IP城域網網絡安全技術在“數字黃河”中的應用

魏彬++張晶++侯曉燕++郝建立

摘 要：本文闡述了IP城域網網絡安全技術應用與黃河治理開發信息化管理思想，提供了IP城域網網絡安全技術在黃河信息化應用方案研究，為黃河治理開發在網絡安全管理方面提供了有益的建議和方案。

關鍵詞：城域網；網絡安全；網絡行為

水利信息化建設以不可抗拒的力量，影響和改變著我們科研工作模式，管理工作模式，讓我們充分享用到網絡帶來的方便、高效和利益。IP城域網作為“數字黃河”基礎設施建設的組成部分，發展迅速，網絡用戶數量不斷增加，網絡應用內容不斷擴展，這就對網絡的維護和安全提出了更高的要求。

1 IP城域網網絡安全存在的問題

⑴網絡使用狀況統計。對于黃河IP城域網，有限的公網出口帶寬的占用情況，用戶最常發生的網絡訪問行為，用戶最常訪問的網站等，網絡管理者當前都無法掌握真實情況，而只能靠部分員工反映或抱怨，通常只能簡單記錄的一些IP訪問情況，查詢、審計非常不便。

⑵網絡訪問控制。沒有完善的互聯網訪問權限控制手段，而僅僅依靠傳統的防火墻等設備，將無法有效管控內網員工的各種網絡訪問行為；內網員工在上班時間使用QQ、MSN等聊天，瀏覽各種網站（甚至色情、反動網站），BBS、論壇發貼（包括不負責任的反動言論等），在線炒股、網絡游戲娛樂等，不僅降低了工作效率，甚至通過Email泄漏機構機密信息，給單位帶來直接經濟損失，還可能引起不必要的法律糾紛。

⑶網絡帶寬流量、需求。現有的公網出口帶寬通常都比較有限，帶寬100M的Internet出口，如果有幾個內部用戶全速下載BT、eMule等，其他用戶和業務系統的訪問與開展都會及其緩慢，甚至完全不可用。而網絡管理者一方面無法有效的獲知機構現有帶寬資源的使用情況和利用率，同時對于各種P2P等非業務相關的網絡訪問行為也無法有效管控。

⑷網絡客戶端的端點安全。類似于木桶理論，內網網絡安全的等級取決于安全最薄弱環節。如果有內網員工的終端設備使用陳舊的操作系統、不更新操作系統補丁、不安裝指定的殺毒/防火墻軟件、甚至不更新，反而使用和安裝不允許的軟件，這都將造成該終端設備成為內網的安全短板。

2 IP城域網網絡安全技術應用措施

IP城域網的網絡架構一般分為三個層次：網絡核心層、網絡匯聚層、寬帶接入層，網絡的各個層次承擔了不同的功能。根據城域網不同網絡層次的不同功能，每個層次都有不同的特點，面臨不同的安全問題。

⑴有效的身份認證技術。基于身份認證技術，可以為組織提供多種身份認證方式，如：web認證，與常見的第三方服務器結合認證（AD、LDAP、RADUIS、Proxy、POP3等），IP/MAC綁定認證等，更高級的還有key認證、硬件認證等。提供單點登錄、用戶自注冊等，方便管理員使用。身份認證功能幫助管理員建立網絡用戶管理體系，實現管理與用戶的一一對應。

⑵權限控制技術。提供基于時間、應用、用戶（基本元素）的上網權限控制。權限控制功能幫助組織建立與組織文化、業務職能、用戶職權相匹配的上網權限管理體系，防止越權訪問，防范法律和泄密風險。

⑶流量管理控制技術。提供基于時間、應用、用戶組/用戶、上下行帶寬（基本元素）的流量控制，幫助用戶限制與業務無關應用的帶寬占用情況，保障核心用戶、核心業務的帶寬需求。識別率與流控粒度是評判產品優劣的重要標準。

⑷應用行為記錄管理體系。提供上網行為記錄、數據挖掘、日志定位功能，一方面幫助組織提供滿足主管部門要求的上網行為記錄，避免安全事故發生后無據可查的情況，另一方面幫助組織進行業務分析，了解網絡利用情況，應用行為記錄功能也常常被作為信息安全防護、防泄密方案的重要組成

⑸安全防護系統。主流的專業安全防護管理產品都是硬件系統，作為管理系統其具有對網絡威脅的識別和防御技術，一方面對網絡威脅的防御（如防止DOS攻擊、防ARP欺騙）能保護系統本身的穩定安全，進而保障網絡可靠性；另一方面識別并攔截網絡中的異常流量，可以避免威脅擴散而給單位造成不良影響。

⑹終端安全檢測與修復。安全防護系統管理的“核心技術”之一“終端安全識別”包括進程、注冊表、操作系統與補丁、殺毒軟件與病毒庫升級、多網卡狀態、應用程序檢測等等。但僅僅發現問題并不能滿足管理員的需求。為此，安全防護系統提供了擴展功能，支持和第三方的安全服務器結合，一旦發現存在安全隱患的終端，自動向終端發起提醒或主動運行相關程序，修復安全短板。

⑺數據防泄密。由于認知程度的限制和僥幸心理的存在，在過去，數據防泄密管理方案的普及度十分有限。隨著近幾年各種數據泄密事件頻頻曝光，給個人或組織造成了聲譽和財產上的損失，安全防護系統在數據防泄密方面的優勢逐漸被重視起來：事前預防（過濾與控制技術、異常行為預警）、事發攔截（異常流量攔截、敏感內容過濾）、事后追蹤（日志記錄）。數據防泄密功能能幫助用戶有效減少泄密風險。

IP城域網的網絡資源信息安全問題，歷來沒有得到很好的解決，這是由網絡自身的特點決定的，只要存在安全漏洞，就會產生安全威脅，通過IP城域網安全防護管理，提高“數字黃河”網絡系統的安全性和穩定性，構建更加穩定的防汛信息交流和網絡辦公平臺。使“數字黃河”網絡運行更加可靠，在日常辦公、對外聯絡等方面也發揮積極作用，社會效益明顯。

[參考文獻]

[1]水利部黃河水利委員會.“數字黃河”工程規劃[M].鄭州：黃河水利出版社.2003.

[2]李景宗，寇懷忠.“數字黃河”工程建設的現狀與未來發展[J].人民黃河.2011（11）.

[3]胡捷，王和宇.IP城域網業務演進對設備、組網的要求[J].電信技術.2005（06）.endprint