李正忠

【摘要】信息安全已經(jīng)成為電力企業(yè)網(wǎng)絡(luò)建設(shè)的必修課，堅持以“雙網(wǎng)隔離、分區(qū)分域防護、應(yīng)用虛擬化接入、積極管控”為原則構(gòu)建的信息網(wǎng)絡(luò)平臺，可以更好地保證企業(yè)信息網(wǎng)絡(luò)安全、可靠、高效的運行，為實現(xiàn)電力智能企業(yè)的宏偉目標打好堅實基礎(chǔ)。

【關(guān)鍵詞】信息安全雙網(wǎng)隔離分區(qū)分域安全接入積極管控

在信息化時代，網(wǎng)絡(luò)空間承載著國家政治、經(jīng)濟、文化和軍事發(fā)展與安全的重荷，網(wǎng)絡(luò)空間存在的黑客攻擊、網(wǎng)絡(luò)犯罪和網(wǎng)絡(luò)恐怖主義事件層出不窮，網(wǎng)絡(luò)空間安全已上升到國家安全戰(zhàn)略的層面，美國政府于2011年5月16日發(fā)布的《網(wǎng)絡(luò)空間國際戰(zhàn)略》引起世界各國矚目，向我們傳遞了許多新的信息，值得認真思考和研究，同時也為中國與時俱進地提升網(wǎng)絡(luò)安全戰(zhàn)略地位，轉(zhuǎn)換網(wǎng)絡(luò)安全建設(shè)思維，增強國家網(wǎng)絡(luò)安全利益的護持力度提出參考和要求。本文在遵循國家信息安全等級保護政策、標準及電力行業(yè)相關(guān)要求下，結(jié)合作者所在單位的信息安全網(wǎng)絡(luò)建設(shè)實際情況，探討如何建設(shè)安全、可靠、高效的電力企業(yè)信息安全網(wǎng)絡(luò)。

一、雙網(wǎng)隔離原則

隨著電力企業(yè)信息化建設(shè)不斷推進，現(xiàn)在許多企業(yè)都建設(shè)了自己的網(wǎng)絡(luò)系統(tǒng)，是以企業(yè)門戶、辦公自動化、電子商務(wù)、HR人力資源系統(tǒng)、財務(wù)一體化、營銷、生產(chǎn)管理、ERP內(nèi)部運行管理系統(tǒng)等，極大的提高了辦公效率，實現(xiàn)信息的實時傳輸和信息共享。通過與Internet國際互聯(lián)網(wǎng)相連，方便員工查找相關(guān)的技術(shù)資料，及時了解和掌握最新咨詢。由于信息技術(shù)的發(fā)展又不斷推動現(xiàn)代辦公逐漸走向信息化、智能化、移動化，寬帶技術(shù)的增強、無線網(wǎng)絡(luò)的普及，促使移動辦公得到飛速發(fā)展，傳統(tǒng)的辦公室隨之拓寬領(lǐng)域，辦公不再拘泥于辦公室，無處不在的網(wǎng)絡(luò)使隨時隨地進行辦公成為可能，移動辦公使辦公效率大大提高，突破了時間與空間的局限。但是在給我們帶來極大便利的同時也帶來了嚴重的安全問題，尤其是病毒破壞、黑客入侵，甚至系統(tǒng)內(nèi)部的泄密，信息化條件下各種網(wǎng)絡(luò)的普及，為黑客提供了展示其嫻熟技法的空間和舞臺，它能在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。眾所周知，國際互聯(lián)網(wǎng)是以國際化、開放和互聯(lián)為特點的，而安全度和開放度永遠是一對矛盾。雖然，目前可以利用防火墻、防毒墻、代理服務(wù)器、入侵檢測等技術(shù)手段來抵御來自互聯(lián)網(wǎng)的非法入侵，但至今這些技術(shù)手段都還存在許多漏洞，還不能很好地解決信息的安全問題。在現(xiàn)在國際互聯(lián)網(wǎng)網(wǎng)絡(luò)不可掌控的情況下，當(dāng)今信息安全問題已經(jīng)上升到國家安全層面，全球都很重視，信息網(wǎng)絡(luò)安全面臨“外侵內(nèi)泄”的情況下，用類似“惹不起，躲得起”的智慧，推導(dǎo)出留得青山在，以退為進的柔性曲線安全策略，雙網(wǎng)隔離的解決方案。

在國家和行業(yè)幾個紅頭文件下發(fā)之后，電力企業(yè)的信息化建設(shè)和規(guī)劃正在緊鑼密鼓進行，雙網(wǎng)隔離早已成為電力企業(yè)信息安全的必修課。雙網(wǎng)隔離技術(shù)在一定程度上解決了電力企業(yè)信息化建設(shè)的困境，滿足了當(dāng)前安全需要。通過雙網(wǎng)隔離這樣的辦法，盡量減少互聯(lián)互通，減少接觸面，杜絕多出口多互連所帶來的業(yè)務(wù)是否需要上網(wǎng)界定不清無法控制問題，而且互聯(lián)互通程度越高，對人員、管理、運維要求也越高。今天，日趨完善的網(wǎng)絡(luò)隔離產(chǎn)品已成為網(wǎng)絡(luò)信息安全體系中不可缺少的重要環(huán)節(jié)，是防范非法入侵、阻擋網(wǎng)絡(luò)攻擊、防止內(nèi)部信息泄密的一種簡單而有效的手段。安全隔離網(wǎng)閘是采用雙主機+物理隔離開關(guān)的硬件結(jié)構(gòu)，結(jié)合高強度的網(wǎng)絡(luò)協(xié)議分析和控制的軟件系統(tǒng)，共同構(gòu)建一個在網(wǎng)絡(luò)邊界處隔離網(wǎng)絡(luò)已知和未知攻擊行為的高端網(wǎng)絡(luò)安全設(shè)備。簡單的說，安全隔離網(wǎng)閘是一套雙主機系統(tǒng)，兩個主機之間是永遠斷開的，以達到物理隔離的目的，雙主機之間的信息交換是通過借助拷貝、鏡像、反射等第三方非網(wǎng)絡(luò)方式來完成的。當(dāng)數(shù)據(jù)需要從外網(wǎng)下載到內(nèi)網(wǎng)，或者和內(nèi)網(wǎng)通訊時，安全隔離網(wǎng)閘在內(nèi)外網(wǎng)之間扮演著一種類似“信息渡船”的角色。信息技術(shù)是動態(tài)發(fā)展的，“道高一尺，魔高一丈”，安全不是絕對化的。

作者所在企業(yè)的雙網(wǎng)隔離方案是集團本部和分公司分別部署安全隔離網(wǎng)閘，三級單位及電廠的內(nèi)外網(wǎng)實現(xiàn)完全的物理隔離。每個三級單位及電廠均有專線通道到分公司，每個分公司又有專線通道到集團本部構(gòu)成整個集團內(nèi)網(wǎng)，大集中方式部署在集團內(nèi)網(wǎng)的應(yīng)用系統(tǒng)正常情況下均通過集團安全隔離網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡，分公司部署的應(yīng)用系統(tǒng)均從分公司安全隔離網(wǎng)閘實現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡，三級單位原則上不允許部署單獨的應(yīng)用系統(tǒng)，現(xiàn)有系統(tǒng)將逐步集中到分公司層面，三級單位及電廠嚴禁內(nèi)外網(wǎng)互聯(lián)互通。這樣就形成了兩個網(wǎng)絡(luò)，雙網(wǎng)（內(nèi)外網(wǎng)）共存，內(nèi)網(wǎng)作為集團企業(yè)內(nèi)部各業(yè)務(wù)應(yīng)用系統(tǒng)信息網(wǎng)絡(luò)基礎(chǔ)平臺，外網(wǎng)各單位分別與Internet國際互聯(lián)網(wǎng)互連。其實作者認為外網(wǎng)也同樣應(yīng)該減少局域網(wǎng)與互聯(lián)網(wǎng)的互聯(lián)互通，因為人員編制等原因，實際上各單位的信息網(wǎng)絡(luò)管理和維護水平和領(lǐng)導(dǎo)重視程度都不一樣，參差不齊。

二、分區(qū)分域防護原則

劃分安全域是構(gòu)建企業(yè)信息安全網(wǎng)絡(luò)的基礎(chǔ)，提高抗擊風(fēng)險能力，提高可靠性和可維護性。內(nèi)網(wǎng)具體劃分為網(wǎng)絡(luò)核心區(qū)域、各業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域、桌面辦公區(qū)域、廣域網(wǎng)接入?yún)^(qū)域、測試服務(wù)器區(qū)域、集中管控服務(wù)器區(qū)域和與外網(wǎng)安全隔離區(qū)域。網(wǎng)絡(luò)核心區(qū)域是企業(yè)信息安全網(wǎng)絡(luò)的心臟，它負責(zé)全網(wǎng)的路由交換以及和不同區(qū)域的邊界防護。這個區(qū)域一般包括核心交換設(shè)備、核心防火墻以及主動防攻擊和流量控制設(shè)備等。各業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域是內(nèi)部各應(yīng)用管理系統(tǒng)所在區(qū)域，包括企業(yè)門戶、辦公自動化、電子商務(wù)、HR人力資源系統(tǒng)、財務(wù)一體化、營銷、生產(chǎn)管理、ERP等內(nèi)部管理信息系統(tǒng)。桌面辦公區(qū)域包括接入交換機和員工桌面終端。廣域網(wǎng)接入?yún)^(qū)域包含由公司總部到集團總部乃至各所屬機構(gòu)的專線安全設(shè)備以及交換路由設(shè)備，是公司總部至各單位的通信命脈。測試服務(wù)器區(qū)域是供系統(tǒng)開發(fā)人員所訪問的未上線的開發(fā)系統(tǒng)所在區(qū)域。集中管控服務(wù)器區(qū)域是內(nèi)網(wǎng)輔助類服務(wù)器區(qū)域，這個區(qū)域一般包括DNS、DHCP、防病毒、桌面管理系統(tǒng)、網(wǎng)管系統(tǒng)、IT運維管理平臺和安全運維管理平臺SOC等。內(nèi)外網(wǎng)安全隔離區(qū)域是用于內(nèi)網(wǎng)與外網(wǎng)擺渡的區(qū)域，是內(nèi)網(wǎng)與外網(wǎng)通信的唯一出口，其主要設(shè)備是安全隔離網(wǎng)閘。各安全域的信息系統(tǒng)之間邊界鮮明，為安全防護體系設(shè)計和層層遞進、逐級深入的安全防護策略提供了必要條件。網(wǎng)絡(luò)核心區(qū)域是整體信息網(wǎng)絡(luò)的核心，所有其他區(qū)域均經(jīng)過核心區(qū)域進行交互，這個區(qū)域理所當(dāng)然地成為各個區(qū)域的安全邊界。以核心服務(wù)器區(qū)域為例，它和網(wǎng)絡(luò)核心區(qū)域中間部署安全設(shè)備，對過往的流量起到控制作用，以達到安全防護。再以廣域網(wǎng)接入?yún)^(qū)域為例，它和網(wǎng)絡(luò)核心區(qū)域中間部署安全設(shè)備和主動防攻擊設(shè)備，達到更高層級的防護。分區(qū)域防護的設(shè)置，將降低外界對信息系統(tǒng)的物理攻擊和網(wǎng)絡(luò)攻擊的危害性，以確保內(nèi)部各網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。外網(wǎng)具體可劃分為網(wǎng)絡(luò)核心區(qū)域、服務(wù)器區(qū)域、桌面辦公區(qū)域、DMZ區(qū)域、與內(nèi)網(wǎng)安全隔離區(qū)域和與Internet國際互聯(lián)網(wǎng)接入?yún)^(qū)域。外網(wǎng)的服務(wù)器區(qū)域類似內(nèi)網(wǎng)的輔助類服務(wù)器區(qū)域。與內(nèi)網(wǎng)交互的安全隔離區(qū)域包括安全堡壘機系統(tǒng)、認證系統(tǒng)、SSL VPN系統(tǒng)。DMZ區(qū)域是提供給互聯(lián)網(wǎng)用戶訪問的系統(tǒng)，主要包括WWW、Email、外部DNS等服務(wù)器，DMZ區(qū)域的服務(wù)器禁止訪問其他區(qū)域，避免來自互聯(lián)網(wǎng)用戶攻擊或控制DMZ區(qū)服務(wù)器后影響或威脅其他區(qū)域。拓撲結(jié)構(gòu)如下圖：

三、應(yīng)用虛擬化接入原則

雙網(wǎng)隔離方案的建設(shè)極大提高了內(nèi)部網(wǎng)絡(luò)的信息安全水平，卻又面臨一個新的問題，內(nèi)外網(wǎng)之間信息安全交互受到制約，保密性（Confidentiality）和可用性（Availability）矛盾日益凸出。一方面隨著雙網(wǎng)建設(shè)的不斷深入和推進，對信息系統(tǒng)的安全性要求越來越高；另一方面隨著公司信息化建設(shè)的不斷深入，投入的業(yè)務(wù)系統(tǒng)不斷增加，用戶業(yè)務(wù)快速發(fā)展，商務(wù)出行及會議等逐漸增多，導(dǎo)致公司員工無法遵循業(yè)務(wù)要求的標準化，流程化，及時地處理文件，從而使整個業(yè)務(wù)停滯不前，同時隨著集團雙網(wǎng)改造和建設(shè)的不斷深入和推進，原有VPN移動辦公解決方案從安全和性能上都已經(jīng)不能滿足要求，限制了信息系統(tǒng)的效益，阻礙了業(yè)務(wù)的處理。移動辦公也面臨著諸多方面的挑戰(zhàn)，今天的信息安全已經(jīng)從最初的網(wǎng)絡(luò)安全逐漸向應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全的全面安全體系發(fā)展，從基礎(chǔ)安全向細粒度的高階安全發(fā)展。雙網(wǎng)改造后，如何在安全的前提下實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互和便捷的移動辦公應(yīng)用？如何對員工的訪問進行有效地控制，實現(xiàn)便捷高效訪問被授權(quán)資源？如何防止內(nèi)部人員泄密或其他未授權(quán)人員直接接入內(nèi)部網(wǎng)絡(luò)導(dǎo)致的泄密等？

作者所在企業(yè)選擇了經(jīng)過公安部、電監(jiān)會、國家信息中心等權(quán)威部門的論證和充分的調(diào)研可行的立體解決方案，采用虛擬化技術(shù)的安全堡壘平臺和SSL VPN設(shè)備，使用數(shù)字證書或UKEY登錄，徹底解決了雙網(wǎng)環(huán)境下跨網(wǎng)訪問、移動辦公的難題。安全堡壘平臺將應(yīng)用虛擬化技術(shù)應(yīng)用于信息安全領(lǐng)域，將應(yīng)用100%在服務(wù)器運行，沒有任何應(yīng)用組件運行于客戶端環(huán)境，以虛擬的方式與客戶端交互，實現(xiàn)一種新型的數(shù)據(jù)不落地的傳輸模式。虛擬化技術(shù)分離應(yīng)用的表現(xiàn)與計算，實現(xiàn)虛擬應(yīng)用交互、本地化應(yīng)用體驗，客戶端與服務(wù)器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息，沒有實際的業(yè)務(wù)數(shù)據(jù)流到客戶端，客戶端看到的只是服務(wù)器上應(yīng)用運行的顯示鏡像。安全堡壘平臺的整體安全體系，包括事前安全策略規(guī)劃、事中安全訪問控制和事后安全審計三個層次，可以實現(xiàn)多級的用戶管理和細粒度的用戶授權(quán)，可以完成對用戶整個生命周期的監(jiān)控和管理，制定統(tǒng)一的、標準的用戶賬戶安全策略，捆綁具體用戶，對用戶、行為和資源進行授權(quán)，以達到對權(quán)限的細粒度控制，最大限度保護用戶資源的安全?？梢杂涗浐筒樵冇脩艉螘r、多長時間、從哪里訪問、訪問設(shè)備的信息等。還可以通過對用戶訪問的行為全程錄制，實現(xiàn)事后的審計與追溯。訪問控制策略是保護系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。最終用戶通過訪問SSL VPN設(shè)備，手機和平板電腦通過數(shù)字證書，筆記本電腦通過UKEY與安全堡壘平臺建立虛擬的專用VPN隧道加密，從而實現(xiàn)了4A（認證Authentication、賬號Account、授權(quán)Authorization、審計Audit）的安全標準。

四、積極管控原則

隨著信息技術(shù)的快速發(fā)展，信息化建設(shè)的不斷提高，各種應(yīng)用系統(tǒng)逐漸上線運行，各種業(yè)務(wù)也開始在網(wǎng)絡(luò)上開展起來，有些應(yīng)用已經(jīng)是在整個集團正常運行，同時網(wǎng)絡(luò)的擴展也為病毒和木馬的傳播提供了便利的條件，各種極具破壞性的病毒在網(wǎng)絡(luò)中流竄，使網(wǎng)絡(luò)擁堵不堪，甚至癱瘓，也給一些不法分子和敵對國家獲取企業(yè)和國家機密信息和重要數(shù)據(jù)等信息提供了便利，所以健全的網(wǎng)絡(luò)建設(shè)和管理機制對維護企業(yè)和國家利益都有著重要意義，一旦網(wǎng)絡(luò)癱瘓或信息泄密，后果將不堪設(shè)想。因此信息安全的建設(shè)并沒有隨著雙網(wǎng)建設(shè)、分區(qū)防御的建設(shè)和應(yīng)用虛擬化移動辦公接入的建設(shè)而結(jié)束，反而對整體信息網(wǎng)絡(luò)的安全防護和監(jiān)督控制提出了更高的要求，必須要加強對信息安全的管理和控制，提高信息安全意識。

作者所在企業(yè)的信息網(wǎng)絡(luò)基礎(chǔ)平臺關(guān)鍵設(shè)備和鏈路通常采取雙機雙鏈路方式部署，實現(xiàn)負載均衡和單點失效保護，利用可管理交換機、路由器、防火墻、防毒墻、上網(wǎng)行為管理、安全隔離網(wǎng)閘、堡壘機、統(tǒng)一認證平臺、SSL VPN、IPS、IDS、WAF等網(wǎng)絡(luò)產(chǎn)品構(gòu)建安全高效的信息網(wǎng)絡(luò)基礎(chǔ)架構(gòu)平臺，在設(shè)備選型時盡可能考慮廠家異構(gòu)和產(chǎn)品異構(gòu)，安全設(shè)備必須是國產(chǎn)自主知識產(chǎn)權(quán)產(chǎn)品，盡可能的規(guī)避由于產(chǎn)品和設(shè)備選型帶來的安全風(fēng)險。通過部署網(wǎng)管系統(tǒng)、IT運維管理平臺和安全運維管理平臺SOC，既滿足了信息安全運維管理的需要，同時也能滿足國資委信息化檢查和數(shù)據(jù)收集報送的需要。采取細分VLAN來減少網(wǎng)絡(luò)病毒影響的范圍，防止類似ARP泛洪攻擊，利用DHCP服務(wù)器綁定MAC地址方法管理客戶端IP地址，使用桌面安全管理系統(tǒng)有效管理和控制客戶端，包括安全接入控制、安全策略管理、U盤等移動存儲管理、資產(chǎn)管理、軟件分發(fā)、補丁管理、員工行為等管理。網(wǎng)絡(luò)管理人員在上述系統(tǒng)的輔助下及時對實時運行的網(wǎng)絡(luò)進行分析和管控，預(yù)判故障和攻擊行為，實行主動防御、及時處理，將這些對智能電網(wǎng)建設(shè)和運行中可能發(fā)生的不安全因素，消滅在萌芽狀態(tài)之中。

隨著企業(yè)網(wǎng)絡(luò)建設(shè)規(guī)模的不斷擴大及上網(wǎng)人員用戶的增加，不可避免帶來泄密隱患。企業(yè)必須正視現(xiàn)實，處理好安全與應(yīng)用方便性之間的關(guān)系，提高認識，高度重視信息網(wǎng)絡(luò)安全問題。對于因特網(wǎng)的弊端，不能矯枉過正，不能因為因特網(wǎng)對企業(yè)信息安全形成了巨大威脅，就強制要求所有單位和用戶斷開與因特網(wǎng)的連接，這樣無異于“因噎廢食”。在當(dāng)前“雙網(wǎng)隔離”不失為一種有效的解決方案，然后通過安全分區(qū)域防護，部署相應(yīng)安全產(chǎn)品和系統(tǒng)保證各業(yè)務(wù)應(yīng)用系統(tǒng)和各種客戶端在授權(quán)模式下，都能安全訪問所需業(yè)務(wù)并實現(xiàn)事后追蹤審計。當(dāng)然雙網(wǎng)隔離的應(yīng)用不但沒有降低對管理的要求，反而帶來新的管理問題，對管理要求日漸提升。我們要以“三分技術(shù)、七分管理”作為信息安全管理基本原則，其中最重要的還是人，我們不要太崇拜技術(shù)，人的安全意識提高才是最重要的，現(xiàn)在很多信息網(wǎng)絡(luò)基礎(chǔ)平臺建設(shè)很全面，安全制度制定得也很完善，但在執(zhí)行過程中，常常被打破，被忽視，現(xiàn)在其實缺乏的不是技術(shù)，很多時候欠缺的是一個完善的體系化的管理機制。

參考文獻

[1]劉勃然，黃鳳志.美國《網(wǎng)絡(luò)空間國際戰(zhàn)略》評析.東北亞論壇，2012年3期

[2]孫軍軍，趙明清，李輝，馮梅.企業(yè)信息安全現(xiàn)狀與發(fā)展趨勢分析.信息網(wǎng)絡(luò)安全，2012年10期

[3]張永鋒.網(wǎng)絡(luò)信息安全探討與隔離技術(shù)的應(yīng)用.中國新通信，2012年22期

[4]相關(guān)設(shè)備廠家技術(shù)白皮書.