前言：尋找寫作靈感？中文期刊網(wǎng)用心挑選的火電機(jī)組網(wǎng)絡(luò)信息安全隔離技術(shù)探究，希望能為您的閱讀和創(chuàng)作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，近年來，國際互聯(lián)網(wǎng)安全態(tài)勢日趨嚴(yán)峻，互聯(lián)網(wǎng)攻擊手段越來越隱蔽、攻擊技術(shù)越來越高級，甚至成為商業(yè)不正當(dāng)競爭手段以及國家網(wǎng)絡(luò)武器，已對國家、企業(yè)信息安全構(gòu)成了嚴(yán)重威脅。對于火電廠而言，需要在發(fā)展信息化的同時(shí)，不斷加強(qiáng)信息安全保障工作。為抵御互聯(lián)網(wǎng)威脅，保護(hù)企業(yè)敏感信息安全，根據(jù)網(wǎng)絡(luò)隔離、加強(qiáng)敏感信息保護(hù)的工作要求，進(jìn)一步強(qiáng)化企業(yè)網(wǎng)絡(luò)安全防護(hù)措施，完善企業(yè)網(wǎng)絡(luò)安全保障能力，新昌電廠組織研究并編制了技術(shù)方案，完成了網(wǎng)絡(luò)安全隔離整體建設(shè)。

關(guān)鍵詞：網(wǎng)絡(luò)隔離；管理；信息安全；防病毒

1改造前信息安全防護(hù)情況

1.1網(wǎng)絡(luò)安全域劃分方式與安全域邊界控制措施。新昌電廠網(wǎng)絡(luò)由核心交換區(qū)、服務(wù)器區(qū)、互聯(lián)網(wǎng)區(qū)、廣域網(wǎng)區(qū)、商密網(wǎng)區(qū)、辦公接入?yún)^(qū)、無線覆蓋管理區(qū)等七個(gè)區(qū)域組成。各區(qū)域間僅在廣域網(wǎng)和互聯(lián)網(wǎng)區(qū)邊界處部署了防火墻用于訪問控制及安全防護(hù)，而其他區(qū)域僅在交換機(jī)上做了VLAN隔離，并沒有依照安全區(qū)域的防護(hù)等級進(jìn)行防火墻隔離，尤其是核心服務(wù)器區(qū)前并未限制嚴(yán)格的訪問控制，給核心應(yīng)用系統(tǒng)帶來了嚴(yán)重的安全威脅。

1.2終端安全與終端防病毒。實(shí)施改造前，防病毒軟件企業(yè)版已經(jīng)過期，信息內(nèi)網(wǎng)終端為100個(gè)點(diǎn)，需要統(tǒng)一上報(bào)采購。

1.3入侵檢測與統(tǒng)一監(jiān)測情況。在入侵檢測方面僅在廣域網(wǎng)和互聯(lián)網(wǎng)出口處部署網(wǎng)絡(luò)入侵防護(hù)設(shè)備用于抵御外來攻擊，起到入侵檢測防護(hù)效果，但是針對核心應(yīng)用系統(tǒng)，尤其是內(nèi)部用戶訪問應(yīng)用系統(tǒng)的行為并未做到有效的安全檢測，而當(dāng)前整個(gè)網(wǎng)絡(luò)也并沒有部署能夠?qū)W(wǎng)絡(luò)、系統(tǒng)及應(yīng)用的訪問操作和運(yùn)維的行為進(jìn)行精細(xì)記錄和審計(jì)的安全審計(jì)設(shè)備，更無法將網(wǎng)絡(luò)內(nèi)容與行為安全審計(jì)納入到集團(tuán)的統(tǒng)一審計(jì)、監(jiān)測平臺中。

1.4脆弱性檢測與管理。改造前，沒有針對信息系統(tǒng)的安全脆弱性管理與評估設(shè)備，而統(tǒng)計(jì)安全事件發(fā)生的主要原因，其中占比最大的就是信息系統(tǒng)自身的脆弱性，包括常見的操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫和第三方插件，也有和工作息息相關(guān)的WEB網(wǎng)站、OA等應(yīng)用系統(tǒng)。因此企業(yè)亟需建立起適應(yīng)于當(dāng)前系統(tǒng)狀況的脆弱性掃描與管理工具，發(fā)現(xiàn)安全漏洞，消除隱患，防患于未然。1.5安全運(yùn)維管理在IT系統(tǒng)運(yùn)維管理層面存在一定的問題，主要面臨著包括賬號混用，權(quán)限管控不嚴(yán)、設(shè)備日志審計(jì)效果差以及第三方和遠(yuǎn)程運(yùn)維等問題。因此需要構(gòu)建一個(gè)強(qiáng)健的IT運(yùn)維管理系統(tǒng)用于支撐企業(yè)信息化安全運(yùn)維工作。

2網(wǎng)絡(luò)安全總體隔離技術(shù)方案

新昌發(fā)電分公司按照網(wǎng)絡(luò)安全隔離建設(shè)的規(guī)范要求，內(nèi)、外網(wǎng)之間采用物理隔離。按照建設(shè)方案要求，首先在信息內(nèi)、外網(wǎng)均根據(jù)安全需求和防護(hù)等級進(jìn)行了安全域劃分，在防護(hù)等級較高的外聯(lián)區(qū)、DMZ區(qū)和數(shù)據(jù)交換區(qū)新增部署防火墻，對區(qū)域間的訪問進(jìn)行嚴(yán)格控制，防止非授權(quán)訪問；其次在信息內(nèi)網(wǎng)部署網(wǎng)絡(luò)入侵檢測設(shè)備，利用IDS動態(tài)檢測功能，對訪問狀態(tài)、通信協(xié)議和應(yīng)用協(xié)議和內(nèi)容進(jìn)行深度的檢測，識別內(nèi)部網(wǎng)絡(luò)用戶和外部攻擊者對計(jì)算機(jī)系統(tǒng)的非授權(quán)攻擊和濫用行為，同時(shí)在外網(wǎng)互聯(lián)網(wǎng)部署一臺IPS，用于抵御來自互聯(lián)網(wǎng)的攻擊行為，在外網(wǎng)服務(wù)器區(qū)前部署一臺WEB應(yīng)用防火墻用于防護(hù)對重要應(yīng)用系統(tǒng)的WEB入侵；在信息外網(wǎng)部署1套上網(wǎng)行為管理設(shè)備，對全網(wǎng)網(wǎng)絡(luò)行為進(jìn)行分析，發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)訪問以及數(shù)據(jù)庫服務(wù)器等操作行為中的敏感和違規(guī)行為；最后，按照總部對遠(yuǎn)程協(xié)助的要求，部署VPN設(shè)備于信息外網(wǎng)用于遠(yuǎn)程接入，同時(shí)在信息內(nèi)網(wǎng)新增一臺堡壘機(jī)，對于需要對內(nèi)網(wǎng)系統(tǒng)進(jìn)行運(yùn)維的均需通過堡壘機(jī)登錄后才能進(jìn)行操作。

3信息內(nèi)網(wǎng)建設(shè)

將信息內(nèi)網(wǎng)分為核心區(qū)、服務(wù)器區(qū)、終端區(qū)、廣域網(wǎng)接入?yún)^(qū)、運(yùn)維管理區(qū)等區(qū)域，通過在防火墻上設(shè)置相應(yīng)的網(wǎng)絡(luò)策略進(jìn)行各區(qū)域的網(wǎng)絡(luò)隔離防護(hù)。此廣域網(wǎng)防火墻利舊。配置兩臺內(nèi)網(wǎng)服務(wù)器匯聚交換機(jī)，將信息內(nèi)網(wǎng)服務(wù)器單獨(dú)成區(qū)，在服務(wù)器區(qū)與核心交換機(jī)之間部署2臺防火墻設(shè)備，實(shí)現(xiàn)核心交換機(jī)、服務(wù)器區(qū)防火墻、服務(wù)器區(qū)匯聚交換機(jī)的雙機(jī)雙鏈路備份，保障業(yè)務(wù)系統(tǒng)的穩(wěn)定可靠運(yùn)行。信息內(nèi)網(wǎng)部署1套IDS設(shè)備，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。信息內(nèi)網(wǎng)的核心交換機(jī)由于目前只有一臺C6513可正常使用，因此新昌電廠信息內(nèi)網(wǎng)核心交換機(jī)將新采購2臺框式交換機(jī)，同時(shí)采用最新的橫向虛擬化技術(shù)，以提升核心交換機(jī)的可靠性和易管理性。對于接入交換機(jī)，將采用利舊方案。針對內(nèi)網(wǎng)設(shè)備的操作安全性保護(hù)，在核心交換機(jī)邊上旁掛一臺堡壘機(jī)，作為登錄服務(wù)器、網(wǎng)絡(luò)、存儲等設(shè)備管理口的統(tǒng)一入口，屏蔽設(shè)備的真實(shí)管理地址、用戶名和密碼，并且具有事后審計(jì)功能。各樓棟接入交換機(jī)采用利舊原則，不在本次項(xiàng)目中進(jìn)行調(diào)整。信息內(nèi)網(wǎng)終端采用利舊的方式，原有網(wǎng)絡(luò)內(nèi)的電腦終端全部放置于內(nèi)網(wǎng)使用。

4信息外網(wǎng)建設(shè)

信息外網(wǎng)邊界新購置1臺防火墻設(shè)備，設(shè)置DMZ區(qū)，將需要聯(lián)入Internet的服務(wù)器放置于此區(qū)，如網(wǎng)站服務(wù)器、郵件服務(wù)器等。針對WEB服務(wù)器，采用WAF防火墻實(shí)現(xiàn)對WEB服務(wù)器的安全防護(hù)。新昌電廠有SSLVPN移動接入的需求，SSLVPN網(wǎng)關(guān)采用原有設(shè)備利舊的方式部署。過去新昌電廠有自己的互聯(lián)網(wǎng)出口，但未部署上網(wǎng)行為管理設(shè)備，此次改造新增一臺上網(wǎng)行為管理設(shè)備，用于本單位的互聯(lián)網(wǎng)訪問行為審計(jì)。信息外網(wǎng)采用無線建設(shè)方案，本著節(jié)約的原則，可以將之前的無線設(shè)備移植到信息外網(wǎng)中。AC控制器旁掛于信息外網(wǎng)的核心交換機(jī)上。為了簡化網(wǎng)絡(luò)，信息外網(wǎng)結(jié)構(gòu)擯棄的傳統(tǒng)三層架構(gòu)，采用兩層架構(gòu)--接入層和核心層。核心層設(shè)備將新采購2臺高性能、高可靠性框式交換機(jī)，同時(shí)為了簡化管理、增強(qiáng)網(wǎng)絡(luò)的可靠性，兩臺核心交換機(jī)之間采用橫向虛擬化技術(shù)。同時(shí)，采購了一定數(shù)量的接入交換機(jī)，由于接入交換機(jī)要連接AP，因此此交換機(jī)需要支持POE功能。由于終端較多、分布位置較為分散，導(dǎo)致接入交換機(jī)較多，為了簡化管理，新昌電廠采用縱向虛擬化技術(shù)，接入交換機(jī)作為核心交換機(jī)的遠(yuǎn)端接口卡，核心交換機(jī)與接入交換機(jī)可以虛擬化為一臺交換機(jī)做統(tǒng)一管理。信息外網(wǎng)是一個(gè)安全性要求不太高的網(wǎng)絡(luò)環(huán)境，因此終端建設(shè)采用傳統(tǒng)的PC機(jī)方式。考慮到電子郵件業(yè)務(wù)部署在信息外網(wǎng)，每個(gè)員工都有外網(wǎng)郵件收發(fā)的需求，因此新昌電廠將為每位員工分配獨(dú)立的信息外網(wǎng)PC機(jī)。

5應(yīng)用系統(tǒng)部署

信息外網(wǎng)在整體建設(shè)完成后，在外網(wǎng)單獨(dú)設(shè)立服務(wù)器DMZ區(qū)，所有應(yīng)用系統(tǒng)均部署在此區(qū)域內(nèi)，在網(wǎng)站服務(wù)器前端部署WAF設(shè)備對網(wǎng)站服務(wù)器進(jìn)行安全防護(hù)。原郵件系統(tǒng)遷移至外網(wǎng)使用。

6信息內(nèi)網(wǎng)安全防護(hù)

分離后的信息內(nèi)網(wǎng)依據(jù)建設(shè)管理規(guī)范要求將網(wǎng)絡(luò)進(jìn)行區(qū)域分域，最終劃分為內(nèi)網(wǎng)終端接入?yún)^(qū)、內(nèi)網(wǎng)應(yīng)用系統(tǒng)區(qū)、運(yùn)維管理區(qū)。改造前新昌電廠尚未部署終端安全管理系統(tǒng)，根據(jù)《國家電投集團(tuán)網(wǎng)絡(luò)安全與隔離建設(shè)與管理規(guī)范》要求，此次改造由集團(tuán)公司統(tǒng)一采購此系統(tǒng)。終端安全管理系統(tǒng)作為C/S架構(gòu)，新昌電廠在服務(wù)器區(qū)采用一臺2路服務(wù)器部署此終端安全管理系統(tǒng)，同時(shí)在每臺接入終端部署客戶端軟件。通過此客戶端軟件實(shí)現(xiàn)終端的安全接入、身份認(rèn)證、防內(nèi)網(wǎng)外聯(lián)、桌面管理以及對外設(shè)的管理。移動介質(zhì)管理申請納入集團(tuán)公司統(tǒng)籌部署，客戶端數(shù)量為400臺。考慮到原有網(wǎng)絡(luò)版防病毒系統(tǒng)病毒庫已經(jīng)過期，此次終端防病毒系統(tǒng)申請納入集團(tuán)公司統(tǒng)籌部署，客戶端數(shù)量為400臺。根據(jù)要求在信息內(nèi)網(wǎng)部署一臺IDS設(shè)備，重點(diǎn)針對服務(wù)器區(qū)流量進(jìn)行檢測，對內(nèi)容進(jìn)行深度的檢測，接近實(shí)時(shí)地識別內(nèi)部網(wǎng)絡(luò)用戶和外部攻擊者對計(jì)算機(jī)系統(tǒng)的非授權(quán)使用、誤用和濫用。實(shí)現(xiàn)全集團(tuán)的入侵檢測防護(hù)，設(shè)備部署如下圖所示，設(shè)備采用監(jiān)聽模式檢測來自于交換機(jī)的鏡像流量，開啟系統(tǒng)和WEB攻擊檢測以及流量分析功能。集團(tuán)建設(shè)方案要求建設(shè)統(tǒng)一的監(jiān)測、審計(jì)平臺，針對內(nèi)網(wǎng)信息系統(tǒng)的運(yùn)行和使用情況開展集中的審計(jì)、監(jiān)測、預(yù)警。當(dāng)前信息內(nèi)外網(wǎng)針對網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等訪問內(nèi)容和行為缺乏有效的審計(jì)手段，因此三級單位在信息內(nèi)外網(wǎng)核心交換處各部署一臺網(wǎng)絡(luò)安全審計(jì)設(shè)備，對網(wǎng)絡(luò)中應(yīng)用系統(tǒng)的訪問內(nèi)容和行為、服務(wù)器和數(shù)據(jù)庫的操作、郵件和即時(shí)通訊等進(jìn)行全面審計(jì)，發(fā)現(xiàn)存在的敏感內(nèi)容和行為，并可對相關(guān)事件進(jìn)行有效追溯。

7結(jié)束語

新昌電廠在借鑒同類型電廠良好實(shí)踐的基礎(chǔ)上，結(jié)合實(shí)際制定了網(wǎng)絡(luò)隔離建設(shè)方案，通過網(wǎng)絡(luò)隔離項(xiàng)目實(shí)施保護(hù)電廠網(wǎng)絡(luò)敏感信息安全，全面實(shí)現(xiàn)了網(wǎng)絡(luò)安全隔離，具備了安全性、經(jīng)濟(jì)性、先進(jìn)性、實(shí)用性，同時(shí)解決了網(wǎng)絡(luò)隔離對電廠信息化辦公效率的影響，有效保障了電廠網(wǎng)絡(luò)隔離效果，實(shí)現(xiàn)網(wǎng)絡(luò)安全狀況的實(shí)時(shí)監(jiān)測。

參考文獻(xiàn)：

[1]鄭宇.面向安全應(yīng)用的隔離核技術(shù)研究與實(shí)現(xiàn).

[2]陳瓏.國產(chǎn)700MW機(jī)組網(wǎng)絡(luò)安全應(yīng)用研究.2019.

作者:陳瓏 單位:國家電投集團(tuán)江西電力有限公司新昌發(fā)電分公司