摘要:随着计算机技术的飞速发展和广泛应用,近年来,国际互联网安全态势日趋严峻,互联网攻击手段越来越隐蔽、攻击技术越来越高级,甚至成为商业不正当竞争手段以及国家网络武器,已对国家、企业信息安全构成了严重威胁。对于火电厂而言,需要在发展信息化的同时,不断加强信息安全保障工作。为抵御互联网威胁,保护企业敏感信息安全,根据网络隔离、加强敏感信息保护的工作要求,进一步强化企业网络安全防护措施,完善企业网络安全保障能力,新昌电厂组织研究并编制了技术方案,完成了网络安全隔离整体建设。
关键词:网络隔离;管理;信息安全;防病毒
1改造前信息安全防护情况
1.1网络安全域划分方式与安全域边界控制措施。新昌电厂网络由核心交换区、服务器区、互联网区、广域网区、商密网区、办公接入区、无线覆盖管理区等七个区域组成。各区域间仅在广域网和互联网区边界处部署了防火墙用于访问控制及安全防护,而其他区域仅在交换机上做了VLAN隔离,并没有依照安全区域的防护等级进行防火墙隔离,尤其是核心服务器区前并未限制严格的访问控制,给核心应用系统带来了严重的安全威胁。
1.2终端安全与终端防病毒。实施改造前,防病毒软件企业版已经过期,信息内网终端为100个点,需要统一上报采购。
1.3入侵检测与统一监测情况。在入侵检测方面仅在广域网和互联网出口处部署网络入侵防护设备用于抵御外来攻击,起到入侵检测防护效果,但是针对核心应用系统,尤其是内部用户访问应用系统的行为并未做到有效的安全检测,而当前整个网络也并没有部署能够对网络、系统及应用的访问操作和运维的行为进行精细记录和审计的安全审计设备,更无法将网络内容与行为安全审计纳入到集团的统一审计、监测平台中。
1.4脆弱性检测与管理。改造前,没有针对信息系统的安全脆弱性管理与评估设备,而统计安全事件发生的主要原因,其中占比最大的就是信息系统自身的脆弱性,包括常见的操作系统、网络设备、数据库和第三方插件,也有和工作息息相关的WEB网站、OA等应用系统。因此企业亟需建立起适应于当前系统状况的脆弱性扫描与管理工具,发现安全漏洞,消除隐患,防患于未然。1.5安全运维管理在IT系统运维管理层面存在一定的问题,主要面临着包括账号混用,权限管控不严、设备日志审计效果差以及第三方和远程运维等问题。因此需要构建一个强健的IT运维管理系统用于支撑企业信息化安全运维工作。
2网络安全总体隔离技术方案
新昌发电分公司按照网络安全隔离建设的规范要求,内、外网之间采用物理隔离。按照建设方案要求,首先在信息内、外网均根据安全需求和防护等级进行了安全域划分,在防护等级较高的外联区、DMZ区和数据交换区新增部署防火墙,对区域间的访问进行严格控制,防止非授权访问;其次在信息内网部署网络入侵检测设备,利用IDS动态检测功能,对访问状态、通信协议和应用协议和内容进行深度的检测,识别内部网络用户和外部攻击者对计算机系统的非授权攻击和滥用行为,同时在外网互联网部署一台IPS,用于抵御来自互联网的攻击行为,在外网服务器区前部署一台WEB应用防火墙用于防护对重要应用系统的WEB入侵;在信息外网部署1套上网行为管理设备,对全网网络行为进行分析,发现网络、系统访问以及数据库服务器等操作行为中的敏感和违规行为;最后,按照总部对远程协助的要求,部署VPN设备于信息外网用于远程接入,同时在信息内网新增一台堡垒机,对于需要对内网系统进行运维的均需通过堡垒机登录后才能进行操作。
3信息内网建设
将信息内网分为核心区、服务器区、终端区、广域网接入区、运维管理区等区域,通过在防火墙上设置相应的网络策略进行各区域的网络隔离防护。此广域网防火墙利旧。配置两台内网服务器汇聚交换机,将信息内网服务器单独成区,在服务器区与核心交换机之间部署2台防火墙设备,实现核心交换机、服务器区防火墙、服务器区汇聚交换机的双机双链路备份,保障业务系统的稳定可靠运行。信息内网部署1套IDS设备,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。信息内网的核心交换机由于目前只有一台C6513可正常使用,因此新昌电厂信息内网核心交换机将新采购2台框式交换机,同时采用最新的横向虚拟化技术,以提升核心交换机的可靠性和易管理性。对于接入交换机,将采用利旧方案。针对内网设备的操作安全性保护,在核心交换机边上旁挂一台堡垒机,作为登录服务器、网络、存储等设备管理口的统一入口,屏蔽设备的真实管理地址、用户名和密码,并且具有事后审计功能。各楼栋接入交换机采用利旧原则,不在本次项目中进行调整。信息内网终端采用利旧的方式,原有网络内的电脑终端全部放置于内网使用。
4信息外网建设
信息外网边界新购置1台防火墙设备,设置DMZ区,将需要联入Internet的服务器放置于此区,如网站服务器、邮件服务器等。针对WEB服务器,采用WAF防火墙实现对WEB服务器的安全防护。新昌电厂有SSLVPN移动接入的需求,SSLVPN网关采用原有设备利旧的方式部署。过去新昌电厂有自己的互联网出口,但未部署上网行为管理设备,此次改造新增一台上网行为管理设备,用于本单位的互联网访问行为审计。信息外网采用无线建设方案,本着节约的原则,可以将之前的无线设备移植到信息外网中。AC控制器旁挂于信息外网的核心交换机上。为了简化网络,信息外网结构摈弃的传统三层架构,采用两层架构--接入层和核心层。核心层设备将新采购2台高性能、高可靠性框式交换机,同时为了简化管理、增强网络的可靠性,两台核心交换机之间采用横向虚拟化技术。同时,采购了一定数量的接入交换机,由于接入交换机要连接AP,因此此交换机需要支持POE功能。由于终端较多、分布位置较为分散,导致接入交换机较多,为了简化管理,新昌电厂采用纵向虚拟化技术,接入交换机作为核心交换机的远端接口卡,核心交换机与接入交换机可以虚拟化为一台交换机做统一管理。信息外网是一个安全性要求不太高的网络环境,因此终端建设采用传统的PC机方式。考虑到电子邮件业务部署在信息外网,每个员工都有外网邮件收发的需求,因此新昌电厂将为每位员工分配独立的信息外网PC机。
5应用系统部署
信息外网在整体建设完成后,在外网单独设立服务器DMZ区,所有应用系统均部署在此区域内,在网站服务器前端部署WAF设备对网站服务器进行安全防护。原邮件系统迁移至外网使用。
6信息内网安全防护
分离后的信息内网依据建设管理规范要求将网络进行区域分域,最终划分为内网终端接入区、内网应用系统区、运维管理区。改造前新昌电厂尚未部署终端安全管理系统,根据《国家电投集团网络安全与隔离建设与管理规范》要求,此次改造由集团公司统一采购此系统。终端安全管理系统作为C/S架构,新昌电厂在服务器区采用一台2路服务器部署此终端安全管理系统,同时在每台接入终端部署客户端软件。通过此客户端软件实现终端的安全接入、身份认证、防内网外联、桌面管理以及对外设的管理。移动介质管理申请纳入集团公司统筹部署,客户端数量为400台。考虑到原有网络版防病毒系统病毒库已经过期,此次终端防病毒系统申请纳入集团公司统筹部署,客户端数量为400台。根据要求在信息内网部署一台IDS设备,重点针对服务器区流量进行检测,对内容进行深度的检测,接近实时地识别内部网络用户和外部攻击者对计算机系统的非授权使用、误用和滥用。实现全集团的入侵检测防护,设备部署如下图所示,设备采用监听模式检测来自于交换机的镜像流量,开启系统和WEB攻击检测以及流量分析功能。集团建设方案要求建设统一的监测、审计平台,针对内网信息系统的运行和使用情况开展集中的审计、监测、预警。当前信息内外网针对网络、系统、应用等访问内容和行为缺乏有效的审计手段,因此三级单位在信息内外网核心交换处各部署一台网络安全审计设备,对网络中应用系统的访问内容和行为、服务器和数据库的操作、邮件和即时通讯等进行全面审计,发现存在的敏感内容和行为,并可对相关事件进行有效追溯。
7结束语
新昌电厂在借鉴同类型电厂良好实践的基础上,结合实际制定了网络隔离建设方案,通过网络隔离项目实施保护电厂网络敏感信息安全,全面实现了网络安全隔离,具备了安全性、经济性、先进性、实用性,同时解决了网络隔离对电厂信息化办公效率的影响,有效保障了电厂网络隔离效果,实现网络安全状况的实时监测。
参考文献:
[1]郑宇.面向安全应用的隔离核技术研究与实现.
[2]陈珑.国产700MW机组网络安全应用研究.2019.
作者:陈珑 单位:国家电投集团江西电力有限公司新昌发电分公司