黄河城域网安全防护管理系统的应用研究

万 鹏 李庆金 庞 进

（黄委山东水文水资源局，山东济南 250100）

1 研究背景

黄河城域网是由济驻局机关、下属单位及宿舍区网络组成。以信息中心机房为核心，通过光纤分别连接路由器、三层交换机实现了网络的互联互通。城域网内有计算机2000多台，服务器30多台，部署有cisco、quidway、H3C等三层交换机、路由器、防火墙、入侵检测、二层交换机等设备。

局机关和各单位之间的网络信息业务如：防汛指挥、水量调度、日常办公、政务公开、信息发布等都在网络上运行，它已经成为山东黄河防汛管理等各项工作必不可少的工具和平台。

近年来，山东黄河在信息化建设方面投入了大量的人力、物力，网络设备综合性能和骨干网络传输带宽有了大幅度的提高，但在网络安全方面的投入还不够，没有建立完善的安全防护系统；不能对用户进行严格的管理与控制；当网络出现病毒或故障时，不能迅速地进行管理和定位。

对于上述情况，技术人员进行深入研究，结合山东黄河办公网络系统存在的安全问题，开发了针对整个城域网多方位的防护管理系统，可以实时监控、定位、管理整个网络设备和终端设备，有效解决目前网络系统内存在的诸多问题，提高网络安全防护能力，为进一步提升山东黄河网络整体性能发挥了巨大的作用。

2 存在问题

近年来，随着网络用户数量不断增加，应用范围不断扩展,对网络的维护和安全提出了更高的要求。虽采取了一系列的安全防护措施，投资购置了网络安全设备和产品，但仍存在着威胁网络安全运行的因素，主要问题如下。

2.1 缺乏有效的统计方法,无法得知网络使用状况

对于黄河网络的使用情况，公网出口带宽的占用情况，用户最常发生的网络访问行为，用户最常访问的网站等，网络管理者都无法掌握真实情况，只能靠员工的反映简单了解 IP访问情况，查询、审计非常不便。

2.2 无法做到细致的访问控制

没有完善的互联网访问权限控制手段，仅仅依靠传统的防火墙等设备，无法有效管控内网员工的各种网络访问行为，不仅降低了工作效率，甚至通过Email泄漏机构机密信息，给单位带来直接经济损失，并引起不必要的法律纠纷。

2.3 无法有效管控带宽流量及系统的带宽需求

现有的公网出口带宽比较有限,如果有几个内部用户全速下载BT、eMule等，其他用户和业务系统的访问会变得极其缓慢，而网络管理者无法有效的获知现有带宽资源的使用情况和利用率，对相关的网络访问行为无法有效管控。

2.4 无法对用户网络行为进行有效监控和审计

内网员工可能通过 MSN、Email邮件等方式将机构的信息资产通过邮件及附件发送到公网，造成内部信息的泄漏，并招致法律问题；而传统防火墙的解决方案，对用户的网络访问行为无法进行有效的监控和审计，不能做到有据可查。

3 设计原则及依据

3.1 设计原则

（1）效率风险规避。能够对与工作无关的应用进行控制与管理，并且通过阻断，流控等多种手段进行管理。系统内置的网站和应用数据库可以持续升级，并且对违规行为进行告警。

（2）安全风险规避。可以对带有恶意代码、木马的网站的访问进行阻断，能够对内部木马对外的发送行为进行阻断，可以对网站包含的恶意代码进行实时过滤。为了确保行为的标准性，要可以对代理回避技术进行过滤。

（3）网络可管理性。对系统存储的日志进行查询，统计，输出简明报告，报告可订阅。能够实时监控网络中的流量排名，用户排名，网站排名，应用排名。

（4）人员识别。采用用户名与密码登录方式进入黄河城域网，加强人员管理，可通过对系统中的用户、部门进行策略设置，以及日志的查询统计。

3.2 设计依据

该项目的实施均严格执行中华人民共和国水利部《水文基础设施建设及技术装备标准》SL276-2002[1]、《水文自动测报系统规范》SL 61-94[2]中的相关要求。

4 系统部署

部署的安全防护系统串接在用户网络链路中，如同连接在出口网关和内网交换机之间的“智能网线”，对流经安全防护系统的所有数据流进行审计、控制、拦截、流量管理等操作。安全防护系统的WAN 口同局域网的网关相连，LAN 口（DMZ口）同局域网交换机连接。对进出的数据进行监控与管理。安全防护系统部署图如图1所示。

图1 安全防护系统部署图

5 系统特点

（1）该系统建立了多种身份认证和权限控制上网模式，对接入局域网的人员进行识别辨认，防止了非法用户的侵入，保护了用户安全。

对用户访问通过web方式+ip/mac绑定认证结合方式，拦截了未经允许私自接入网内的用户，对系统中的用户和部门进行策略的树型结构设置，避免了用户私自更改IP，导致IP地址冲突等问题。用户信息等数据配置如图2所示。

图2 用户信息配置图

（2）在网络系统内实现了网页访问控制及其他网络行为控制，降低了感染病毒木马等网络风险。

该系统对应用进行控制与管理，通过阻断、流控等多种手段进行管理，对违规行为可进行告警。它包括 150 多种常见应用的识别和管控规则，定期从专业安全公司网站上自动更新应用识别库，从源头上切断病毒、木马的潜入，并结合终端安全检查等多种安全手段，实现立体式安全护航，确保安全上网。

图3 查询结果表

（3）该系统通过配置界面实时监控和分析网络流量，提供细致的优化分配带宽和流量管理功能，提高网络的利用效率，提升了网络访问速度。

系统提供了丰富的网络可视化报表，如图 3“查询结果”中所示，报告让管理者详细掌握了网络内部流量的使用情况，找到造成网络故障的原因和网络瓶颈所在，从而对精细化管理网络提供了有效依据。保障电子政务系统、视频会议系统等办公应用获得足够的带宽支持，提升上网速度和办公应用的使用效率。

（4）该系统可通过日志审计和报表中心对网络进行管理统计，把握网络的整体健康状况，确保网络的安全运行。

通过安全防护系统“应用审计”模块，如图 4所示，能实现针对不同用户(组)进行行为记录和审计，网络行为控制等功能。系统自动生成行为日志，便于管理人员统计、查询，维护网络安全。

图4 应用审计模块

6 社会与经济效益

该系统的应用，提高了整个黄河城域网的安全性和稳定性，构建了更加稳定的防汛信息交流和网络办公平台，尤其在黄河低水调度、调水调沙等关键渡汛时期，保证了网络运行安全和水雨情信息的顺畅传递，社会效益明显。

通过对出入网络各种操作制定的规则，根据实际情况完善系统的配置数据，并在设备中启动 arp防护联动，用户计算机感染病毒的几率大幅减少，网络故障次数明显降低，提升了网络安全性能，提高了网络维护质量。同时优化了带宽管理，提升网络的访问质量，用户的满意度得到了提高，节省了可观的前期投资，经济效益明显。

[1]SL276-2002,水文基础设施建设及技术装备标准[S].中华人民共和国水利部.北京:中国水利水电出版社,2002

[2]SL 61-94,水文自动测报系统规范[S].中华人民共和国水利部.北京:水利电力出版社,1994