可以將其在新業(yè)務中引入并對其進行保護，以保障其安全。運營商無線安全被確保的前提下，敏感數(shù)據(jù)可以安全有效地穿透運營商送到企業(yè)內(nèi)部。

（2）IPsec over L2TP VPN。Layer Two Tunneling Protocol——第二層隧道協(xié)議，簡稱為L2TP，其屬于虛擬隧道協(xié)議，一般情況下，在虛擬專用網(wǎng)之中應用。L2TP協(xié)議自身均不進行可靠驗證及加密功能的提供，可以將其與安全協(xié)議協(xié)同應用，以加密進行數(shù)據(jù)的傳輸。一般情況下，其會與L2TP協(xié)議配合應用，IPsec為加密協(xié)議，若是搭配應用這兩種協(xié)議過程中，一般情況下，其被稱為IPsec over L2TP，而使用這種方式的VPN就稱為IPsec over L2TP VPN。

企業(yè)數(shù)據(jù)在安全穿透運營商網(wǎng)絡后如何傳入企業(yè)內(nèi)網(wǎng)中，就存在多個部署方式，企業(yè)對準入要求比較高的就會進行二次身份驗證來確保進入企業(yè)內(nèi)網(wǎng)數(shù)據(jù)的身份合法性。數(shù)據(jù)從運營商傳到企業(yè)內(nèi)部最好的方式就是隧道技術，為了達到二次認證的用途，采用IPsec over L2TP VPN專線方式。

（3）DMZ區(qū)域安全防護。通過企業(yè)自己創(chuàng)建AAA接入鑒權形式，認證不同撥入號碼的密碼和賬號，將其與IMSI——手機卡串號、IMEI——可捆綁收集串號、密碼及用戶名開展認證干預，企業(yè)可以自主進行IP地質(zhì)的分配，也可以組織設置撥入服務器主機的域名和IP地質(zhì)，其與人員無法對企業(yè)內(nèi)部網(wǎng)絡部署防火墻設備進行認知，前端數(shù)據(jù)模塊中，進行了網(wǎng)閘設備的部署，限制差異網(wǎng)絡的通信，并對其隔離處理，以此確保外界風險對VPDN的影響可降至最低，其安全保障機制為：①非法用戶的評比，每張SIM卡均為IMSI卡的唯一標識，域名綁定及IMSI號可確保無授權的卡無法向專網(wǎng)中撥入；②Internet服務被關閉，由于是物聯(lián)網(wǎng)專用的物聯(lián)網(wǎng)卡，關閉了Internet服務，做到了“專卡專用”；③防止內(nèi)部盜用，設置于企業(yè)所建立的AAA服務器上，依靠用戶名綁定、用戶IP及IMSI形式進行綁定，以降低內(nèi)部盜用風險。實現(xiàn)專人專卡自主應用，與強化風險控制和管理。④防火墻防護，由于此類方式接入大多數(shù)為工業(yè)模塊傳輸數(shù)據(jù)，企業(yè)內(nèi)部建立工業(yè)防火墻，針對專有工業(yè)協(xié)議進行策略綁定，還可以使用ACL等基礎防護措施對數(shù)據(jù)流進入企業(yè)內(nèi)網(wǎng)后的流向進行小顆粒、細致化的控制，保障了生產(chǎn)數(shù)據(jù)統(tǒng)一管理部署，從而減輕了大量數(shù)據(jù)模塊后期維護和故障處理的工作強度，提高了運維效率。

開通VPDN后，企業(yè)中，運營商可進行域名的提供，針對SIM卡進行對應權限的開通。下文主要為報文的交互過程：①路由器由接入段用戶接入，支持APN撥號方式的終端的SIM卡自主搜尋運營商通信基站，并可將其連接注冊，注冊完成后，對PPP撥號啟動，并向運營商LAC進行認證請求的發(fā)送；②認證請求被運營商AAA服務器接收后，會做主判斷，分析用戶的VPDN域。直接進入運營商物聯(lián)網(wǎng)專網(wǎng)內(nèi)部，脫離公網(wǎng)環(huán)境，運營商AAA服務器可從認證結果出發(fā)，將用戶所屬企業(yè)由LAC返回，以對隧道屬性和LNS路由器地質(zhì)信息進行返回；③企業(yè)內(nèi)網(wǎng)LNS由LAC向其進行L2TP隧道請求的構建，在LNS接收以后，應用PAP形式或者CHAP形式開展認證，待成功以后，建立L2TP與LAC之間的構建；④建立L2TP以后，LNS路由器，再次認證撥入用戶，對其賬號和密碼確認后，撥入用戶的IP地址，由企業(yè)內(nèi)部員工所設置的地址池開展，將用戶設備的對應撥號接口設置為UP狀態(tài)，做好協(xié)商端至IPSEC端的準備；⑤用戶獲得IP地址后，若是接入用戶可對流量IPSEC VPN觸發(fā)，則會開展隧道協(xié)商（IPSEC VPN），隧道啟動建立；⑥待隧道協(xié)商完成后，構建端至端之間的私有隧道——VPN，加密傳輸數(shù)據(jù)。

以此，終端企業(yè)敏感生產(chǎn)數(shù)據(jù)就進入了企業(yè)內(nèi)部的網(wǎng)絡中。

3 企業(yè)內(nèi)部安全防護

通過企業(yè)DMZ區(qū)部署一系列安全防護設備結合與運營商IPsec over L2TP VPN專線的安全傳輸，數(shù)據(jù)已經(jīng)安全的進入企業(yè)內(nèi)部，對于一些中小型企業(yè)似乎任務已經(jīng)完成可以批量處理無線終端上傳的數(shù)據(jù)了，但是，對于一些大型企業(yè)，網(wǎng)絡構架大、部署方式多樣化，甚至企業(yè)存在多張大型環(huán)網(wǎng)，如何有效地利用VPDN數(shù)據(jù)在超大型企業(yè)網(wǎng)絡內(nèi)部合理的傳輸也是大型企業(yè)面臨的考驗。

（1）企業(yè)內(nèi)部二級單位的VPN隔離。大型企業(yè)下屬二級單位眾多，每個二級單位需要獨立運作并不定時和總部有信息交互，所以大型企業(yè)會布置多個MPSL VPN使得各下屬二級單位運行在自己的虛擬局網(wǎng)中。在通過建立服務作用的MPLS VPN通過策略使其與各二級單位的MPSL VPN互通，這樣就保障了下屬二級單位獨立運行的能力，也保持了與總部核心設備互通的需求。

（2）VPDN引入MPSL VPN。自動化和定制化是VPDN的顯著特征，二級單位對項目需求有著千差萬別的個性化需求，在保證共性需求的基礎上，還要滿足企業(yè)二級單位個性化的定制需求，向企業(yè)的二級單位提供靈活、個性化配置的VPDN服務。VPDN要提供按需變化的服務，就要有反應敏捷的人員、流程和策略，來適應業(yè)務變化的需要。VPDN下的運維需要更多的靈活性和可伸縮性，可以根據(jù)二級單位的需要，快速調(diào)整資源和服務。所以，在VPDN接入企業(yè)內(nèi)部后，對接至服務作用的MPSL VPN中，保證其數(shù)據(jù)可以訪問到任何二級單位部署的數(shù)據(jù)采集服務器中，根據(jù)項目和二級單位的關系，進行VPN-instance的引入，按照不同的項目和二級單位的分配直接引入相應的VPN實例里，更精細化地把VPDN傳送上來的數(shù)據(jù)進行拆分和隔離，保障了不同業(yè)務數(shù)據(jù)的獨立性。如此部署安全隔離了不同種類數(shù)據(jù)，后期運維人員還可以根據(jù)劃分開的業(yè)務類型定制個性化的安全策略，不同業(yè)務設置不同的ACL（訪問控制列表），極大地提升了整體VPDN的安全性，也在后期運行維護的過程中減少了故障影響范圍和故障處理時間。

4 結語

大慶油田正向智能化、智慧化邁進，推進信息化建設，促進信息化與工業(yè)化深度融合，推動物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等業(yè)務領域的廣泛應用。萬丈高樓平地起，智慧油田的頂層設計應用，需要有穩(wěn)定、高效的擴展接入設備的支持，需要海量的移動終端上傳的數(shù)據(jù)作為資源“數(shù)據(jù)湖”湖水，只有“湖水”不斷涌入“數(shù)據(jù)湖”才能發(fā)揮信息化的最大價值，這樣就更需要整體安全防護體系為保障生產(chǎn)數(shù)據(jù)安全傳輸保駕護航。