甘肃工大电子科技有限公司

星期二 2021-11-30
topimg2.jpg

甘肃省电力公司广域网节点网络安全解决方案

甘肃省电力公司广域网已建成,并有办公自动化系统、电量采集系统、企业网站等多项应用系统运行,在公司的生产、经营、管理中发挥着重要的作用。随着联网单位的增加,随之而来的网络安全问题也日益突出,为此省公司曾明文要求各单位设置防火墙,以保障广域网节点的安全运行。

我们在电力行业有着多年服务的经验,对用户在应用系统及网络安全方面的需求有一定的了解,现根据对多家用户调查的实际需求提出省电力公司广域网节点网络安全解决方案。


        一、广域网节点网络安全现状

省电力公司广域网由下属各单位局域网(节点)互联组成,以省电力公司自有微波传输系统的数据通道构成网络主干,从微波端口至路由器连到局域网中心交换机或集线器,大多数单位在局域网与广域网的连接上没有采取安全防护措施,因而存在以下安全隐患。

1.在工作中人们已习惯于把需要的数据资料以文件共享的方式与其他用户交换,致使局域网上的数据信息完全暴露在外,透过广域网甚至在因特网上都可以访问这些共享数据,数据安全和保密性无法保障。所以,目前情况下的广域网节点是完全暴露的无防护网络。

2.广域网连通后为计算机病毒的传播提供了便利的条件,由于人们对网络上病毒的传播认识不足,加之防毒措施不到位,极易造成病毒的大面积传播。前段时间Nimda病毒就使得省公司广域网大面积瘫痪,各单位的服务器几乎无一幸免。

3.曾经有人用相关工具软件做过试验,结果在省公司广域网节点上发现大量的安全漏洞。目前黑客工具和木马程序已经广泛传播,对于这种无防护的网络,远程的恶意攻击将是轻而易举的事情。

4.广域网开通后,不需要其他设备就可以方便的访问因特网,对局域网用户访问因特网的管理也是一件紧迫的任务。另一方面,局域网上有一部分微机通过Modem拨号接入Internet,既不经济又带来了新的安全隐患。对上网实行统一出口、统一管理,可以控制上网费用,有利于网络安全。

二、广域网节点网络安全需求

1.实现局域网(内部网)与广域网(外部网)的隔离。

2.采取的网络安全措施不影响应用系统的正常运行,如省公司公文交换系统、企业网站等应能正常运行。

3.从网络软硬件及管理制度两方面入手,解决前述四方面的网络安全隐患。

4.支持后续的应用系统。如电子邮件、文件传输等。

三、广域网节点网络安全解决方案

通过硬件设备实现内部网与外部网的物理隔离。以网络防病毒软件实现对病毒的在线监测,及时发现、清除病毒程序。用防火墙实现网络安全策略。防火墙有硬件防火墙和软件防火墙两种,硬件防火墙性能好,价格高,但配置缺乏灵活性,对一些特定的应用(如Lotus Domino服务)不支持。软件防火墙又分网络层(数据包过滤)和应用层(代理)两种。网络层防火墙基于对源、目的地址的包过滤,问题在于过滤规则的确定是一件困难的事情,而且不能对应用层信息进行有意义的控制。在防火墙设计中应用级代表了相反的极端。它不使用通用目标机制来允许各种不同种类的通信,而是针对每个应用,要比任何其他方法安全得多。一是不必担心不同过滤规则集之间的交互影响,二是不必担忧对外部提供服务的主机中的漏洞。只需仔细检查选择的数个应用。基于以上分析,我们设计的解决方案如下。

在广域网节点路由器与局域网中心交换机之间增加一台双址主机作为网桥,实现内部网与外部网的隔离,内部网上的网络设备对外部网而言不可见。其上安装应用层防火墙软件,对外提供Lotus Domino连接服务、WWW代理、电子邮件代理、文件传输代理等,对内向授权用户提供WWW代理、电子邮件代理、文件传输代理等,实现对Internet的访问控制。

其中保证省公司公文交换系统的正常运行是一个技术难点,因为Lotus公司推荐的防火墙设置方法不能满足实际需要。经过多次试验,我们已经成功的解决了这一问题。

此方案已在八盘峡水电厂实施成功, 此方案同样适用于其他单位的Internet安全接入。