信息内网网络边界安全防护研究
2021-03-25叶水勇
叶水勇
(国网黄山供电公司,安徽 黄山 245000)
国网黄山供电公司的部分业务使用到第三方运营商提供的专线通道业务操作。根据国网公司提出的信息安全治理提升工作需求,认为仅依靠第三方运营商承诺的专线存在安全风险[1-2]。国网黄山供电公司信息网络与省市公司交互业务多,因此网络边界的稳定性、安全性将关系到公司数据保密的安全。现决定对网络系统进行网络边界安全优化服务,加强网络边界安全稳定。
1 信息内网网络边界安全防护项目的需求分析
国网黄山供电公司信息内网接入边界安全防护基础设施硬件方面与国网“安全管理提升”活动的要求存在差异,现公司决定根据“信息安全治理提升专项活动”的要求,进一步规范安全信息网络边界部分,实施信息安全管理提升,国网公司要求的信息内网接入边界网络拓扑图如图1所示。
图1 信息内网接入边界网络拓扑图
通过对网络边界业务系统安全优化工作,来保障网络边界业务系统可靠运行,此次网络边界业务系统安全优化项目所要实现的需求如下。
为存在第三方营运商提供通道的业务系统部署边界安全网关;建立安全访问区域原则,必须建立DMZ区域,阻断从第三方营运商过来的数据直接访问供电公司信息内网;部署的强安全访问规则,过滤用户业务的开放端口,检测数据包的完整性;部署通道加密设备,保障第三方通道上数据传递的私密性[3-4]。
2 信息内网网络边界安全防护项目的建设原则
国网黄山供电公司的网络边界安全项目最终目的是保证那些经过第三方运营商专线通道访问公司业务服务器流量的安全性和完整性,防止信息网络遭受攻击瘫痪、防止应用系统被破坏、防止业务数据丢失、防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击,以确保信息系统安全稳定运行,确保业务数据安全[5-6]。
信息内网网络边界安全防护的建设原则如下。
(1)进行第三方网络边界安全优化,在信息内网边界部署边界安全网关,实现传统安全防护、防应用层攻击、防病毒检测和过滤等。
(2)建立内网安全访问原则,引入DMZ区域,内网(Trust区域)实现对DMZ区域开放限制端口,DMZ区域对第三方通道的UnTrust区域用户开放限制端口,保证信息内网数据库的安全运行。
(3)采用加密设备保证边界系统业务流量的安全性、保密性和完整性。
综上所述,项目的意义是为了使得国网黄山供电公司所有边界业务系统流量的安全和完整,抵制使用第三方通道所带来的不安全因素。
3 安全防护实施方案
根据国网黄山供电公司网络边界安全架构项目的规划,此次项目为三大运营商(移动、电信、联通三家公司)共3套系统实施边界安全,详细实施方案如下。
每个边界都部署一套安全网关隔离系统,使用最新版的系统软件,并将信息内网系统服务器统一部署在边界安全网关内侧;涉及到边界业务系统必须部署业务前置机,并将前置机统一放置在安全网关的DMZ区域。通过运营商进行传递的数据,部署在安全网关的外部区域,并部署通道加密装置,确保数据的安全性、完整性、私密性[7-8]。边界安全方案示意如图2所示。
图2 边界安全方案示意图
4 安全防护实施内容
4.1 部署边界防火墙
(1)边界安全防护关注如何对进出该边界的数据流进行有效地检测和控制,有效的检测机制包括基于网络的入侵检测、对流经边界的信息进行内容过滤,有效的控制措施包括网络访问控制、入侵防护以及对于远程用户的标识与认证/访问权限控制[9-10]。本次项目采用安全、高效、可靠的下一代安全防火墙解决方案,为边界安全打造L2-L7层的多层安全防护体系构架,把安全风险降到最低,打造安全、可靠、高效的边界网络,主要从以下几方面进行防护:①网络安全,主要访问控制、DOS攻击防护、NAT地址转换;②应用安全,主要包括漏洞攻击、非安全应用控制、恶意地址防护、病毒木马蠕虫过滤、应用访问控制;③Web安全,主要包括SQL注入、跨站脚本、敏感信息防泄露;④设备自身安全,主要包括抗DOS/DOS属性、管理员SSL加密登陆、业务与管理分离管理。
(2)进行边界安全架构防护,防止边界外的用户直接访问信息内网。计划将边界需要访问的服务器放置在前置区(即防火墙的DMZ区),通过安全策略限制前置服务器访问内网,同时禁止边界设备直接访问内网[11-12]。
(3)进行边界安全防护目标是使边界的内部不受来自外部的攻击,同时也用于防止恶意的内部人员跨越边界对外实施攻击,或外部人员通过开放接口、隐通道进入内部网络;在发生安全事件前期能够通过对安全日志及入侵检测事件的分析发现攻击企图,安全事件发生后可以提供入侵事件记录以进行审计追踪[13-14]。日志系统示意图如图3所示。
图3 日志系统示意图
4.2 部署通道加密
本次项目计划在各运营商提供的通道两边部署网络加密机,实现通道加密。采用的加密设备支持IPSEC国际标准,支持国家密码管理委员会批准算法、3DES/168位等多种加密算法。节点中数据的传输采用“通道”技术,保证数据在传输过程中不受外界的干扰,并且节点设备和接入网关仅开放与安全数据传输相关的端口,杜绝了黑客可乘之机[15-16]。
另外,在三大运营商(移动、电信、联通三家公司)分别部署一套加密系统,任何一个接入节点的变化和故障不会影响到其他接入节点。节点设备和接入网关为低功耗硬件设备,适用于长期开机运行的需求。同时全硬件结构避免了由于软件兼容性、操作系统稳定性、操作人员技术水平等方面对系统稳定性带来的影响,保证了用户节点的稳定性。
5 实施效果
通过网络边界安全架构项目的实施,最终达到优化资源配置、加强运行控制、推进精细管理、提升信息应用系统运行专业水平的目的[17]。
(1)通过优化边界架构,使得国网黄山供电公司的网络边界架构清晰、运维管理方便合理,提升了网络运维效率。
(2)采用下一代防火墙架构和加密机队通道加密的方式,提升了边界的防护能力,避免了病毒、恶意攻击等带来的安全隐患,为边界业务的开展提供了安全保障。
(3)提高了网络边界业务的安全性及稳定性,对现有网络边界业务系统进行了优化,为各项业务的进一步发展提供了坚实的基础。
6 结语
国网黄山供电公司通过网络边界安全项目的实施,最终保证那些经过第三方运营商专线通道访问公司业务服务器流量的安全性和完整性,防止信息网络遭受攻击发生瘫痪、防止应用系统被破坏、防止业务数据丢失、防止企业信息泄密、防止终端病毒感染、防止有害信息传播、防止恶意渗透攻击等,从而确保信息系统安全稳定运行,确保业务数据安全。