在國家和行業(yè)幾個紅頭文件下發(fā)之后，電力企業(yè)的信息化建設(shè)和規(guī)劃正在緊鑼密鼓進(jìn)行，雙網(wǎng)隔離早已成為電力企業(yè)信息安全的必修課。雙網(wǎng)隔離技術(shù)在一定程度上解決了電力企業(yè)信息化建設(shè)的困境，滿足了當(dāng)前安全需要。通過雙網(wǎng)隔離這樣的辦法，盡量減少互聯(lián)互通，減少接觸面，杜絕多出口多互連所帶來的業(yè)務(wù)是否需要上網(wǎng)界定不清無法控制問題，而且互聯(lián)互通程度越高，對人員、管理、運(yùn)維要求也越高。今天，日趨完善的網(wǎng)絡(luò)隔離產(chǎn)品已成為網(wǎng)絡(luò)信息安全體系中不可缺少的重要環(huán)節(jié)，是防范非法入侵、阻擋網(wǎng)絡(luò)攻擊、防止內(nèi)部信息泄密的一種簡單而有效的手段。

安全隔離網(wǎng)閘是采用雙主機(jī)+物理隔離開關(guān)的硬件結(jié)構(gòu)，結(jié)合高強(qiáng)度的網(wǎng)絡(luò)協(xié)議分析和控制的軟件系統(tǒng)，共同構(gòu)建一個在網(wǎng)絡(luò)邊界處隔離網(wǎng)絡(luò)已知和未知攻擊行為的高端網(wǎng)絡(luò)安全設(shè)備。簡單的說，安全隔離網(wǎng)閘是一套雙主機(jī)系統(tǒng)，兩個主機(jī)之間是永遠(yuǎn)斷開的，以達(dá)到物理隔離的目的，雙主機(jī)之間的信息交換是通過借助拷貝、鏡像、反射等第三方非網(wǎng)絡(luò)方式來完成的。當(dāng)數(shù)據(jù)需要從外網(wǎng)下載到內(nèi)網(wǎng)，或者和內(nèi)網(wǎng)通訊時，安全隔離網(wǎng)閘在內(nèi)外網(wǎng)之間扮演著一種類似“信息渡船”的角色。信息技術(shù)是動態(tài)發(fā)展的，“道高一尺，魔高一丈”，安全不是絕對化的。

作者所在企業(yè)的雙網(wǎng)隔離方案是集團(tuán)本部和分公司分別部署安全隔離網(wǎng)閘，三級單位及電廠的內(nèi)外網(wǎng)實(shí)現(xiàn)完全的物理隔離。每個三級單位及電廠均有專線通道到分公司，每個分公司又有專線通道到集團(tuán)本部構(gòu)成整個集團(tuán)內(nèi)網(wǎng)，大集中方式部署在集團(tuán)內(nèi)網(wǎng)的應(yīng)用系統(tǒng)正常情況下均通過集團(tuán)安全隔離網(wǎng)閘實(shí)現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡，分公司部署的應(yīng)用系統(tǒng)均從分公司安全隔離網(wǎng)閘實(shí)現(xiàn)內(nèi)外網(wǎng)安全訪問和數(shù)據(jù)擺渡，三級單位原則上不允許部署單獨(dú)的應(yīng)用系統(tǒng)，現(xiàn)有系統(tǒng)將逐步集中到分公司層面，三級單位及電廠嚴(yán)禁內(nèi)外網(wǎng)互聯(lián)互通。這樣就形成了兩個網(wǎng)絡(luò)，雙網(wǎng)(內(nèi)外網(wǎng))共存，內(nèi)網(wǎng)作為集團(tuán)企業(yè)內(nèi)部各業(yè)務(wù)應(yīng)用系統(tǒng)信息網(wǎng)絡(luò)基礎(chǔ)平臺，外網(wǎng)各單位分別與Internet國際互聯(lián)網(wǎng)互連。其實(shí)作者認(rèn)為外網(wǎng)也同樣應(yīng)該減少局域網(wǎng)與互聯(lián)網(wǎng)的互聯(lián)互通，因?yàn)槿藛T編制等原因，實(shí)際上各單位的信息網(wǎng)絡(luò)管理和維護(hù)水平和領(lǐng)導(dǎo)重視程度都不一樣，參差不齊。

分區(qū)分域防護(hù)原則

劃分安全域是構(gòu)建企業(yè)信息安全網(wǎng)絡(luò)的基礎(chǔ)，提高抗擊風(fēng)險能力，提高可靠性和可維護(hù)性。內(nèi)網(wǎng)具體劃分為網(wǎng)絡(luò)核心區(qū)域、各業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域、桌面辦公區(qū)域、廣域網(wǎng)接入?yún)^(qū)域、測試服務(wù)器區(qū)域、集中管控服務(wù)器區(qū)域和與外網(wǎng)安全隔離區(qū)域。網(wǎng)絡(luò)核心區(qū)域是企業(yè)信息安全網(wǎng)絡(luò)的心臟，它負(fù)責(zé)全網(wǎng)的路由交換以及和不同區(qū)域的邊界防護(hù)。這個區(qū)域一般包括核心交換設(shè)備、核心防火墻以及主動防攻擊和流量控制設(shè)備等。

各業(yè)務(wù)應(yīng)用服務(wù)器區(qū)域是內(nèi)部各應(yīng)用管理系統(tǒng)所在區(qū)域，包括企業(yè)門戶、辦公自動化、電子商務(wù)、HR人力資源系統(tǒng)、財務(wù)一體化、營銷、生產(chǎn)管理、ERP等內(nèi)部管理信息系統(tǒng)。桌面辦公區(qū)域包括接入交換機(jī)和員工桌面終端。廣域網(wǎng)接入?yún)^(qū)域包含由公司總部到集團(tuán)總部乃至各所屬機(jī)構(gòu)的專線安全設(shè)備以及交換路由設(shè)備，是公司總部至各單位的通信命脈。測試服務(wù)器區(qū)域是供系統(tǒng)開發(fā)人員所訪問的未上線的開發(fā)系統(tǒng)所在區(qū)域。集中管控服務(wù)器區(qū)域是內(nèi)網(wǎng)輔助類服務(wù)器區(qū)域，這個區(qū)域一般包括DNS、DHCP、防病毒、桌面管理系統(tǒng)、網(wǎng)管系統(tǒng)、IT運(yùn)維管理平臺和安全運(yùn)維管理平臺SOC等。

內(nèi)外網(wǎng)安全隔離區(qū)域是用于內(nèi)網(wǎng)與外網(wǎng)擺渡的區(qū)域，是內(nèi)網(wǎng)與外網(wǎng)通信的唯一出口，其主要設(shè)備是安全隔離網(wǎng)閘。各安全域的信息系統(tǒng)之間邊界鮮明，為安全防護(hù)體系設(shè)計和層層遞進(jìn)、逐級深入的安全防護(hù)策略提供了必要條件。網(wǎng)絡(luò)核心區(qū)域是整體信息網(wǎng)絡(luò)的核心，所有其他區(qū)域均經(jīng)過核心區(qū)域進(jìn)行交互，這個區(qū)域理所當(dāng)然地成為各個區(qū)域的安全邊界。以核心服務(wù)器區(qū)域?yàn)槔途W(wǎng)絡(luò)核心區(qū)域中間部署安全設(shè)備，對過往的流量起到控制作用，以達(dá)到安全防護(hù)。再以廣域網(wǎng)接入?yún)^(qū)域?yàn)槔途W(wǎng)絡(luò)核心區(qū)域中間部署安全設(shè)備和主動防攻擊設(shè)備，達(dá)到更高層級的防護(hù)。

分區(qū)域防護(hù)的設(shè)置，將降低外界對信息系統(tǒng)的物理攻擊和網(wǎng)絡(luò)攻擊的危害性，以確保內(nèi)部各網(wǎng)絡(luò)應(yīng)用系統(tǒng)的安全。外網(wǎng)具體可劃分為網(wǎng)絡(luò)核心區(qū)域、服務(wù)器區(qū)域、桌面辦公區(qū)域、DMZ區(qū)域、與內(nèi)網(wǎng)安全隔離區(qū)域和與Internet國際互聯(lián)網(wǎng)接入?yún)^(qū)域。外網(wǎng)的服務(wù)器區(qū)域類似內(nèi)網(wǎng)的輔助類服務(wù)器區(qū)域。與內(nèi)網(wǎng)交互的安全隔離區(qū)域包括安全堡壘機(jī)系統(tǒng)、認(rèn)證系統(tǒng)、SSLVPN系統(tǒng)。DMZ區(qū)域是提供給互聯(lián)網(wǎng)用戶訪問的系統(tǒng)，主要包括WWW、Email、外部DNS等服務(wù)器，DMZ區(qū)域的服務(wù)器禁止訪問其他區(qū)域，避免來自互聯(lián)網(wǎng)用戶攻擊或控制DMZ區(qū)服務(wù)器后影響或威脅其他區(qū)域。拓?fù)浣Y(jié)構(gòu)如下圖：

應(yīng)用虛擬化接入原則

雙網(wǎng)隔離方案的建設(shè)極大提高了內(nèi)部網(wǎng)絡(luò)的信息安全水平，卻又面臨一個新的問題，內(nèi)外網(wǎng)之間信息安全交互受到制約，保密性(Confidentiality)和可用性(Availabili-ty)矛盾日益凸出。一方面隨著雙網(wǎng)建設(shè)的不斷深入和推進(jìn)，對信息系統(tǒng)的安全性要求越來越高;另一方面隨著公司信息化建設(shè)的不斷深入，投入的業(yè)務(wù)系統(tǒng)不斷增加，用戶業(yè)務(wù)快速發(fā)展，商務(wù)出行及會議等逐漸增多，導(dǎo)致公司員工無法遵循業(yè)務(wù)要求的標(biāo)準(zhǔn)化，流程化，及時地處理文件，從而使整個業(yè)務(wù)停滯不前，同時隨著集團(tuán)雙網(wǎng)改造和建設(shè)的不斷深入和推進(jìn)，原有VPN移動辦公解決方案從安全和性能上都已經(jīng)不能滿足要求，限制了信息系統(tǒng)的效益，阻礙了業(yè)務(wù)的處理。

移動辦公也面臨著諸多方面的挑戰(zhàn)，今天的信息安全已經(jīng)從最初的網(wǎng)絡(luò)安全逐漸向應(yīng)用安全、數(shù)據(jù)安全和系統(tǒng)安全的全面安全體系發(fā)展，從基礎(chǔ)安全向細(xì)粒度的高階安全發(fā)展。雙網(wǎng)改造后，如何在安全的前提下實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互和便捷的移動辦公應(yīng)用?如何對員工的訪問進(jìn)行有效地控制，實(shí)現(xiàn)便捷高效訪問被授權(quán)資源?如何防止內(nèi)部人員泄密或其他未授權(quán)人員直接接入內(nèi)部網(wǎng)絡(luò)導(dǎo)致的泄密等?作者所在企業(yè)選擇了經(jīng)過公安部、電監(jiān)會、國家信息中心等權(quán)威部門的論證和充分的調(diào)研可行的立體解決方案，采用虛擬化技術(shù)的安全堡壘平臺和SSLVPN設(shè)備，使用數(shù)字證書或UKEY登錄，徹底解決了雙網(wǎng)環(huán)境下跨網(wǎng)訪問、移動辦公的難題。

安全堡壘平臺將應(yīng)用虛擬化技術(shù)應(yīng)用于信息安全領(lǐng)域，將應(yīng)用100%在服務(wù)器運(yùn)行，沒有任何應(yīng)用組件運(yùn)行于客戶端環(huán)境，以虛擬的方式與客戶端交互，實(shí)現(xiàn)一種新型的數(shù)據(jù)不落地的傳輸模式。虛擬化技術(shù)分離應(yīng)用的表現(xiàn)與計算，實(shí)現(xiàn)虛擬應(yīng)用交互、本地化應(yīng)用體驗(yàn)，客戶端與服務(wù)器之間只傳遞鍵盤、鼠標(biāo)和熒屏變化等交互信息，沒有實(shí)際的業(yè)務(wù)數(shù)據(jù)流到客戶端，客戶端看到的只是服務(wù)器上應(yīng)用運(yùn)行的顯示鏡像。安全堡壘平臺的整體安全體系，包括事前安全策略規(guī)劃、事中安全訪問控制和事后安全審計三個層次，可以實(shí)現(xiàn)多級的用戶管理和細(xì)粒度的用戶授權(quán)，可以完成對用戶整個生命周期的監(jiān)控和管理，制定統(tǒng)一的、標(biāo)準(zhǔn)的用戶賬戶安全策略，捆綁具體用戶，對用戶、行為和資源進(jìn)行授權(quán)，以達(dá)到對權(quán)限的細(xì)粒度控制，最大限度保護(hù)用戶資源的安全。可以記錄和查詢用戶何時、多長時間、從哪里訪問、訪問設(shè)備的信息等。

還可以通過對用戶訪問的行為全程錄制，實(shí)現(xiàn)事后的審計與追溯。訪問控制策略是保護(hù)系統(tǒng)安全性的重要環(huán)節(jié)，制定良好的訪問策略能夠更好的提高系統(tǒng)的安全性。最終用戶通過訪問SSLVPN設(shè)備，手機(jī)和平板電腦通過數(shù)字證書，筆記本電腦通過UKEY與安全堡壘平臺建立虛擬的專用VPN隧道加密，從而實(shí)現(xiàn)了4A(認(rèn)證Authentication、賬號Account、授權(quán)Authorization、審計Au-dit)的安全標(biāo)準(zhǔn)。

積極管控原則

隨著信息技術(shù)的快速發(fā)展，信息化建設(shè)的不斷提高，各種應(yīng)用系統(tǒng)逐漸上線運(yùn)行，各種業(yè)務(wù)也開始在網(wǎng)絡(luò)上開展起來，有些應(yīng)用已經(jīng)是在整個集團(tuán)正常運(yùn)行，同時網(wǎng)絡(luò)的擴(kuò)展也為病毒和木馬的傳播提供了便利的條件，各種極具破壞性的病毒在網(wǎng)絡(luò)中流竄，使網(wǎng)絡(luò)擁堵不堪，甚至癱瘓，也給一些不法分子和敵對國家獲取企業(yè)和國家機(jī)密信息和重要數(shù)據(jù)等信息提供了便利，所以健全的網(wǎng)絡(luò)建設(shè)和管理機(jī)制對維護(hù)企業(yè)和國家利益都有著重要意義，一旦網(wǎng)絡(luò)癱瘓或信息泄密，后果將不堪設(shè)想。因此信息安全的建設(shè)并沒有隨著雙網(wǎng)建設(shè)、分區(qū)防御的建設(shè)和應(yīng)用虛擬化移動辦公接入的建設(shè)而結(jié)束，反而對整體信息網(wǎng)絡(luò)的安全防護(hù)和監(jiān)督控制提出了更高的要求，必須要加強(qiáng)對信息安全的管理和控制，提高信息安全意識。

作者所在企業(yè)的信息網(wǎng)絡(luò)基礎(chǔ)平臺關(guān)鍵設(shè)備和鏈路通常采取雙機(jī)雙鏈路方式部署，實(shí)現(xiàn)負(fù)載均衡和單點(diǎn)失效保護(hù)，利用可管理交換機(jī)、路由器、防火墻、防毒墻、上網(wǎng)行為管理、安全隔離網(wǎng)閘、堡壘機(jī)、統(tǒng)一認(rèn)證平臺、SSLVPN、IPS、IDS、WAF等網(wǎng)絡(luò)產(chǎn)品構(gòu)建安全高效的信息網(wǎng)絡(luò)基礎(chǔ)架構(gòu)平臺，在設(shè)備選型時盡可能考慮廠家異構(gòu)和產(chǎn)品異構(gòu)，安全設(shè)備必須是國產(chǎn)自主知識產(chǎn)權(quán)產(chǎn)品，盡可能的規(guī)避由于產(chǎn)品和設(shè)備選型帶來的安全風(fēng)險。通過部署網(wǎng)管系統(tǒng)、IT運(yùn)維管理平臺和安全運(yùn)維管理平臺SOC，既滿足了信息安全運(yùn)維管理的需要，同時也能滿足國資委信息化檢查和數(shù)據(jù)收集報送的需要。

采取細(xì)分VLAN來減少網(wǎng)絡(luò)病毒影響的范圍，防止類似ARP泛洪攻擊，利用DHCP服務(wù)器綁定MAC地址方法管理客戶端IP地址，使用桌面安全管理系統(tǒng)有效管理和控制客戶端，包括安全接入控制、安全策略管理、U盤等移動存儲管理、資產(chǎn)管理、軟件分發(fā)、補(bǔ)丁管理、員工行為等管理。網(wǎng)絡(luò)管理人員在上述系統(tǒng)的輔助下及時對實(shí)時運(yùn)行的網(wǎng)絡(luò)進(jìn)行分析和管控，預(yù)判故障和攻擊行為，實(shí)行主動防御、及時處理，將這些對智能電網(wǎng)建設(shè)和運(yùn)行中可能發(fā)生的不安全因素，消滅在萌芽狀態(tài)之中。

隨著企業(yè)網(wǎng)絡(luò)建設(shè)規(guī)模的不斷擴(kuò)大及上網(wǎng)人員用戶的增加，不可避免帶來泄密隱患。企業(yè)必須正視現(xiàn)實(shí)，處理好安全與應(yīng)用方便性之間的關(guān)系，提高認(rèn)識，高度重視信息網(wǎng)絡(luò)安全問題。對于因特網(wǎng)的弊端，不能矯枉過正，不能因?yàn)橐蛱鼐W(wǎng)對企業(yè)信息安全形成了巨大威脅，就強(qiáng)制要求所有單位和用戶斷開與因特網(wǎng)的連接，這樣無異于“因噎廢食”。在當(dāng)前“雙網(wǎng)隔離”不失為一種有效的解決方案，然后通過安全分區(qū)域防護(hù)，部署相應(yīng)安全產(chǎn)品和系統(tǒng)保證各業(yè)務(wù)應(yīng)用系統(tǒng)和各種客戶端在授權(quán)模式下，都能安全訪問所需業(yè)務(wù)并實(shí)現(xiàn)事后追蹤審計。

當(dāng)然雙網(wǎng)隔離的應(yīng)用不但沒有降低對管理的要求，反而帶來新的管理問題，對管理要求日漸提升。我們要以“三分技術(shù)、七分管理”作為信息安全管理基本原則，其中最重要的還是人，我們不要太崇拜技術(shù)，人的安全意識提高才是最重要的，現(xiàn)在很多信息網(wǎng)絡(luò)基礎(chǔ)平臺建設(shè)很全面，安全制度制定得也很完善，但在執(zhí)行過程中，常常被打破，被忽視，現(xiàn)在其實(shí)缺乏的不是技術(shù)，很多時候欠缺的是一個完善的體系化的管理機(jī)制。

作者：李正忠            單位：云南華能瀾滄江水電有限公司