黃河城域網(wǎng)安全防護(hù)管理系統(tǒng)的應(yīng)用研究

萬 鵬 李慶金 龐 進(jìn)

（黃委山東水文水資源局，山東濟(jì)南 250100）

1 研究背景

黃河城域網(wǎng)是由濟(jì)駐局機(jī)關(guān)、下屬單位及宿舍區(qū)網(wǎng)絡(luò)組成。以信息中心機(jī)房為核心，通過光纖分別連接路由器、三層交換機(jī)實現(xiàn)了網(wǎng)絡(luò)的互聯(lián)互通。城域網(wǎng)內(nèi)有計算機(jī)2000多臺，服務(wù)器30多臺，部署有cisco、quidway、H3C等三層交換機(jī)、路由器、防火墻、入侵檢測、二層交換機(jī)等設(shè)備。

局機(jī)關(guān)和各單位之間的網(wǎng)絡(luò)信息業(yè)務(wù)如：防汛指揮、水量調(diào)度、日常辦公、政務(wù)公開、信息發(fā)布等都在網(wǎng)絡(luò)上運行，它已經(jīng)成為山東黃河防汛管理等各項工作必不可少的工具和平臺。

近年來，山東黃河在信息化建設(shè)方面投入了大量的人力、物力，網(wǎng)絡(luò)設(shè)備綜合性能和骨干網(wǎng)絡(luò)傳輸帶寬有了大幅度的提高，但在網(wǎng)絡(luò)安全方面的投入還不夠，沒有建立完善的安全防護(hù)系統(tǒng)；不能對用戶進(jìn)行嚴(yán)格的管理與控制；當(dāng)網(wǎng)絡(luò)出現(xiàn)病毒或故障時，不能迅速地進(jìn)行管理和定位。

對于上述情況，技術(shù)人員進(jìn)行深入研究，結(jié)合山東黃河辦公網(wǎng)絡(luò)系統(tǒng)存在的安全問題，開發(fā)了針對整個城域網(wǎng)多方位的防護(hù)管理系統(tǒng)，可以實時監(jiān)控、定位、管理整個網(wǎng)絡(luò)設(shè)備和終端設(shè)備，有效解決目前網(wǎng)絡(luò)系統(tǒng)內(nèi)存在的諸多問題，提高網(wǎng)絡(luò)安全防護(hù)能力，為進(jìn)一步提升山東黃河網(wǎng)絡(luò)整體性能發(fā)揮了巨大的作用。

2 存在問題

近年來，隨著網(wǎng)絡(luò)用戶數(shù)量不斷增加，應(yīng)用范圍不斷擴(kuò)展,對網(wǎng)絡(luò)的維護(hù)和安全提出了更高的要求。雖采取了一系列的安全防護(hù)措施，投資購置了網(wǎng)絡(luò)安全設(shè)備和產(chǎn)品，但仍存在著威脅網(wǎng)絡(luò)安全運行的因素，主要問題如下。

2.1 缺乏有效的統(tǒng)計方法,無法得知網(wǎng)絡(luò)使用狀況

對于黃河網(wǎng)絡(luò)的使用情況，公網(wǎng)出口帶寬的占用情況，用戶最常發(fā)生的網(wǎng)絡(luò)訪問行為，用戶最常訪問的網(wǎng)站等，網(wǎng)絡(luò)管理者都無法掌握真實情況，只能靠員工的反映簡單了解 IP訪問情況，查詢、審計非常不便。

2.2 無法做到細(xì)致的訪問控制

沒有完善的互聯(lián)網(wǎng)訪問權(quán)限控制手段，僅僅依靠傳統(tǒng)的防火墻等設(shè)備，無法有效管控內(nèi)網(wǎng)員工的各種網(wǎng)絡(luò)訪問行為，不僅降低了工作效率，甚至通過Email泄漏機(jī)構(gòu)機(jī)密信息，給單位帶來直接經(jīng)濟(jì)損失，并引起不必要的法律糾紛。

2.3 無法有效管控帶寬流量及系統(tǒng)的帶寬需求

現(xiàn)有的公網(wǎng)出口帶寬比較有限,如果有幾個內(nèi)部用戶全速下載BT、eMule等，其他用戶和業(yè)務(wù)系統(tǒng)的訪問會變得極其緩慢，而網(wǎng)絡(luò)管理者無法有效的獲知現(xiàn)有帶寬資源的使用情況和利用率，對相關(guān)的網(wǎng)絡(luò)訪問行為無法有效管控。

2.4 無法對用戶網(wǎng)絡(luò)行為進(jìn)行有效監(jiān)控和審計

內(nèi)網(wǎng)員工可能通過 MSN、Email郵件等方式將機(jī)構(gòu)的信息資產(chǎn)通過郵件及附件發(fā)送到公網(wǎng)，造成內(nèi)部信息的泄漏，并招致法律問題；而傳統(tǒng)防火墻的解決方案，對用戶的網(wǎng)絡(luò)訪問行為無法進(jìn)行有效的監(jiān)控和審計，不能做到有據(jù)可查。

3 設(shè)計原則及依據(jù)

3.1 設(shè)計原則

（1）效率風(fēng)險規(guī)避。能夠?qū)εc工作無關(guān)的應(yīng)用進(jìn)行控制與管理，并且通過阻斷，流控等多種手段進(jìn)行管理。系統(tǒng)內(nèi)置的網(wǎng)站和應(yīng)用數(shù)據(jù)庫可以持續(xù)升級，并且對違規(guī)行為進(jìn)行告警。

（2）安全風(fēng)險規(guī)避?？梢詫в袗阂獯a、木馬的網(wǎng)站的訪問進(jìn)行阻斷，能夠?qū)?nèi)部木馬對外的發(fā)送行為進(jìn)行阻斷，可以對網(wǎng)站包含的惡意代碼進(jìn)行實時過濾。為了確保行為的標(biāo)準(zhǔn)性，要可以對代理回避技術(shù)進(jìn)行過濾。

（3）網(wǎng)絡(luò)可管理性。對系統(tǒng)存儲的日志進(jìn)行查詢，統(tǒng)計，輸出簡明報告，報告可訂閱。能夠?qū)崟r監(jiān)控網(wǎng)絡(luò)中的流量排名，用戶排名，網(wǎng)站排名，應(yīng)用排名。

（4）人員識別。采用用戶名與密碼登錄方式進(jìn)入黃河城域網(wǎng)，加強(qiáng)人員管理，可通過對系統(tǒng)中的用戶、部門進(jìn)行策略設(shè)置，以及日志的查詢統(tǒng)計。

3.2 設(shè)計依據(jù)

該項目的實施均嚴(yán)格執(zhí)行中華人民共和國水利部《水文基礎(chǔ)設(shè)施建設(shè)及技術(shù)裝備標(biāo)準(zhǔn)》SL276-2002[1]、《水文自動測報系統(tǒng)規(guī)范》SL 61-94[2]中的相關(guān)要求。

4 系統(tǒng)部署

部署的安全防護(hù)系統(tǒng)串接在用戶網(wǎng)絡(luò)鏈路中，如同連接在出口網(wǎng)關(guān)和內(nèi)網(wǎng)交換機(jī)之間的“智能網(wǎng)線”，對流經(jīng)安全防護(hù)系統(tǒng)的所有數(shù)據(jù)流進(jìn)行審計、控制、攔截、流量管理等操作。安全防護(hù)系統(tǒng)的WAN 口同局域網(wǎng)的網(wǎng)關(guān)相連，LAN 口（DMZ口）同局域網(wǎng)交換機(jī)連接。對進(jìn)出的數(shù)據(jù)進(jìn)行監(jiān)控與管理。安全防護(hù)系統(tǒng)部署圖如圖1所示。

圖1 安全防護(hù)系統(tǒng)部署圖

5 系統(tǒng)特點

（1）該系統(tǒng)建立了多種身份認(rèn)證和權(quán)限控制上網(wǎng)模式，對接入局域網(wǎng)的人員進(jìn)行識別辨認(rèn)，防止了非法用戶的侵入，保護(hù)了用戶安全。

對用戶訪問通過web方式+ip/mac綁定認(rèn)證結(jié)合方式，攔截了未經(jīng)允許私自接入網(wǎng)內(nèi)的用戶，對系統(tǒng)中的用戶和部門進(jìn)行策略的樹型結(jié)構(gòu)設(shè)置，避免了用戶私自更改IP，導(dǎo)致IP地址沖突等問題。用戶信息等數(shù)據(jù)配置如圖2所示。

圖2 用戶信息配置圖

（2）在網(wǎng)絡(luò)系統(tǒng)內(nèi)實現(xiàn)了網(wǎng)頁訪問控制及其他網(wǎng)絡(luò)行為控制，降低了感染病毒木馬等網(wǎng)絡(luò)風(fēng)險。

該系統(tǒng)對應(yīng)用進(jìn)行控制與管理，通過阻斷、流控等多種手段進(jìn)行管理，對違規(guī)行為可進(jìn)行告警。它包括 150 多種常見應(yīng)用的識別和管控規(guī)則，定期從專業(yè)安全公司網(wǎng)站上自動更新應(yīng)用識別庫，從源頭上切斷病毒、木馬的潛入，并結(jié)合終端安全檢查等多種安全手段，實現(xiàn)立體式安全護(hù)航，確保安全上網(wǎng)。

圖3 查詢結(jié)果表

（3）該系統(tǒng)通過配置界面實時監(jiān)控和分析網(wǎng)絡(luò)流量，提供細(xì)致的優(yōu)化分配帶寬和流量管理功能，提高網(wǎng)絡(luò)的利用效率，提升了網(wǎng)絡(luò)訪問速度。

系統(tǒng)提供了豐富的網(wǎng)絡(luò)可視化報表，如圖 3“查詢結(jié)果”中所示，報告讓管理者詳細(xì)掌握了網(wǎng)絡(luò)內(nèi)部流量的使用情況，找到造成網(wǎng)絡(luò)故障的原因和網(wǎng)絡(luò)瓶頸所在，從而對精細(xì)化管理網(wǎng)絡(luò)提供了有效依據(jù)。保障電子政務(wù)系統(tǒng)、視頻會議系統(tǒng)等辦公應(yīng)用獲得足夠的帶寬支持，提升上網(wǎng)速度和辦公應(yīng)用的使用效率。

（4）該系統(tǒng)可通過日志審計和報表中心對網(wǎng)絡(luò)進(jìn)行管理統(tǒng)計，把握網(wǎng)絡(luò)的整體健康狀況，確保網(wǎng)絡(luò)的安全運行。

通過安全防護(hù)系統(tǒng)“應(yīng)用審計”模塊，如圖 4所示，能實現(xiàn)針對不同用戶(組)進(jìn)行行為記錄和審計，網(wǎng)絡(luò)行為控制等功能。系統(tǒng)自動生成行為日志，便于管理人員統(tǒng)計、查詢，維護(hù)網(wǎng)絡(luò)安全。

圖4 應(yīng)用審計模塊

6 社會與經(jīng)濟(jì)效益

該系統(tǒng)的應(yīng)用，提高了整個黃河城域網(wǎng)的安全性和穩(wěn)定性，構(gòu)建了更加穩(wěn)定的防汛信息交流和網(wǎng)絡(luò)辦公平臺，尤其在黃河低水調(diào)度、調(diào)水調(diào)沙等關(guān)鍵渡汛時期，保證了網(wǎng)絡(luò)運行安全和水雨情信息的順暢傳遞，社會效益明顯。

通過對出入網(wǎng)絡(luò)各種操作制定的規(guī)則，根據(jù)實際情況完善系統(tǒng)的配置數(shù)據(jù)，并在設(shè)備中啟動 arp防護(hù)聯(lián)動，用戶計算機(jī)感染病毒的幾率大幅減少，網(wǎng)絡(luò)故障次數(shù)明顯降低，提升了網(wǎng)絡(luò)安全性能，提高了網(wǎng)絡(luò)維護(hù)質(zhì)量。同時優(yōu)化了帶寬管理，提升網(wǎng)絡(luò)的訪問質(zhì)量，用戶的滿意度得到了提高，節(jié)省了可觀的前期投資，經(jīng)濟(jì)效益明顯。

[1]SL276-2002,水文基礎(chǔ)設(shè)施建設(shè)及技術(shù)裝備標(biāo)準(zhǔn)[S].中華人民共和國水利部.北京:中國水利水電出版社,2002

[2]SL 61-94,水文自動測報系統(tǒng)規(guī)范[S].中華人民共和國水利部.北京:水利電力出版社,1994