基于信息安全的網絡隔離技術研究與應用

◆胡傳力 李卓群

基于信息安全的網絡隔離技術研究與應用

◆胡傳力1李卓群2

（1.國家電投集團江西電力有限公司新昌發電分公司 江西 330117； 2.華東交通大學交通運輸學院 江西 330013）

隨著國際互聯網安全態勢日趨嚴峻，互聯網攻擊手段越來越隱蔽、攻擊技術越來越高級，甚至成為商業不正當競爭手段以及國家網絡武器，已對國家、企業信息安全構成了嚴重威脅。在發展信息化的同時，不斷加強信息安全保障工作。本文從抵御互聯網威脅，保護敏感信息安全，實現網絡隔離、加強敏感信息保護的工作要求出發，以新昌電廠為例，闡述了網絡隔離技術，供讀者參考。

網絡隔離；信息安全；物理隔離

1 項目背景

隨著計算機技術的飛速發展和廣泛應用，近年來，國際互聯網安全態勢日趨嚴峻，互聯網攻擊手段越來越隱蔽、攻擊技術越來越高級，甚至成為商業不正當競爭手段以及國家網絡武器，已對國家、企業信息安全構成了嚴重威脅[1,2]。在發展信息化的同時，需要加強信息安全保障工作。應分離信息內網與信息外網，各單位信息內網斷開與互聯網連接、通過廣域網系統構成整體信息內網，信息內網、外網終端專用，采用安全隔離系統進行內、外網間必要的數據交換，同步實施信息安全綜合防護[3]。

2 現狀

新昌電廠單獨設有互聯網出口，用于員工訪問互聯網以及部署有電子郵件、遠程辦公等互聯網應用。建廠時僅在辦公樓部署了無線網絡，用于移動設備（筆記本、手機、PAD等移動終端）辦公接入。

新昌電廠信息網絡由核心交換區、服務器區、因特網接入區、廣域網接入區、上網用戶接入區、無線覆蓋管理區六個區域組成。核心交換機采用兩臺Cisco6513。兩臺核心交換機之間通過光纖鏈路捆綁，達到雙萬兆的光纖互連。每臺配置單引擎、雙電源、48千兆電和1塊24千兆光接口模塊（現在一臺核心設備已出現硬件故障處于宕機狀態）。上網用戶接入區主要由生產辦公樓、輸煤綜合樓、綜合檢修樓、集控樓、化水車間、煤采制化綜合樓、翻車機室組成。各樓棟交換機通過雙千兆光纖連接主備核心。生產辦公樓交換機配置POE功能用于生產辦公樓的無線AP的POE網絡接入。

部署思科的1臺無線控制器放置在信息機房，與核心交換機之間采用VLAN Trunk進行連接；而樓層中的AP通過TUNNEL（IPinIP隧道）方式與交換機相連，共部署16個室內型Fit AP。

3 技術目標

3.1 技術方案設計需求

（1）信息內、外網網絡隔離

根據現狀，將現有的辦公網絡與互聯網斷開，構建各三級單位信息內網；利舊無線局域網，與互聯網聯通，形成信息外網。現有臺式終端作為信息內網終端使用，信息外網使用筆記本電腦或臺式終端。

（2）單位信息內網改造

整合優化信息內網網絡結構，按功能劃分網絡安全分區，強化網絡區域邊界控制，完善防護策略。

（3）單位信息外網改造

利用公司現有互聯網出口，新建一套無線WIFI網絡，構建信息外網，按功能劃分網絡安全分區，完善防護策略。

3.2 信息外網無線WIFI網絡建設

根據網絡現狀，新增核心交換機作為外網核心交換，以“AC+AP+認證”的架構設計、建設無線網絡。新建網絡系統應具備可管理性、安全性、穩定性。

無線控制器AC采用冗余架構，支持智能負載均衡、無線入侵檢測、非法AP識別等安全管理技術；AP支持POE供電，無須單獨配備電源；支持DHCP自動獲取地址，并自動注冊到無線控制器中，降低無線系統的運維難度；系統應支持無線漫游，滿足移動辦公的需求；系統應具備AP故障自動修復功能，在某個AP出現故障時，周圍的其他AP會自動調整功率，對該部分區域進行重新的信號覆蓋，保證信號的良好覆蓋；系統應具備多種認證方式供用戶選擇，包括MAC地址認證、802.1x認證、portal認證、mac+portal認證等，無線認證系統須為軟硬件一體設備。

4 技術方案

圖1為改造前的全廠網絡拓撲圖。

圖1 改造前的全廠網絡拓撲圖

網絡安全總體隔離技術方案：

按照建設方案要求，首先在信息內、外網均根據安全需求和防護等級進行了安全域劃分，在防護等級較高的外聯區、DMZ區和數據交換區新增部署防火墻，對區域間的訪問進行嚴格控制，防止非授權訪問。

由于廠區原信息點的布線已經無冗余，大部分樓棟光纜已無冗余，本次雙網隔離建設必須覆蓋各主要樓棟的光纜、AP布線及無線覆蓋等工作，涉及集控、檢修、燃運集控、采制化樓、辦公樓、除灰控制室等各樓，工作量較大。

圖2 總體方案

（1）信息內網建設

將信息內網分為核心區、服務器區、終端區、廣域網接入區等區域，通過在防火墻上設置相應的網絡策略進行各區域的網絡隔離防護。此廣域網防火墻利舊。

各樓棟接入交換機采用利舊原則，不在本次項目中進行調整。

信息內網終端采用利舊的方式，原有網絡內的電腦終端全部放置于內網使用。

（2）信息外網建設

按照SSL VPN移動接入的需求，SSL VPN網關采用原有設備利舊的方式部署。

信息外網采用無線建設方案，本著節約的原則，可以將之前的無線設備移植到信息外網中。AC控制器旁掛于信息外網的核心交換機上。

為了簡化網絡，信息外網結構擯棄傳統的三層架構，采用兩層架構——接入層和核心層。核心層設備將新采購2臺高性能、高可靠性框式交換機，同時為了簡化管理、增強網絡的可靠性，兩臺核心交換機之間采用橫向虛擬化技術。同時，也需要采購一定數量的接入交換機，由于接入交換機要連接AP，因此此交換機需要支持POE功能。由于終端較多、分布位置較為分散，導致接入交換機較多，為了簡化管理，采用縱向虛擬化技術，接入交換機作為核心交換機的遠端接口卡，核心交換機與接入交換機可以虛擬化為一臺交換機做統一管理。

信息外網是一個安全性要求不太高的網絡環境，因此終端建設可以采用傳統的PC機方式。考慮到電子郵件業務部署在信息外網，員工都有外網郵件收發的需求，為員工分配獨立的信息外網PC機。

（3）應用系統部署

信息外網在整體建設完成后，在外網單獨設立服務器DMZ區，所有應用系統均部署在此區域內，原郵件系統遷移至外網使用。

（4）信息內網安全防護

分離后的信息內網依據建設管理規范要求將網絡進行區域分域，最終劃分為內網終端接入區、內網應用系統區。

5 結束語

此次網絡安全隔離重點在于“信息內網的安全加固、外網的安全建設、內外網的業務交互”三個方面。即在安全隔離的基礎上，保留電子郵件、生產管理、移動辦公、廠內點檢系統、遠程辦公應用，同時兼顧了第三方的接入服務，通過相對的安全隔離，能夠確保公司的辦公效率與應用。

[1]趙毅.終端設備物理隔離技術策略研究[J].計算機與現代化，2013.

[2]李之奇.采用網絡物理隔離技術加強計算機信息系統安全[J].世界有色金屬, 2011.

[3]牛長喜，劉堅，張玲等.SDN網絡隔離性檢測技術[J].網絡安全技術與應用，2018.