发电企业内外网隔离技术研究范文

《电力信息与通信技术杂志》2016年第9期

摘要：

文章结合发电企业信息安全保障要求及企业网络现状特点，首先阐述了开展发电企业内外网隔离工作的必要性，然后详细介绍了内外网隔离的技术路线、技术架构及方案设计要点，并对方案的技术创新点进行了分析和阐述，可为发电企业后续开展内外网隔离建设提供典型案例借鉴。

关键词：

发电企业；内外网隔离；网络安全

0引言

根据发电企业信息安全保障相关规定要求，在企业运营过程中，要加强办公网络与互联网访问控制，提高员工使用计算机应用系统的信息安全标准，防范由于互联网攻击导致的数据泄露、系统崩溃等安全隐患。本文首先对神华国华电力公司（以下简称“公司”）现有网络情况及网络隔离技术的现状进行了描述，然后介绍了双网隔离技术的应用，通过双网隔离技术对现有网络进行了一系列改造措施：部署无线网络，方便笔记本、手机及平板电脑等移动终端接入；部署终端安全管理设备、内网防火墙等，建立了安全可靠的内网办公环境，实现公司内部办公网络与外部互联网的隔离，从而避免了由于互联网攻击导致的企业内部信息外泄，提升发电企业整体信息安全水平。

1研究背景

随着通信技术、信息技术、网络技术的不断发展，越来越多的用户通过手机、PC等终端连接到网络，网络中用户数据和信息的安全引起了学术界和产业界的广泛重视。为了确保网络中用户的信息安全，一系列的技术被提出，例如隐私保护技术[1-3]、网络隔离技术[4-6]等。网络隔离技术是指2个或2个以上的计算机或网络在断开连接的基础上，实现信息交换和资源共享。通过网络隔离技术既可以使2个网络实现物理隔离，同时又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内在进行安全交互[7]。本文主要针对内外网隔离技术在企业中的应用进行了介绍。典型发电企业网络是集团型网络构架，由局域网、广域网、互联网3个部分组成，员工使用笔记本电脑可通过局域网访问企业内部应用，通过广域网访问下属单位应用，同时可以通过互联网访问互联网资源。

1）目前公司局域网由2台核心交换机、若干台汇聚及接入交换机组成，部分信息点已进行端口认证。由于原信息点少且部分信息点老旧损坏，导致很多用户只能通过集线器或小型交换机接入，影响内网的统一安全管理。

2）公司广域网由2台核心路由器分别连接下属单位路由设备，分别组成视频网和数据网，用于承载日常办公数据和视频会议数据传输业务，部分单位在数据网专线设置防火墙等安全设备进行安全防护。

3）公司互联网出口采用中国电信光纤专线方式，经外网交换机连接防火墙，通过串接的上网行为管理设备后接入汇聚交换机进而接入核心交换机，为公司用户提供互联网访问服务的同时，为邮件、外网网站等互联网应用提供映射服务，暂未设置隔离区，存在一定安全风险。由于公司员工电脑能同时访问内部办公网、其他单位网站（简称内网）和外部互联网（简称外网），本身可能成为病毒或木马的跳板，进而影响内网安全。同时由于部分员工不注意信息安全防护，私装未授权软件、私自设立无线设备等情况时有发生，导致公司内部信息系统极易受到病毒和黑客的攻击，核心数据资源存在泄露的风险，因此亟需开展内外网隔离研究工作，避免企业核心数据资产泄露的风险。

2系统总体设计

2.1建设目标

1）部署无线网络设备以访问互联网，提供笔记本、手机及平板电脑等移动接入。

2）部署终端安全管理设备、内网防火墙建立安全可靠的办公内网环境，实现公司内部办公网与外部互联网的隔离，防范来自互联网的攻击，避免企业内部信息外泄，提升公司整体信息安全水平。

2.2设计原则

1）先进性：整个系统保持一定的先进性，采用的设备和技术应能适应未来的技术发展。

2）实用性：系统性价比高，易维护、易使用、运行费用低。

3）扩展性：系统采用结构化设计，能够适应不断增加的扩展需求，当系统扩容时，只需简单增加硬件设备即可。

4）兼容性：整个系统能运行于不同的操作平台和语言环境，并能与不同厂商的产品兼容。

5）灵活性：系统构建方式简单，功能配置灵活，充分利用现有设备资源，能满足不同业务部门的需要。

6）可靠性：系统安全可靠性高，有足够的抗干扰能力。

7）安全性：在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境采取不同的措施，包括系统安全机制、数据存取的权限控制等，如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、ACL、PORT+IP+MAC绑定等。

8）高性价比：系统所选用的设备性能卓越，并尽可能降低工程造价。

3系统方案设计

根据信息安全保障相关要求，加强办公网络与互联网访问控制，提高员工使用计算机应用系统的信息安全标准，保障数据流转的安全可靠，防范互联网攻击导致的数据泄露、系统崩溃等风险隐患，通过对公司网络及应用系统分析研究，结合国华网络布线现状，采用双网隔离技术对网络进行统一改造：新部署无线网用于互联网访问，提供笔记本、平板电脑等移动接入；新购终端安全管理设备、内网防火墙加强有线网络防护，建立安全可靠的办公内网环境，通过台式一体机电脑安全接入内网，提升公司内网的安全性，保障公司核心业务系统和数据的安全。通过部署三层交换机、POE交换机、无线AC、无线AP及无线控制系统，在公司3座办公楼宇开通无线互联网访问服务，支持便捷的访客网络授权及监管。公司原有网络架构如图1所示。用户接入无线网络需要通过安全的认证方式以保障使用者的合法性，无线网络采用基于用户名和密码+主机的认证方式进行用户认证[8]，使用接入认证系统对网络中接入的终端设备进行识别及统一管理，可对员工、访客、设备管理员进行基于角色、设备类型、接入时间、接入地点的网络访问控制，无线网通过无线控制器实现对接入用户的控制，公司用户通过MAC地址审核后方可接入无线网络[9]，实现互联网访问。同时为外来人员提供Guest账号，外来人员需先提交MAC地址入网申请，经过管理员审批后可接入无线网络。升级改造现有有线办公网络，在用户接入网络与服务器网络之间增加防火墙，设置访问策略，进行用户访问控制，保障ERP等内网应用安全。在公司的网络边界处设置防火墙及访问策略，加强内网边界安全防护，避免其他未隔离单位对国华内网安全的影响。利用防火墙将公司的网络隔离为5个逻辑区域，分别为广域网、数据网、视频网、内网服务器区、内网用户区，区域间根据公司的业务特点和重要信息资产的分布，对进出公司内网的访问进行控制，实现以下安全目标：

1）控制从内网用户区到内网服务器区、数据网、视频网和广域网的访问，限制各区域内用户访问公司数据的权限；

2）控制逻辑区域之间的访问，限制访问类型，确保只有授权许可的访问才能进行，未经允许的访问全部被禁止；

3）重点保护内网服务器区，特别是针对重要信息的访问，必须经过防火墙的访问授权后方可实现，杜绝非授权的访问；

4）利用防火墙有效记录区域间的访问日志，为出现安全问题时提供备查资料。在互联网出口设置支持应用防护的防火墙，并为需要进行互联网数据交换的系统（如邮件、补丁服务器）设立安全DMZ区，有效抵御来自互联网的攻击。利用防火墙为公司的DMZ服务器区提供安全保护，在DMZ服务器区与其他区域之间配置相应策略，并对进出公司DMZ区域的访问进行控制[10]，同时配合现有上网行为管理设备加强对互联网访问的有效管控，避免过度的带宽占用，并按相关要求保存访问记录。内外网隔离网络拓扑如图2所示。部署终端安全管控及网络准入服务器，加强内网接入及终端安全管理，对内部终端计算机进行集中的安全保护、监控、审计和管理，自动向终端计算机分发系统补丁，控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况，能够自动收集终端曾经使用过的USB设备的历史记录，并能够单独禁用无法确定用途的USB设备，保障USB接口的正常使用，同时还能够对未知设备进行自动检测和采样，实现对未知和新增设备的有效控制和管理，灵活、有效地保护企业机密，确保企业员工与外界的数据交换可控，防止通过终端外设进行非法外联，防范非法设备接入内网，有效管理终端资产，降低病毒传播的风险[11]。升级原有交换机IOS版本到最新版本，开启Radus认证并将认证服务器指向新部署的准入服务器，在用户终端（服务器）安装准入程序对用户进行实名管理（将用户名、工号、计算机MAC地址进行绑定）[12]，统一部署用户外设管理策略及网络访问策略。建立安全便捷的访客网络管理机制，制定用户接入内网或外网的管理制度及审批流程，实现对内网或外网访客行为的有效管控。

4技术创新点

4.1以无线+有线方式实现企业内外网隔离

公司原有信息布线系统信息点少且分布不均，如果采取传统双网隔离手段必须对办公楼墙面和地面重新开槽挖沟布线，成本高昂，而本次隔离工作通过建设公司无线应用网络及认证系统，实现了用户移动设备互联网访问的安全接入，同时通过对原有有线网络进行改造，实施网络准入认证和边界控制，实现了内网用户的安全接入，进而实现企业内外网访问的安全有效隔离，而且结构简单，管理便捷。

4.2实现员工、访客个人移动设备互联网访问安全接入

新建成的无线网络除了通过用户名密码+MAC认证方式实现员工通过笔记本电脑访问互联网的同时，还可以通过Portal认证、访客管理等方式实现办公区域内用户及访客个人手机、平板电脑的安全接入，有效满足后PC时代用户的网络接入需求。同时通过VLAN隔离及访问带宽限制，配合上网行为管理设备，采取疏解和封堵相结合的方式，方便用户访问互联网的同时避免了用户私接无线AP导致的安全隐患。

4.3多技术结合实现内网接入安全认证

1）通过部署终端安全管控及网络准入服务器，对内部终端计算机进行集中的安全保护、监控、审计和管理，自动向终端计算机分发系统补丁，控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况，实现对未知和新增设备的有效控制和管理。

2）升级原有交换机IOS版本到最新版本，开启Radus认证并将认证服务器指向新部署的准入服务器，在用户终端（服务器）安装准入程序，对用户进行实名管理（将用户名、工号、计算机MAC地址进行绑定），统一部署用户外设管理策略及网络访问策略。

3）实现对用户内网计算机软件的标准化安装，统一部署安全认证程序，实现客户端软件标准化。通过多种安全手段的综合应用，确保企业员工与外界的数据交换可控，防范非授权设备接入内网，防止通过内部终端非法外联行为，确保内网的数据安全。

5结语

本文围绕保障信息安全、加强办公网络与互联网访问控制的目标，结合后PC时代移动设备无线接入需求，创新性地采取无线+有线方式实现内外网隔离，避免采取传统双网隔离手段对办公楼墙面、地面重新开槽挖沟布线的改造，可节省大量实施成本并缩短实施工期，避免对现有办公环境的破坏及正常办公秩序的影响，实现网络结构的简化和管理方式的优化。同时无线网络还实现了用户及访客个人手机、平板电脑的安全接入，有效满足后PC时代用户网络接入需求，通过疏解和封堵相结合的手段避免用户私接无线AP导致的安全隐患。通过升级交换机IOS版本、开启端口Radus认证，部署终端安全管控及网络准入服务器，加强网络边界安全管控、标准化用户终端软件等多技术相结合的方式，实现对内网接入及访问安全的有效管控，确保内网数据安全。通过本文方案可实现公司内部办公网与外部互联网的安全隔离，实现对互联网攻击行为的有效防范和内网数据的有效保护，提升企业信息安全的整体水平。

参考文献：

[1]兰丽辉,鞠时光.基于差分隐私的权重社会网络隐私保护[J].通信学报,2015,36(9):145-159.

[2]兰丽辉,鞠时光.基于向量相似的权重社会网络隐私保护[J].电子学报,2015(8):1568-1574.

[3]孙福林.面向权重隐私的社会网络隐私保护技术研究[D].南京:东南大学,2014.

[4]万平国.网络隔离与网闸[M].北京:机械工业出版社,2004.

[5]邓智群,刘福,慕德俊,等.网络隔离体系结构研究[J].计算机应用研究,2005,22(5):219-221.

[6]李正茂.网络隔离理论与关键技术研究[D].上海:同济大学,2006.

[7]周铀,黎强,刘宇.基于网络的远动状态监测系统研究与应用[J].电网与清洁能源,2014,30(11):65-67.

[8]贾铁军.网络安全技术与应用[M].北京:机械工业出版社,2014.

[9]姚琳.无线网络安全技术[M].北京:清华大学出版社,2013.

[10]特南鲍姆.计算机网络[M].北京:清华大学出版社,2012.

[11]冯登国,赵险峰.信息安全技术概论[M].北京:电子工业出版社,2014.

[12]REEVEA.数据集成的技术、方法与最佳实践[M].北京:机械工业出版社,2014.

作者:何宁 石磊 王长周 晋世仲 单位:神华国华（北京）电力研究院有限公司 北京大学