论文部分内容阅读
【摘要】以超化煤矿信息网络全网改造建设为基础,阐述了超化煤矿办公局域网、物资计划网、安全生产网、综合自动化工业监控网络等多网合一网络升级方案,重点介绍了网络安全隔离技术及企业上网行为管理策略在企业信息网络全网改造方案中的重要应用。
【关键词】全网改造;网络;安全;隔离;行为;管理
1、改造前网络状况
超化煤矿信息网络改造前分布有安全生产网﹑矿办公局域网﹑物资计划网、综合自动化工业环网四部分。由于多个网络间相互不能访问,这样在网络布置及使用过程中就存在诸多弊端。一是每个办公楼各工作地点需要同时布置多个网络时,就会造成网络线路繁杂﹑臃肿,不易维护;二是在日常办公中有时需要访问不同的网络,这时就要通过改变网络接口、修改IP才能实现,这样做不仅不利于正常工作,还容易在不同的网络系统间相互感染病毒和木马,给一些重要网络如矿安全生产网的正常运行带来了极大的安全隐患。
矿办公局域网改造前是通过一条ADSL接入互联网的, 互联网出口总带宽只有2M,由于带宽较窄上网速度慢,很多部门干脆私自拉专线上网,这样就不利于正常的办公管理,如部分员工上班期间玩游戏、看电影、炒股等做与工作无关的事情。
2、网络改造方案
超化煤矿的安全生产网和办公局域网是完全分开的独立网络,考虑改造后访问Internet量的需求,需增加矿外网出口带宽满足矿上办公上网;为了能实现对上网用户的行为及网络流量的监控,也为了能加强对网络的管理,则需在网络中加装一台深信服的行为审计;在实现矿上多网合一、互联互通的需求方面,通过在生产网络和办公网络之间部署物理隔离网闸,实现办公上网和生产信息化网络的联接,并保证网络之间的数据传输安全。
3、方案实施
3.1 对矿井瓦斯导航系统进行隔离保护。减少连入安全生产网的计算机台数(限制在10台以内), 安全生产网只接入瓦斯导航系统服务器﹑瓦斯监控主机及其备用机,各生产科室的计算机将不再直接接入安全生产网,这样瓦斯导航系统运行的外部风险减少很多,有效提高其安全运行保障水平。
3.2 多网合一。改造后全矿各办公地点只布置办公局域网,通过局域网可以访问安全生产网、综合自动化网络、物资管理网、互联网以及以后新增的网络应用系统。安全生产网、综合自动化网络与办公局域网之间安装网络安全隔离网闸,局域网与互联网之间安装防火墙,通过硬件隔离来保证整个系统的运行安全。
3.3 升级办公局域网带宽及互联网出口带宽。增加6对1000M光传输模块,使各楼宇间局域网带宽达到1000M;将我矿互联网出口带宽提高至50M,根据网络改造的需求,把原来的ADSL上网方式升级成光纤上网,直接从集团公司通信中心机房调通一对光纤至矿中心机房供办公上网使用,局域网与互联网之间增加防火墙和上网行为管理器,另外划分10个公有IP,用于通过互联网访问矿内部相关信息。
4、网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全,应具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:對信息的传播及内容具有控制能力。
超化煤矿网络安全主要依靠防火墙及联想网御安全隔离闸:
4.1 防火墙
(1)防火墙是网络安全的屏障。防火墙能提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
(2)防火墙可以强化网络安全策略。通过防火墙能将所有安全软件(如访问控制、存取控制、网络地址转换、代理、认证、日志审计等)配置在防火墙上,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(3)防火墙可有效防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
4.2 联想网御安全隔离闸
SIS-3000系列是联想网御依靠多年信息安全产品研发的积累,它采用多主机隔离结构,在业内首次提出并实现专有SIS安全隔离技术,把安全性 (Security)、智能性 (Intellegence)、高效性(Speed)完美的结合在一起。
1)安全性:通过专有安全芯片实现安全隔离,具有高度安全性。
2)智能性:通过信息摆渡机制,在硬件底层采用独立控制逻辑技术自动实现网络协议阻断和数据交换,而在应用层通过专有协议转换模块的处理,体现了系统具有高度的智能性。
3)高效性:采用专有硬件进行交换,内部设计了高速交换总线,采用DMA流水线传输技术,既不占用CPU时间,又能实现高速数据交换,实现了真正的高性能。
联想网御SIS-3000系列安全隔离与信息交换系统安装应用方便,通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换,最大限度的保证了用户应用的方便性。
5、上网行为管理策略
上网行为管理器内置国内最全的应用识别规则库,最大的网页地址库,结合深度内容检测技术、网页智能识别等技术,为客户解决网页过滤、封堵与工作无关的网络应用需求。
5.1 网页访问过滤。用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
5.2 网络应用控制。用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
5.3 带宽流量管理。用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
5.4 信息内容审计。用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
5.5 上网行为分析。用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
5.6 日志管理。通过日志的分类显示,可以让用户只看到自己关心的系统日志,而不需要从所有日志信息中慢慢筛选,从而更好的让用户了解系统的运行情况,方便快速定位和排除故障。
6、结束语
总之,网络信息安全是一个系统工程,必须将各种网络安全技术科学、有效的结合在一起,才能形成一个高效、通用、安全的网络系统,建成一个集全矿井生产各环节的过程控制自动化、生产综合调度指挥和业务运转网络化、行政办公无纸高效化的矿井综合信息网络平台,以此来满足企业发展需要和网络应用不断增长的需求。
【关键词】全网改造;网络;安全;隔离;行为;管理
1、改造前网络状况
超化煤矿信息网络改造前分布有安全生产网﹑矿办公局域网﹑物资计划网、综合自动化工业环网四部分。由于多个网络间相互不能访问,这样在网络布置及使用过程中就存在诸多弊端。一是每个办公楼各工作地点需要同时布置多个网络时,就会造成网络线路繁杂﹑臃肿,不易维护;二是在日常办公中有时需要访问不同的网络,这时就要通过改变网络接口、修改IP才能实现,这样做不仅不利于正常工作,还容易在不同的网络系统间相互感染病毒和木马,给一些重要网络如矿安全生产网的正常运行带来了极大的安全隐患。
矿办公局域网改造前是通过一条ADSL接入互联网的, 互联网出口总带宽只有2M,由于带宽较窄上网速度慢,很多部门干脆私自拉专线上网,这样就不利于正常的办公管理,如部分员工上班期间玩游戏、看电影、炒股等做与工作无关的事情。
2、网络改造方案
超化煤矿的安全生产网和办公局域网是完全分开的独立网络,考虑改造后访问Internet量的需求,需增加矿外网出口带宽满足矿上办公上网;为了能实现对上网用户的行为及网络流量的监控,也为了能加强对网络的管理,则需在网络中加装一台深信服的行为审计;在实现矿上多网合一、互联互通的需求方面,通过在生产网络和办公网络之间部署物理隔离网闸,实现办公上网和生产信息化网络的联接,并保证网络之间的数据传输安全。
3、方案实施
3.1 对矿井瓦斯导航系统进行隔离保护。减少连入安全生产网的计算机台数(限制在10台以内), 安全生产网只接入瓦斯导航系统服务器﹑瓦斯监控主机及其备用机,各生产科室的计算机将不再直接接入安全生产网,这样瓦斯导航系统运行的外部风险减少很多,有效提高其安全运行保障水平。
3.2 多网合一。改造后全矿各办公地点只布置办公局域网,通过局域网可以访问安全生产网、综合自动化网络、物资管理网、互联网以及以后新增的网络应用系统。安全生产网、综合自动化网络与办公局域网之间安装网络安全隔离网闸,局域网与互联网之间安装防火墙,通过硬件隔离来保证整个系统的运行安全。
3.3 升级办公局域网带宽及互联网出口带宽。增加6对1000M光传输模块,使各楼宇间局域网带宽达到1000M;将我矿互联网出口带宽提高至50M,根据网络改造的需求,把原来的ADSL上网方式升级成光纤上网,直接从集团公司通信中心机房调通一对光纤至矿中心机房供办公上网使用,局域网与互联网之间增加防火墙和上网行为管理器,另外划分10个公有IP,用于通过互联网访问矿内部相关信息。
4、网络安全
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全,应具有以下四个方面的特征:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:對信息的传播及内容具有控制能力。
超化煤矿网络安全主要依靠防火墙及联想网御安全隔离闸:
4.1 防火墙
(1)防火墙是网络安全的屏障。防火墙能提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
(2)防火墙可以强化网络安全策略。通过防火墙能将所有安全软件(如访问控制、存取控制、网络地址转换、代理、认证、日志审计等)配置在防火墙上,当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。
(3)防火墙可有效防止内部信息的外泄。通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
除了安全作用,防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。不仅省去了专用通信线路,而且为信息共享提供了技术保障。
4.2 联想网御安全隔离闸
SIS-3000系列是联想网御依靠多年信息安全产品研发的积累,它采用多主机隔离结构,在业内首次提出并实现专有SIS安全隔离技术,把安全性 (Security)、智能性 (Intellegence)、高效性(Speed)完美的结合在一起。
1)安全性:通过专有安全芯片实现安全隔离,具有高度安全性。
2)智能性:通过信息摆渡机制,在硬件底层采用独立控制逻辑技术自动实现网络协议阻断和数据交换,而在应用层通过专有协议转换模块的处理,体现了系统具有高度的智能性。
3)高效性:采用专有硬件进行交换,内部设计了高速交换总线,采用DMA流水线传输技术,既不占用CPU时间,又能实现高速数据交换,实现了真正的高性能。
联想网御SIS-3000系列安全隔离与信息交换系统安装应用方便,通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换,最大限度的保证了用户应用的方便性。
5、上网行为管理策略
上网行为管理器内置国内最全的应用识别规则库,最大的网页地址库,结合深度内容检测技术、网页智能识别等技术,为客户解决网页过滤、封堵与工作无关的网络应用需求。
5.1 网页访问过滤。用户可以根据行业特征、业务需要和企业文化来制定个性化的网页访问策略,过滤非工作相关的网页。
5.2 网络应用控制。用户可以制定有效的网络应用控制策略,封堵与业务无关的网络应用,引导员工在合适的时间做合适的事。
5.3 带宽流量管理。用户可以制定精细的带宽管理策略,对不同岗位的员工、不同网络应用划分带宽通道,并设定优先级,合理利用有限的带宽资源,节省投入成本。
5.4 信息内容审计。用户可以制定全面的信息收发监控策略,有效控制关键信息的传播范围,以及避免可能引起的法律风险。
5.5 上网行为分析。用户可以实时了解、统计、分析互联网使用状况,并根据分析结果对管理策略做调整和优化。
5.6 日志管理。通过日志的分类显示,可以让用户只看到自己关心的系统日志,而不需要从所有日志信息中慢慢筛选,从而更好的让用户了解系统的运行情况,方便快速定位和排除故障。
6、结束语
总之,网络信息安全是一个系统工程,必须将各种网络安全技术科学、有效的结合在一起,才能形成一个高效、通用、安全的网络系统,建成一个集全矿井生产各环节的过程控制自动化、生产综合调度指挥和业务运转网络化、行政办公无纸高效化的矿井综合信息网络平台,以此来满足企业发展需要和网络应用不断增长的需求。