内外网融合范文

内外网融合范文（精选8篇）

内外网融合 第1篇

服务读者始终是《人民日报》的优良传统。改革开放前, 《人民日报》开辟读者来信专栏, 创办读者来信版, 设立读者来访接待室, 建立群众性读报小组和通讯员队伍, 给群众留下深刻印象。改革开放后, 《人民日报》不断拓宽服务面, 吸引读者参与互动, 不断提高服务读者的本领, 还创办了“干部说干事”、“报友说报”、“看台人语”等专栏, 受到读者欢迎。

近年来, 《人民日报》开展了一系列卓有成效的服务读者新举措, 遵循“资源整合、报网融合、内外结合、人才聚合”原则, 在读者调查、内容建设、渠道服务、培养潜在读者等四个层面全面提高服务读者的水平和能力。

资源整合——全面开展读者调查

了解读者是服务读者的第一环。做好读者服务工作, 首先应当了解读者的构成情况:哪些是基本读者, 哪些是核心读者, 哪些是潜在读者, 并明确他们的特点、阅读习惯、思想状况等。《人民日报》以资源整合为依托, 在全国范围内开展读者调查工作, 对办报起到了积极的推动作用。

2011年, 《人民日报》在全国范围内启动 (永联村杯) 读者调查活动。调查采用报纸问卷和网络问卷相结合的形式进行, 邀请读者就过去一年报纸刊登的新闻作品、常设栏目和报纸版面进行评价。这项调查吸引了超过五万名读者踊跃参与, 并在年末调查结果公布后邀请读者代表走进报社, 与编辑记者展开亲密互动。

实践证明, 读者调查对办报起到了积极的推动作用。通过读者调查不仅收集了人民日报核心读者的详细个人数据, 并由读者票选的最喜爱的新闻作品、栏目和版面等, 准确把握了读者的阅读偏好。

2012年, 读者调查正式启动第三届。读者调查活动的成功, 一条重要的经验就是“资源整合”。

读者调查由《人民日报》新闻协调部策划、主办。新闻协调部是《人民日报》近两次改扩版和机构调整改革中新设立的部门, 职能是新闻报道活动的“总调度”。在编委会的指派下, 由新闻协调部牵头读者调查工作, 并组织协调地方部、发行出版部、对外交流合作部、人民网、人民论坛杂志等多个部门参与, 将报社的版面资源、组织资源、人才资源等有机地结合在一起, 全力做好读者调查工作。

由于社内多种资源的有机整合, 《人民日报》 (永联村杯) 读者调查已成为全社共同合作的常规活动, 读者调查的结果也成为进一步办好《人民日报》、进一步提高读者服务工作的水平和能力的重要参照。

报网融合——在服务中引导, 在引导中服务

媒体竞争, 内容为王。读者服务工作, 最集中的应当体现在内容上。报纸内容满足读者需求, 是读者服务工作的第二个层次, 是读者服务工作最基本、最主要的要求。在这个层次上, 《人民日报》通过有效的“报网融合”, 体现了服务读者的意识, 拉近了与读者的距离, 提高了服务读者的水平。

2009年, 《人民日报》两次改扩版, 不仅扩容提质, 而且以改扩版带动机构调整和体制改革, 提高了报网融合的深度、广度和频度, 深化了与读者的互动和融合。

遵循“报网融合”原则, 《人民日报》改扩版新举措包括:一是推出众多民生专栏, 在社会建设新闻版中汇聚了众多民生新闻专栏, 凸显民生报道强势阵容, 拉进与读者的距离。二是顺应人民网网络票选调查, 加强政策性解读和调查性深度报道, 为读者解疑释惑, 满足读者期待;并把更多版面留给读者, 比如老品牌“读者来信版”改版, 增加读者稿件。三是名牌栏目报网互动, 比如将人民日报品牌栏目“人民时评”、“人民论坛”搬上人民网网页的醒目位置, 又比如将人民网名牌栏目“地方领导留言板”搬上人民日报新兴媒体版, 将网民提问和地方领导回复、短评汇成“网连中国”栏目, 再比如报网联合开办“人民观察”栏目, 实现报网联动报道、互补式报道。四是改进文风、鲜活版面, 让文章易读可读, 读者愿读爱读。五是人民日报、人民日报海外版、人民网等开展深度互动和融合, 建立公共稿库, 实现稿件共享, 鼓励编辑记者与读者实现多平台交流互动。

改扩版后, 《人民日报》及时召开扩版读者座谈会, 邀请三方面读者:政府部门、宣传部门、国有企业宣传工作负责同志;党报研究专家;各界读者代表, 就报纸扩版改革展开座谈讨论。座谈会纪要上报中央, 得到刘云山部长批示肯定了人民日报改扩版成果和报网融合的进展, 并要求进一步研究总结读者意见, 提高在服务中引导、在引导中服务的能力。

内外结合——拓展渠道, 让我们离读者更近一些

施拉姆有一个传播学公式, 即读者选择某个媒体的可能性, 与媒体效用成正比, 与媒体易获得性成反比。在传播技术发达、新媒体无处不在的今天更是如此。因此, 党报做好读者服务工作的第三个层次, 就是拓展渠道, 拉近与读者的物理距离。

《人民日报》通过邀请读者评报和建设电子阅报栏, 拓宽读者接触报纸的渠道, 使读者更容易接触到报纸, 并将读者的意见和反馈纳入新闻生产流程, 力争将报纸办得更好。《人民日报》不仅有较为完善的内部评报机制, 近年来尝试将读者评报纳入日常流程中。比如在人民网首页提供了“人民网上看报纸”, 邀请读者参与网上评报, 或为报纸打分, 或留言评论;再比如与一些高校新闻院系师生展开合作, 将读者代表的评报意见及时以内刊形式在社内印发;通过这些渠道收集来的读者意见已经成为办报的重要参考。

此外, 《人民日报》全面启动电子阅报栏建设。当前, 《人民日报》电子阅报栏已经在一些政府机关、事业单位设置, 并与天津、湖南、河南等省市合作, 试点铺开。同时, 结合人民日报校园行活动, 在复旦大学、南京大学等校园设立, 方便读者阅读人民日报。电子阅报栏根据地点不同设置了一些贴近性内容, 比如设置在高校的电子阅报栏, 上面不仅有人民日报内容, 还有当地重要新闻、天气信息、校园服务信息等等, 拉近了与读者的物理距离和心理距离。

人才聚合——培养并服务潜在读者

培养并服务潜在读者, 是读者服务工作的最高层次。近年来, 《人民日报》开展了一系列针对潜在读者——青年读者的服务工作, 取得很大成效。

关注石油企业内外网安全 第2篇

国家特别重视信息系统安全保护工作，确立了信息安全等级保护的基本指导思想，明确要求“重点保护基础信息网络和关系国际安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南。要重视信息安全风险评估工作。对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。”

现实工作中，企业员工的违规使用行为往往会导致重要信息意外泄露，给企业生产带来严重影响，造成巨大经济损失。特别是对于国有石油企业而言，网络安全的重要性不言而喻，其业务系统的稳定运行直接关系着社会秩序稳定，关系到国计民生的长远发展。国有石油企业网络安全建设在满足自身业务安全需求的基础上，必须遵循国家提出的等级保护等合规性工作要求。复杂的外部环境和来自于国家的合规性要求，这些使得石油企业都迫切需要提高信息安全保障能力，保证网络基础设施与业务系统的安全、可靠运行。

网络安全防护技术与产品多种多样，但是没有一种独立的解决方案能够满足石油企业信息安全上的需求，只有将多种安全防护技术紧密地结合在一起，才能充分发挥其各自作用。通过将各种安全防护技术统一、全盘考虑，能够避免出现彼此之间相互抵触，导致防护水平降低现象出现。实现1+1>2的防护效果，切实保障石油企业网络信息安全。

“知己知彼，百战不殆”，在石油企业网络安全工作中，即要对所面临的对手——安全威胁与挑战有着深刻的理解，更要对自身业务系统脆弱性与安全需求有清晰的认识。为了明确问题范围，深入理解企业当前面临的安全风险与问题，明确自身安全需求，石油企业首先要对各个业务系统进行安全评估。评估方面应当涵盖IT基础设备的各个方面，包括网络设备、服务器、应用系统、终端设备、互联网出口、管理制度与规范等多个方面的内容。通过进行安全评估与风险分析，明确安全风险的范围、内容与严重程度，确定工作目标与工作重点。在开展风险评估工作的同时，还应与有关部门合作，对已经定级应用系统开展等级保护测评工作，对新上线系统进行定级备案，满足合规性要求。

网络安全工作是一个系统工程，石油企业应以“统一标准、统一设计、统一建设、统一管理”作为工作指导思想，按照由外到内、层层深入、分区防护、纵深防御的思路进行网络安全防护建设。

首先，应当明确不同工作内容的范围。网络安全工作纷繁芜杂，涉及到各个方面的工作内容。对于主机安全、应用安全、数据安全与备份恢复等方面的工作内容，由各应用系统建设与维护人员考虑。对于物理安全、网络安全等具有一定共性安全内容，进行统一规划，按照统一的标准进行防护，制定标准的IT服务管理规范进行统一管理。石油企业网络安全工作的第一步应当界定内部网络与外部网络边界，对进入网络内部的途径进行梳理，对互联网出口按照统一标准进行管理，按照统一标准进行安全防护。互联网出口是外部用户访问企业信息系统的重要途径，同时也是安全威胁进入企业网络的重要途径。出口越多，入侵者进入内部网络的途径就越多，安全隐患也越多，在运维过程中也难以统一管理。针对互联网出口多、互联网出口安全防护标准不一致，容易受到外部入侵等安全威胁的问题，可以采用统一互联网出口的策略。石油企业应根据用户及应用系统的使用需求，对互联网出口进行统一规划，制定统一的出口防护标准，并按照标准进行统一安全防护。通过对互联网出口统一规划、统一防护、统一管理，可以减少入侵者通过网络接入企业内部网络的途径，提高企业网络边界安全防护能力。通过应用代理技术隐蔽企业网络信息，通过网络地址转换技术改变IP地址内容，降低入侵者通过互联网出口直接渗透进入内部网络的可能性。

第二，对用户访问权限进行划分。并非所有用户都具有互联网访问权限，只有业务需求的用户，经过审批后才能开通互联网访问权限。同时用户使用USBkey进行身份认证，以USBkey作为用户身份的唯一标识，实现用户访问行为实名制管理，避免用户名口令方式存在的漏洞。传统的安全违规事件定位方式是通过IP地址进行问题定位，这种方式进行事件处理费时费力，特别是在大规模复杂结构的网络环境中，基本上很难实现及时、准确定位的目标。为了在违规事件发生后能实现问题来源快速准确定位，可以将用户访问行为信息与用户身份标识进行绑定，一旦发生违规事件后，可以通过用户信息而不是IP地址进行迅速定位与响应。

第三，规范用户的互联网使用行为，避免用户访问具有安全风险的内容给自身和企业带来危害。通过行为审计技术对用户的互联网访问内容进行记录与审计，发生安全事件后可以根据审计记录定位事件发生时间及来源。审计设备记录了所有用户访问互联网所有内容，部分信息中还包括违规发送的涉密信息。因此，在审计记录访问权限分配制过程中，要按照安全审计职责分离的要求设置不同权限的用户，避免系统管理员处理过程中接触涉密文件导致的二次泄密事件。

第四，制定和实施相关管理制度与规范。信息安全“三分技术、七分管理”，石油企业安全目标的实现，不但要以先进、成熟、可靠的技术作为支撑和保障，更需要制定相应管理办法与规范作为依托，通过建立和健全完整的安全管理制度与规范对用户使用行为进行管理。参照全球最佳安全管理实践，建立标准和规范的IT服务运维管理流程。通过标准化流程，规范系统运维与管理工作。

第五，企业各级员工广泛参与。网络安全工作，不仅仅只是石油企业个别部门或个别人员的责任，需要各个部门、各级领导和广大员工的广泛参与、配合与支持。只有石油企业内部各级员工积极主动地在日常工作中按照要求合规使用，才能实现信息安全事半功倍的效果，预期的安全目标才能更快更好地实现。为了督促企业内部用户自觉执行信息安全管理办法与相关规范，石油企业应建立监督与考核机制，制定并执行相应的考核指标与考核管理办法，建立通报表扬与批评制度。固定周期进行检查与考核，对考核结果进行统一排名并通过通知或者公告方式在企业范围内进行发布，对排名靠前的部门或员工进行奖励，督促排名靠后的部门或员工及时进行改进，通过人力资源配合，将考核结果纳入部门、个人年度工作绩效考核中。

石油企业网络安全建设涉及到方方面面，是一个系统工程，在实践过程中，要充分考虑自身的业务特点与安全需求，深刻理解国家有关法律法规，满足国家有关机关的合规性要求。石油企业安全目标的实现离不开各级领导与全体员工的广泛参与和支持，员工的广泛参与和帮助是实现组织安全目标的重要保障。新的技术不断出现和应用，风险与威胁不断变化，面对变化万千的网络虚拟世界，企业只有与时俱进，勇于创新，才能适应持续变化的信息安全风险与威胁，保障石油企业业务目标的实现。

浅析内外网隔离方案 第3篇

针对双网隔离问题, 通过学习和查找相关资料, 归纳出以下几种解决方案:双网双布线双电脑隔离模式、双网双布线硬盘隔离卡隔离模式、双网单布线隔离交换机隔离模式、双网双布线网络主机隔离模式、双网单布线一分二隔离模式。各种方案都有自己的优缺点, 以下将对各种方案进行分析、探讨。

1 双网双布线双电脑隔离模式

双网双布线双电脑隔离模式也就是两个网络分别通过独立布线接入两台电脑的模式, 这种模式只要做到综合布线完全独立分开, 双网分别使用独立的机柜和独立的接入交换机, 完全实现纯物理隔离。能够安全方便的在内外网上查找所需的资料, 具体连线图如图1所示。

这种方案完全可以解决双网物理隔离问题, 但对一个较小的办公室, 不仅存在空间问题, 而且还会浪费较多的资源。

2 双网双布线硬盘隔离卡隔离模式

双网双布线硬盘隔离卡隔离模式就是在一台电脑上安装一块硬盘隔离卡和两块硬盘, 通过双硬盘隔离卡将两个硬盘隔离, 保证每块硬盘上的数据不会进入到另外一块硬盘上, 从物理上将两块硬盘隔离, 保证了内网和外网的安全。若有一块硬盘出现故障, 不会影响到另外一块硬盘的正常工作。现在方正推出了一款电脑, 通过主板将内存隔离, 通过硬盘隔离卡将硬盘和网络完全隔离, 保证系统的稳定安全运行。

这种方案适合大中型机关的局域网布局, 某机关内的网络分为内部涉密网和公共网, 其中公共网 (即Internet) 通过网络提供商提供的集中出口连接Internet (视需要也要安装防火墙、入侵检测及防病毒等措施) , 部分计算机视需要能够接入该网络。还有一些机关的网络由于内部功能的划分, 本身就有几个分离的网络, 采用硬盘隔离卡方案能更好地把这些网络整合在一起, 变为一个全范围公共网加上几个内部安全子网的多网互动的有效网络格局。还能很好的完成一台电脑既上内网又上外网的安全布局。这种方案的连接图如图2所示。

隔离卡的特点:

(1) 内外网绝对隔离:双硬盘网络隔离卡, 隔离内存。

(2) 完全控制:双硬盘网络隔离卡通过硬件对硬盘数据通道和网络接口的直接控制, 实现内网操作系统、应用软件及对应的网络接口与外网操作系统、应用软件及对应的网络接口隔离。以物理方式将一台电脑虚拟为两部电脑, 实现工作站的双重状态, 既可在安全状态 (内网) , 又可在公共状态 (外网) , 两种状态是完全隔离的, 从而使一部电脑可在完全隔离状态下连接内外网。网络安全隔离卡实际是被设置在电脑中最低的物理层上, 通过卡上中间的IDE总线连接主板, 两边分别连接相应的IDE硬盘, 内、外网的连接均须通过硬盘安全隔离卡, 电脑将两块硬盘物理分隔成为两个区域, 在IDE总线物理层上, 在硬件中控制磁盘通道, 在内存中将物理地址分区使用, 在任何时候, 数据只能通往一个系统。

(3) 转换自如:用户可根据需要在任何时间任何系统中方便自如地进行内部网和外部网之间的转换。

(4) 两种切换方式:硬切 (按钮切换) 和软切 (软件切换) 。

(5) 应用广泛:不依赖于操作系统, 可以应用于所有使用IDE-ATA硬盘的电脑系统。可以适用于局域网、拔号上网、ISDN、宽带等不同的网络环境。

(6) 对网络技术、协议完全透明。

(7) 安装方便, 操作简单, 不需要用户进行专门的维护。

这种方案可以很好的解决办公室空间问题, 还能很好的解决各种资源的充分利用, 达到一种完美的隔离效果。

3 双网单布线隔离交换机隔离模式

双网单布线隔离交换机隔离模式就是两个网络通过隔离交换机将内、外网分开, 然后通过一根线传输到连接电脑, 即桌面电脑同一时间只能连接到一个网络。此种方案需要配合安装了硬盘隔离卡的电脑使用, 才可以满足单布线的要求, 即如果用户因某种原因无法使用双网双布线时, 可采用此方案。此方案的连接图如图3所示。

在安装了网络安全隔离卡的电脑上, 实际上存在着内网与外网两种状态, 当电脑通过网络安全隔离交换机连接内外网时, 若电脑需要连接外网时, 通过硬盘隔离卡上的网卡提供的信号连接到隔离交换机的外网接口只能连接到外部网, 若电脑需要连接内网时, 通过硬盘隔离卡上的网卡提供的信号连接到隔离交换机的内网接口只能连接到内部网。网络安全隔离交换机对以太网信号的减弱可以忽略不计 (与电缆的长度相比小于30cm) 。连接于现有交换机开关与LAN之间的网络电缆通过网络安全隔离交换机与数据安全保护器 (控制以太网/快速以太网) 进行排线。在网线 (TX与RX对) 增加一个“超带”DC (直流) 电压信号, 能够可靠地控制两个不同网络间的转换。信号的极性可以测定哪一个网络通过网络安全隔离交换机与电脑连接。网络安全隔离交换机与数据安全保护器抹去DC元素, 并用清晰、标准的IEEE802.3信号将网络端口呈现在“背面”。所有以太网参数同样适用于快速以太网。网络隔离交换机的工作原理如图4所示。

如果没有检测到DC电流, 两个网络都会被全部切断, 这样减小了安全区工作站被错误地连接到未分类网络的风险。

这种网络安全隔离交换机与数据安全保护器的设置允许用户顺利地进行内外网络切换工作, 避免了向桌面铺设新电缆的问题, 所有的附属设施被连接在通信机箱与后面的中枢上。此外, 数据安全隔离交换机操作是全透明的, 无需维修, 且对以太网/快速以太网的标准通信没有任何影响。

那些对安全要求高的机关一方面寻求向他们的用户提供Internet连接, 另一方面保证内部数据的安全。这样的话, 这些机构只需在桌面工作站内安装数据安全保护器, 然后添加普通的商业Internet访问解决方案即可。

这种方案可以更好的解决由于综合布线带来的一些难题, 同时可以充分利用现有资源, 解决桌面双网办公问题, 能够很好的解决隔离。

4 双网双布线网络主机隔离模式

双网双布线网络主机隔离模式就是其中一个网络通过一条布线连接到电脑, 进行网络工作的模式, 另一个网络通过在服务器上安装网络主机软件, 将网络主机通过综合布线连接到交换机, 然后再将办公桌上的显示器、键盘和鼠标连接到网络主机, 实现一拖32台网络主机上网的模式。这样就可以实现双网双布线网络主机隔离模式。

网络主机的工作原理:现在服务器变得如此强大, 特别是系统的可利用资源。为了更分地利用这种技术资源, 每个网络主机可有效的访问服务器。每一个网络主机都可做为独立的电脑终端运行而不会影响到其它的终端及整体运行, 为每一个用户创造了独立和安全的使用环境。

根据网络主机的使用数量的最大配置, 即连接32台电脑时, 服务器的配置需求:主机的CPU要求4个四核2.0G以上CPU;主机内存要求4G以上, 主机硬盘使用SCSI硬盘, 操作系统要求W i n d o w s 2 0 0 0 S E R V E R或者Windows2003Server, 但是不支持网上电影和网络游戏。能够满足于网上办公, 网上聊天, 网上视频等正常使用。

此种方案的网络主机连接图如图5所示。

这种方案适合用于正常办公, 但又不影响查找相关的资料, 能够较全面的解决现实办公自动化而充分利用现有资源, 有效地解决了资金不足和办公室狭小等问题带来上网困难的问题。

5 双网单布线一分二隔离模式

双网单布线一分二隔离模式也就是将一根网线的8芯线分成两组, 每组4芯线来使用, 分别接入内外网实现双网隔离的模式。因为现在大多数使用的是超5类网络线, 一根网线内有8芯, 每二芯线互绕合在一起, 现有网络中只用到网线中的4芯线, 所以可将一根网线分成两组分别接入内外网来使用, 达到隔离的模式。此种方案虽然可以解决能双网上网, 又可以充分利用资源, 但是由于应用的是同一根网线, 双网会出现相互干扰的现象, 建议不采用此种方案来解决双网隔离的模式。

6 小结

内外网隔离条件下的邮件转发 第4篇

由于我院的电话预约平台使用114预约,114工作人员定时将预约用户列表通过电子邮件附件的方式发送至我院指定邮箱,如何让我院门诊部工作人员及时获取预约病人信息急需解决。

传统的解决方式是将Internet的电子邮件附近下载至U盘,然后导入我院生产网(内网),而我院内网实施了严格的移动媒介控制策略,禁止在除信息中心以外的内网电脑上使用移动媒介,如果单独为门诊部打开后门将带来极大的安全隐患。本文介绍一种基于linux操作系统,使用getmail和procmail进行邮件的过滤及转发的方法,成功解决上述问题。

本系统使用一台运行CentOS 5.6的双网卡计算机,机器名分别为:mailtransit,eth0连接外网(地址为10.10.0.10),eth1连接内网(地址为:192.168.100.100)。配置getmail定时从外 网邮箱pop3.163.com(IP:220.181.12.101)收取邮件后转给procmail处理,配置procmail只接受从114user@163.com发送来的邮件,接收后转发给内网邮箱user@domain.com。至此,门诊部工作人员可以在内网查看114发来的预约病人列表,并进行处理了。

2 安装配置邮件收取过滤软件

2.1 网络环境配置

配置CentOS系统的DNS服务器为内网DNS服务器、默认网关为外网路由器地址,并添加内网地址的路由 :#echo“anynet192.168.0.0/16gw192.168.100.254”>> /etc/sysconfig/static-routes,重启后可使用命令# route-v看到如下的路由信息:

2.2 安装配置邮件接收 / 过滤程序

(1) 使用以下步骤安装所需的rpm包,并新建username账户用于接收 / 转发邮件,切换到该账户主目录下新建.getmail目录用于存放配置文件和数据;

(2) 编写getmail配置文件 $HOME/.getmail/getmailrc,使getmail登陆username@163.com收取新邮件后传给procmail程序过滤转发,内容如下:

(3)编写邮件过滤规则文件$HOME/.procmailrc,使其只转发114user@163.com发送来的邮件并转发至内网邮箱user@domain.com,内容如下:

(4)修改邮件过滤文件权限:

# chmod 0740 $HOME/.procmailrc

3 测试

直接运行getmail命令可收取邮件并进行过滤转发,初次运行getmail命令后,$HOME/.getmail文件夹下会出现oldmail-220.181.12.101-110-username文件,该文件用于记录邮箱里已读 取过的邮 件ID,/var/log/getmail.log文件则记录了邮件收取、处理记录,内容如下:

4 结束语

网闸助力医院内外网联通的应用 第5篇

我国医疗机构的网络架构, 根据国家保密局发布实施《计算机信息系统国际联网保密管理规定》, 基本都遵循内部和外部两套独立网络运行, 并相互隔离。而随着新医改方案的推进, 要求电子健康档案、区域医疗、社会医疗保险、双向转诊、远程医疗等应用都趋向于信息共享化, 网络化。内外网独立运行架构虽然能保证病人的隐私及医院医疗数据的安全, 但限制了区域化的发展;互联互通符合发展的需要, 却随时受到安全的威胁。随着网闸技术的不断发展和日渐成熟, 使这样的两难问题得以解决。

1 安全隔离网闸的技术原理和特点

1.1 网闸的基本原理

网闸又称网络安全隔离与信息交换系统, 是模拟人工在两个隔离网络之间的信息交换, 中断两个网络间的所有通信协议连接, 包括TCP/l P、IPX/SPX、Net BEUI等, 使之不能直接进行网络协议通信。将网络数据包的协议剥离, 还原为原始数据, 对原始数据内容进行安全检测, 即实现“协议落地、内容检测”。再将确认安全的数据“摆渡”到网络的另一侧。这样, 由于任何时候两个网络间都没有网络协议连接, 就阻断了基于网络协议的木马、病毒等的攻击。而对隐藏在原始数据中的病毒, 则通过代码扫描予以检测清除。确保受保护的网络对各种潜在的网络攻击具有免疫力, 消除来自另一个网络的各种威胁和风险。网闸一般由外部主机、内部主机和专用隔离开关系统组成, 外部主机连接外网, 内部主机连接内网, 专用隔离开关系统在任一时刻点仅连接外部主机或内部主机, 与两者间的连接受硬件电路的控制高速切换, 保证在任一时刻仅连通外网或内网[1]。

1.2 网闸的特点

安全隔离网闸主要是用以解决内外网之间的数据交换问题, 因此具有以下特点[2,3]:

(1) 它对交互的文件信息采用内容过滤、命令过滤、基于URL的路径和文件名控制、文件类型控制和文件格式深度检查等较高要求的信息保密检查技术。

(2) 防止外部网络向内部网络的黑客攻击和计算机病毒侵扰, 其中包括对未知的攻击和病毒的防范和查杀。

(3) 身份认证也是安全隔离网闸所具备的关键技术, 强化用户的身份确认、防抵赖和具有强调的审计和取证功能。在特殊情况下, 应该加强身份认证的强度, 采用一次一认证, 甚至是图形认证机制。

(4) 它能够解决外部网络和内部网络之间的大流量数据交换问题, 在确保安全的前提下, 尽可能提高效率, 稳定运行, 加强可操作性。

2 安全隔离网闸技术在医院的部署设计方案

2.1 医院情况介绍

我院 (原浙江省第一医院) 系三级甲等综合性医院, 是浙江省医疗、教学、科研指导中心之一。近年来, 医院积极探索公立医院改革之路借助主持的“十一五”重大科技攻关项目“国家数字卫生关键技术和区域示范应用研究”, 构建“省、县 (区) 、乡三级医疗服务网络”, 成功使优质医疗资源垂直延伸到基层。目前, 医院已拥有1家托管医院、3家合作医院、89家协作医院及网络服务单位、1家对口基层医院, 提供了上万次的远程会诊服务。

医院的网络架构为内外网2套相互独立的网络。内网是医院的生产网, 用于运行医院的核心应用医院信息系统 (HIS) 、影像存储与通讯系统 (PACS) 、实验室信息系统 (LIS) 、财务应用等, 并通过防火墙VPN与各个医保连接;外网也通过防火墙同时接入浙大校园网和电信网, 主要用于远程医疗、浙大OA办公系统应用、医院门户网站, 为设在我院的传染病诊治国家重点实验室、卫生部多器官联合移植研究重点实验室、国家中医药科研三级实验室 (分子生物学、肾病、血液) 等国家级实验室及浙江省的40余个重点实验室提供资料文献的查询;为期刊中心的4家国家级杂志社提供工作便利;同时为医院普通职工、VIP病人提供上网服务。

2.2 网闸产品的设计部署

在经过多方考察及参照相等规模单位的成功案例, 多轮模拟网络环境测试和局部实地网络测试后, 我院最终采用了各项功能和性能均符合我院情况及未来业务扩展需要的联想网御leadsec NETGAPSIS产品。并同时配置了内外网前置机。医院网闸放置架构图, 见图1。

我院内网划分有多个VLAN, 通过三层交换实现VLAN间的路由, 服务器所处网段为192.168.1.254/24;医院外网, 也划分有多个VLAN, 通过三层交换实现VLAN间的路由, 核心网络设备所处网段为10.31.29.1/27。网闸就设在内外网核心交换机之间, 网闸连接内网的端口地址为192.168.102.202/24, 连接外网的端口地址为10.31.29.5/27。内网前置机的地址为:192.168.1.60/24, 外网前置机的地址为:10.31.29.53/27。

在没有配置网闸的情况下, 两个网络的应用是不可以相互访问的, 在配置了网闸之后, 双方的应用也还是不能进行通信, 只有在内外网前置机上针对相对应的应用建立其特定的通道, 内外网的有针对性的应用才能得以通信。

网闸内网口和外网口, 除了可以分别设置一个主地址外, 还可以设置多个从地址, 来满足多个外网对内网访问数据的要求。

3 在医疗领域通过网闸技术实现的各类应用

网闸产品的成功放置, 助力了医院的各项应用, 使以前受限的诸多应用, 在经过有针对性的二次程序开发后, 高效地实现医院内外网间的数据交互, 为患者提供了方便。

3.1 区域医疗双向转诊

区域医疗又称为区域医疗协同, 双向转诊的目的是使大医院更多地承担重要、疑难疾病的诊断和治疗, 新医学技术的研究及临床应用;而社区医院主要承担健康教育、预防、保健、康复、计划生育以及常见病、多发病、慢性病治疗工作[4]。连同诊疗记录等电子病历及电子健康档案一起在网上传递的“上传下送”不仅可以使“医疗资源合理利用”, 还能使医疗的连续性得到有效保证, 同时又能减少不必要的重复检查检验;完全可以不做任何额外投资, 就能非常经济、方便地解决由于基层医疗水平低而导致大医院拥挤、小医院冷清的问题。

双向转诊必须在内外网前置机上分别进行配置, 建立通讯的通道。首先选择映射模式, 数据库类型选用oracle, 目标地址为内网HIS中服务器地址192.168.1.100端口为1521。入口设备为外网前置机地址, 出口设备为前置机地址。这样内外网双向转诊程序就可以对分别设置在内外网前置机上的文件夹里的数据进行操作。外网前置机上存放的是下面社区医院转上来病人的相关资料数据, 而内网前置机上的相关目录存放的则是在我院治疗的病人, 经过前期的治疗, 需要转到下面社区医院进行康复治疗的病人的相关资料。

3.2 网上预约挂号

出于网络安全因素的考虑, 以前医院不愿把HIS数据库服务器直接或间接与互联网连接。需要相关人员通过U盘等移动媒介在内外网间拷贝数据, 以手工修改专家出诊排班表和接收网上预约挂号人员信息, 工作效率极其低下。而基于网闸的网络预约挂号系统, 彻底改变了这种局面, 提高了工作效率[5,6]。

通过网闸的网上预约工作原理如下:医院每天的出诊排班表通过网闸同步到外网门户网站服务器;预约挂号患者的信息通过网闸同步到内网HIS;挂号收费窗口仅需从HIS中取出挂号患者身份并进行确认即可完成预约挂号的全过程。此过程无需考虑移动媒介带来病毒等问题, 整个系统与电话预约及现场挂号等形式无缝衔接, 大大提高了工作效率。

3.3 门户网站上检验结果查询

门户网站提供检验结果的查询。之前类似于网上预约挂号, 需要相关工作人员每天一次通过U盘等移动媒介在内外网间拷贝数据, 以手工修改检验结果表。病人要等手工拷贝完毕之后才能查询;同时, 工作人员必须把数据库中整张检验结果表 (也就是所有就诊病人的检验结果数据) 放到外网门户网站上。这样做万一门户网站受到攻击, 则患者的隐私就被侵犯。网闸很好地解决了这个问题。

流程如下:病人在门户网站上发出查询自己检验结果的请求, 门户网站的检验结果查询模块通过数据库查询语句, 向外网前置机上的相应程序发出请求。该程序根据病人ID号 (身份证号) 通过网闸向内网前置机发出相关请求。内网前置机的程序通过数据库语句查询, 把结果通过网闸同步到外网前置机, 外网门户网站程序则向外网前置机取数据把结果反馈给患者。这种针对网闸流程的改变, 提高了工作效率, 保护了病人隐私, 方便了患者能第一时间查询检验结果, 避免贻误最佳治疗时机。

3.4 感染疾病数据上报

根据卫生部的规定, 一些具有传染性的特殊疾病, 必须在第一时间上报卫生部, 以便国家相关部门能及时了解并采取措施。没有网闸之前, 医院感染科也是以手工的方式进行上报, 一来并不及时, 二来增加了院感科的工作量。通过网闸, 把相关疾病信息自动摆渡到外网前置机, 通过程序, 向国家卫生部网站进行报备。这一过程只是内网向外网的数据流, 而外网并未向内网传输数据。这一流程在给院感科带来方便的同时也提高了工作效率。

3.5 医院OA信息发布

我院的OA系统是建立在内网上的, 而医院的门户网站则是在外网。内网的很多重要信息发布, 在没有网闸之前, 都是手工拷贝到外网, 进行重新发布。有了网闸之后, 有选择性的进行同步, 把可以发布的信息发到门户网站。

基于网闸的内外网隔离各种应用方案既能保证内外网的安全隔离, 又能实现实时、高速、安全的数据交换。网闸应用一年多, 我院外网经常受到病毒和木马的攻击, 导致网络出现短时部分网段时断时续等不稳定现象, 但内网核心业务系统始终保持连续安全运转, 很好地满足了医院业务对网络安全的要求, 不但扩展了医院信息化的建设, 也为医院内部基本的生产和正常运行提供了有力的保障。

网闸技术和产品在医疗领域的引入, 是一场医疗信息化的革命[7]。它为公立医院的改革区域化医疗提供了一扇有效的解决之门。为医疗信息化的外展提供了广阔的应用前景。

参考文献

[1]苗元青, 辛海燕, 徐浩.网闸在医院网络安全管理中的应用[J].中国数字医学, 2009, 4 (9) :67-68.

[2]胡建理, 李小华, 周斌.一种基于安全隔离网闸技术的医院内部网安全解决方案[J].医疗卫生装备, 2010, 31 (7) :44-45, 5.

[3]张骁, 李红信.信息安全建设中的隔离网闸技术应用研究[J].山西师范大学学报 (自然科学版) , 2010, (2) :43-47.

[4]李秋甸, 李初民, 李军.医院区域医疗接口的网络安全设计与实现[J].重庆医学, 2011, 40 (35) :3576-3577.

[5]李翔, 唐慧.网上预约挂号系统的安全设计与实现[J].中国医疗设备, 2011, 26 (6) :43-44.

[6]王洪强, 詹永丰, 张蔚, 等, 基于网闸实现物理隔离的网上预约挂号系统[J].中国数字医学, 2010, 11 (20) :71-72.

发电企业内外网隔离技术研究与应用 第6篇

根据发电企业信息安全保障相关规定要求,在企业运营过程中,要加强办公网络与互联网访问控制,提高员工使用计算机应用系统的信息安全标准,防范由于互联网攻击导致的数据泄露、系统崩溃等安全隐患。本文首先对神华国华电力公司(以下简称“公司”)现有网络情况及网络隔离技术的现状进行了描述,然后介绍了双网隔离技术的应用,通过双网隔离技术对现有网络进行了一系列改造措施:部署无线网络,方便笔记本、手机及平板电脑等移动终端接入;部署终端安全管理设备、内网防火墙等,建立了安全可靠的内网办公环境,实现公司内部办公网络与外部互联网的隔离,从而避免了由于互联网攻击导致的企业内部信息外泄,提升发电企业整体信息安全水平。

1 研究背景

随着通信技术、信息技术、网络技术的不断发展,越来越多的用户通过手机、PC等终端连接到网络,网络中用户数据和信息的安全引起了学术界和产业界的广泛重视。为了确保网络中用户的信息安全,一系列的技术被提出,例如隐私保护技术[1,2,3]、网络隔离技术[4,5,6]等。网络隔离技术是指2个或2个以上的计算机或网络在断开连接的基础上,实现信息交换和资源共享。通过网络隔离技术既可以使2个网络实现物理隔离,同时又能在安全的网络环境下进行数据交换。网络隔离技术的主要目标是将有害的网络安全威胁隔离开,以保障数据信息在可信网络内在进行安全交互[7]。本文主要针对内外网隔离技术在企业中的应用进行了介绍。

典型发电企业网络是集团型网络构架,由局域网、广域网、互联网3个部分组成,员工使用笔记本电脑可通过局域网访问企业内部应用,通过广域网访问下属单位应用,同时可以通过互联网访问互联网资源。

1)目前公司局域网由2台核心交换机、若干台汇聚及接入交换机组成,部分信息点已进行端口认证。由于原信息点少且部分信息点老旧损坏,导致很多用户只能通过集线器(HUB)或小型交换机接入,影响内网的统一安全管理。

2)公司广域网由2台核心路由器分别连接下属单位路由设备,分别组成视频网和数据网,用于承载日常办公数据和视频会议数据传输业务,部分单位在数据网专线设置防火墙等安全设备进行安全防护。

3)公司互联网出口采用中国电信光纤专线方式,经外网交换机连接防火墙,通过串接的上网行为管理设备后接入汇聚交换机进而接入核心交换机,为公司用户提供互联网访问服务的同时,为邮件、外网网站等互联网应用提供映射服务,暂未设置隔离区(Demilitarized Zone,DMZ),存在一定安全风险。

由于公司员工电脑能同时访问内部办公网、其他单位网站(简称内网)和外部互联网(简称外网),本身可能成为病毒或木马的跳板,进而影响内网安全。同时由于部分员工不注意信息安全防护,私装未授权软件、私自设立无线设备等情况时有发生,导致公司内部信息系统极易受到病毒和黑客的攻击,核心数据资源存在泄露的风险,因此亟需开展内外网隔离研究工作,避免企业核心数据资产泄露的风险。

2 系统总体设计

2.1 建设目标

1)部署无线网络设备以访问互联网,提供笔记本、手机及平板电脑等移动接入。

2)部署终端安全管理设备、内网防火墙建立安全可靠的办公内网环境,实现公司内部办公网与外部互联网的隔离,防范来自互联网的攻击,避免企业内部信息外泄,提升公司整体信息安全水平。

2.2 设计原则

1)先进性:整个系统保持一定的先进性,采用的设备和技术应能适应未来的技术发展。

2)实用性:系统性价比高,易维护、易使用、运行费用低。

3)扩展性:系统采用结构化设计,能够适应不断增加的扩展需求,当系统扩容时,只需简单增加硬件设备即可。

4)兼容性:整个系统能运行于不同的操作平台和语言环境,并能与不同厂商的产品兼容。

5)灵活性:系统构建方式简单,功能配置灵活,充分利用现有设备资源,能满足不同业务部门的需要。

6)可靠性:系统安全可靠性高,有足够的抗干扰能力。

7)安全性:在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境采取不同的措施,包括系统安全机制、数据存取的权限控制等,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w、802.1s、ACL、PORT+IP+MAC绑定等。

8)高性价比:系统所选用的设备性能卓越,并尽可能降低工程造价。

3 系统方案设计

根据信息安全保障相关要求,加强办公网络与互联网访问控制,提高员工使用计算机应用系统的信息安全标准,保障数据流转的安全可靠,防范互联网攻击导致的数据泄露、系统崩溃等风险隐患,通过对公司网络及应用系统分析研究,结合国华网络布线现状,采用双网隔离技术对网络进行统一改造:新部署无线网用于互联网访问,提供笔记本、平板电脑等移动接入;新购终端安全管理设备、内网防火墙加强有线网络防护,建立安全可靠的办公内网环境,通过台式一体机电脑安全接入内网,提升公司内网的安全性,保障公司核心业务系统和数据的安全。

通过部署三层交换机、POE交换机、无线AC、无线AP及无线控制系统,在公司3座办公楼宇开通无线互联网访问服务,支持便捷的访客网络授权及监管。

公司原有网络架构如图1所示。

用户接入无线网络需要通过安全的认证方式以保障使用者的合法性,无线网络采用基于用户名和密码+主机的认证方式进行用户认证[8],使用接入认证系统对网络中接入的终端设备进行识别及统一管理,可对员工、访客、设备管理员进行基于角色、设备类型、接入时间、接入地点的网络访问控制,无线网通过无线控制器实现对接入用户的控制,公司用户通过MAC地址审核后方可接入无线网络[9],实现互联网访问。同时为外来人员提供Guest账号,外来人员需先提交MAC地址入网申请,经过管理员审批后可接入无线网络。

升级改造现有有线办公网络,在用户接入网络与服务器网络之间增加防火墙,设置访问策略,进行用户访问控制,保障ERP等内网应用安全。在公司的网络边界处设置防火墙及访问策略,加强内网边界安全防护,避免其他未隔离单位对国华内网安全的影响。利用防火墙将公司的网络隔离为5个逻辑区域,分别为广域网、数据网、视频网、内网服务器区、内网用户区,区域间根据公司的业务特点和重要信息资产的分布,对进出公司内网的访问进行控制,实现以下安全目标:

1)控制从内网用户区到内网服务器区、数据网、视频网和广域网的访问,限制各区域内用户访问公司数据的权限;

2)控制逻辑区域之间的访问,限制访问类型,确保只有授权许可的访问才能进行,未经允许的访问全部被禁止;

3)重点保护内网服务器区,特别是针对重要信息的访问,必须经过防火墙的访问授权后方可实现,杜绝非授权的访问;

4)利用防火墙有效记录区域间的访问日志,为出现安全问题时提供备查资料。

在互联网出口设置支持应用防护的防火墙,并为需要进行互联网数据交换的系统(如邮件、补丁服务器)设立安全DMZ区,有效抵御来自互联网的攻击。利用防火墙为公司的DMZ服务器区提供安全保护,在DMZ服务器区与其他区域之间配置相应策略,并对进出公司DMZ区域的访问进行控制[10],同时配合现有上网行为管理设备加强对互联网访问的有效管控,避免过度的带宽占用,并按相关要求保存访问记录。

内外网隔离网络拓扑如图2所示。部署终端安全管控及网络准入服务器,加强内网接入及终端安全管理,对内部终端计算机进行集中的安全保护、监控、审计和管理,自动向终端计算机分发系统补丁,控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况,能够自动收集终端曾经使用过的USB设备的历史记录,并能够单独禁用无法确定用途的USB设备,保障USB接口的正常使用,同时还能够对未知设备进行自动检测和采样,实现对未知和新增设备的有效控制和管理,灵活、有效地保护企业机密,确保企业员工与外界的数据交换可控,防止通过终端外设进行非法外联,防范非法设备接入内网,有效管理终端资产,降低病毒传播的风险[11]。

升级原有交换机IOS版本到最新版本,开启Radus认证并将认证服务器指向新部署的准入服务器,在用户终端(服务器)安装准入程序对用户进行实名管理(将用户名、工号、计算机MAC地址进行绑定)[12],统一部署用户外设管理策略及网络访问策略。

建立安全便捷的访客网络管理机制,制定用户接入内网或外网的管理制度及审批流程,实现对内网或外网访客行为的有效管控。

4 技术创新点

4.1 以无线+有线方式实现企业内外网隔离

公司原有信息布线系统信息点少且分布不均,如果采取传统双网隔离手段必须对办公楼墙面和地面重新开槽挖沟布线,成本高昂,而本次隔离工作通过建设公司无线应用网络及认证系统,实现了用户移动设备互联网访问的安全接入,同时通过对原有有线网络进行改造,实施网络准入认证和边界控制,实现了内网用户的安全接入,进而实现企业内外网访问的安全有效隔离,而且结构简单,管理便捷。

4.2 实现员工、访客个人移动设备互联网访问安全接入

新建成的无线网络除了通过用户名密码+MAC认证方式实现员工通过笔记本电脑访问互联网的同时,还可以通过Portal认证、访客管理等方式实现办公区域内用户及访客个人手机、平板电脑的安全接入,有效满足后PC时代用户的网络接入需求。同时通过VLAN隔离及访问带宽限制,配合上网行为管理设备,采取疏解和封堵相结合的方式,方便用户访问互联网的同时避免了用户私接无线AP导致的安全隐患。

4.3 多技术结合实现内网接入安全认证

1)通过部署终端安全管控及网络准入服务器,对内部终端计算机进行集中的安全保护、监控、审计和管理,自动向终端计算机分发系统补丁,控制计算机终端的并口、串口、移动存储设备、Modem拨号、蓝牙、USB等外设的使用情况,实现对未知和新增设备的有效控制和管理。

2)升级原有交换机IOS版本到最新版本,开启Radus认证并将认证服务器指向新部署的准入服务器,在用户终端(服务器)安装准入程序,对用户进行实名管理(将用户名、工号、计算机MAC地址进行绑定),统一部署用户外设管理策略及网络访问策略。

3)实现对用户内网计算机软件的标准化安装,统一部署安全认证程序,实现客户端软件标准化。通过多种安全手段的综合应用,确保企业员工与外界的数据交换可控,防范非授权设备接入内网,防止通过内部终端非法外联行为,确保内网的数据安全。

5 结语

本文围绕保障信息安全、加强办公网络与互联网访问控制的目标,结合后PC时代移动设备无线接入需求,创新性地采取无线+有线方式实现内外网隔离,避免采取传统双网隔离手段对办公楼墙面、地面重新开槽挖沟布线的改造,可节省大量实施成本并缩短实施工期,避免对现有办公环境的破坏及正常办公秩序的影响,实现网络结构的简化和管理方式的优化。同时无线网络还实现了用户及访客个人手机、平板电脑的安全接入,有效满足后PC时代用户网络接入需求,通过疏解和封堵相结合的手段避免用户私接无线AP导致的安全隐患。通过升级交换机IOS版本、开启端口Radus认证,部署终端安全管控及网络准入服务器,加强网络边界安全管控、标准化用户终端软件等多技术相结合的方式,实现对内网接入及访问安全的有效管控,确保内网数据安全。通过本文方案可实现公司内部办公网与外部互联网的安全隔离,实现对互联网攻击行为的有效防范和内网数据的有效保护,提升企业信息安全的整体水平。

何宁

参考文献

[1]兰丽辉,鞠时光.基于差分隐私的权重社会网络隐私保护[J].通信学报,2015,36(9):145-159.LAN Li-hui,JU Shi-guang.Privacy preserving based on differential privacy for weighted social networks[J].Journal on Communications,2015,36(9):145-159.

[2]兰丽辉,鞠时光.基于向量相似的权重社会网络隐私保护[J].电子学报,2015(8):1568-1574.LAN Li-hui,JU Shi-guang.Privacy preserving based on vector similarity for weighted social networks[J].Acta Electronica Sinica,2015(8):1568-1574.

[3]孙福林.面向权重隐私的社会网络隐私保护技术研究[D].南京:东南大学,2014.

[4]万平国.网络隔离与网闸[M].北京:机械工业出版社,2004.

[5]邓智群,刘福,慕德俊,等.网络隔离体系结构研究[J].计算机应用研究,2005,22(5):219-221.DENG Zhi-qun,LIU Fu,MU De-jun,et al.Research on networks’gap architecture[J].Application Research of Computers,2005,22(5):219-221.

[6]李正茂.网络隔离理论与关键技术研究[D].上海:同济大学,2006.

[7]周铀,黎强,刘宇.基于网络的远动状态监测系统研究与应用[J].电网与清洁能源,2014,30(11):65-67.ZHOU You,LI Qiang,LIU Yu.Research and application of the condition monitoring system of tele-mechanical device based on computer network[J].Power System and Clean Energy,2014,30(11):65-67.

[8]贾铁军.网络安全技术与应用[M].北京:机械工业出版社,2014.

[9]姚琳.无线网络安全技术[M].北京:清华大学出版社,2013.

[10]特南鲍姆.计算机网络[M].北京:清华大学出版社,2012.

[11]冯登国,赵险峰.信息安全技术概论[M].北京:电子工业出版社,2014.

内外网融合 第7篇

泰州电视台有三个非编制作网络, 两个索贝E-NET网和一个新奥特喜马拉雅制作网, 三个网相互之间无网络连接, 相互独立。为确保制作网络的系统安全性, 防止病毒入侵和网络攻击, 三个制作网络与互联网、办公网之间物理隔绝, 内、外网之间不能相互访问。这种做法保证系统安全性, 但给制作网络和外界文件的交换带来很多不便。目前内外网文件交换做法通常有两种:一种采用两套以上的杀毒 (卡巴斯基和瑞星等) 的软件对U盘进行杀毒, 然后将杀过毒的U盘拿到在制作网内的固定机器上拷入网络;另一种是通过USB摆渡的方式将外网数据拷入制作网内部。USB摆渡方式采用在制作网的内部和外部装有专门用于文件传送的电脑, 两台电脑之间通过USB端口使用专用USB对联线相连, 两台机器上装有文件同步软件, 采用USB传输协议, 这种做法实现的原理和第一种方式基本相同, 都是采用USB端口来隔离网络协议, 防止网络攻击。这些做法隔离了网络协议攻击, 但USB传输协议不是私有协议, 而是公开的通用的协议, 由于杀毒软件的滞后性, 对于针对USB传输协议的开发恶意文件总是能传入到内网当中去, 一旦病毒进入内部制作网, 将会对网络的安全带来重大的影响, 基于以上考虑, 以及泰州电视台急需一种高效、安全的文件传送机制的考虑, 寻求一种既具有实现文件内外网自由、方便、受控的传送功能, 又要全方面保障网络的安全的文件传输系统, 显得尤为迫切。

二网阐过滤系统概述

2010年上半年, 泰州电视台相关技术人员在了解网阐工作原理后, 一致认为网阐是网络隔离最基本、最有效的安全措施, 网阐是在物理层次上限定网络访问范围, 同其他安全措施不同, 由于它工作在OSI最低层, 因此避免了因平台漏洞导致的安全隐患, 能够稳定可靠地实现既定安全目标。网阐传送数据是指剥离各类网络协议利用物理电子开关进行数据传送, 从而杜绝网络攻击和病毒。我们最终确定建成以网阐为核心的内外网文件传输系统, 实现内、外网数据文件的安全传输。系统构成如图1。

系统分为三部分:非信任端、网阐过滤、信任端。网阐是处于内外网之间的核心交换过滤设备, 网阐的安全性和性能决定整个系统的安全性和性能, 因此网阐的选型非常重要, 目前国内有多家网阐生产厂家, 网阐的内部架构技术不尽相同, 我们选用的珠海伟思公司的ViGap300网阐, 该网阐采用多种技术手段来保证数据传输安全可靠。

第一, 采用“2+1”安全体系架构, 由内网系统端, 中间隔离部件, 外网系统端三部分组成;传输采用无协议的“GAP Reflective”, GAP隔离反射技术实现开放网络通讯协议的剥离与重组, 通讯方式彻底私有, 有效阻断来自网络层及服务器OS层的各类已知/未知攻击, 弥补其他安全技术对网络未知攻击的防御盲区。通过基于ASIC芯片技术设计的专用物理隔离部件, 实现用户关键网络及服务系统与外界的物理隔断, 实现链路层与网络层彻底断开。

第二, 协议剥离与重组技术, 有效阻断来自网络层及服务器OS层的各类已知/未知攻击, 并通过摆渡机制在可控环境下实现内外网间应用层的数据交换。

ViGap300网阐应用支持各类通用应用协议 (HTTP、FTP、SMTP、SAMBA、NFS、DNS、SQL等) , 支持数据库同步、数据库访问、文件访问、文件同步、视频会议、流媒体以及VPN等特殊应用代理以及用户定制协议, 无需再进行二次开发或单独购买模块。

系统建成后, 使用一台网阐设备供三个制作网络共享使用。非信任端向信任端文件传输可约定传输的文件格式, 防止病毒文件传入内网。外网文件服务器上对不同的文件格式安装有与之对应的文件扫描特征代码文件, 该文件服务器能对文件内容进行扫描、比对, 区别于只对文件后缀名扫描, 对于限定的文件格式通过更改文件后缀名的方式仍然是通不过网阐。根据不同的网络文件需求, 厂家可定制相应的文件特征代码, 增加文件通过格式, 只需要添加相应的文件特征代码文件, 便于系统的扩展。泰州台设定的信任文件格式有六类:图片格式为JPG、TGA两种;文本格式为TXT格式;视频文件格式为索贝AVI格式;音频格式为WAV、MP3两种格式。在安装厂家为泰州台定制的文件特征代码文件后, 网阐能对上述格式进行文件内容扫描、过滤, 确保非上述格式文件不能通过网阐进入到信任网络端。由信任网络经网阐转移到非信任网络的文件格式也同样具有上述功能。建成后网阐系统通过在交换机上划分虚拟网等设置保持原来的三个制作网络之间仍不互联, 相对独立。

三硬件设备配置

系统以网阐为核心对内、外网进行物理隔离, 为整个系统提供高安全的保障, 网阐通过1GB网络端口连接信任端和非信任端, 内部采用电子对开关物理隔离信任端和非信任端, 担任网络隔离和数据私有协议传送。

外网非信任端文件服务器采用HP DL380服务器, 使用Windows Server 2003操作系统, 服务器同时与办公网络和网阐相连, 服务器安装有网阐数据传输过滤软件、FTP服务软件、人员登录WEB服务软件。使用人员可在泰州台办公网络中的任一台电脑上使用FTP或WEB方式通过该服务器向三个制作网中的任一个制作网络传送约定格式的文件资料。

信任端在每一个制作网上装有内网文件传送、接收的服务器, 该服务器装有文件传送接收软件, 可接收外网通过网阐传送过来的文件, 也可将内网的文件通过网阐发送到外网批定的目录中去, 传出的文件可在外网通过FTP和WEB人员账号登录后查看和下载。

四软件配置和文件传送流程

每台文件服务器上安装有文件同步管理软件, 负责文件传送和文件格式过滤, 在外网文件服务器上还安装有FTP传输服务和WEB人员账号登录服务。网阐系统配置采用专用端口、专用客户端以防止任何非法改动, 保障网阐的安全性。数据文件传输流程有以下两个:

1. 文件由非信任端发往信任端

如图2, 非信任端可以是办公网 (若连入互联网也可是互联网) 中的任一台电脑, 也可以是连接外网服务器的客户端电脑, 非信任端有FTP和WEB两种上传文件方式, 采用B/S架构方式, 登录方式为账号加密码。人员认证登录后, 需拷贝的文件通过非信任端网络进入非信任端文件服务器的相对应的目录, 经网阐过滤后到达信任端文件服务器与之对应的文件目录, 具体目录可在同步软件中设置。由信任端文件服务器根据人员账号信息自动同步该文件到相对应的制作网络的相关文件服务器的目录下。在整个流程中, 非信任端服务器能监控每个用户的操作, 记录每个用户的操作, 方便日后查询和管理。

2. 文件由信任端发往非信任端

信任端文件服务器同样也建有文件传送服务, 指定文件传输的路径, 信任端的文件服务器也具备文件格式过滤功能, 可防止特定类型的文件不被用户向外网传送。传出文件经信任端文件服务器到达网阐, 经网阐隔离、过滤后到达非信任端指定目录中。使用者在非信任端通过FTP或是WEB登录后, 即可在自己账号下的目录下看到传出的文件, 选择下载即可。

五运行状况

系统建成投入使用后, 经大半年的运行, 未曾出现过死机或其他故障, 在使用过程中, 我们及时与网阐厂家进行多次沟通, 其间升级了文件传输模块, 使得文件传输速度更快、更稳定, 支持3G流媒体文件传送。添加了WORD、AVI、EXCEL、DVD等多种文件过滤格式, 支持更多的应用。

运行期间, 制作网络的安全性一直是我们关注的重点, 一旦有病毒攻击突破网阐进入制作网内部, 将会给制作网带来不可估量的灾难, 为此我们采取多种措施组合核查网络运行状况:

●在内网抽出部分站点, 经卡巴斯基、瑞星、360等杀毒软件检查, 扫描中未曾发现有病毒和风险;

●在网络内部查看站点机器的系统进程, 未发现有可疑进程;

●利用网络流量监控软件监控整个系统网络流量, 未曾发现网络流量异常。

内外网融合 第8篇

智能电网是世界电网发展的必然趋势,也是发展的共同趋势。随着信息技术与输配电基础设施的高度集成,通过对发、输、配、变、用电各个环节的安全保护和监测,提升电网的智能化水平,引入多种新能源接入电网,可实现电网安全、可靠、经济发展的目标[1,2]。

美国2003 年大停电事件后着力开展智能电网相关技术的研究,关注利用新型技术改造原有的传统电力网络基础框架和设施。欧盟委员会2006 年发布《A European Strategy for Sustainable,Competitive and Secure Energy》[3],明确强调“欧洲已经进入一个新能源时代,智能电网是未来欧洲电网的关键技术和发展方向”。2009 年我国提出“坚强智能电网”,从规划试点、全面建设到引领提升3 个阶段逐步推动智能电网的建设工作。

智能电网随着信息通信和控制技术的发展而呈现出信息化、自动化、互动化的特征,使得信息领域与管理控制紧密结合,由此也带来很多信息安全隐患。电力信息网络外联互联网、内接电网生产管理,是枢纽也是防线,因此确保电力信息网络的安全是重中之重。随着智能电网互动化业务的推广应用,电力信息内外网数据交互越来越频繁,针对网络边界的高风险恶意攻击也越来越多,因此如何保障信息内外网边界安全是亟需解决的关键问题。目前国家电网公司(以下简称公司)研发的产品虽然已实现了交互对象的安全过滤,但是没有实现对边界安全的网络行为监测审计,没有形成面向信息内外网边界的安全监控和审计体系;公司内外网边界安全防护属于一种被动式防御体系,处在事后跟踪的尴尬位置,不能及时有效地发现和追溯到恶意攻击事件。

1 信息内外网边界交互信息安全监测模型简介

目前,公司内外网边界安全防护措施偏重于隔离防护,不能及时发现和追溯恶意攻击事件。为适应智能电网背景下外网与互联网广泛互联的趋势,在维持信息内外网边界隔离防护强度不变的前提下,迫切需要研究信息内外网边界安全防护关键方法,实现边界交互数据实时监控和精确采集、边界交互日志深度挖掘、边界安全态势在线评估和态势预测,确保信息内外网边界交互安全。在公司多道防御系统建设的基础上,文章研究信息内外网边界安全防护关键方法,全面掌握信息内外网边界从点到面的安全状态,识别边界安全事件和安全威胁,形成边界安全监控防御体系,建立信息内外网边界海量交互信息安全监测模型,实现了边界交互数据的实时监控、网络行为的采集以及数据库访问的追溯[4,5]。信息内外网边界交互信息安全监测系统如图1 所示。

2 信息内外网边界交互信息安全监测模型构成

信息内外网边界交互信息安全监测系统主要分为以下几个部分。

2.1 信息采集

信息采集的要素包括安全边界和设备节点的安全日志以及数据流。

数据流实时采集面向信息内外网交互的安全日志数据流,具有数据连续、数据量大的特点。按照固定的次序,这些数据元素只能被读取一次,所以采用数据流复制技术来捕获指定数据包。因为公司研发的产品采用私有传输协议,传输通道采取自定义加密算法,所以在获取到数据包后需要对数据包进行动态解密,过滤掉与数据库协议流不相关的数据包,再提取数据库协议流相关的协议包中的数据。

日志信息采集从多个应用服务器端以及公司研发的产品上获取应用日志、系统日志以及服务日志。

2.2 信息预处理

信息处理即对部署于网络边界的设备系统日志、应用日志、服务日志、数据流等进行处理,对日志进行降维处理以及数据分析,对数据流进行对象特征提取。

1)日志处理。在对智能电网信息内外网交互的海量日志数据流进行采集时,日志数据流通常存在重复冗余、特征维度大以及数据之间的逻辑关联不能描述等问题;同时,边界安全日志事件空间维度与复杂度很高,日志文件每天以GB的速度增长,给日志存储与日志分析带来了困难。虽然可采取日志分级处理的方式对日志信息进行简单分级,但是仍不能根据用户自己的需求有针对性地进行日志查看和日志分析。通过日志分块加密归档,依据应用的访问量及在内外网之间交互的数据量,减轻日志分析的复杂度以及日志存储空间的压力,对采集到的数据设置归档加密存储的频度,对已经分析处理后的日志采用非对称加密算法进行分块加密并存储。仅有管理员拥有解密方法和对归档日志进行调用和审查的权限,普通用户没有该权限,攻击者必须获取管理员权限才可以实现对日志文件的访问,具有一定的安全性。通过日志降维处理分析日志特征值(如时间戳、源地址、目的地址、端口、传输内容等),将重复冗余的日志数据合并为一条数据,以数量级递减的方式降低日志数据的规模和复杂度。

2)数据流处理。以数据流复制技术获取网络上的流量数据包,提取监测的对象信息,如总连接数、流量大小、数据包数等。

2.3 信息特征提取分析

1)日志特征值提取。通过对传输内容的分析,将数据还原到具体请求(如用户登录注销、SQL请求、大数据传输请求等);对解析到的数据进行词法、语法及语义分析形成统一的网络行为格式;通过对各类行为规律进行特征提取和分析,建立网络行为审计模式库和用户行为审计模式库;采用数据挖掘技术、机器学习技术对各行为进行合并处理,进一步优化和构建典型的行为活动。

2)构建多对象轮廓线。针对数据流的不同对象,构建多个正常状态的曲线轮廓线;使用自适应调整参数的方式对抓取的流量数据包进行实时分析、与预先构建的轮廓线进行比较、检测异常状况并记录到异常状况流量值库。若一个周期的实际曲线点值都在定义的正常范围内,则通过均值算法[6]将这一周期的点值加入参照轮廓线,生成新的参照轮廓线。

2.4 知识库建立

信息内外网间的攻击主要包括SQL注入、拒绝式服务攻击、病毒、木马等基本攻击以及高级可持续威胁(Advanced Persistent Threat,APT)等高级攻击。这些攻击都有自身的特征,通过对这些特征进行研究,建立典型知识库。目前常见的网络攻击如端口扫描、拒绝式服务攻击、flood攻击、ping of death、Land等都有其自身的独特性:端口扫描——同一个源地址访问不同的目的地址或端口;拒绝式服务攻击——网络带宽和系统资源消耗很大,无法响应其他服务;flood攻击——大量异常的报文发向服务器;ping of death—— Internet控制消息协议(Internet Control Message Protocol,ICMP) ECHO包字节数超过64 KB;Land——相同的源地址和目的地址;等等。通过对网络数据流的分析,识别异常数据流,根据已知的攻击行为特征,构建攻击行为特征库,可实现流量类型和网络行为的统计和准确识别。

知识库构建的分为以下几个步骤。

1)构建正常行为特征库和攻击行为特征库,针对各类网络行为的特征,在各自特征库中按照行为特征进行分类存储;采用基于规则与基于机器学习的方法建立特征库,运用黑白名单相结合的方法判定网络行为的性质;通过机器学习方式,构建合理的网络行为和用户访问,通过长时间的学习,全面地构建知识库。

2)构建正常数据库访问行为库和异常数据库访问行为库。

3)针对异常特征的数据流,记入异常数据流特征库。

2.5 关联分析

关联分析是在入侵检测领域中常用的一种数据挖掘分析方法,用于挖掘数据之间的关联性以及数据间隐藏的关系。主要的挖掘算法有Apriori算法、DHP算法、Apriori Tid算法、FARM算法、AutoApriori算法、AVM算法、Step Length算法、STBAR算法、FP-growth算法、HCS-Mine算法等,其中很多算法是在Apriori算法的基础上衍生而来,通过分层推进的方式,由上一层产生的频繁项集得出候选项集,逐层推进直至无法继续找出频繁项集,根据预先设置好的最小支持度和可信度阈值挖掘出大于该支持度和可信度的候选集。

根据建立的知识库对相关信息进行多维关联分析[7],根据时间戳值和各个行为的特征关键字,采用基于划分的关联分析方法在攻击行为特征库、异常数据库访问行为库、异常数据流特征库对网络攻击行为进行横向关联分析,依据AB+AC=ABC的理念,形成该网络行为的新的攻击序列,得出新的攻击表现形式。

2.6 信息展示

信息可视化可直观地对网络状态、网络环境、访问行为等进行展示。根据管理员对监控内容的监测和审计需求,对各类告警信息、攻击行为、用户操作行为或数据流状态信息等采取分级分类的展示方式。同时,可以对当前边界安全状态的评估值进行展示,对未来安全状态的预测值进行可视化,直观地帮助管理员有效地指导信息内外网边界的安全布防。

3 结语

文章针对公司信息内外网边界交互的安全需求,构建信息内外网边界海量交互信息安全审计模型,建立信息内外网边界数据采集框架,形成多方知识特征库,为下一步信息内外网边界安全态势评估、态势预测和态势可视化提供必要的支撑,以此建立一种主动式防御体系,为信息内外网边界安全监测、采集和评估提供总体指导,提升信息内外网边界整体监测和审计水平,更好地推进坚强智能电网的建设工作。

参考文献

[1]安宁钰,徐志博,周峰.可信计算技术在全球能源互联网信息安全中的应用[J].电力信息与通信技术,2016,14(3):84-88.AN Ning-yu,XU Zhi-bo,ZHOU Feng.Application of Trusted Computing Technology in Global Energy Interconnection Cyber Security[J].Electric Power Information and Communication Technology,2016,14(3):84-88.

[2]张涛,李巍,廖谦.数据中心安全域划分及防护发展趋势[J].电力信息与通信技术,2015,13(1):112-115.ZHANG Tao,LI Wei,LIAO Qian.The partition of security domain and protection development trend of data center[J].Electric Power Information and Communication Technology,2015,13(1):112-115.

[3]European Commission.Energy 2020:A strategy for competitive,sustainable,and secure energy[R].Publications Office of the European Union,2011.

[4]国家电网公司,中国电力科学研究院,国网天津市电力公司.一种误报自适应的网络安全态势预测方法:中国,201410705040.6[P].2014-11-26.

[5]国家电网公司,中国电力科学研究院.一种参数自适应的网络安全态势量化评估方法:中国,201410535005.4[P].2014-10-13.

[6]蓝盾信息安全技术股份有限公司.一种网络边界异常监控方法:中国,200910214525.4[P].2011-07-06.