本站小編為你精心準備了發電企業內外網隔離技術研究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《電力信息與通信技術雜志》2016年第9期

摘要：

文章結合發電企業信息安全保障要求及企業網絡現狀特點，首先闡述了開展發電企業內外網隔離工作的必要性，然后詳細介紹了內外網隔離的技術路線、技術架構及方案設計要點，并對方案的技術創新點進行了分析和闡述，可為發電企業后續開展內外網隔離建設提供典型案例借鑒。

關鍵詞：

發電企業；內外網隔離；網絡安全

0引言

根據發電企業信息安全保障相關規定要求，在企業運營過程中，要加強辦公網絡與互聯網訪問控制，提高員工使用計算機應用系統的信息安全標準，防范由于互聯網攻擊導致的數據泄露、系統崩潰等安全隱患。本文首先對神華國華電力公司（以下簡稱“公司”）現有網絡情況及網絡隔離技術的現狀進行了描述，然后介紹了雙網隔離技術的應用，通過雙網隔離技術對現有網絡進行了一系列改造措施：部署無線網絡，方便筆記本、手機及平板電腦等移動終端接入；部署終端安全管理設備、內網防火墻等，建立了安全可靠的內網辦公環境，實現公司內部辦公網絡與外部互聯網的隔離，從而避免了由于互聯網攻擊導致的企業內部信息外泄，提升發電企業整體信息安全水平。

1研究背景

隨著通信技術、信息技術、網絡技術的不斷發展，越來越多的用戶通過手機、PC等終端連接到網絡，網絡中用戶數據和信息的安全引起了學術界和產業界的廣泛重視。為了確保網絡中用戶的信息安全，一系列的技術被提出，例如隱私保護技術[1-3]、網絡隔離技術[4-6]等。網絡隔離技術是指2個或2個以上的計算機或網絡在斷開連接的基礎上，實現信息交換和資源共享。通過網絡隔離技術既可以使2個網絡實現物理隔離，同時又能在安全的網絡環境下進行數據交換。網絡隔離技術的主要目標是將有害的網絡安全威脅隔離開，以保障數據信息在可信網絡內在進行安全交互[7]。本文主要針對內外網隔離技術在企業中的應用進行了介紹。典型發電企業網絡是集團型網絡構架，由局域網、廣域網、互聯網3個部分組成，員工使用筆記本電腦可通過局域網訪問企業內部應用，通過廣域網訪問下屬單位應用，同時可以通過互聯網訪問互聯網資源。

1）目前公司局域網由2臺核心交換機、若干臺匯聚及接入交換機組成，部分信息點已進行端口認證。由于原信息點少且部分信息點老舊損壞，導致很多用戶只能通過集線器或小型交換機接入，影響內網的統一安全管理。

2）公司廣域網由2臺核心路由器分別連接下屬單位路由設備，分別組成視頻網和數據網，用于承載日常辦公數據和視頻會議數據傳輸業務，部分單位在數據網專線設置防火墻等安全設備進行安全防護。

3）公司互聯網出口采用中國電信光纖專線方式，經外網交換機連接防火墻，通過串接的上網行為管理設備后接入匯聚交換機進而接入核心交換機，為公司用戶提供互聯網訪問服務的同時，為郵件、外網網站等互聯網應用提供映射服務，暫未設置隔離區，存在一定安全風險。由于公司員工電腦能同時訪問內部辦公網、其他單位網站（簡稱內網）和外部互聯網（簡稱外網），本身可能成為病毒或木馬的跳板，進而影響內網安全。同時由于部分員工不注意信息安全防護，私裝未授權軟件、私自設立無線設備等情況時有發生，導致公司內部信息系統極易受到病毒和黑客的攻擊，核心數據資源存在泄露的風險，因此亟需開展內外網隔離研究工作，避免企業核心數據資產泄露的風險。

2系統總體設計

2.1建設目標

1）部署無線網絡設備以訪問互聯網，提供筆記本、手機及平板電腦等移動接入。

2）部署終端安全管理設備、內網防火墻建立安全可靠的辦公內網環境，實現公司內部辦公網與外部互聯網的隔離，防范來自互聯網的攻擊，避免企業內部信息外泄，提升公司整體信息安全水平。

2.2設計原則

1）先進性：整個系統保持一定的先進性，采用的設備和技術應能適應未來的技術發展。

2）實用性：系統性價比高，易維護、易使用、運行費用低。

3）擴展性：系統采用結構化設計，能夠適應不斷增加的擴展需求，當系統擴容時，只需簡單增加硬件設備即可。

4）兼容性：整個系統能運行于不同的操作平臺和語言環境，并能與不同廠商的產品兼容。

5）靈活性：系統構建方式簡單，功能配置靈活，充分利用現有設備資源，能滿足不同業務部門的需要。

6）可靠性：系統安全可靠性高，有足夠的抗干擾能力。

7）安全性：在系統設計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統應分別針對不同的應用和不同的網絡通信環境采取不同的措施，包括系統安全機制、數據存取的權限控制等，如劃分VLAN、MAC地址綁定、802.1x、802.1d、802.1w、802.1s、ACL、PORT+IP+MAC綁定等。

8）高性價比：系統所選用的設備性能卓越，并盡可能降低工程造價。

3系統方案設計

根據信息安全保障相關要求，加強辦公網絡與互聯網訪問控制，提高員工使用計算機應用系統的信息安全標準，保障數據流轉的安全可靠，防范互聯網攻擊導致的數據泄露、系統崩潰等風險隱患，通過對公司網絡及應用系統分析研究，結合國華網絡布線現狀，采用雙網隔離技術對網絡進行統一改造：新部署無線網用于互聯網訪問，提供筆記本、平板電腦等移動接入；新購終端安全管理設備、內網防火墻加強有線網絡防護，建立安全可靠的辦公內網環境，通過臺式一體機電腦安全接入內網，提升公司內網的安全性，保障公司核心業務系統和數據的安全。通過部署三層交換機、POE交換機、無線AC、無線AP及無線控制系統，在公司3座辦公樓宇開通無線互聯網訪問服務，支持便捷的訪客網絡授權及監管。公司原有網絡架構如圖1所示。用戶接入無線網絡需要通過安全的認證方式以保障使用者的合法性，無線網絡采用基于用戶名和密碼+主機的認證方式進行用戶認證[8]，使用接入認證系統對網絡中接入的終端設備進行識別及統一管理，可對員工、訪客、設備管理員進行基于角色、設備類型、接入時間、接入地點的網絡訪問控制，無線網通過無線控制器實現對接入用戶的控制，公司用戶通過MAC地址審核后方可接入無線網絡[9]，實現互聯網訪問。同時為外來人員提供Guest賬號，外來人員需先提交MAC地址入網申請，經過管理員審批后可接入無線網絡。升級改造現有有線辦公網絡，在用戶接入網絡與服務器網絡之間增加防火墻，設置訪問策略，進行用戶訪問控制，保障ERP等內網應用安全。在公司的網絡邊界處設置防火墻及訪問策略，加強內網邊界安全防護，避免其他未隔離單位對國華內網安全的影響。利用防火墻將公司的網絡隔離為5個邏輯區域，分別為廣域網、數據網、視頻網、內網服務器區、內網用戶區，區域間根據公司的業務特點和重要信息資產的分布，對進出公司內網的訪問進行控制，實現以下安全目標：

1）控制從內網用戶區到內網服務器區、數據網、視頻網和廣域網的訪問，限制各區域內用戶訪問公司數據的權限；

2）控制邏輯區域之間的訪問，限制訪問類型，確保只有授權許可的訪問才能進行，未經允許的訪問全部被禁止；

3）重點保護內網服務器區，特別是針對重要信息的訪問，必須經過防火墻的訪問授權后方可實現，杜絕非授權的訪問；

4）利用防火墻有效記錄區域間的訪問日志，為出現安全問題時提供備查資料。在互聯網出口設置支持應用防護的防火墻，并為需要進行互聯網數據交換的系統（如郵件、補丁服務器）設立安全DMZ區，有效抵御來自互聯網的攻擊。利用防火墻為公司的DMZ服務器區提供安全保護，在DMZ服務器區與其他區域之間配置相應策略，并對進出公司DMZ區域的訪問進行控制[10]，同時配合現有上網行為管理設備加強對互聯網訪問的有效管控，避免過度的帶寬占用，并按相關要求保存訪問記錄。內外網隔離網絡拓撲如圖2所示。部署終端安全管控及網絡準入服務器，加強內網接入及終端安全管理，對內部終端計算機進行集中的安全保護、監控、審計和管理，自動向終端計算機分發系統補丁，控制計算機終端的并口、串口、移動存儲設備、Modem撥號、藍牙、USB等外設的使用情況，能夠自動收集終端曾經使用過的USB設備的歷史記錄，并能夠單獨禁用無法確定用途的USB設備，保障USB接口的正常使用，同時還能夠對未知設備進行自動檢測和采樣，實現對未知和新增設備的有效控制和管理，靈活、有效地保護企業機密，確保企業員工與外界的數據交換可控，防止通過終端外設進行非法外聯，防范非法設備接入內網，有效管理終端資產，降低病毒傳播的風險[11]。升級原有交換機IOS版本到最新版本，開啟Radus認證并將認證服務器指向新部署的準入服務器，在用戶終端（服務器）安裝準入程序對用戶進行實名管理（將用戶名、工號、計算機MAC地址進行綁定）[12]，統一部署用戶外設管理策略及網絡訪問策略。建立安全便捷的訪客網絡管理機制，制定用戶接入內網或外網的管理制度及審批流程，實現對內網或外網訪客行為的有效管控。

4技術創新點

4.1以無線+有線方式實現企業內外網隔離

公司原有信息布線系統信息點少且分布不均，如果采取傳統雙網隔離手段必須對辦公樓墻面和地面重新開槽挖溝布線，成本高昂，而本次隔離工作通過建設公司無線應用網絡及認證系統，實現了用戶移動設備互聯網訪問的安全接入，同時通過對原有有線網絡進行改造，實施網絡準入認證和邊界控制，實現了內網用戶的安全接入，進而實現企業內外網訪問的安全有效隔離，而且結構簡單，管理便捷。

4.2實現員工、訪客個人移動設備互聯網訪問安全接入

新建成的無線網絡除了通過用戶名密碼+MAC認證方式實現員工通過筆記本電腦訪問互聯網的同時，還可以通過Portal認證、訪客管理等方式實現辦公區域內用戶及訪客個人手機、平板電腦的安全接入，有效滿足后PC時代用戶的網絡接入需求。同時通過VLAN隔離及訪問帶寬限制，配合上網行為管理設備，采取疏解和封堵相結合的方式，方便用戶訪問互聯網的同時避免了用戶私接無線AP導致的安全隱患。

4.3多技術結合實現內網接入安全認證

1）通過部署終端安全管控及網絡準入服務器，對內部終端計算機進行集中的安全保護、監控、審計和管理，自動向終端計算機分發系統補丁，控制計算機終端的并口、串口、移動存儲設備、Modem撥號、藍牙、USB等外設的使用情況，實現對未知和新增設備的有效控制和管理。

2）升級原有交換機IOS版本到最新版本，開啟Radus認證并將認證服務器指向新部署的準入服務器，在用戶終端（服務器）安裝準入程序，對用戶進行實名管理（將用戶名、工號、計算機MAC地址進行綁定），統一部署用戶外設管理策略及網絡訪問策略。

3）實現對用戶內網計算機軟件的標準化安裝，統一部署安全認證程序，實現客戶端軟件標準化。通過多種安全手段的綜合應用，確保企業員工與外界的數據交換可控，防范非授權設備接入內網，防止通過內部終端非法外聯行為，確保內網的數據安全。

5結語

本文圍繞保障信息安全、加強辦公網絡與互聯網訪問控制的目標，結合后PC時代移動設備無線接入需求，創新性地采取無線+有線方式實現內外網隔離，避免采取傳統雙網隔離手段對辦公樓墻面、地面重新開槽挖溝布線的改造，可節省大量實施成本并縮短實施工期，避免對現有辦公環境的破壞及正常辦公秩序的影響，實現網絡結構的簡化和管理方式的優化。同時無線網絡還實現了用戶及訪客個人手機、平板電腦的安全接入，有效滿足后PC時代用戶網絡接入需求，通過疏解和封堵相結合的手段避免用戶私接無線AP導致的安全隱患。通過升級交換機IOS版本、開啟端口Radus認證，部署終端安全管控及網絡準入服務器，加強網絡邊界安全管控、標準化用戶終端軟件等多技術相結合的方式，實現對內網接入及訪問安全的有效管控，確保內網數據安全。通過本文方案可實現公司內部辦公網與外部互聯網的安全隔離，實現對互聯網攻擊行為的有效防范和內網數據的有效保護，提升企業信息安全的整體水平。

參考文獻：

[1]蘭麗輝,鞠時光.基于差分隱私的權重社會網絡隱私保護[J].通信學報,2015,36(9):145-159.

[2]蘭麗輝,鞠時光.基于向量相似的權重社會網絡隱私保護[J].電子學報,2015(8):1568-1574.

[3]孫福林.面向權重隱私的社會網絡隱私保護技術研究[D].南京:東南大學,2014.

[4]萬平國.網絡隔離與網閘[M].北京:機械工業出版社,2004.

[5]鄧智群,劉福,慕德俊,等.網絡隔離體系結構研究[J].計算機應用研究,2005,22(5):219-221.

[6]李正茂.網絡隔離理論與關鍵技術研究[D].上海:同濟大學,2006.

[7]周鈾,黎強,劉宇.基于網絡的遠動狀態監測系統研究與應用[J].電網與清潔能源,2014,30(11):65-67.

[8]賈鐵軍.網絡安全技術與應用[M].北京:機械工業出版社,2014.

[9]姚琳.無線網絡安全技術[M].北京:清華大學出版社,2013.

[10]特南鮑姆.計算機網絡[M].北京:清華大學出版社,2012.

[11]馮登國,趙險峰.信息安全技術概論[M].北京:電子工業出版社,2014.

[12]REEVEA.數據集成的技術、方法與最佳實踐[M].北京:機械工業出版社,2014.

作者:何寧 石磊 王長周 晉世仲 單位:神華國華（北京）電力研究院有限公司 北京大學