信息网络区域间安全防护技术研究

【摘 要】随着电力行业信息化建设的不断深入和互联网技术的不断发展，带动了信息技术的深入应用和快速发展，在促进企业发展的同时，也带来了信息安全问题，并且越来越突出，因此开展企业信息安全技术研究非常重要。本文对信息网络区域间安全防护体系的进行了分析和研究，介绍信息网络区域间安全防护体系的组成及特点，以及实施后取得的效果。

【关键词】信息网络；安全防护技术；研究

引言

区域间安全防护主要是从信息网络一体化的角度出发，以构建信息网络一体化安全防护体系为目的，首先以各个地区作为整个信息安全体系的子区域的模式对信息网络进行安全区域的划分，在各个子安全区域与高速数据信息网络的网络接入点上配置一台高性能的防火墙设备，通过结合地区间的实施应用系统的具体要求，设置统一的安全策略，来达到信息网络关口的信息流量的安全控制。其次，通过对各个关键节点上安全防护设备的统一集中管理和安全防护联动措施，初步具有抵御大规模恶性病毒泛滥和恶意攻击的安全防护能力。

一、总体架构

信息网络区域间安全防护系统安全设备主要在子区域网络和高速信息网络的接入点，通过结合地区间的实施应用系统的具体要求部署。防火墙拓扑结构图如图所示。

如图所示，两台防火墙处于路由交换网络之间，每台防火墙可以直接到达相邻的路由器或交换机，这样每台防火墙和相邻路由交换设备都可直接相连，所有的路由交换设备之间的线路可以使用TRUNK封装。

二、采用的设备及特点

具体实施标准及项目实施后的预期效果如下表。

序号 实施项目 实施标准 预期效果

1 防火墙设备 防火墙安装到机柜内走线整洁、布局合理；

完成策略、IP、路由等规划； 达到网络运行稳定，单台设备出现故障不影响整个网络通讯的中断。

2 防火墙集中管理系统 实现对防火墙设备的集中管理；

完成认证设备、维护设备、维护VPN隧道、维护VRC信息等； 达到网络运行稳定，实现设备的管理、拓朴管理、状态监视、隧道管理等功能。

3 防火墙日志分析系统 实现对防火墙设备的日志分析；

完成网络事件的收集、处理、智能实时检测、可视化分析； 有效的实现全网的安全预警、入侵行为的实时发现、入侵事件动态响应，通过于其它安全设备的联动来真正实现动态防御。

2.1防火墙设备

项目采用的网络卫士系列防火墙NGFW（NetGuard FireWall）是以天融信公司具有自主知识产权的TOS（Topsec Operating System）为系统平台，该平台采用开放性的系统架构及模块化的设计，融合了防火墙、防病毒、入侵检测、VPN、身份认证等多种安全解决方案，具有安全、高效、易于管理和扩展等特点。

自主安全操作系统平台

采用安全操作系统—TOS（Topsec Operating System），TOS拥有优秀的模块化设计架构，有效保障了防火墙、VPN、防病毒、内容过滤、抗攻击、流量整形等模块的优异性能。

强大的应用控制

网络卫士防火墙提供了强大的网络应用控制功能。用户可以轻松的针对一些典型网络应用，如BT、MSN、QQ、Edonkey、Skype等实行灵活的访问控制策略，如禁止、限时、乃至流量控制。

完全内容检测CCI

完全内容检测（CCI，Complete Content Inspection）可实时将网络层数据还原为完整的应用层对象（如文件、网页、邮件等），并对这些完整内容进行全面检查，实现彻底的内容防护。

强大的AAA功能，支持会话认证

网络卫士系列防火墙支持对网络用户提供丰富的安全身份认证，如一次性口令（OTP）、S/KEY、RADIUS、域认证及数字证书等常用的安全认证方法，也可以使用专用的认证客户端软件进行认证。网络卫士系列防火墙支持会话认证功能，即当开始一个新会话时，需要先通过认证才能建立会话。

2.2集中管理系统

TopPolicy用于网络安全设备的集中管理，能为安全设备和VPN客户端提供身份认证功能、指定设备间的VPN通讯关系、统一下发策略、提供设备策略的上传及恢复功能、以及设备性能监视功能。

与业务管理对应的分级管理体系，应对大型网络

首先，本系统支持4级的域管理，这样，用户可以方便的把一个全国的项目分级与分域管理，在统一策略下对责任进行分担；通过分级与分域管理，本系统可以支持到1000台安全设备和30000个VPN客户端。其次，本系统可以对安全设备和策略实现完全的集中管理，也可以实现由下级管理中心或设备来管理日常的管理工作，而上级中心仅负责监控与分析统计工作。

完善的PKI体系支持

TopPolicy系统采用遵循X.509证书来作为提供认证的载体。对于中等规模的用户只需建立一个自封闭的身份认证体系，则无需外部证书发放机构的签发证书，企业自己就可以构建自己的证书发放机构（CA）。对这种用户TopPolicy提供了简单实用的PKI CA系统，可以为管理员、设备、VRC生成、更新、发放证书，同时提供证书验证与CRL文件管理等功能。

对于已经建有CA系统的用户，TopPolicy完全支持第三方的PKI系统，可以为设备和VRC导入/更新第三方CA生成的证书，不仅支持在TP本地使用第三方CA的根证书验证设备以及VRC身份，还支持通过OCSP协议实时在线验证设备和VRC身份。支持通过HTTP、LDAP协议自动下载CRL列表等等。

多视角的可视化管理

TopPolicy能通过拓扑图等多种方式，实现对设备、隧道等进行各种管理，进而实现对设备性能信息的监视，包括CPU信息、内存信息、接口信息和连接信息等。另外，对于具有VPN功能的设备还提供了隧道监控和VPN监控功能、实时监视VRC用户在线情况。

TopPolicy通过拓扑图等监控的同时提供的丰富的报警功能。