基于IDF技術實現違規外聯控制探究

2021-03-25 04:20:05葉水勇王文輝

葉水勇，王文輝，蔡翔

(1. 國網黃山供電公司，安徽黃山 245000； 2. 全球能源互聯網研究院有限公司，北京 102200；3. 國網安徽省電力公司，安徽合肥 230022)

目前國家電網對違規外聯的檢查與控制主要是通過北信源VRV軟件進行監控，對客戶端出現違規外聯情況進行記錄并阻斷；無法實現禁止違規外聯的要求[1-2]。為防止發生違規外聯事件，信息部門必需通過其他的技術手段禁止信息內網終端利用3G卡、電話撥號、WI-FI非法外聯。

為了有效地控制和管理公司內網計算機訪問外網的“違規外聯現象”，本文通過采用基于Office Scan的模塊化入侵防御防火墻IDF進行控制，可降低因為違規外聯而導致的內部信息外泄及病毒感染等風險。

1 過程分析

IDF入侵防護防火墻通過系統底層進行網絡數據包的分析過濾功能；通過在防“違規外聯”防火墻策略中，添加相應的強制允許策略，僅允許內網用戶的IP范圍進行數據交互，丟棄將非內網IP的數據包，從而實現對違規外聯的控制[3-4]。

1.2.1 服務器策略配置

在趨勢控制臺中新建一個“違規外聯模板”，將多條防火墻規則組合成一個模塊部署到客戶端上[5-6]。

1.2.2 客戶端部署

對需要控制違規外聯的客戶端，部署“違規外聯模板” 。

在安裝防“違規外聯”防火墻的信息內網終端上安裝3G卡，當3G卡撥號成功后，終端能夠獲取到公網IP地址。但公網IP地址無法進行網絡通信，同時IDF在10 s自動終止3G卡的撥號連接[7-8]。測試結果具體如下。

(1)3G上網卡無法進行有效的數據包傳輸。

(2)計算機無法通過3G上網卡訪問互聯網。

(3)3G上網卡在幾秒鐘后由于數據包不阻斷，3G卡自動斷開連接。

(4)對于客戶端通過其他方式(如：無線AP等)訪問互聯網，IDF也能將其非內網數據包進行阻斷。

當安裝有防“違規外聯”防火墻插件的客戶端使用別的非法違規途徑(如3G上網卡、無線網卡等)訪問外網時將無法與外網進行通信，“插件管理器”控制臺的自動記錄“警報”信息會在后臺顯示[9-10]。

此時登陸到趨勢IDF管理控制臺中，在“防火墻事件”中也會產生相關的日志信息。

通過防“違規外聯”防火墻，可成功阻止信息內網計算機違規連接外網[11-12]。經過運行，網絡安全性得到了加強，使信息內網的安全性得到提高，杜絕了違規外聯事件，阻斷了公司信息外泄的可能性，對公司整體財產起到安全保護作用。

防“違規外聯”防火墻，成功對信息內網違規外聯事件以及域外文件共享和打印進行了阻斷，實現了信息內網安全化、規范化管理。提高了安全性，有效保障了信息內網的安全穩定運行。