火電機組網絡信息安全隔離技術探究

前言：尋找寫作靈感？中文期刊網用心挑選的火電機組網絡信息安全隔離技術探究，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

摘要：隨著計算機技術的飛速發展和廣泛應用，近年來，國際互聯網安全態勢日趨嚴峻，互聯網攻擊手段越來越隱蔽、攻擊技術越來越高級，甚至成為商業不正當競爭手段以及國家網絡武器，已對國家、企業信息安全構成了嚴重威脅。對于火電廠而言，需要在發展信息化的同時，不斷加強信息安全保障工作。為抵御互聯網威脅，保護企業敏感信息安全，根據網絡隔離、加強敏感信息保護的工作要求，進一步強化企業網絡安全防護措施，完善企業網絡安全保障能力，新昌電廠組織研究并編制了技術方案，完成了網絡安全隔離整體建設。

關鍵詞：網絡隔離；管理；信息安全；防病毒

1改造前信息安全防護情況

1.1網絡安全域劃分方式與安全域邊界控制措施。新昌電廠網絡由核心交換區、服務器區、互聯網區、廣域網區、商密網區、辦公接入區、無線覆蓋管理區等七個區域組成。各區域間僅在廣域網和互聯網區邊界處部署了防火墻用于訪問控制及安全防護，而其他區域僅在交換機上做了VLAN隔離，并沒有依照安全區域的防護等級進行防火墻隔離，尤其是核心服務器區前并未限制嚴格的訪問控制，給核心應用系統帶來了嚴重的安全威脅。

1.2終端安全與終端防病毒。實施改造前，防病毒軟件企業版已經過期，信息內網終端為100個點，需要統一上報采購。

1.3入侵檢測與統一監測情況。在入侵檢測方面僅在廣域網和互聯網出口處部署網絡入侵防護設備用于抵御外來攻擊，起到入侵檢測防護效果，但是針對核心應用系統，尤其是內部用戶訪問應用系統的行為并未做到有效的安全檢測，而當前整個網絡也并沒有部署能夠對網絡、系統及應用的訪問操作和運維的行為進行精細記錄和審計的安全審計設備，更無法將網絡內容與行為安全審計納入到集團的統一審計、監測平臺中。

1.4脆弱性檢測與管理。改造前，沒有針對信息系統的安全脆弱性管理與評估設備，而統計安全事件發生的主要原因，其中占比最大的就是信息系統自身的脆弱性，包括常見的操作系統、網絡設備、數據庫和第三方插件，也有和工作息息相關的WEB網站、OA等應用系統。因此企業亟需建立起適應于當前系統狀況的脆弱性掃描與管理工具，發現安全漏洞，消除隱患，防患于未然。1.5安全運維管理在IT系統運維管理層面存在一定的問題，主要面臨著包括賬號混用，權限管控不嚴、設備日志審計效果差以及第三方和遠程運維等問題。因此需要構建一個強健的IT運維管理系統用于支撐企業信息化安全運維工作。

2網絡安全總體隔離技術方案

新昌發電分公司按照網絡安全隔離建設的規范要求，內、外網之間采用物理隔離。按照建設方案要求，首先在信息內、外網均根據安全需求和防護等級進行了安全域劃分，在防護等級較高的外聯區、DMZ區和數據交換區新增部署防火墻，對區域間的訪問進行嚴格控制，防止非授權訪問；其次在信息內網部署網絡入侵檢測設備，利用IDS動態檢測功能，對訪問狀態、通信協議和應用協議和內容進行深度的檢測，識別內部網絡用戶和外部攻擊者對計算機系統的非授權攻擊和濫用行為，同時在外網互聯網部署一臺IPS，用于抵御來自互聯網的攻擊行為，在外網服務器區前部署一臺WEB應用防火墻用于防護對重要應用系統的WEB入侵；在信息外網部署1套上網行為管理設備，對全網網絡行為進行分析，發現網絡、系統訪問以及數據庫服務器等操作行為中的敏感和違規行為；最后，按照總部對遠程協助的要求，部署VPN設備于信息外網用于遠程接入，同時在信息內網新增一臺堡壘機，對于需要對內網系統進行運維的均需通過堡壘機登錄后才能進行操作。

3信息內網建設

將信息內網分為核心區、服務器區、終端區、廣域網接入區、運維管理區等區域，通過在防火墻上設置相應的網絡策略進行各區域的網絡隔離防護。此廣域網防火墻利舊。配置兩臺內網服務器匯聚交換機，將信息內網服務器單獨成區，在服務器區與核心交換機之間部署2臺防火墻設備，實現核心交換機、服務器區防火墻、服務器區匯聚交換機的雙機雙鏈路備份，保障業務系統的穩定可靠運行。信息內網部署1套IDS設備，對網絡、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網絡系統資源的機密性、完整性和可用性。信息內網的核心交換機由于目前只有一臺C6513可正常使用，因此新昌電廠信息內網核心交換機將新采購2臺框式交換機，同時采用最新的橫向虛擬化技術，以提升核心交換機的可靠性和易管理性。對于接入交換機，將采用利舊方案。針對內網設備的操作安全性保護，在核心交換機邊上旁掛一臺堡壘機，作為登錄服務器、網絡、存儲等設備管理口的統一入口，屏蔽設備的真實管理地址、用戶名和密碼，并且具有事后審計功能。各樓棟接入交換機采用利舊原則，不在本次項目中進行調整。信息內網終端采用利舊的方式，原有網絡內的電腦終端全部放置于內網使用。

4信息外網建設

信息外網邊界新購置1臺防火墻設備，設置DMZ區，將需要聯入Internet的服務器放置于此區，如網站服務器、郵件服務器等。針對WEB服務器，采用WAF防火墻實現對WEB服務器的安全防護。新昌電廠有SSLVPN移動接入的需求，SSLVPN網關采用原有設備利舊的方式部署。過去新昌電廠有自己的互聯網出口，但未部署上網行為管理設備，此次改造新增一臺上網行為管理設備，用于本單位的互聯網訪問行為審計。信息外網采用無線建設方案，本著節約的原則，可以將之前的無線設備移植到信息外網中。AC控制器旁掛于信息外網的核心交換機上。為了簡化網絡，信息外網結構擯棄的傳統三層架構，采用兩層架構--接入層和核心層。核心層設備將新采購2臺高性能、高可靠性框式交換機，同時為了簡化管理、增強網絡的可靠性，兩臺核心交換機之間采用橫向虛擬化技術。同時，采購了一定數量的接入交換機，由于接入交換機要連接AP，因此此交換機需要支持POE功能。由于終端較多、分布位置較為分散，導致接入交換機較多，為了簡化管理，新昌電廠采用縱向虛擬化技術，接入交換機作為核心交換機的遠端接口卡，核心交換機與接入交換機可以虛擬化為一臺交換機做統一管理。信息外網是一個安全性要求不太高的網絡環境，因此終端建設采用傳統的PC機方式?？紤]到電子郵件業務部署在信息外網，每個員工都有外網郵件收發的需求，因此新昌電廠將為每位員工分配獨立的信息外網PC機。

5應用系統部署

信息外網在整體建設完成后，在外網單獨設立服務器DMZ區，所有應用系統均部署在此區域內，在網站服務器前端部署WAF設備對網站服務器進行安全防護。原郵件系統遷移至外網使用。

6信息內網安全防護

分離后的信息內網依據建設管理規范要求將網絡進行區域分域，最終劃分為內網終端接入區、內網應用系統區、運維管理區。改造前新昌電廠尚未部署終端安全管理系統，根據《國家電投集團網絡安全與隔離建設與管理規范》要求，此次改造由集團公司統一采購此系統。終端安全管理系統作為C/S架構，新昌電廠在服務器區采用一臺2路服務器部署此終端安全管理系統，同時在每臺接入終端部署客戶端軟件。通過此客戶端軟件實現終端的安全接入、身份認證、防內網外聯、桌面管理以及對外設的管理。移動介質管理申請納入集團公司統籌部署，客戶端數量為400臺?？紤]到原有網絡版防病毒系統病毒庫已經過期，此次終端防病毒系統申請納入集團公司統籌部署，客戶端數量為400臺。根據要求在信息內網部署一臺IDS設備，重點針對服務器區流量進行檢測，對內容進行深度的檢測，接近實時地識別內部網絡用戶和外部攻擊者對計算機系統的非授權使用、誤用和濫用。實現全集團的入侵檢測防護，設備部署如下圖所示，設備采用監聽模式檢測來自于交換機的鏡像流量，開啟系統和WEB攻擊檢測以及流量分析功能。集團建設方案要求建設統一的監測、審計平臺，針對內網信息系統的運行和使用情況開展集中的審計、監測、預警。當前信息內外網針對網絡、系統、應用等訪問內容和行為缺乏有效的審計手段，因此三級單位在信息內外網核心交換處各部署一臺網絡安全審計設備，對網絡中應用系統的訪問內容和行為、服務器和數據庫的操作、郵件和即時通訊等進行全面審計，發現存在的敏感內容和行為，并可對相關事件進行有效追溯。

7結束語

新昌電廠在借鑒同類型電廠良好實踐的基礎上，結合實際制定了網絡隔離建設方案，通過網絡隔離項目實施保護電廠網絡敏感信息安全，全面實現了網絡安全隔離，具備了安全性、經濟性、先進性、實用性，同時解決了網絡隔離對電廠信息化辦公效率的影響，有效保障了電廠網絡隔離效果，實現網絡安全狀況的實時監測。

參考文獻：

[1]鄭宇.面向安全應用的隔離核技術研究與實現.

[2]陳瓏.國產700MW機組網絡安全應用研究.2019.

作者:陳瓏 單位:國家電投集團江西電力有限公司新昌發電分公司