CN114629730A - 一种区域公司计算机网络安全互联方法及系统 - Google Patents
一种区域公司计算机网络安全互联方法及系统 Download PDFInfo
- Publication number
- CN114629730A CN114629730A CN202210525559.0A CN202210525559A CN114629730A CN 114629730 A CN114629730 A CN 114629730A CN 202210525559 A CN202210525559 A CN 202210525559A CN 114629730 A CN114629730 A CN 114629730A
- Authority
- CN
- China
- Prior art keywords
- area
- module
- intranet
- intrusion prevention
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012550 audit Methods 0.000 claims abstract description 21
- 230000002155 anti-virotic effect Effects 0.000 claims abstract description 19
- 230000002265 prevention Effects 0.000 claims description 71
- 238000001514 detection method Methods 0.000 claims description 15
- 238000002955 isolation Methods 0.000 claims description 14
- 230000005540 biological transmission Effects 0.000 claims description 10
- 238000013507 mapping Methods 0.000 claims description 8
- 230000000903 blocking effect Effects 0.000 claims description 4
- 239000000203 mixture Substances 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 239000002994 raw material Substances 0.000 claims 2
- 238000004458 analytical method Methods 0.000 abstract description 8
- 230000009471 action Effects 0.000 description 13
- 238000007726 management method Methods 0.000 description 10
- 230000004807 localization Effects 0.000 description 8
- 238000004519 manufacturing process Methods 0.000 description 7
- 241000700605 Viruses Species 0.000 description 6
- 238000010276 construction Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 230000009466 transformation Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000009545 invasion Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 230000008569 process Effects 0.000 description 5
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000010438 heat treatment Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000001788 irregular Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 230000033772 system development Effects 0.000 description 1
- 238000011100 viral filtration Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/50—Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种区域公司计算机网络安全互联方法及系统,包括综合入侵防护装置、缓冲区、内网区以及对外服务区,通过办公内网区与国际互联网之间设置缓冲区,链接互联网综合入侵防护装置的路由器模块配置为仅从安全可信缓冲区单向发起链接请求;出口互联网双链路配置成一条仅出、一条仅入的物理端口级路由访问控制,国际互联网访问内网区资源统一采用VPN方式接入;如提供对外服务,则采用最小路由配置原则,设立独立的对外服务区,并加强安全防范;同时,缓冲区与内网区采用网络物理隔离,接入链路均配套防火墙、入侵防护系统,并建立安全设备统一审计分析的安全态势感知系统,建立统一的操作系统更新、防病毒库更新和准入系统。
Description
技术领域
本发明涉及网络技术领域,尤其涉及一种区域公司计算机网络安全互联方法及系统。
背景技术
由于电力系统网络安全等级保护需要,电力企业内网和互联网是相互隔离的,电力系统内网和互联网之间的数据无法进行数据传输交流,为了能够实时掌握和统计分布式的电力设备的实时数据等情况,如供热系统实时数据、分布式光伏的生产数据,以及移动智能应用的需求,满足区域公司精益化管理需求,一般会通过各种终端对设备进行物联网管理,物联网数据属于公开互联网数据,并不能将数据直接传入电力企业内网。
目前一般需要将互联网(外网)数据存储到存储设备,如移动硬盘或U盘上,然后经过扫描杀毒后,将存储设备接入内网,才能将互联网(外网)数据存储到电力企业内网上,进行数据统计分析或记录,满足区域公司精益化管理需求,操作繁琐,而且很难监控,当有不规范的操作行为,如移动硬盘或U盘数据未经扫描杀毒直接接入电力企业内网,容易造成电力内网被入侵,使电力企业内网机密存在被泄露的风险,可能会导致区域大范围停电,对人们生活生产造成极大影响。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有区域公司计算机网络安全互联方法及建立方法存在的问题,提出了本发明。
因此,本发明目的是提供一种区域公司计算机网络安全互联方法及建立方法。
为解决上述技术问题,本发明提供如下技术方案:一种区域公司计算机网络安全互联方法,包括,建立综合入侵防护装置并接收互联网进入的数据;输入路由器模块并根据IP包中目的地址、防火墙目的端口进行判断;若判断结果为VPN模块匹配的目的地址和端口,则将数据包送给VPN模块建立VPN隧道,通过验证信息建立连接,并分配给用户缓冲区IP地址,对缓冲区和内网区区域进行访问;若判断结果为为对外服务区服务器的映射地址和端口,则将数据包送入对外服务区入侵防护装置连接端口,再进入对外服务区;其他目的地址的数据包均阻断。
作为本发明所述区域公司计算机网络安全互联方法的一种优选方案,其中:综合入侵防护装置配置2个端口与两个不同互联网运营商网络建立连接,并配置运营商提供的公网IP地址,其中一个端口设置成仅出端口,另一端口设置成仅入端口。
作为本发明所述区域公司计算机网络安全互联方法的一种优选方案,其中:所述VPN隧道、对外服务的数据流均经过入侵防护模块和防病毒检测模块的检测,若为正常数据则可正常传输至缓冲区;若否,则进行阻断。
作为本发明所述区域公司计算机网络安全互联方法的一种优选方案,其中:正常数据进入缓冲区,建立VPN隧道后的链接,将互联网用户访问的IP包送入路由器,所述路由器根据IP包的目的地址选择访问链路,若目的地址为缓冲区IP地址,则将路由选择链接交接机,并通过交接机选择缓冲区服务器,若目的地址为用户模块的IP地址,则将路由选择链接用户模块。
作为本发明所述区域公司计算机网络安全互联方法的一种优选方案,其中:若目的地址为内网区的IP映射地址,则将路由选择链接交接机,并通过交接机传输、入侵防护装置的安全检测和隔离装置的协议转换,数据将进入内网模块。
作为本发明所述区域公司计算机网络安全互联方法的一种优选方案,其中:用户模块和区域公司缓冲区客户端若访问互联网,区域公司缓冲区客户端数据包从交接机发到路由器,所述路由器选择路由到路由器模块,选择仅出的路由端口与国际互联网连接,且数据传输过程中通过入侵防护模块和防病毒检测模块检测。
本发明还提供如下技术方案:一种区域公司计算机网络安全互联系统,其中包括:综合入侵防护装置包括路由器模块、防火墙模块、VPN模块、入侵防护模块、防病毒检测模块五个功能模块,且配置2个互联网端口,并与两个不同互联网运营商网络建立连接,配置运营商提供的公网IP地址;缓冲区包括路由器、交接机、缓冲区服务器、缓冲区入侵防护装置、隔离装置、缓冲区审计模块、用户模块和区域公司缓冲区客户端;内网区包括内网区入侵防护装置、核心路由交换机、内网区服务器、基层单位入侵防护装置、各电厂链路、内网区审计模块、集团链路入侵防护装置以及集团链路;对外服务区包括对外服务区入侵防护装置和对外服务区服务器。
作为本发明所述区域公司计算机网络安全互联方法系统的一种优选方案,其中:所述缓冲区中设置缓冲区审计模块,所述缓冲区审计模块接入综合入侵防护装置、缓冲区入侵防护装置以及对外服务区入侵防护装置。
作为本发明所述区域公司计算机网络安全互联系统的一种优选方案,其中:所述内网区的IP数据包进入内网区入侵防护装置,对IP包目标地址及端口匹配并进行数据包代码检测,并进入核心路由交换机,根据IP数据包目的地址进行选择,若是内网区服务器的IP地址,则选择内网区服务器,若是各电厂链路中的目标地址,则选择至各基层单位入侵防护装置,进入所辖各电厂链路。
作为本发明所述区域公司计算机网络安全互联系统的一种优选方案,其中:所述内网区中设置内网区审计模块,所述内网区审计模块接入入侵防护装置、基层单位入侵防护装置以及集团链路入侵防护装置。
本发明的有益效果:本发明采用多重网络安全防护机制,在办公内网与国际互联网之间设置缓冲区。访问互联网仅从缓冲区发起,链接互联网综合入侵防护装置的路由器配置为仅从安全可信缓冲区单向发起链接请求。国际互联网访问内网资源统一采用VPN方式接入;如提供对外服务,则采用最小路由配置原则,设立独立的对外服务区,并加强安全防范;缓冲区与内网区采用网络物理隔离,接入链路均配套防火墙、入侵防护系统,并建立安全设备统一审计分析的安全态势感知系统;建立统一的操作系统更新、防病毒库更新和准入系统;所有设备全部采用国产化,所辖各企业统一使用此网络架构,实现区域收敛单点安全防守、低成本建设和维护,满足数字化转型对互联网业务的需求。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明实施例提供的区域公司计算机网络安全互联方法的基本流程示意图。
图2为本发明实施例提供的区域公司计算机网络安全互联方法的拓扑原理图。
图3为本发明实施例提供的区域公司计算机网络安全互联方法的综合入侵防护装置到缓冲区的流程图。
图4为本发明实施例提供的区域公司计算机网络安全互联方法的缓冲区到内网区传输流程图。
图5为本发明实施例提供的区域公司计算机网络安全互联方法的用户从缓冲区访问国际互联网的流程图。
图6为本发明实施例提供的区域公司计算机网络安全互联系统组成示意图。
图7为本发明实施例提供的区域公司计算机网络安全互联系统数据输入在内网区的流程图。
图8为本发明实施例提供的区域公司计算机网络安全互联系统审计监控示意图。
图9为本发明实施例提供的区域公司计算机网络安全互联系统应用快速建成区域公司内外网统一数据平台示意图。
图10为本发明实施例提供的区域公司计算机网络安全互联系统应用建成区域公司统一的智能化管理平台示意图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
再其次,本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
实施例1
参照图1~7,为本发明的一个实施例,提供了一种区域公司计算机网络安全互联方法及系统,目前各电厂自建内部信息网络,分别与集团广域网互联,国际互联网应用采用独立建网,通过防火墙和路由器接入国际互联网,内部网络和互联网无法实现业务贯通。因电力系统网络安全等级保护需要,办公内网和internet国际互联网是物理隔离的,要实现数据传输必须采取有效的网络安全技术保障措施,实现网络互联基础,需要采用安全、高效互联协议,开发相应的应用系统,从而实现适应数字化转型。
按照电力系统安全防护总体框架等为基础,结合网络安全知识,创新研发以下安全网络架构步骤:
S1:综合入侵防护装置100与互联网连接。建立综合入侵防护装置100并接收互联网进入的数据,根据IP数据包中目的地址和端口进行判断。
该综合入侵防护装置100配置2个端口与两个不同互联网运营商网络建立连接,并配置运营商提供的公网IP地址,其中一个端口设置成仅出端口,另一端口设置仅入端口。通过路由器模块101进行分析,故路由器模块101可以根据IP包中目的地址选择不同的链接目标。除了综合入侵防护装置100,本方法内部所有的入侵防护装置中均集成防火墙模块102功能,用于对IP包源地址、目标地址、目标端口的访问控制。防火墙模块102访问策略包括源地址、目的地址、访问端口及动作。入侵防护装置中均集成的防火墙会按配置的规则对IP数据包进行匹配,若匹配成功的动作为允许通过,则IP通过,如动作为阻断,则此IP包将被阻断。
S2:接收互联网数据并进行地址、端口判断。输入路由器模块101并根据IP包中目的地址、防火墙模块102目的端口进行判断。若判断结果为VPN模块103匹配的目的地址和端口,则将数据包送给VPN模块103建立VPN隧道,通过验证信息建立连接,并分配给用户缓冲区IP地址,对缓冲区200和内网区300区域进行访问;若判断结果为对外服务区服务器402的映射地址和端口,则将数据包送入对外服务区入侵防护装置401连接端口,再进入对外服务区400。
如图3所示,VPN隧道、对外服务的数据流均经过入侵防护模块104和防病毒检测模块105的检测,若为正常数据则可正常传输至缓冲区200;若否,则进行阻断。被检测的信息具有安全性,可以认定为正常数据。同时验证的个人信息为用户名、密码和动态提示符。在本实施例子中,办公内网与国际互联网之间设置缓冲区200。访问互联网仅从缓冲区200发起,链接互联网综合入侵防护装置100的路由器配置为仅从安全可信缓冲区200单向发起链接请求。
S3:访问缓冲区200和内网区300。分配给用户缓冲区IP地址,对缓冲区200和内网区300区域进行访问。
如图4所示,正常数据进入缓冲区200,建立VPN隧道后的链接,将互联网用户访问的IP包送入路由器201,所述路由器201根据IP包的目的地址选择访问链路,若目的地址为缓冲区IP地址,则将路由选择链接交接机202,并通过交接机202选择缓冲区服务器203,若目的地址为用户模块207的IP地址,则将路由选择链接用户模块207。
若目的地址为内网区300的IP映射地址,则将路由选择链接交接机202,并通过交接机202传输、缓冲区入侵防护装置204的安全检测和隔离装置205的协议转换,数据将进入内网区300。
如图5所示,用户模块207和区域公司缓冲区客户端208若访问互联网,区域公司缓冲区客户端208数据包从交接机202发到路由器201,路由器201选择路由到综合入侵防护装置100的路由器模块101,选择仅出的路由端口,与国际互联网连接,且数据传输过程中通过入侵防护模块104和防病毒检测模块105检测。同时,如需对公司用户作对外访问的限制,在防火墙模块102中进行出互联网方向规则限制。缓冲区200与内网区300采用网络物理隔离,接入链路均配套防火墙、入侵防护系统,并建立安全设备统一审计分析的安全态势感知系统,建立统一的操作系统更新、防病毒库更新和准入系统。
如图7所示,进入内网区300的IP数据包进入内网区入侵防护装置301进行数据包代码检测和集成的防火墙访问控制,首先防火墙进行对IP包源地址、目标地址及端口访问控制策略匹配,如匹配的规则动作是通过,再若与内网区入侵防护装置301中入侵特征代码一致,则阻断;否则进入核心路由交换机302,核心路由交换机302根据IP数据包目的地址进行选择,若是内网区服务器303的IP地址,则选择内网区服务器303,若是所辖各电厂链路305中的目标地址,则选择至各基层单位入侵防护装置304,从而进入所辖各电厂链路305。
S4:访问对外服务区400。若判断结果为对外服务区服务器402的映射地址和端口,则将数据包送入对外服务区入侵防护装置401连接端口,再进入对外服务区400。其他目的地址的数据包均阻断。
如图2所示,互联网进入的IP数据包进入路由器模块101如目的地址为本单位提供对外服务的对外服务区服务器402的映射地址(NAT),则将数据包送入与对外服务区入侵防护装置401所连接的本地端口,再进入对外服务区400。对外服务区入侵防护装置401集成的防火墙中可对互联网访问对外服务区400区域的应用进行规则限制。此区域根据对外服务类型进行安全增强配置,如安全蜜罐、网页保护WAF等。国际互联网访问内网资源统一采用VPN方式接入,如提供对外服务,则采用最小路由配置原则,设立独立的对外服务区400,并加强安全防范。对外服务区入侵防护装置401与综合入侵防护装置100应用采用不同生产厂商的国产化安全产品,这样可以提高设备被攻破的安全性。
本方法研究各单位网络设备化国产化替代的适应性和应用架构建设,彻底解决国外产品安全隐患。如区域防病毒软件国产化统一集中部署,对所属各单位进口主要网络设备国产化改造,解决国产设备对电厂网络、生产数据通信的安全性、可靠性及适应性以及对区域一体化建设的网络安全管理的适应性问题。
为了对本方法中采用的技术效果加以验证说明,本实施例选择传统方案和采用本方法进行对比,通过以下多个方面进行对比,来验证本方法所具有的有益效果。
1、国产化率:本方法国产化率100%。传统方案多为进口品牌产品。
2、平台兼容性:本方法基于linux跨平台、开源系统开发运行。传统方案基于自有平台开发运行。
3、安全级别:本方法物理隔离,使用隔离装置(网闸)等多重防护机制,更安全。传统方案逻辑隔离,协议控制,存在协议安全风险。
4、系统配置:本方法配置成端口级安全,更加安全,出口互联网双链路配置成一条仅出,一条仅入,仅入链路需通过VPN认证,VPN需采用验证码并三次不通过则拒绝接收访问包,根本上解决了连续攻击。传统方案配置成协议级安全,连续攻击和未知安全漏洞难以判别和阻断。
5、系统安全性:本方法的系统硬件全国产化,软件国产化。系统中采用多重防护,对内网区300访问需经过四层安全控制(具有VPN、防火墙、防病毒、防入侵功能的综合入侵防护装置100,缓冲区入侵防护装置204、隔离装置205、内网区入侵防护装置301);访问对外服务区400应用需经过三层安全控制(综合入侵防护装置100,对外服务区入侵防护装置401、对外服务区服务器402专业防护),且入侵防护装置为不同供应商;获取互联网资源采用仅允许从缓冲区200发起链接请求。系统安全性非常高,多次演练均成功阻断攻击。传统方案受国外技术限制,一旦停止更新维护,存在的系统漏洞就会变成安全风险;通用架构漏洞多,受攻击风险大。
6、互联应用效果:本方法对外访问端口级控制,速率高,对外获取数据方法和协议安全,同时数据吞吐量大,对内访问形成安全加密隧道,数据安全。传统方案对内、对外访问安全控制系统开销大,影响速率,数据安全存在较大风险,应用相对难以开展。
7、维护便捷性:本方法结构清晰,国产化系统维护方便。传统方案专业知识要求高,升级费用高。
上述对比可见,本方法保证输入内网区300的数据安全性的同时,极大地提高了数据传输的效率,同时能够对输入的数据进行监控,并且能够自动对外部互联网数据与电力企业内网交流的数据进行扫描杀毒和入侵防护,适应数字化转型,从技术和组织上解决技术和管理网络数据交流的难题,实现安全互联,从而建立起安全、高效互联网络,实现区域收敛单点安全防守、低成本建设和维护又满足数字化转型对互联网业务的需求。
通过对本方法的运用,可以在提高内网区300网络数据安全性的同时,能够避免外部互联网数据直接接入电力企业内网,造成电力企业内网被入侵,使电力企业内网机密存在被泄露的风险,避免导致区域大范围停电,保证人们生活生产正常用电。
实施例2
参照图2~10,为本发明另一个实施例,提供了一种区域公司计算机网络安全互联系统,包括:
综合入侵防护装置100,包括路由器模块101、防火墙模块102、VPN模块103、入侵防护模块104和防病毒检测模块105,且配置2个端口,并与两个不同互联网运营商网络建立连接,配置运营商提供的公网IP地址。
具体的,如图6所示,出示了本系统的组成示意图,综合入侵防护装置100配置2个端口与两个不同互联网运营商网络建立连接,并配置运营商提供的公网IP地址,其中一个端口设置成仅出端口,另一端口设置仅入端口。并且通过路由器模块101进行分析选择路由,故路由器模块101可以根据IP包中目的地址选择不同的链接目标。防火墙模块102访问策略包括源地址、目的地址、访问端口及动作。综合入侵防护装置100中集成的防火墙模块102会按配置的规则对IP数据包进行匹配,若匹配成功的动作为允许通过,则IP通过,如动作为阻断,则此IP包将被阻断。
缓冲区200,包括路由器201、交接机202、缓冲区服务器203、缓冲区入侵防护装置204、隔离装置205、缓冲区审计模块206、用户模块207和区域公司缓冲区客户端208。缓冲区入侵防护装置204中均集成防火墙功能,用于对IP包源地址、目标地址及端口的访问控制,此缓冲区服务器203需部署防病毒软件服务更新功能,负责缓冲区200客户及服务器的防病毒实时更新,同时将防病毒更新包、操作系统更新包同步到内网区300相应服务器中。
同时,缓冲区200中设置缓冲区审计模块206,缓冲区审计模块206接入综合入侵防护装置100、缓冲区入侵防护装置204以及对外服务区入侵防护装置401。缓冲区审计模块206对以上装置中各连接异常数据包日志文件进行统一采集和存储,自动发现网络攻击和计算机病毒,供网络安全管理员实时进行分析确认,对缓冲区入侵防护装置204中未能阻止的攻击包进行溯源分析,并在入侵防护规则中添加攻击IP包的源地址阻断策略,对发现含有病毒的计算机进行杀毒处理。
内网区300,包括内网区入侵防护装置301、核心路由交换机302、内网区服务器303、基层单位入侵防护装置304、各电厂链路305、内网区审计模块306、集团链路入侵防护装置307以及集团链路308。
其中,进入内网区300的IP数据包进入内网区入侵防护装置301进行数据包代码检测和集成的防火墙访问控制,首先防火墙进行对IP包源地址、目标地址及端口访问控制策略匹配,如匹配的规则动作是通过,再与内网区入侵防护装置301中入侵特征代码匹配,若一致则阻断;否则进入核心路由交换机302,核心路由交换机302根据IP数据包目的地址进行选择,若是内网区服务器303的IP地址,则选择内网区服务器303,若是所辖各电厂链路305中的目标地址,则选择至各基层单位入侵防护装置304,从而进入所辖各电厂链路305。
进一步的,内网区300中设置内网区审计模块306,内网区审计模块306接入内网区入侵防护装置301、基层单位入侵防护装置304以及集团链路入侵防护装置307。内网区审计模块306与缓冲区审计模块206功能一致,但不可共用。对内网区300中各连接异常数据包进行统一采集和存储,并自动发现网络攻击和计算机病毒,网络安全管理员对其进行分析确认。同时,对发现含有病毒的计算机进行杀毒处理。发现攻击后要立即进行安全加固,如进行跟踪溯源,并添加访问控制策略。
如图8所示,网络安全设备统一审计分析包括:流量分析、病毒过滤、访问控制、入侵防护实时日志信息、图表分析。在安全可靠的网络基础上,快速建成区域公司内外网统一数据平台。图9为统一的智能化管理平台示意图,可以实现互联网移动应用。在图10中为本系统建成的区域公司统一的智能化管理平台,该平台可以实现互联网移动应用。该平台可以实现区域企业员工移动办公,包括手机、iPad、笔记本及授权计算机客户端,疫情防控期间保障了居家办公人员照常开展工作。
对外服务区400,包括对外服务区入侵防护装置401和对外服务区服务器402。
其中,本系统完成各设备安装调试,保证链路畅通。INTERNET国际互联网接入综合入侵防护装置100外接联通、电信两路互联网链路。综合入侵防护装置100一条链路设置成仅VPN接入(如果对公网提供服务,此链路设置成仅入路由,且对内访问仅指向连接对外服务区400的对外服务区服务器402和对外服务区入侵防护装置401),另一条链路设置成仅出路由。
对外服务区入侵防护装置401要求与综合入侵防护装置100设备不是同一厂家,以提高设备被黑客攻破的难度。对外服务区400服务器的防病毒程序、操作系统补丁要及时更新升级,应采用国产化硬件和软件,并可增加针对服务内容的安全措施。
进一步的,同一区域多个入侵检测装置可采用多端口设备,在共用设备上配置相应出、入通道,以节省相应投资。严禁跨区域共用一台入侵防护装置;严禁内网区300与缓冲区200共用一台审计模块服务器。内网区300中应用在互联网终端接入时需同时增加相应的授权认证,如对移动APP系统首次安装时需对相应的手机终端进行系统注册或通过短信验证终端的授权。
缓冲区200与内网区300采用物理隔离装置205互联,严禁通过协议方式逻辑隔离。物理隔离装置205仅从内网区300所对应主机的管理端口进行配置,此端口不接入网络,从根本解决协议隔离的安全风险。所有入侵防护装置安全策略均采用接入白名单。采集接口服务器采用国产超融合虚拟化服务器。
进一步的,本系统研究将区域网络作为整体的保护对象,构建区域级的网络安全监测平台,在内网部署安全设备及日志收集与审计系统,对防火墙等安全设备的日志统一收集和审计,以智能化方式对区域网络安全态势进行研判,针对网络安全方面的异常快速发现、定位,并依托联动机制迅速处置。相较人工监测的方式大幅提升效率,提升区域网络安全监测、防护能力和水平。
进一步的,本系统研究各单位网络设备化国产化替代的适应性和应用架构建设,彻底解决国外产品安全隐患。如区域防病毒软件国产化统一集中部署,对所属各单位进口主要网络设备国产化改造,解决国产设备对电厂网络、生产数据通信的安全性、可靠性及适应性以及对区域一体化建设的网络安全管理的适应性问题。
进一步的,本系统将区域公司所辖各厂内网各自单独通过广域网接入集团总部改成由区域公司星形双链路的快速区域广域网后集中后接入集团广域网。各单位工作中所涉及互联网应用归集到区域公司集中接入互联网,从根本上解决生产企业内、外网互联的安全风险。集中由公司统一出口访问集团广域网、电网广域网及互联网,更好地适应《网络安全法》的要求。统一组织开展网络安全等级保护定级与测评,并落实整改,形成区域网络作为一个整体保护对象立体防护的工业互联网基础。
重要的是,应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (10)
1.一种区域公司计算机网络安全互联方法,其特征在于;包括,
建立综合入侵防护装置(100)并接收互联网进入的数据;
输入路由器模块(101)并根据IP包中目的地址、目的端口进行判断;
若判断结果为VPN模块(103)匹配的目的地址和端口,则将数据包送给VPN模块(103)建立VPN隧道,通过验证信息建立连接,并分配给用户缓冲区IP地址,对缓冲区(200)和内网区(300)区域进行访问;
若判断结果为对外服务区服务器(402)的映射地址和端口,则将数据包送入对外服务区入侵防护装置(401)连接端口,再进入对外服务区(400);
其他目的地址的数据包均阻断。
2.如权利要求1所述的区域公司计算机网络安全互联方法,其特征在于:综合入侵防护装置(100)配置2个端口与两个不同互联网运营商网络建立连接,并配置运营商提供的公网IP地址,其中一个端口设置成仅出端口,另一端口设置成仅入端口。
3.如权利要求2所述的区域公司计算机网络安全互联方法,其特征在于:VPN隧道、对外服务的数据流均经过入侵防护模块(104)和防病毒检测模块(105)的检测,若为正常数据则可正常传输至缓冲区(200);
若否,则进行阻断。
4.如权利要求3所述的区域公司计算机网络安全互联方法,其特征在于:正常数据进入缓冲区(200),建立VPN隧道后的链接,将互联网用户访问的IP包送入路由器(201),根据IP包的目的地址选择访问链路,若目的地址为缓冲区IP地址,则将路由选择链接交接机(202),并通过交接机(202)选择缓冲区服务器(203),若目的地址为用户模块(207)的IP地址,则将路由选择链接用户模块(207)。
5.如权利要求4所述的区域公司计算机网络安全互联方法,其特征在于:若目的地址为内网区(300)的IP映射地址,则路由器(201)选择链接交接机(202),并通过交接机(202)传输、缓冲区入侵防护装置(204)的安全检测和隔离装置(205)的协议转换,数据将进入内网区(300)。
6.如权利要求5所述的区域公司计算机网络安全互联方法,其特征在于:用户模块(207)和区域公司缓冲区客户端(208)若访问互联网,区域公司缓冲区客户端(208)数据包从交接机(202)发到路由器(201),路由器(201)选择路由到路由器模块(101),选择仅出的路由端口与国际互联网连接,且数据传输过程中通过入侵防护模块(104)和防病毒检测模块(105)检测。
7.一种区域公司计算机网络安全互联系统,其特征在于:包括,
综合入侵防护装置(100),包括路由器模块(101)、防火墙模块(102)、VPN模块(103)、入侵防护模块(104)、防病毒检测模块(105)五个功能模块,且配置2个端口,并与两个不同互联网运营商网络建立连接,配置运营商提供的公网IP地址;
缓冲区(200),包括路由器(201)、交接机(202)、缓冲区服务器(203)、缓冲区入侵防护装置(204)、隔离装置(205)、缓冲区审计模块(206)、用户模块(207)和区域公司缓冲区客户端(208);
内网区(300),包括内网区入侵防护装置(301)、核心路由交换机(302)、内网区服务器(303)、基层单位入侵防护装置(304)、各电厂链路(305)、内网区审计模块(306)、集团链路入侵防护装置(307)以及集团链路(308);以及,
对外服务区(400),包括对外服务区入侵防护装置(401)和对外服务区服务器(402)。
8.如权利要求7所述的区域公司计算机网络安全互联系统,其特征在于:所述缓冲区审计模块(206)接入综合入侵防护装置(100)、缓冲区入侵防护装置(204)以及对外服务区入侵防护装置(401)。
9.如权利要求8所述的区域公司计算机网络安全互联系统,其特征在于:所述内网区(300)的IP数据包进入内网区入侵防护装置(301),对IP包目标地址及端口匹配并进行数据包代码检测,并进入核心路由交换机(302),根据IP数据包目的地址进行选择,若是内网区服务器(303)的IP地址,则选择内网区服务器(303),若是各电厂链路(305)中的目标地址,则选择至基层单位入侵防护装置(304),进入所辖各电厂链路(305)。
10.如权利要求9所述的区域公司计算机网络安全互联系统,其特征在于:所述内网区(300)中设置内网区审计模块(306),所述内网区审计模块(306)接入内网区入侵防护装置(301)、基层单位入侵防护装置(304)以及集团链路入侵防护装置(307)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210525559.0A CN114629730B (zh) | 2022-05-16 | 2022-05-16 | 一种区域公司计算机网络安全互联方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210525559.0A CN114629730B (zh) | 2022-05-16 | 2022-05-16 | 一种区域公司计算机网络安全互联方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114629730A true CN114629730A (zh) | 2022-06-14 |
| CN114629730B CN114629730B (zh) | 2022-08-12 |
Family
ID=81907348
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210525559.0A Active CN114629730B (zh) | 2022-05-16 | 2022-05-16 | 一种区域公司计算机网络安全互联方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114629730B (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090222535A1 (en) * | 2006-05-30 | 2009-09-03 | Haisheng Ni | Internet Access Server for Isolating the Internal Network from the External Network and A Process Method thereof |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN203457170U (zh) * | 2013-09-30 | 2014-02-26 | 国家电网公司 | 电力通信网的多网融合系统 |
| CN108449310A (zh) * | 2018-01-26 | 2018-08-24 | 山东超越数控电子股份有限公司 | 一种国产网络安全隔离与单向导入系统及方法 |
| CN110943913A (zh) * | 2019-07-31 | 2020-03-31 | 广东互动电子网络媒体有限公司 | 一种工业安全隔离网关 |
| CN111917757A (zh) * | 2020-07-24 | 2020-11-10 | 中船重工信息科技有限公司 | 一种船舶网络边界安全防护机制 |
| CN112714129A (zh) * | 2020-12-30 | 2021-04-27 | 西安交通大学 | 一种用于网络安全芯片的内外网访问控制方法与该网络安全芯片 |
| CN112738017A (zh) * | 2020-11-23 | 2021-04-30 | 南京英诺森软件科技有限公司 | 一种基于互联网的公司安全网络的实现系统 |
| CN112751843A (zh) * | 2020-12-28 | 2021-05-04 | 中铁第一勘察设计院集团有限公司 | 铁路供电系统网络安全防护系统 |
| CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离系统及其方法 |
| CN113645213A (zh) * | 2021-08-03 | 2021-11-12 | 南方电网国际有限责任公司 | 一种基于vpn技术的多终端网络管理监控系统 |
| CN113676469A (zh) * | 2021-08-17 | 2021-11-19 | 盐城工学院 | 一种企业网安全管理方法 |
| CN114243909A (zh) * | 2021-11-29 | 2022-03-25 | 南方电网数字电网研究院有限公司 | 数字电网安全隔离系统 |
-
2022
- 2022-05-16 CN CN202210525559.0A patent/CN114629730B/zh active Active
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090222535A1 (en) * | 2006-05-30 | 2009-09-03 | Haisheng Ni | Internet Access Server for Isolating the Internal Network from the External Network and A Process Method thereof |
| CN102316108A (zh) * | 2011-09-09 | 2012-01-11 | 周伯生 | 建立网络隔离通道的设备及其方法 |
| CN102438026A (zh) * | 2012-01-12 | 2012-05-02 | 冶金自动化研究设计院 | 工业控制网络安全防护方法及系统 |
| CN203457170U (zh) * | 2013-09-30 | 2014-02-26 | 国家电网公司 | 电力通信网的多网融合系统 |
| CN108449310A (zh) * | 2018-01-26 | 2018-08-24 | 山东超越数控电子股份有限公司 | 一种国产网络安全隔离与单向导入系统及方法 |
| CN110943913A (zh) * | 2019-07-31 | 2020-03-31 | 广东互动电子网络媒体有限公司 | 一种工业安全隔离网关 |
| CN111917757A (zh) * | 2020-07-24 | 2020-11-10 | 中船重工信息科技有限公司 | 一种船舶网络边界安全防护机制 |
| CN112738017A (zh) * | 2020-11-23 | 2021-04-30 | 南京英诺森软件科技有限公司 | 一种基于互联网的公司安全网络的实现系统 |
| CN112751843A (zh) * | 2020-12-28 | 2021-05-04 | 中铁第一勘察设计院集团有限公司 | 铁路供电系统网络安全防护系统 |
| CN112714129A (zh) * | 2020-12-30 | 2021-04-27 | 西安交通大学 | 一种用于网络安全芯片的内外网访问控制方法与该网络安全芯片 |
| CN112887267A (zh) * | 2021-01-05 | 2021-06-01 | 天津七所精密机电技术有限公司 | 一种具有报文认证功能的网络隔离系统及其方法 |
| CN113645213A (zh) * | 2021-08-03 | 2021-11-12 | 南方电网国际有限责任公司 | 一种基于vpn技术的多终端网络管理监控系统 |
| CN113676469A (zh) * | 2021-08-17 | 2021-11-19 | 盐城工学院 | 一种企业网安全管理方法 |
| CN114243909A (zh) * | 2021-11-29 | 2022-03-25 | 南方电网数字电网研究院有限公司 | 数字电网安全隔离系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114629730B (zh) | 2022-08-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Chica et al. | Security in SDN: A comprehensive survey | |
| Pattaranantakul et al. | NFV security survey: From use case driven threat analysis to state-of-the-art countermeasures | |
| US8146145B2 (en) | Method and apparatus for enabling enhanced control of traffic propagation through a network firewall | |
| CN110661761B (zh) | 一种访问控制设备、方法、计算机程序产品和计算机可读介质 | |
| EP2866407A1 (en) | Protection of automated control systems | |
| JP2017520194A (ja) | ソフトウェア定義ネットワークにおけるセキュリティ | |
| CN105991647B (zh) | 一种数据传输的方法 | |
| Mahan et al. | Secure data transfer guidance for industrial control and SCADA systems | |
| CN106027476B (zh) | 一种身份证云认证系统及读卡系统 | |
| TW202137735A (zh) | 網路基礎架構可程式切換裝置 | |
| Dondossola et al. | Effects of intentional threats to power substation control systems | |
| Varadharajan et al. | Counteracting attacks from malicious end hosts in software defined networks | |
| JP4713186B2 (ja) | ネットワーク監視方法及びネットワーク監視システム | |
| Belmonte Martin et al. | Threat landscape and good practice guide for software defined networks/5g | |
| CN117061556B (zh) | 一种电力监控系统远程运维安全保护装置 | |
| JP6832990B2 (ja) | ソフトウェア定義ネットワークにおけるセキュリティ | |
| CN114629730B (zh) | 一种区域公司计算机网络安全互联方法及系统 | |
| CN116827646A (zh) | 一种基于eBPF的终端流量代理及访问控制方法 | |
| Yu et al. | Research on key technology of industrial network boundary protection based on endogenous security | |
| Holm et al. | A manual for the cyber security modeling language | |
| Kodzai | Impact of network security on SDN controller performance | |
| EP2090073B1 (en) | Secure network architecture | |
| Jawahar et al. | Application Controlled Secure Dynamic Firewall for Automotive Digital Cockpit | |
| Zakeri et al. | Modeling TCP/IP networks topology for network vulnerability analysis | |
| Singh | An Analysis of Cybersecurity in Industrial Automation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |