CN110912878B - 基于vpn的信息管理系统网络安全防护方法及系统 - Google Patents
基于vpn的信息管理系统网络安全防护方法及系统 Download PDFInfo
- Publication number
- CN110912878B CN110912878B CN201911107472.6A CN201911107472A CN110912878B CN 110912878 B CN110912878 B CN 110912878B CN 201911107472 A CN201911107472 A CN 201911107472A CN 110912878 B CN110912878 B CN 110912878B
- Authority
- CN
- China
- Prior art keywords
- interconnection
- information management
- communication
- unit
- company
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于VPN的信息管理系统网络安全防护方法及系统,方法包括:骨干网互联;建立省级通信数据专网;数据采集与控制系统互联;VPN间横向互联;规划IP地址和路由;建立边界安全防护。系统包括:第一互联模块、第二互联模块、第三互联模块、规划模块以及安全防护建立模块,用于实现上述方法。本发明将各单位通信局域网通过通信CE接入数据通信骨干网,形成全国范围内的通信数据专网,实现总部和各省公司信息管理系统的互联。本发明能提高服务器操作系统、数据库系统的安全性,提高纵向互联、横向互联、数据采集与控制系统之间数据传输的安全性,提高数据通信骨干网及各VPN的安全性,且相比于现有防护方案,业务数据的保密性和完整性更好。
Description
技术领域
本发明涉及信息与通信工程领域,特别涉及电网信息与通信工程领域,具体涉及一种基于VPN的信息管理系统网络安全防护方法及系统。
背景技术
随着计算机网络的发展、互联网技术的更新迭代,人们对网络信息安全维护的意识越来越强烈。计算机网络信息安全与每个人都息息相关。新时代的信息共享给民众带来便利的同时,也带来了一些严重的后果。用户的信息被暴露无遗,这也带来重大的信息安全隐患。要知道,重要信息一旦发生泄露现象,其后果的严重性甚至是不可估量的。比如,有些银行会将客户信息贩卖给社会上的理财企业、保险公司等等,这些公司企业就以这些人群为自己的潜在客户,不断进行信息、电话的骚扰等等。切实维护网络信息安全,对个人、企业和任何集体来说都是至关重要的。因此,进行切实有效的网络信息防护势在必行。
目前,我国计算机网络技术水平已经成功与国际接轨,信息安全问题成为其发展的主要问题。纵观我国互联网信息安全环境,可以看到在网络信息这一领域,主要受到三大问题的影响与制约,需要得到及时有效地解决。其一是自然环境的影响,其二是人为因素的制约,其三就是计算机问题等。只有结合高科技手段与网络监控这两方面的工作,才能保障计算机网络信息的安全性和可靠性。针对计算机自身特性而言,安全性保障主要由物理安全(即硬件设备及周边)和逻辑安全(即信息数据、软件系统等)两部分组成,缺一不可。只有针对性地展开完善性工作,才能最大程度地提高计算机网络的安全性能。
但目前相关的应对技术或防护工作开展的却是不甚理想。主要体现在:(1)信息的保密性以及完整性不足,处在21世纪,计算机网络打造出了一个巨大的虚拟世界,而如果想要进入这个虚拟世界,就必须留下个人信息。这些信息的完整性不足,更有很多信息长期处在无监管的状态之下,这给信息的管理带来了很大的隐患。(2)信息授权以及认证方面存在短板,就计算机系统而言,信息的授权以及认证能够直接关系到计算机内部信息的安全性。所谓授权指的就是将信息关联到网络权限中的过程,依靠信息管理系统,用户能够浏览与保存信息。然而如果信息授权方面存在短板,就会影响计算机信息管理系统的正常运行,使得信息的安全性大打折扣。(3)信息访问以及安全监测不足,信息访问环节是整个信息管理安全防护工作的核心,一旦访问端出现问题,访问者的身份信息就有可能读取失败,如果这一漏洞被不法分子利用,那么信息访问控制将形同虚设。大量外来访问者涌入系统之中,这无疑为信息管理安防工作带来了巨大的挑战。
发明内容
本发明的目的在于提供一种具有数据传输安全性高、保密性好和完整性好等优点的信息管理系统网络安全防护方法及系统。
实现本发明目的的技术解决方案为:一种基于VPN的信息管理系统网络安全防护方法,所述方法包括:
骨干网互联;
建立省级通信数据专网;
数据采集与控制系统互联;
VPN间横向互联;
规划IP地址和路由;
建立边界安全防护。
进一步地,所述骨干网互联包括:
骨干网PE与各单位通信CE间的路由配置;
各单位通信CE、安全防护设备、接入交换机的互联与配置;所述各单位包括总部、省级单位系统,省级单位系统包括省公司本部、各地市公司,所述配置包括配置IP地址、路由、安全策略。
进一步地,所述建立省级通信数据专网包括:
建立省公司本部通信局域网;
建立各地市公司通信局域网;
将所述省公司本部通信局域网与所述各地市公司通信局域网互联;所述互联具体通过分别在省公司本部、各地市公司部署广域网接入路由器设备实现;
在省公司本部部署第一信息管理系统,包括在所述省公司本部通信局域网内部署第一信息管理子系统、第一数据采集与控制系统以及第一正/反向隔离装置,并配置第一数据采集与控制系统向第一信息管理子系统传输数据;
在各地市公司部署第二信息管理系统,包括在所述各地市公司通信局域网内部署第二数据采集与控制系统以及第二正/反向隔离装置,并配置纵向路由,该纵向路由用于实现第二数据采集与控制系统内的采集服务器通过各地市公司通信局域网与省公司本部的第一信息管理系统进行数据交换。
进一步地,所述数据采集与控制系统互联包括:总部的数据采集与控制系统、省公司本部的第一数据采集与控制系统以及各地市公司的第二数据采集与控制系统之间通过正/反向隔离装置实现互联,所述正/反向隔离装置包括第一正/反向隔离装置、第二正/反向隔离装置以及在总部部署的第三正/反向隔离装置。
进一步地,所述VPN间横向互联包括:
所述省公司本部通信局域网与省公司本部内部署的其他局域网互联;
所述各地市公司通信局域网与各地市公司内部署的其他局域网互联。
进一步地,所述规划IP地址和路由,包括:
为各单位的信息管理系统分配一段IP地址;
在所述一段IP地址内规划各单位的信息管理系统使用的IP地址;
在边界路由器上配置以下路由:a、总部和各省级信息管理系统之间的网络路由,所述省级信息管理系统包括省公司本部的信息管理系统和各地市公司的信息管理系统;b、各单位的信息管理系统与本单位其他系统之间的网络路由。
进一步地,所述建立边界安全防护包括:
建立VPN间纵向互联边界安全防护:在总部与省公司本部互联边界、省公司本部与各地市公司互联边界,部署安全防护设备;
建立通信局域网边界安全防护:在省公司本部通信局域网边界、各地市公司通信局域网边界,部署正/反向隔离装置设备;
建立通信局域网与其他局域网互联边界安全防护:在省公司本部通信局域网与省公司本部内部署的其他局域网的互联边界、在各地市公司通信局域网与各地市公司内部署的其他局域网的互联边界,部署安全防护设备;
建立信息管理系统内插件间边界安全防护:在信息管理系统内的插件间,部署安全防护设备或通过交换机划分VLAN隔离;
建立第三方软件接入信息管理系统边界安全防护:在第三方软件接入信息管理系统的边界,部署逻辑强隔离装置。
一种基于VPN的信息管理系统网络安全防护系统,包括:
第一互联模块,用于实现骨干网互联;
通信数据专网建立模块,用于建立省级通信数据专网;
第二互联模块,用于实现数据采集与控制系统的互联;
第三互联模块,用于实现VPN间横向互联;
规划模块,用于规划IP地址和路由;
安全防护建立模块,用于建立边界安全防护。
进一步地,所述第一互联模块,包括:
第一互联单元,用于实现骨干网PE与各单位通信CE间的路由配置;
第二互联单元,用于实现各单位通信CE、安全防护设备、接入交换机的互联与配置;所述各单位包括总部、省级单位系统,省级单位系统包括省公司本部、各地市公司,所述配置包括配置IP地址、路由、安全策略;
进一步地,所述通信数据专网建立模块,包括:
第一通信局域网建立单元,用于建立省公司本部通信局域网;
第二通信局域网建立单元,用于建立各地市公司通信局域网;
局域网互联单元,用于实现所述省公司本部通信局域网与所述各地市公司通信局域网的互联;所述互联具体通过分别在省公司本部、各地市公司部署广域网接入路由器设备实现;
第一配置单元,用于在省公司本部部署第一信息管理系统,包括在所述省公司本部通信局域网内部署第一信息管理子系统、第一数据采集与控制系统以及第一正/反向隔离装置,并配置第一数据采集与控制系统向第一信息管理子系统传输数据;
第二配置单元,用于在各地市公司部署第二信息管理系统,包括在所述各地市公司通信局域网内部署第二数据采集与控制系统以及第二正/反向隔离装置,并配置纵向路由,该纵向路由用于实现第二数据采集与控制系统内的采集服务器通过各地市公司通信局域网与省公司本部的第一信息管理系统进行数据交换;
进一步地,所述第二互联模块,包括:
第三互联单元,用于通过正/反向隔离装置实现总部的数据采集与控制系统和省公司本部的第一数据采集与控制系统互联;
第四互联单元,用于通过正/反向隔离装置实现省公司本部的第一数据采集与控制系统和各地市公司的第二数据采集与控制系统互联;
第五互联单元,用于通过正/反向隔离装置实现总部的数据采集与控制系统和各地市公司的第二数据采集与控制系统互联。
进一步地,所述第三互联模块,包括:
第一VPN间横向互联单元,用于实现省公司本部通信局域网与省公司本部内部署的其他局域网互联;
第二VPN间横向互联单元,用于实现各地市公司通信局域网与各地市公司内部署的其他局域网互联;
进一步地,所述规划模块,包括:
IP地址分配单元,用于为各单位的信息管理系统分配一段IP地址;
IP地址选取单元,用于在所述一段IP地址内规划各单位的信息管理系统使用的IP地址;
路由配置单元,用于在边界路由器上配置以下路由:a、总部和各省级信息管理系统之间的网络路由,所述省级信息管理系统包括省公司本部的信息管理系统和各地市公司的信息管理系统;b、各单位的信息管理系统与本单位其他系统之间的网络路由;
进一步地,所述安全防护建立模块,包括:
第一安全防护建立单元,用于建立VPN间纵向互联边界安全防护,具体是在总部与省公司本部互联边界、省公司本部与各地市公司互联边界,部署安全防护设备;
第二安全防护建立单元,用于建立通信局域网边界安全防护,具体是在省公司本部通信局域网边界、各地市公司通信局域网边界,部署正/反向隔离装置设备;
第三安全防护建立单元,用于建立通信局域网与其他局域网互联边界安全防护,具体是在省公司本部通信局域网与省公司本部内部署的其他局域网的互联边界、在各地市公司通信局域网与各地市公司内部署的其他局域网的互联边界,部署安全防护设备;
第四安全防护建立单元,用于建立信息管理系统内插件间边界安全防护,具体是在信息管理系统内的插件间,部署安全防护设备或通过交换机划分VLAN隔离;
第五安全防护建立单元,用于建立第三方软件接入信息管理系统边界安全防护,具体是在第三方软件接入信息管理系统的边界,部署逻辑强隔离装置。
本发明与现有技术相比,其显著优点为:1)通过正/反向隔离装置及防火墙配置等防护手段提高了服务器操作系统、数据库系统的安全性;2)通过对网络通道的安全保护(使用专用网络、限制网络用户)实现数据传输安全,提高了纵向互联、横向互联、数据采集与控制系统之间的数据传输安全性;3)建立边界安全防护,能提高数据通信骨干网及各VPN的安全性;4)提高了业务数据的保密性和完整性。
下面结合附图对本发明作进一步详细描述。
附图说明
图1为一个实施例中基于VPN的信息管理系统网络安全防护方法流程图。
图2为一个实施例中基于VPN的信息管理系统网络安全防护系统结构示意图。
图3为一个实施例中基于VPN的信息管理系统网络安全防护系统的第一互联模块示意图。
图4为一个实施例中基于VPN的信息管理系统网络安全防护系统的通信数据专网建立模块示意图。
图5为一个实施例中基于VPN的信息管理系统网络安全防护系统的第二互联模块示意图。
图6为一个实施例中基于VPN的信息管理系统网络安全防护系统的第三互联模块示意图。
图7为一个实施例中基于VPN的信息管理系统网络安全防护系统的安全防护建立模块示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
结合图1,在一个实施例中,本发明提出了一种基于VPN的信息管理系统网络安全防护方法,该方法包括:
骨干网互联;
建立省级通信数据专网;
数据采集与控制系统互联;
VPN间横向互联;
规划IP地址和路由;
建立边界安全防护。
上述基于VPN的信息管理系统网络安全防护方法,各单位通信局域网通过通信CE接入数据通信骨干网,形成全国范围内的通信数据专网,实现总部和各省公司信息管理系统的互联。
进一步地,在其中一个实施例中,上述骨干网互联包括:
骨干网PE与各单位通信CE间的路由配置;
各单位通信CE、安全防护设备、接入交换机的互联与配置;上述各单位包括总部、省级单位系统,省级单位系统包括省公司本部、各地市公司,上述配置包括配置IP地址、路由、安全策略。
进一步地,在其中一个实施例中,上述建立省级通信数据专网包括:
建立省公司本部通信局域网,该通信局域网用于实现省公司本部内部的通信;特殊地,针对已建成的省公司本部通信局域网,只需根据通信VPN总体规划进行必要的调整,如更换IP地址等;
建立各地市公司通信局域网,该通信局域网用于实现各地市公司内部的通信;特殊地,针对已建成的各地市公司通信局域网,只需根据通信VPN总体规划进行必要的调整,如更换IP地址等;
将上述省公司本部通信局域网与上述各地市公司通信局域网互联;上述互联具体通过分别在省公司本部、各地市公司部署广域网接入路由器设备实现;
在省公司本部部署第一信息管理系统,包括在上述省公司本部通信局域网内部署第一信息管理子系统、第一数据采集与控制系统以及第一正/反向隔离装置,并配置第一数据采集与控制系统向第一信息管理子系统传输数据;
在各地市公司部署第二信息管理系统,包括在上述各地市公司通信局域网内部署第二数据采集与控制系统以及第二正/反向隔离装置,并配置纵向路由,该纵向路由用于实现第二数据采集与控制系统内的采集服务器通过各地市公司通信局域网与省公司本部的第一信息管理系统进行数据交换。
进一步地,在其中一个实施例中,上述数据采集与控制系统互联包括:总部的数据采集与控制系统、省公司本部的第一数据采集与控制系统以及各地市公司的第二数据采集与控制系统之间通过正/反向隔离装置实现互联,上述正/反向隔离装置包括第一正/反向隔离装置、第二正/反向隔离装置以及在总部部署的第三正/反向隔离装置。
进一步地,在其中一个实施例中,上述VPN间横向互联包括:
上述省公司本部通信局域网与省公司本部内部署的其他局域网互联;
上述各地市公司通信局域网与各地市公司内部署的其他局域网互联。
进一步地,在其中一个实施例中,上述规划IP地址和路由,包括:
为各单位的信息管理系统分配一段IP地址(初步测算每个省公司直属需要2~3个C类地址段);
在上述一段IP地址内规划各单位的信息管理系统使用的IP地址(主要需要确定各单位应用服务器和互联服务器的IP地址);
在边界路由器上配置以下路由:a、总部和各省级信息管理系统之间的网络路由,上述省级信息管理系统包括省公司本部的信息管理系统和各地市公司的信息管理系统;b、各单位的信息管理系统与本单位其他系统之间的网络路由。
进一步地,在其中一个实施例中,上述建立边界安全防护包括:
建立VPN间纵向互联边界安全防护:在总部与省公司本部互联边界、省公司本部与各地市公司互联边界,部署安全防护设备(如硬件防火墙设备、网络入侵检测/防护设备、安全审计设备);
建立通信局域网边界安全防护:在省公司本部通信局域网边界、各地市公司通信局域网边界,部署正/反向隔离装置设备;
建立通信局域网与其他局域网互联边界安全防护:在省公司本部通信局域网与省公司本部内部署的其他局域网的互联边界、在各地市公司通信局域网与各地市公司内部署的其他局域网的互联边界,部署安全防护设备(如硬件防火墙网关设备,并配置网络地址转换规则,将需要互联访问应用服务器的IP地址转换为对方网络指定的IP地址,并严格限制网络访问的地址);
建立信息管理系统内插件间边界安全防护:在信息管理系统内的插件间,部署安全防护设备或通过交换机划分VLAN隔离;
建立第三方软件接入信息管理系统边界安全防护:在第三方软件接入信息管理系统的边界,部署逻辑强隔离装置,并对接入终端采取接入认证、访问权限控制、边界安全审计等措施。
结合图2,在一个实施例中,本发明提出了一种基于VPN的信息管理系统网络安全防护系统,包括:
第一互联模块,用于实现骨干网互联;
通信数据专网建立模块,用于建立省级通信数据专网;
第二互联模块,用于实现数据采集与控制系统的互联;
第三互联模块,用于实现VPN间横向互联;
规划模块,用于规划IP地址和路由;
安全防护建立模块,用于建立边界安全防护。
进一步地,在其中一个实施例中,结合图3,上述第一互联模块,包括:
第一互联单元,用于实现骨干网PE与各单位通信CE间的路由配置;
第二互联单元,用于实现各单位通信CE、安全防护设备、接入交换机的互联与配置;上述各单位包括总部、省级单位系统,省级单位系统包括省公司本部、各地市公司,上述配置包括配置IP地址、路由、安全策略;
进一步地,在其中一个实施例中,结合图4,上述通信数据专网建立模块,包括:
第一通信局域网建立单元,用于建立省公司本部通信局域网;
第二通信局域网建立单元,用于建立各地市公司通信局域网;
局域网互联单元,用于实现上述省公司本部通信局域网与上述各地市公司通信局域网的互联;上述互联具体通过分别在省公司本部、各地市公司部署广域网接入路由器设备实现;
第一配置单元,用于在省公司本部部署第一信息管理系统,包括在上述省公司本部通信局域网内部署第一信息管理子系统、第一数据采集与控制系统以及第一正/反向隔离装置,并配置第一数据采集与控制系统向第一信息管理子系统传输数据;
第二配置单元,用于在各地市公司部署第二信息管理系统,包括在上述各地市公司通信局域网内部署第二数据采集与控制系统以及第二正/反向隔离装置,并配置纵向路由,该纵向路由用于实现第二数据采集与控制系统内的采集服务器通过各地市公司通信局域网与省公司本部的第一信息管理系统进行数据交换;
进一步地,在其中一个实施例中,结合图5,上述第二互联模块,包括:
第三互联单元,用于通过正/反向隔离装置实现总部的数据采集与控制系统和省公司本部的第一数据采集与控制系统互联;
第四互联单元,用于通过正/反向隔离装置实现省公司本部的第一数据采集与控制系统和各地市公司的第二数据采集与控制系统互联;
第五互联单元,用于通过正/反向隔离装置实现总部的数据采集与控制系统和各地市公司的第二数据采集与控制系统互联。
进一步地,在其中一个实施例中,结合图6,上述第三互联模块,包括:
第一VPN间横向互联单元,用于实现省公司本部通信局域网与省公司本部内部署的其他内网互联;
第二VPN间横向互联单元,用于实现各地市公司通信局域网与各地市公司内部署的其他内网互联;
进一步地,在其中一个实施例中,上述规划模块,包括:
IP地址分配单元,用于为各单位的信息管理系统分配一段IP地址;
IP地址选取单元,用于在上述一段IP地址内规划各单位的信息管理系统使用的IP地址;
路由配置单元,用于在边界路由器上配置以下路由:a、总部和各省级信息管理系统之间的网络路由,上述省级信息管理系统包括省公司本部的信息管理系统和各地市公司的信息管理系统;b、各单位的信息管理系统与本单位其他系统之间的网络路由;
进一步地,在其中一个实施例中,结合图7,上述安全防护建立模块,包括:
第一安全防护建立单元,用于建立VPN间纵向互联边界安全防护,具体是在总部与省公司本部互联边界、省公司本部与各地市公司互联边界,部署安全防护设备;
第二安全防护建立单元,用于建立通信局域网边界安全防护,具体是在省公司本部通信局域网边界、各地市公司通信局域网边界,部署正/反向隔离装置设备;
第三安全防护建立单元,用于建立通信局域网与其他局域网互联边界安全防护,具体是在省公司本部通信局域网与省公司本部内部署的其他局域网的互联边界、在各地市公司通信局域网与各地市公司内部署的其他局域网的互联边界,部署安全防护设备;
第四安全防护建立单元,用于建立信息管理系统内插件间边界安全防护,具体是在信息管理系统内的插件间,部署安全防护设备或通过交换机划分VLAN隔离;
第五安全防护建立单元,用于建立第三方软件接入信息管理系统边界安全防护,具体是在第三方软件接入信息管理系统的边界,部署逻辑强隔离装置。
综上,本发明提出的基于VPN的信息管理系统网络安全防护方案及系统,利用现有数据通信骨干网的通信VPN进行建设整合,将各单位通信局域网通过通信CE接入数据通信骨干网,形成全国范围内的通信数据专网,实现总部和各省公司信息管理系统的互联。本发明能提高服务器操作系统、数据库系统的安全性,提高纵向互联、横向互联、数据采集与控制系统之间的数据传输安全性,提高数据通信骨干网及各VPN的安全性,且相比于现有防护方案,业务数据的保密性和完整性更好。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (6)
1.一种基于VPN的信息管理系统网络安全防护方法,其特征在于,所述方法包括:
骨干网互联;
建立省级通信数据专网;包括:
建立省公司本部通信局域网;
建立各地市公司通信局域网;
将所述省公司本部通信局域网与所述各地市公司通信局域网互联;所述互联具体通过分别在省公司本部、各地市公司部署广域网接入路由器设备实现;
在省公司本部部署第一信息管理系统,包括在所述省公司本部通信局域网内部署第一信息管理子系统、第一数据采集与控制系统以及第一正/反向隔离装置,并配置第一数据采集与控制系统向第一信息管理子系统传输数据;
在各地市公司部署第二信息管理系统,包括在所述各地市公司通信局域网内部署第二数据采集与控制系统以及第二正/反向隔离装置,并配置纵向路由,该纵向路由用于实现第二数据采集与控制系统内的采集服务器通过各地市公司通信局域网与省公司本部的第一信息管理系统进行数据交换;
数据采集与控制系统互联,包括:总部的数据采集与控制系统、省公司本部的第一数据采集与控制系统以及各地市公司的第二数据采集与控制系统之间通过正/反向隔离装置实现互联,所述正/反向隔离装置包括第一正/反向隔离装置、第二正/反向隔离装置以及在总部部署的第三正/反向隔离装置;
VPN间横向互联,包括:
所述省公司本部通信局域网与省公司本部内部署的其他局域网互联;
所述各地市公司通信局域网与各地市公司内部署的其他局域网互联;
规划IP地址和路由;
建立边界安全防护,包括:
建立VPN间纵向互联边界安全防护:在总部与省公司本部互联边界、省公司本部与各地市公司互联边界,部署安全防护设备;
建立通信局域网边界安全防护:在省公司本部通信局域网边界、各地市公司通信局域网边界,部署正/反向隔离装置设备;
建立通信局域网与其他局域网互联边界安全防护:在省公司本部通信局域网与省公司本部内部署的其他局域网的互联边界、在各地市公司通信局域网与各地市公司内部署的其他局域网的互联边界,部署安全防护设备;
建立信息管理系统内插件间边界安全防护:在信息管理系统内的插件间,部署安全防护设备或通过交换机划分VLAN隔离;
建立第三方软件接入信息管理系统边界安全防护:在第三方软件接入信息管理系统的边界,部署逻辑强隔离装置。
2.根据权利要求1所述的基于VPN的信息管理系统网络安全防护方法,其特征在于,所述骨干网互联包括:
骨干网PE与各单位通信CE间的路由配置;
各单位通信CE、安全防护设备、接入交换机的互联与配置;所述各单位包括总部、省级单位系统,省级单位系统包括省公司本部及其各地市公司,所述配置包括配置IP地址、路由、安全策略。
3.根据权利要求1所述的基于VPN的信息管理系统网络安全防护方法,其特征在于,所述规划IP地址和路由,包括:
为各单位的信息管理系统分配一段IP地址;
在所述一段IP地址内规划各单位的信息管理系统使用的IP地址;
在边界路由器上配置以下路由:a、总部和各省级信息管理系统之间的网络路由,所述省级信息管理系统包括省公司本部的信息管理系统和各地市公司的信息管理系统;b、各单位的信息管理系统与本单位其他系统之间的网络路由。
4.一种基于VPN的信息管理系统网络安全防护系统,其特征在于,包括:
第一互联模块,用于实现骨干网互联;
通信数据专网建立模块,用于建立省级通信数据专网;包括:
第一通信局域网建立单元,用于建立省公司本部通信局域网;
第二通信局域网建立单元,用于建立各地市公司通信局域网;
局域网互联单元,用于实现所述省公司本部通信局域网与所述各地市公司通信局域网的互联;所述互联具体通过分别在省公司本部、各地市公司部署广域网接入路由器设备实现;
第一配置单元,用于在省公司本部部署第一信息管理系统,包括在所述省公司本部通信局域网内部署第一信息管理子系统、第一数据采集与控制系统以及第一正/反向隔离装置,并配置第一数据采集与控制系统向第一信息管理子系统传输数据;
第二配置单元,用于在各地市公司部署第二信息管理系统,包括在所述各地市公司通信局域网内部署第二数据采集与控制系统以及第二正/反向隔离装置,并配置纵向路由,该纵向路由用于实现第二数据采集与控制系统内的采集服务器通过各地市公司通信局域网与省公司本部的第一信息管理系统进行数据交换;
第二互联模块,用于实现数据采集与控制系统的互联;包括:
第三互联单元,用于通过正/反向隔离装置实现总部的数据采集与控制系统和省公司本部的第一数据采集与控制系统互联;
第四互联单元,用于通过正/反向隔离装置实现省公司本部的第一数据采集与控制系统和各地市公司的第二数据采集与控制系统互联;
第五互联单元,用于通过正/反向隔离装置实现总部的数据采集与控制系统和各地市公司的第二数据采集与控制系统互联;
第三互联模块,用于实现VPN间横向互联;包括:
第一VPN间横向互联单元,用于实现省公司本部通信局域网与省公司本部内部署的其他局域网互联;
第二VPN间横向互联单元,用于实现各地市公司通信局域网与各地市公司内部署的其他局域网互联;
规划模块,用于规划IP地址和路由;
安全防护建立模块,用于建立边界安全防护;包括:
第一安全防护建立单元,用于建立VPN间纵向互联边界安全防护,具体是在总部与省公司本部互联边界、省公司本部与各地市公司互联边界,部署安全防护设备;
第二安全防护建立单元,用于建立通信局域网边界安全防护,具体是在省公司本部通信局域网边界、各地市公司通信局域网边界,部署正/反向隔离装置设备;
第三安全防护建立单元,用于建立通信局域网与其他局域网互联边界安全防护,具体是在省公司本部通信局域网与省公司本部内部署的其他局域网的互联边界、在各地市公司通信局域网与各地市公司内部署的其他局域网的互联边界,部署安全防护设备;
第四安全防护建立单元,用于建立信息管理系统内插件间边界安全防护,具体是在信息管理系统内的插件间,部署安全防护设备或通过交换机划分VLAN隔离;
第五安全防护建立单元,用于建立第三方软件接入信息管理系统边界安全防护,具体是在第三方软件接入信息管理系统的边界,部署逻辑强隔离装置。
5.根据权利要求4所述的基于VPN的信息管理系统网络安全防护系统,其特征在于,
所述第一互联模块,包括:
第一互联单元,用于实现骨干网PE与各单位通信CE间的路由配置;
第二互联单元,用于实现各单位通信CE、安全防护设备、接入交换机的互联与配置;所述各单位包括总部、省级单位系统,省级单位系统包括省公司本部、各地市公司,所述配置包括配置IP地址、路由、安全策略。
6.根据权利要求4所述的基于VPN的信息管理系统网络安全防护系统,其特征在于,
所述规划模块,包括:
IP地址分配单元,用于为各单位的信息管理系统分配一段IP地址;
IP地址选取单元,用于在所述一段IP地址内规划各单位的信息管理系统使用的IP地址;
路由配置单元,用于在边界路由器上配置以下路由:a、总部和各省级信息管理系统之间的网络路由,所述省级信息管理系统包括省公司本部的信息管理系统和各地市公司的信息管理系统;b、各单位的信息管理系统与本单位其他系统之间的网络路由。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911107472.6A CN110912878B (zh) | 2019-11-13 | 2019-11-13 | 基于vpn的信息管理系统网络安全防护方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201911107472.6A CN110912878B (zh) | 2019-11-13 | 2019-11-13 | 基于vpn的信息管理系统网络安全防护方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110912878A CN110912878A (zh) | 2020-03-24 |
CN110912878B true CN110912878B (zh) | 2022-04-01 |
Family
ID=69817602
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201911107472.6A Active CN110912878B (zh) | 2019-11-13 | 2019-11-13 | 基于vpn的信息管理系统网络安全防护方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110912878B (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103824168A (zh) * | 2014-03-17 | 2014-05-28 | 国家电网公司 | 一种基于两级部署和多级应用模式的电能服务管理平台 |
EP2890060A4 (en) * | 2012-09-20 | 2015-08-12 | Huawei Tech Co Ltd | VPN IMPLEMENTATION PROCEDURE AND PE DEVICE |
CN107204909A (zh) * | 2017-06-30 | 2017-09-26 | 国家电网公司 | 构建电力调度数据网的系统、方法和装置 |
CN206850788U (zh) * | 2017-05-27 | 2018-01-05 | 国网河南省电力公司信息通信公司 | 一种异构通信系统综合管控平台 |
CN108011759A (zh) * | 2017-12-05 | 2018-05-08 | 锐捷网络股份有限公司 | 一种vpn管理方法、装置及系统 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9769201B2 (en) * | 2015-03-06 | 2017-09-19 | Radware, Ltd. | System and method thereof for multi-tiered mitigation of cyber-attacks |
-
2019
- 2019-11-13 CN CN201911107472.6A patent/CN110912878B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2890060A4 (en) * | 2012-09-20 | 2015-08-12 | Huawei Tech Co Ltd | VPN IMPLEMENTATION PROCEDURE AND PE DEVICE |
CN103824168A (zh) * | 2014-03-17 | 2014-05-28 | 国家电网公司 | 一种基于两级部署和多级应用模式的电能服务管理平台 |
CN206850788U (zh) * | 2017-05-27 | 2018-01-05 | 国网河南省电力公司信息通信公司 | 一种异构通信系统综合管控平台 |
CN107204909A (zh) * | 2017-06-30 | 2017-09-26 | 国家电网公司 | 构建电力调度数据网的系统、方法和装置 |
CN108011759A (zh) * | 2017-12-05 | 2018-05-08 | 锐捷网络股份有限公司 | 一种vpn管理方法、装置及系统 |
Non-Patent Citations (3)
Title |
---|
"Network Security Protection Solutions of Electric Power Enterprise Based on VPN Technology";ZHU Enguo;《IEEE》;20100112;全文 * |
"基于MPLS+VPN技术的电子政务外网骨干网的设计与实现";宋伟;《万方》;20121130;全文 * |
"基于MPLS+VPN技术的省级电子政务内网的设计与实施";韩沁哲;《万方》;20140715;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN110912878A (zh) | 2020-03-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yang et al. | Virtual private cloud based power-dispatching automation system—Architecture and application | |
CN106992984A (zh) | 一种基于电力采集网的移动终端安全接入信息内网的方法 | |
CN101252592A (zh) | 一种ip网络的网络溯源方法和系统 | |
CN104158767B (zh) | 一种网络准入装置及方法 | |
CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
CN110855707A (zh) | 物联网通信管道安全控制系统和方法 | |
CN102710649A (zh) | 一种用于电力信息采集系统的网络安全架构 | |
CN113645213A (zh) | 一种基于vpn技术的多终端网络管理监控系统 | |
CN110868446A (zh) | 一种后ip的主权网体系架构 | |
CN106888191A (zh) | 等级保护多级安全互联系统及其互联方法 | |
CN112383631A (zh) | 区域物联网平台和基于区域物联网平台的数据处理方法 | |
KR101480443B1 (ko) | 하이브리드 망 분리 시스템 및 그 방법 | |
CN106027491A (zh) | 基于隔离ip地址的独立链路式通信处理方法和系统 | |
Toosarvandani et al. | The risk assessment and treatment approach in order to provide LAN security based on ISMS standard | |
CN102130803A (zh) | 一种局域网网站安全架构系统 | |
CN110912878B (zh) | 基于vpn的信息管理系统网络安全防护方法及系统 | |
CN205510108U (zh) | 用于局域网络的网络准入系统 | |
CN117118703A (zh) | 一种基于互联网的移动办公安全架构 | |
CN114448748B (zh) | 一种系统中心部署化网络系统 | |
Alkaeed et al. | Distributed framework via block-chain smart contracts for smart grid systems against cyber-attacks | |
CN114024957B (zh) | 一种零信任架构中对用户的行为做风险判定的方法 | |
Ying et al. | Study of network architecture and IP address allocation of wireless VPN for power grid | |
CN112311555A (zh) | 一种企业信息监测校核系统和方法 | |
CN112291157A (zh) | 一种积分系统中基于混合云的智能业务访问控制中心 | |
Ramdhania et al. | Network infrastructure design in connectivity using Inter-VLan concept in bandung district government |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |