萬 鵬 李慶金 龐 進
(黃委山東水文水資源局,山東濟南 250100)
黃河城域網是由濟駐局機關、下屬單位及宿舍區網絡組成。以信息中心機房為核心,通過光纖分別連接路由器、三層交換機實現了網絡的互聯互通。城域網內有計算機2000多臺,服務器30多臺,部署有cisco、quidway、H3C等三層交換機、路由器、防火墻、入侵檢測、二層交換機等設備。
局機關和各單位之間的網絡信息業務如:防汛指揮、水量調度、日常辦公、政務公開、信息發布等都在網絡上運行,它已經成為山東黃河防汛管理等各項工作必不可少的工具和平臺。
近年來,山東黃河在信息化建設方面投入了大量的人力、物力,網絡設備綜合性能和骨干網絡傳輸帶寬有了大幅度的提高,但在網絡安全方面的投入還不夠,沒有建立完善的安全防護系統;不能對用戶進行嚴格的管理與控制;當網絡出現病毒或故障時,不能迅速地進行管理和定位。
對于上述情況,技術人員進行深入研究,結合山東黃河辦公網絡系統存在的安全問題,開發了針對整個城域網多方位的防護管理系統,可以實時監控、定位、管理整個網絡設備和終端設備,有效解決目前網絡系統內存在的諸多問題,提高網絡安全防護能力,為進一步提升山東黃河網絡整體性能發揮了巨大的作用。
近年來,隨著網絡用戶數量不斷增加,應用范圍不斷擴展,對網絡的維護和安全提出了更高的要求。雖采取了一系列的安全防護措施,投資購置了網絡安全設備和產品,但仍存在著威脅網絡安全運行的因素,主要問題如下。
對于黃河網絡的使用情況,公網出口帶寬的占用情況,用戶最常發生的網絡訪問行為,用戶最常訪問的網站等,網絡管理者都無法掌握真實情況,只能靠員工的反映簡單了解 IP訪問情況,查詢、審計非常不便。
沒有完善的互聯網訪問權限控制手段,僅僅依靠傳統的防火墻等設備,無法有效管控內網員工的各種網絡訪問行為,不僅降低了工作效率,甚至通過Email泄漏機構機密信息,給單位帶來直接經濟損失,并引起不必要的法律糾紛。
現有的公網出口帶寬比較有限,如果有幾個內部用戶全速下載BT、eMule等,其他用戶和業務系統的訪問會變得極其緩慢,而網絡管理者無法有效的獲知現有帶寬資源的使用情況和利用率,對相關的網絡訪問行為無法有效管控。
內網員工可能通過 MSN、Email郵件等方式將機構的信息資產通過郵件及附件發送到公網,造成內部信息的泄漏,并招致法律問題;而傳統防火墻的解決方案,對用戶的網絡訪問行為無法進行有效的監控和審計,不能做到有據可查。
(1)效率風險規避。能夠對與工作無關的應用進行控制與管理,并且通過阻斷,流控等多種手段進行管理。系統內置的網站和應用數據庫可以持續升級,并且對違規行為進行告警。
(2)安全風險規避??梢詫в袗阂獯a、木馬的網站的訪問進行阻斷,能夠對內部木馬對外的發送行為進行阻斷,可以對網站包含的惡意代碼進行實時過濾。為了確保行為的標準性,要可以對代理回避技術進行過濾。
(3)網絡可管理性。對系統存儲的日志進行查詢,統計,輸出簡明報告,報告可訂閱。能夠實時監控網絡中的流量排名,用戶排名,網站排名,應用排名。
(4)人員識別。采用用戶名與密碼登錄方式進入黃河城域網,加強人員管理,可通過對系統中的用戶、部門進行策略設置,以及日志的查詢統計。
該項目的實施均嚴格執行中華人民共和國水利部《水文基礎設施建設及技術裝備標準》SL276-2002[1]、《水文自動測報系統規范》SL 61-94[2]中的相關要求。
部署的安全防護系統串接在用戶網絡鏈路中,如同連接在出口網關和內網交換機之間的“智能網線”,對流經安全防護系統的所有數據流進行審計、控制、攔截、流量管理等操作。安全防護系統的WAN 口同局域網的網關相連,LAN 口(DMZ口)同局域網交換機連接。對進出的數據進行監控與管理。安全防護系統部署圖如圖1所示。
圖1 安全防護系統部署圖
(1)該系統建立了多種身份認證和權限控制上網模式,對接入局域網的人員進行識別辨認,防止了非法用戶的侵入,保護了用戶安全。
對用戶訪問通過web方式+ip/mac綁定認證結合方式,攔截了未經允許私自接入網內的用戶,對系統中的用戶和部門進行策略的樹型結構設置,避免了用戶私自更改IP,導致IP地址沖突等問題。用戶信息等數據配置如圖2所示。
圖2 用戶信息配置圖
(2)在網絡系統內實現了網頁訪問控制及其他網絡行為控制,降低了感染病毒木馬等網絡風險。
該系統對應用進行控制與管理,通過阻斷、流控等多種手段進行管理,對違規行為可進行告警。它包括 150 多種常見應用的識別和管控規則,定期從專業安全公司網站上自動更新應用識別庫,從源頭上切斷病毒、木馬的潛入,并結合終端安全檢查等多種安全手段,實現立體式安全護航,確保安全上網。
圖3 查詢結果表
(3)該系統通過配置界面實時監控和分析網絡流量,提供細致的優化分配帶寬和流量管理功能,提高網絡的利用效率,提升了網絡訪問速度。
系統提供了豐富的網絡可視化報表,如圖 3“查詢結果”中所示,報告讓管理者詳細掌握了網絡內部流量的使用情況,找到造成網絡故障的原因和網絡瓶頸所在,從而對精細化管理網絡提供了有效依據。保障電子政務系統、視頻會議系統等辦公應用獲得足夠的帶寬支持,提升上網速度和辦公應用的使用效率。
(4)該系統可通過日志審計和報表中心對網絡進行管理統計,把握網絡的整體健康狀況,確保網絡的安全運行。
通過安全防護系統“應用審計”模塊,如圖 4所示,能實現針對不同用戶(組)進行行為記錄和審計,網絡行為控制等功能。系統自動生成行為日志,便于管理人員統計、查詢,維護網絡安全。
圖4 應用審計模塊
該系統的應用,提高了整個黃河城域網的安全性和穩定性,構建了更加穩定的防汛信息交流和網絡辦公平臺,尤其在黃河低水調度、調水調沙等關鍵渡汛時期,保證了網絡運行安全和水雨情信息的順暢傳遞,社會效益明顯。
通過對出入網絡各種操作制定的規則,根據實際情況完善系統的配置數據,并在設備中啟動 arp防護聯動,用戶計算機感染病毒的幾率大幅減少,網絡故障次數明顯降低,提升了網絡安全性能,提高了網絡維護質量。同時優化了帶寬管理,提升網絡的訪問質量,用戶的滿意度得到了提高,節省了可觀的前期投資,經濟效益明顯。
[1]SL276-2002,水文基礎設施建設及技術裝備標準[S].中華人民共和國水利部.北京:中國水利水電出版社,2002
[2]SL 61-94,水文自動測報系統規范[S].中華人民共和國水利部.北京:水利電力出版社,1994