IP城域网网络安全技术在“数字黄河”中的应用

魏彬++张晶++侯晓燕++郝建立

摘 要：本文阐述了IP城域网网络安全技术应用与黄河治理开发信息化管理思想，提供了IP城域网网络安全技术在黄河信息化应用方案研究，为黄河治理开发在网络安全管理方面提供了有益的建议和方案。

关键词：城域网；网络安全；网络行为

水利信息化建设以不可抗拒的力量，影响和改变着我们科研工作模式，管理工作模式，让我们充分享用到网络带来的方便、高效和利益。IP城域网作为“数字黄河”基础设施建设的组成部分，发展迅速，网络用户数量不断增加，网络应用内容不断扩展，这就对网络的维护和安全提出了更高的要求。

1 IP城域网网络安全存在的问题

⑴网络使用状况统计。对于黄河IP城域网，有限的公网出口带宽的占用情况，用户最常发生的网络访问行为，用户最常访问的网站等，网络管理者当前都无法掌握真实情况，而只能靠部分员工反映或抱怨，通常只能简单记录的一些IP访问情况，查询、审计非常不便。

⑵网络访问控制。没有完善的互联网访问权限控制手段，而仅仅依靠传统的防火墙等设备，将无法有效管控内网员工的各种网络访问行为；内网员工在上班时间使用QQ、MSN等聊天，浏览各种网站（甚至色情、反动网站），BBS、论坛发贴（包括不负责任的反动言论等），在线炒股、网络游戏娱乐等，不仅降低了工作效率，甚至通过Email泄漏机构机密信息，给单位带来直接经济损失，还可能引起不必要的法律纠纷。

⑶网络带宽流量、需求。现有的公网出口带宽通常都比较有限，带宽100M的Internet出口，如果有几个内部用户全速下载BT、eMule等，其他用户和业务系统的访问与开展都会及其缓慢，甚至完全不可用。而网络管理者一方面无法有效的获知机构现有带宽资源的使用情况和利用率，同时对于各种P2P等非业务相关的网络访问行为也无法有效管控。

⑷网络客户端的端点安全。类似于木桶理论，内网网络安全的等级取决于安全最薄弱环节。如果有内网员工的终端设备使用陈旧的操作系统、不更新操作系统补丁、不安装指定的杀毒/防火墙软件、甚至不更新，反而使用和安装不允许的软件，这都将造成该终端设备成为内网的安全短板。

2 IP城域网网络安全技术应用措施

IP城域网的网络架构一般分为三个层次：网络核心层、网络汇聚层、宽带接入层，网络的各个层次承担了不同的功能。根据城域网不同网络层次的不同功能，每个层次都有不同的特点，面临不同的安全问题。

⑴有效的身份认证技术。基于身份认证技术，可以为组织提供多种身份认证方式，如：web认证，与常见的第三方服务器结合认证（AD、LDAP、RADUIS、Proxy、POP3等），IP/MAC绑定认证等，更高级的还有key认证、硬件认证等。提供单点登录、用户自注册等，方便管理员使用。身份认证功能帮助管理员建立网络用户管理体系，实现管理与用户的一一对应。

⑵权限控制技术。提供基于时间、应用、用户（基本元素）的上网权限控制。权限控制功能帮助组织建立与组织文化、业务职能、用户职权相匹配的上网权限管理体系，防止越权访问，防范法律和泄密风险。

⑶流量管理控制技术。提供基于时间、应用、用户组/用户、上下行带宽（基本元素）的流量控制，帮助用户限制与业务无关应用的带宽占用情况，保障核心用户、核心业务的带宽需求。识别率与流控粒度是评判产品优劣的重要标准。

⑷应用行为记录管理体系。提供上网行为记录、数据挖掘、日志定位功能，一方面帮助组织提供满足主管部门要求的上网行为记录，避免安全事故发生后无据可查的情况，另一方面帮助组织进行业务分析，了解网络利用情况，应用行为记录功能也常常被作为信息安全防护、防泄密方案的重要组成

⑸安全防护系统。主流的专业安全防护管理产品都是硬件系统，作为管理系统其具有对网络威胁的识别和防御技术，一方面对网络威胁的防御（如防止DOS攻击、防ARP欺骗）能保护系统本身的稳定安全，进而保障网络可靠性；另一方面识别并拦截网络中的异常流量，可以避免威胁扩散而给单位造成不良影响。

⑹终端安全检测与修复。安全防护系统管理的“核心技术”之一“终端安全识别”包括进程、注册表、操作系统与补丁、杀毒软件与病毒库升级、多网卡状态、应用程序检测等等。但仅仅发现问题并不能满足管理员的需求。为此，安全防护系统提供了扩展功能，支持和第三方的安全服务器结合，一旦发现存在安全隐患的终端，自动向终端发起提醒或主动运行相关程序，修复安全短板。

⑺数据防泄密。由于认知程度的限制和侥幸心理的存在，在过去，数据防泄密管理方案的普及度十分有限。随着近几年各种数据泄密事件频频曝光，给个人或组织造成了声誉和财产上的损失，安全防护系统在数据防泄密方面的优势逐渐被重视起来：事前预防（过滤与控制技术、异常行为预警）、事发拦截（异常流量拦截、敏感内容过滤）、事后追踪（日志记录）。数据防泄密功能能帮助用户有效减少泄密风险。

IP城域网的网络资源信息安全问题，历来没有得到很好的解决，这是由网络自身的特点决定的，只要存在安全漏洞，就会产生安全威胁，通过IP城域网安全防护管理，提高“数字黄河”网络系统的安全性和稳定性，构建更加稳定的防汛信息交流和网络办公平台。使“数字黄河”网络运行更加可靠，在日常办公、对外联络等方面也发挥积极作用，社会效益明显。

[参考文献]

[1]水利部黄河水利委员会.“数字黄河”工程规划[M].郑州：黄河水利出版社.2003.

[2]李景宗，寇怀忠.“数字黄河”工程建设的现状与未来发展[J].人民黄河.2011（11）.

[3]胡捷，王和宇.IP城域网业务演进对设备、组网的要求[J].电信技术.2005（06）.endprint