大慶油田VPDN安全接入部署研究

朱鑫霖

（大慶油田信息技術(shù)公司，黑龍江 大慶 163000）

隨著信息化網(wǎng)絡(luò)建設(shè)的發(fā)展，各種具有跨區(qū)域遠程數(shù)據(jù)信息交流、終端、分站等越來越多，這種運營模式也逐漸成為現(xiàn)代企業(yè)網(wǎng)絡(luò)情況的主流需求。為了數(shù)字采集的便利性，數(shù)據(jù)中心和各二級分中心，然后直接到終端，需要實時地進行信息傳輸和資源調(diào)用，越來越多地依賴傳輸網(wǎng)絡(luò)。但是，由于網(wǎng)絡(luò)的開放性和通信協(xié)議原始設(shè)計的局限性影響，很多信息采用明文或低安全的方式傳輸，特別是企業(yè)生產(chǎn)數(shù)據(jù)這種敏感信息如果被非法訪問、網(wǎng)絡(luò)攻擊、信息竊取等，會為企業(yè)的正常運行帶來安全隱患，甚至造成不可估量的損失。

1 安全防護部署

為解決油田部分偏遠地區(qū)網(wǎng)絡(luò)無法覆蓋生產(chǎn)場所，以及為保障移動作業(yè)工程施工數(shù)據(jù)傳輸需求，充分利用運營商4G網(wǎng)絡(luò)覆蓋廣的優(yōu)勢，按照網(wǎng)絡(luò)安全管理辦法相關(guān)要求構(gòu)建4G VPDN專用網(wǎng)絡(luò)，需開通與運營商的4G虛擬專網(wǎng)接入專線，實現(xiàn)數(shù)據(jù)和視頻安全傳輸，以符合中國石油企業(yè)網(wǎng)信息安全相關(guān)標準。為保證油田VPDN虛擬專網(wǎng)業(yè)務(wù)開通，大慶油田智慧指揮中心已經(jīng)在油田公司生產(chǎn)網(wǎng)DMZ區(qū)部署了VPDN接入平臺，包括相應(yīng)接入路由器、防火墻、數(shù)據(jù)轉(zhuǎn)發(fā)服務(wù)器等設(shè)備，平臺按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》，在安全區(qū)域邊界、安全計算環(huán)境、安全通信網(wǎng)絡(luò)、接入層網(wǎng)絡(luò)4個方面制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，確保業(yè)務(wù)數(shù)據(jù)安全傳輸，有效防御網(wǎng)絡(luò)攻擊。

2 VPDN安全部署涉及的技術(shù)

利用移動通信網(wǎng)絡(luò)，網(wǎng)絡(luò)互連及遠程訪問網(wǎng)絡(luò)中，效率高、價格低廉、迅速、安全性高、可靠性強的解決方案就是VPDN，其還具備可擴展性，可對移動辦公安全通信需求、企業(yè)分支機構(gòu)、政府機構(gòu)等安全通信需求進行滿足，已經(jīng)成為企業(yè)中最關(guān)鍵性的接入業(yè)務(wù)。安全防護主要打造防火墻、審計、網(wǎng)管等安全防護資源池。根據(jù)策略引用把接入終端按照生產(chǎn)業(yè)務(wù)應(yīng)用引入相應(yīng)的油田生產(chǎn)網(wǎng)劃分的VPND中形成一個個信息孤島。同時，有特殊需求的用戶可以進行互聯(lián)互通，VPDN有以下幾點好處。

（1）縮減企業(yè)成本：針對VPND應(yīng)用、移動辦公等開展遠程訪問工作中，無須重復性地進行專線開通，其可以節(jié)約專線費用，降低企業(yè)運營成本，節(jié)約網(wǎng)絡(luò)維護費用和鏈路租用費用。

（2）強烈移動性：其可以在任何存在3G或者4G無線網(wǎng)絡(luò)覆蓋位置上應(yīng)用，可以隨時依靠無線向企業(yè)內(nèi)網(wǎng)接入，接入條件不會對其產(chǎn)生限制。

（3）其建網(wǎng)速度較快，拓展方便，定制簡便；二級單位需要進行無線上網(wǎng)設(shè)備的購置，比如，無線路由器和網(wǎng)卡等，并對其開展簡單化的配置即可完成。其可迅速建立自身專用網(wǎng)絡(luò)，以促進工作效率的提升，增加員工生產(chǎn)力，促進油田競爭能力的全面增長。

（4）可靠性及安全性強：隧道技術(shù)在VPDN中的應(yīng)用，可構(gòu)建網(wǎng)絡(luò)層和邏輯隧道的加密干預，可以采取口令保護、防火墻、權(quán)限設(shè)置和身份驗證等形式，確保數(shù)據(jù)完整程度的提升，降低數(shù)據(jù)非法竊取情況的發(fā)生。

其中涉及的相關(guān)技術(shù)：

（1）APN。APN（Access Point Name接入點名稱），其全稱為虛擬撥號專網(wǎng)技術(shù)其建立在撥號用戶之上，屬于虛擬的專用網(wǎng)絡(luò)，依靠IP網(wǎng)絡(luò)自身承載功能，必須將其與授權(quán)機制、加密機制及認證機制結(jié)合，將專用虛擬虛擬數(shù)據(jù)通信網(wǎng)絡(luò)在公用網(wǎng)絡(luò)中構(gòu)建。實質(zhì)：利用無線資源替代部分有線資源，構(gòu)建用戶數(shù)據(jù)通信網(wǎng)絡(luò)。

APN節(jié)點直接接入運營商物聯(lián)網(wǎng)專用網(wǎng)絡(luò)，利用運營商骨干網(wǎng)絡(luò)的安全防護性保障數(shù)據(jù)安全，提供專享的APN鑒權(quán)接入(只有符合客戶專用APN域名的無線卡才能接入，該域名的申請和綁定都需要經(jīng)過特定流程）。使用專用行業(yè)網(wǎng)關(guān)GGSN/LTE，與互聯(lián)網(wǎng)GGSN網(wǎng)關(guān)互相獨立。SGSN和GGSN基于PDP（分組數(shù)據(jù)報文）上下文轉(zhuǎn)發(fā)報文，不同客戶之間以及同一客戶不同用戶之間完全隔離。核心網(wǎng)報文轉(zhuǎn)發(fā)全部經(jīng)過GTP隧道封裝，終端和客戶網(wǎng)絡(luò)都無法進入核心網(wǎng)絡(luò)。

運營商無線部分的安全防護：①3G/4G快速功率控制將信號隱藏在噪聲中，無法被監(jiān)聽。②增強的128位5元組（隨機數(shù)RAND、期望響應(yīng)XRES、加密密鑰CK、完整性密鑰IK和認證令牌AUTN）鑒權(quán)密碼算法。③網(wǎng)絡(luò)以臨時識別碼（TMSI）給用戶在傳輸信息中屏蔽用戶真實身份。④CK的128位加密密鑰，分組加密算法函數(shù)f8利用KASUMI分組方式加密數(shù)據(jù)，以降低消息被偽造和惡意篡改的發(fā)生率。⑤將雙向認證提供。其不僅可以進行MS的基站移動終端認證，也可以進行移動終端的認證，可減少偽基站的攻擊。⑥加密接入鏈路數(shù)據(jù)，將其向RNC——無線網(wǎng)絡(luò)控制器延伸。⑦RNA無線接入網(wǎng)絡(luò)為運營商網(wǎng)絡(luò)，其主要負責將信息由無線信號之中提取，并向電路域及分組域轉(zhuǎn)發(fā)，傳輸過程中，數(shù)據(jù)也會加密和壓縮。并且，RAN均為底層設(shè)備，從這些設(shè)備角度來講，數(shù)據(jù)上層具有抽象的含義，且RAN設(shè)備自身并未存在安全隱患。⑧安全機制（3G/4G）均存在可拓展性，可以將其在新業(yè)務(wù)中引入并對其進行保護，以保障其安全。運營商無線安全被確保的前提下，敏感數(shù)據(jù)可以安全有效地穿透運營商送到企業(yè)內(nèi)部。

（2）IPsec over L2TP VPN。Layer Two Tunneling Protocol——第二層隧道協(xié)議，簡稱為L2TP，其屬于虛擬隧道協(xié)議，一般情況下，在虛擬專用網(wǎng)之中應(yīng)用。L2TP協(xié)議自身均不進行可靠驗證及加密功能的提供，可以將其與安全協(xié)議協(xié)同應(yīng)用，以加密進行數(shù)據(jù)的傳輸。一般情況下，其會與L2TP協(xié)議配合應(yīng)用，IPsec為加密協(xié)議，若是搭配應(yīng)用這兩種協(xié)議過程中，一般情況下，其被稱為IPsec over L2TP，而使用這種方式的VPN就稱為IPsec over L2TP VPN。

企業(yè)數(shù)據(jù)在安全穿透運營商網(wǎng)絡(luò)后如何傳入企業(yè)內(nèi)網(wǎng)中，就存在多個部署方式，企業(yè)對準入要求比較高的就會進行二次身份驗證來確保進入企業(yè)內(nèi)網(wǎng)數(shù)據(jù)的身份合法性。數(shù)據(jù)從運營商傳到企業(yè)內(nèi)部最好的方式就是隧道技術(shù)，為了達到二次認證的用途，采用IPsec over L2TP VPN專線方式。

（3）DMZ區(qū)域安全防護。通過企業(yè)自己創(chuàng)建AAA接入鑒權(quán)形式，認證不同撥入號碼的密碼和賬號，將其與IMSI——手機卡串號、IMEI——可捆綁收集串號、密碼及用戶名開展認證干預，企業(yè)可以自主進行IP地質(zhì)的分配，也可以組織設(shè)置撥入服務(wù)器主機的域名和IP地質(zhì)，其與人員無法對企業(yè)內(nèi)部網(wǎng)絡(luò)部署防火墻設(shè)備進行認知，前端數(shù)據(jù)模塊中，進行了網(wǎng)閘設(shè)備的部署，限制差異網(wǎng)絡(luò)的通信，并對其隔離處理，以此確保外界風險對VPDN的影響可降至最低，其安全保障機制為：①非法用戶的評比，每張SIM卡均為IMSI卡的唯一標識，域名綁定及IMSI號可確保無授權(quán)的卡無法向?qū)＞W(wǎng)中撥入；②Internet服務(wù)被關(guān)閉，由于是物聯(lián)網(wǎng)專用的物聯(lián)網(wǎng)卡，關(guān)閉了Internet服務(wù)，做到了“?？▽Ｓ谩?；③防止內(nèi)部盜用，設(shè)置于企業(yè)所建立的AAA服務(wù)器上，依靠用戶名綁定、用戶IP及IMSI形式進行綁定，以降低內(nèi)部盜用風險。實現(xiàn)專人?？ㄗ灾鲬?yīng)用，與強化風險控制和管理。④防火墻防護，由于此類方式接入大多數(shù)為工業(yè)模塊傳輸數(shù)據(jù)，企業(yè)內(nèi)部建立工業(yè)防火墻，針對專有工業(yè)協(xié)議進行策略綁定，還可以使用ACL等基礎(chǔ)防護措施對數(shù)據(jù)流進入企業(yè)內(nèi)網(wǎng)后的流向進行小顆粒、細致化的控制，保障了生產(chǎn)數(shù)據(jù)統(tǒng)一管理部署，從而減輕了大量數(shù)據(jù)模塊后期維護和故障處理的工作強度，提高了運維效率。

開通VPDN后，企業(yè)中，運營商可進行域名的提供，針對SIM卡進行對應(yīng)權(quán)限的開通。下文主要為報文的交互過程：①路由器由接入段用戶接入，支持APN撥號方式的終端的SIM卡自主搜尋運營商通信基站，并可將其連接注冊，注冊完成后，對PPP撥號啟動，并向運營商LAC進行認證請求的發(fā)送；②認證請求被運營商AAA服務(wù)器接收后，會做主判斷，分析用戶的VPDN域。直接進入運營商物聯(lián)網(wǎng)專網(wǎng)內(nèi)部，脫離公網(wǎng)環(huán)境，運營商AAA服務(wù)器可從認證結(jié)果出發(fā)，將用戶所屬企業(yè)由LAC返回，以對隧道屬性和LNS路由器地質(zhì)信息進行返回；③企業(yè)內(nèi)網(wǎng)LNS由LAC向其進行L2TP隧道請求的構(gòu)建，在LNS接收以后，應(yīng)用PAP形式或者CHAP形式開展認證，待成功以后，建立L2TP與LAC之間的構(gòu)建；④建立L2TP以后，LNS路由器，再次認證撥入用戶，對其賬號和密碼確認后，撥入用戶的IP地址，由企業(yè)內(nèi)部員工所設(shè)置的地址池開展，將用戶設(shè)備的對應(yīng)撥號接口設(shè)置為UP狀態(tài)，做好協(xié)商端至IPSEC端的準備；⑤用戶獲得IP地址后，若是接入用戶可對流量IPSEC VPN觸發(fā)，則會開展隧道協(xié)商（IPSEC VPN），隧道啟動建立；⑥待隧道協(xié)商完成后，構(gòu)建端至端之間的私有隧道——VPN，加密傳輸數(shù)據(jù)。

以此，終端企業(yè)敏感生產(chǎn)數(shù)據(jù)就進入了企業(yè)內(nèi)部的網(wǎng)絡(luò)中。

3 企業(yè)內(nèi)部安全防護

通過企業(yè)DMZ區(qū)部署一系列安全防護設(shè)備結(jié)合與運營商IPsec over L2TP VPN專線的安全傳輸，數(shù)據(jù)已經(jīng)安全的進入企業(yè)內(nèi)部，對于一些中小型企業(yè)似乎任務(wù)已經(jīng)完成可以批量處理無線終端上傳的數(shù)據(jù)了，但是，對于一些大型企業(yè)，網(wǎng)絡(luò)構(gòu)架大、部署方式多樣化，甚至企業(yè)存在多張大型環(huán)網(wǎng)，如何有效地利用VPDN數(shù)據(jù)在超大型企業(yè)網(wǎng)絡(luò)內(nèi)部合理的傳輸也是大型企業(yè)面臨的考驗。

（1）企業(yè)內(nèi)部二級單位的VPN隔離。大型企業(yè)下屬二級單位眾多，每個二級單位需要獨立運作并不定時和總部有信息交互，所以大型企業(yè)會布置多個MPSL VPN使得各下屬二級單位運行在自己的虛擬局網(wǎng)中。在通過建立服務(wù)作用的MPLS VPN通過策略使其與各二級單位的MPSL VPN互通，這樣就保障了下屬二級單位獨立運行的能力，也保持了與總部核心設(shè)備互通的需求。

（2）VPDN引入MPSL VPN。自動化和定制化是VPDN的顯著特征，二級單位對項目需求有著千差萬別的個性化需求，在保證共性需求的基礎(chǔ)上，還要滿足企業(yè)二級單位個性化的定制需求，向企業(yè)的二級單位提供靈活、個性化配置的VPDN服務(wù)。VPDN要提供按需變化的服務(wù)，就要有反應(yīng)敏捷的人員、流程和策略，來適應(yīng)業(yè)務(wù)變化的需要。VPDN下的運維需要更多的靈活性和可伸縮性，可以根據(jù)二級單位的需要，快速調(diào)整資源和服務(wù)。所以，在VPDN接入企業(yè)內(nèi)部后，對接至服務(wù)作用的MPSL VPN中，保證其數(shù)據(jù)可以訪問到任何二級單位部署的數(shù)據(jù)采集服務(wù)器中，根據(jù)項目和二級單位的關(guān)系，進行VPN-instance的引入，按照不同的項目和二級單位的分配直接引入相應(yīng)的VPN實例里，更精細化地把VPDN傳送上來的數(shù)據(jù)進行拆分和隔離，保障了不同業(yè)務(wù)數(shù)據(jù)的獨立性。如此部署安全隔離了不同種類數(shù)據(jù)，后期運維人員還可以根據(jù)劃分開的業(yè)務(wù)類型定制個性化的安全策略，不同業(yè)務(wù)設(shè)置不同的ACL（訪問控制列表），極大地提升了整體VPDN的安全性，也在后期運行維護的過程中減少了故障影響范圍和故障處理時間。

4 結(jié)語

大慶油田正向智能化、智慧化邁進，推進信息化建設(shè)，促進信息化與工業(yè)化深度融合，推動物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能等業(yè)務(wù)領(lǐng)域的廣泛應(yīng)用。萬丈高樓平地起，智慧油田的頂層設(shè)計應(yīng)用，需要有穩(wěn)定、高效的擴展接入設(shè)備的支持，需要海量的移動終端上傳的數(shù)據(jù)作為資源“數(shù)據(jù)湖”湖水，只有“湖水”不斷涌入“數(shù)據(jù)湖”才能發(fā)揮信息化的最大價值，這樣就更需要整體安全防護體系為保障生產(chǎn)數(shù)據(jù)安全傳輸保駕護航。