目前,电力系统为了实现各地市区县电表的远程抄写,需要建立分公司与总公司之间的数据交换网络,并希望利用便利的Internet来构建这样的数据交换网络通道。然而,来自Internet的各种潜在攻击,时刻威胁着电力系统远程工作的安全和进度。并且,大量诱发于系统内网使用者的安全隐患,更是电力系统普及互联网技术挥不去的阴影。
为此,领先的网络安全解决方案供应商凹凸科技为电力系统制定了如下的安全目标:除了公司本部和各分支机构之间可以自如地借助VPN互访;且各项访问处于绝对的安全控制之中;还需要保证VPN网络中关键节点的可靠性;最后,VPN网络应便于初级IT技术人员管理和维护;具备可扩展性。
为了实现以上设计目标,凹凸科技结合自身技术和产品的特征,以及电力系统的实际特殊性,制定了具体的安全原则:
1、需求、风险、代价平衡分析的原则 :对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定系统的安全策略。
2、综合性、整体性原则 :运用系统工程的观点、方法,分析网络的安全问题,并制定具体措施。
3、一致性原则 :网络安全问题应与整个网络的工作周期同时存在,制定的安全体系结构必须与网络的安全需求相一致。
4、易操作性原则 :措施过于复杂,对人的要求过高,本身就降低了安全性。
5、适应性、灵活性原则 :能随着网络性能及安全需求的变化而变化,要容易适应、容易修改。
6、多重保护原则 :建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
7、冗余性原则:为了网络具有较好的可扩展性,需要考虑VPN设备的处理能力有一定的冗余,以便将来网络设备或链路扩充时仍能满足要求。
解决方案:
为实现上述原则,凹凸科技在自己众多的产品线中选择了SifoWorks D300防火墙作为总部的VPN网关。这台VPN网关需要分别配置公网IP和私网IP,并通过VPN设备配置界面进行配置。同时在防火墙上设定相应的访问规则,保证在有效的控制下,业务的正常运行。同时,凹凸科技将SifoWorks D100做为分支机构的防火墙,实现与总部的连接。由于基于同一系列产品,数据可以更加自如地在加密隧道中传输。同时通过两端设备拨号链路建立冗余链路,为数据传输提供更可靠,更安全的保障。
此外,根据大量的实践,凹凸科技认为:VPN内部网络用户的攻击类似于来自局域网内部的攻击。要防范此类攻击,需要网络管理人员谨慎配置VPN隧道通讯关系,同时可以通过设置防火墙的访问控制规则来进一步限制远程VPN用户访问本地网络资源的权限。为了进一步确保整个网络系统安全稳定运行,凹凸科技建议在总部和各分支机构部署安全增强方案:
1、IP地址空间划分
局域网内只使用私有地址,不同部门用不同网段,内部网络可以进一步划分VLAN,并通过内部路由器进行转发,这样容易实现内部人员访问权限控制。公网地址全部配置在DMZ区和公共区,使访问控制变得易于实现和控制。
2、安全区域和网络边界
原则上将公共服务器放在防火墙DMZ区, 将私有和敏感信息置于防火墙安全区;从安全性的角度界定,安全区是相对安全的内部网络区域,DMZ区是在安全区和公共区之间构建的一个网络防护区;从数据流向上控制只能允许以下的网络访问:
1、业务数据都通过防火墙进入DMZ区或内网LAN。
2、一般的Internet用户只能访问DMZ区。
3、内网LAN通过防火墙访问Internet。
4、内网LAN不同网段之间的访问,也需经FW控制或内部路由器转发来实现。
在执行了凹凸科技设定的安全方案后,各电力公司安全级别明显提高,呈现如下新的特征:
1、健壮性: VPN设备内置安全操作系统,由专用芯片处理,具有良好的自身安全性;
2、适应性:能很好适应系统网络结构的调整和发展;
3、标准化:与国际标准IPSec的实现可互通互联;
4、可实施性:安装、维护简单快速,可随时进行而不影响正常业务;
5、整体性:可同时提供网络安全访问控制、传输加密、节点认证、用户认证及安全审计功能。
6、易用性:公司总部VPN网关支持固定IP,各分支机构的VPN网关支持动态IP。
7、低成本:可帮助企业以Internet为骨干网组建自己的私有网络。
8、高速率:现有的宽带接入和ADSL上网提供的上网速率一般都远远大于DDN和MODEM的速度。
9、安全性高:采用证书认证及非对称加密的方式保护密钥的交换,加密算法安全性高。
10、灵活性:可实现网状通信。
11、紧密性:无缝的支持网络NAT穿越。