煤矿企业远程数据安全传输的实践

2016-06-17 09:48姚锋刚郑阳平
电子设计工程 2016年7期
关键词:煤矿企业

姚锋刚,郑阳平

(1.西安飞豹科技发展公司自动化控制部,陕西西安710089;2.承德石油高等专科学校计算机与信息工程系,河北承德067000)



煤矿企业远程数据安全传输的实践

姚锋刚1,郑阳平2

(1.西安飞豹科技发展公司自动化控制部,陕西西安710089;2.承德石油高等专科学校计算机与信息工程系,河北承德067000)

摘要:针对煤矿企业联合重组后网络互联及数据安全传输等问题,通过调研分析和实验,利用IPSec VPN和SSL VPN技术设计出安全可靠、运行稳定及维护简单的煤矿企业VPN网络,确保煤矿企业数据信息远程传输的安全可靠。该方案提高煤矿企业联合重组后的网络信息化建设,促进企业的信息化的快速发展。

关键词:煤矿企业;联合重组;虚拟专用网;数据安全传输;远程访问

我国煤炭资源丰富,分布广泛,由数量较多的地方矿区矿井组成,根据国家发改委的《煤炭产业政策》中提出中小型煤矿整合改造及联合重组。通过联合重组,使得规模较小的,数量较多的,产能不足、煤炭资源开采利用率低、技术落后及安全状况不好的中小型煤矿与大型国有煤矿企业(集团)进行联合,解决中小型煤矿原有的各种问题。重组后煤矿企业正在向规模化,网络信息化发展,但是,由于地域分散,煤炭矿区如何与煤矿企业总部网络进行互联及远程数据的安全传输成为必须解决的问题。文中主要介绍煤矿企业总部与各个分矿区网络如何连接,如何实现数据信息的远程安全访问及安全数据信息传输,加快了煤矿企业数字化、网络化和信息化建设步伐,提高了煤矿企业的工作效率和管理效益,加快煤矿企业联合重组步伐。

通过煤炭产业的联合重组,必须尽快实现分矿区网络及远程用户(如出差用户)与煤矿企业总部的网络互联,实现远程数据信息传输,因为传输的数据可能是煤矿企业的重要数据,如财务报表、企业发展规划等,必须保证数据传输的安全性、保密性、完整性和可用性。保证网络互联及安全数据传输,就可以实现煤矿企业总部快速方便与分矿区实现数据信息交流,监控分矿区的实际运行情况,如人员定位系统、安全监控系统等[1],也可以及时的接受分矿区上报的各种数据信息。通过技术分析,采用VPN(Vjrtua1 Prjvate Network)技术,既安全可靠,又节省成本,管理和维护也比较容易[2]。不需要在煤矿企业之间专门铺设线缆,充分利用公共网络Internet的资源,在Internet上为煤矿企业总部与分矿区之间建立一个隐蔽的安全“虚拟通道”,通过“虚拟通道”实现煤矿企业总部与矿区之间的远程数据信息安全传输。利用Internet公共资源为其“私”用,形成地域分散的庞大煤矿企业网络,促进企业信息一体化和管理现代化。

1 煤矿企业远程数据访问技术

虚拟专用网,简称VPN,是在Internet上建立一个“虚拟通道”,通过“虚拟通道”实现煤矿企业内部重要数据的安全交流[2]。整个VPN网络的任意两个矿区网络节点之间并没有传统专网所需的端到端的物理链路,而是架构在公用网络Internet所提供的网络平台之上的逻辑链路,煤矿企业数据信息在总部和分矿区之间的逻辑链路中安全传输及共享。好像在公共网络Internet上铺设一条虚拟的“网络专线”,为煤矿企业网络互联及数据信息安全远程访问提供便利,既安全实用,又有节省成本。

该技术包括数据信息在公共网络Internet上的数据封装、数据加密及解密、身份认证和密钥交换等,实现远程用户、分矿区与煤矿企业总部数据传输的安全性、机密性、完整性和可用性[1]。经过技术及实践实验,建议采用SSL VPN实现煤矿企业总部与移动用户之间的互联,它无需额外的增加硬件设备,维护配置简单容易,客户端只需利用浏览器登录即可;建议采用IPSec VPN实现煤矿企业总部与分矿区之间的网络互联,虽需要增加硬件设备或升级扩展硬件设备,使之具备IPSec VPN功能,但安全性高,实现容易,节省成本。基于SSL的VPN是一套Internet数据信息安全协议,位于TCP/IP协议与应用层协议之间,为远程移动用户数据通讯提供安全支持。由SSL记录协议和SSL握手协议,为高层协议提供数据封装、压缩、加密等基本功能的支持,同时为通讯双方进行身份认证、加密算法协商、密钥交换等提供支持,被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输[2]。基于IPSec的VPN具有高效,安全,节省成本等优势[3],为网络层IP协议提供安全保证,解决了在公共网络Internet复杂环境上实现煤矿企业与分矿区之间进行数据信息安全可靠的传输。

2 安全解决方案设计与实践

煤矿企业通过联合重组,将地域分散的矿区网络、远程移动用户,通过SSL VPN和IPSec VPN技术,利用公共网络Internet的资源,在Internet上建立安全虚拟加密通道,实现与煤矿企业总部与的网络互联及数据信息的安全传输,使得联合重组后的煤矿企业,突破距离和时间的限制,更加灵活方便。网络拓扑结构如图1所示。

图1 煤矿企业VPN网络拓扑结构

2.1IP地址规划和网络互连设备基本配置

1)IP地址规划

煤矿企业总部网络IP地址网络为192.168.100.0/24,对外出口公网IP地址为200.28.106.9/24;分矿区网络IP地址网络为192.168.200.0/24,对外出口公网IP地址为215.33.20.9/ 24。具体规划如表1所示。

表1 煤炭企业VPN网络IP地址规划

2)网络基本设置

根据IP地址规划,在煤矿企业总部网络路由器R1上,分别配置对内和对外接口IP地址。在R2上分别配置对内和对外接口IP地址。然后再路由器R1和路由器R2上配置路由器的基本配置、默认路由等网络配置,由于比较简单,这里不再叙述。

2.2基于IPSec的VPN实现远程数据的安全传输

基于IPSec的VPN配置包括煤炭企业总部路由器R1的配置和分矿区路由器R2的配置。两个路由器R1和R2的配置基本相似,必须采用具有IPSec VPN功能的路由器R1 与R2,进行VPN配置及互联,实现数据信息的安全传输。在R1和R2进行IPSec VPN配置,主要分为3步:

第一步:确定ISAKMP策略,选择加密和秘钥方法(这里选择的是DES和MD5),设置预共享秘钥为mtjpsec。

第二步:配置IPSec策略,配置加密转换规则及传输模式名称。设置传输模式名称为mtvpn,配置名称为mtvpnmap的加密映射。

第三步:查看的路由器R1和R2上VPN配置,并调试,保证基于IPSec的VPN连通,保证远程数据安全传输[4]。

1)煤炭企业总部路由器R1的配置

根据IP地址规划和以上步骤,对煤矿企业总部R1的IPSec VPN的主要配置如下:

R1(confjg)#crypto jsakmp po1jcy 1

R1(confjg-jsakmp)#encryptjon des

R1(confjg-jsakmp)#hash md5

R1(confjg-jsakmp)#authentjcatjon pre-share

R1(confjg-jsakmp)#group 2

R1(confjg)#crypto jsakmp key mtjpsec address 215.33.20.9

R1(confjg)#crypto jpsec transform-set mtvpn esp-3des espmd5

R1(confjg)#jp access-1jset 111 permjt jp 192.168.200.0 0.0.0.255 192.168.100.0 0.0.0.255

R1(confjg)#crypto map mtvpnmap 1 jpsec-jsakmp

R1(confjg-crypto-map)#set peer 215.33.20.9

R1(confjg-crypto-map)#set transform mtvpn

R1(confjg-crypto-map)#match address 111

R1(confjg-jf)#crypto map mtvpnmap

2)分矿区路由器R2的配置

分矿区路由器R2配置与煤炭企业总部路由器R1配置类似。

特别需要注意是必须与R1的IP地址相互对应,必须保证加密方式及转换规则、共享密钥和加密策略等方面的一致性,否则无法建立VPN连接。

3)查看的路由器R1和R2上VPN配置,并调试连通。

通过pjng、show等命令检查调试,使煤矿企业与矿区网络之间的实现网络互联及数据的安全传输。

2.3基于SSL的VPN实现远程数据安全传输

基于SSL的VPN配置分为服务端配置和客户端配置,其中客户端配置比较简单,对用户是透明的。

1)基于SSL的VPN配置服务端配置

在煤矿企业总部的R1上进行SSL VPN配置,前提条件是R1必须具备SSL VPN的功能。配置主要包括一下两步:

第一步:开启AAA,设置基于SSL VPN客户端拨号的用户名和密码、认证方式和拨号所需的IP地址池范围。

第二步:定义Webvpn的策略集,配置SSL VPN客户端通过认证软件访问IP地址和端口号为https://200.28.106.9:443,关联拨号所需的IP地址池和AAA认证策略,配置webvpn名称是vpnss1gateway,配置客户端拨号的策略及DNS[4]。

根据IP地址规划和以上步骤,其主要配置过程如下:

R1(confjg)#aaa new-mode1

R1(confjg)# aaa authentjcatjon 1ogjn webvpn 1oca1

R1(confjg)#jp 1oca1 poo1 ss1vpn-addpoo1 192.168.100.150 192.168.100.254

R1(confjg)#username mtss1vpn password mt123456

R1(confjg)#webvpn gateway vpnss1gateway

R1(confjg-webvpn-gateway)#jp address 200.28.106.9 port 443

R1(confjg-webvpn-gateway)#jnservjce

R1(confjg)#webvpn context webcontext

R1(confjg-webvpn-context)#gateway vpnss1gateway

R1(confjg-webvpn-context)#aaa authentjcatjon 1jst webvpn

R1(confjg-webvpn-context)#jnservjce

R1(confjg-webvpn-context)#po1jcy group mtss1vpnp

R1(confjg-webvpn-group)#functjons svc-enab1ed

R1(confjg -webvpn -group)#svc address -poo1 ss1vpn -addpoo1

R1(confjg-webvpn-group)#svc sp1jt jnc1ude 192.168.100.0 255.255.255.0

R1(confjg -webvpn -group)#svc dns -server prjmary 202.106.196.114

R1(confjg -webvpn -context)#defau1t -group -po1jcy mtss1vpnp

2)基于SSL的VPN配置客户端配置

以Wjn 7为例介绍客户端的配置,打开IE浏览器,使用https方式登录到SSL VPN Server,进入WebVPN Servjce登录页面,即https://200.28.106.9:443,输入SSL VPN Server上定义的帐号名及口令,进入会话初始化阶段,初次使用需要从路由器上下载SSL VPN C1jent,并安装到操作系统上,下载证书安装到系统中[5]。当证书安装完毕,再次发起连接,进入SSL VPN C1jent建立连接阶段,直到SSL VPN C1jent会话建立,VPN连接就建立成功,就可以实现远程用户与煤矿企业总部之间的数据传输,为出差用户及在家办公的人员提供网络接入便利。

3 系统应用分析

LoadRunner是HP公司出品的一种预测系统行为和性能的负载测试工具。通过以模拟上千万用户实施并发负载及实时性能监测的方式来确认和查找问题,LoadRunner能够对整个企业架构进行测试[6]。

通过HP LoadRunner 11.50版本测试工具,对VPN服务器的测试,SSL VPN模式下平均速率是473.35KBps,在IPSec VPN模式下平均速率是741.03KBps,最大连接数平均可达800个用户,可以满足远程用户和分矿区访问煤矿企业网络对网络带宽和用户数量的要求。

该方案经济实用、配置简单、安全稳定,为联合重组煤矿企业提供远程数据安全传输。该设计方案充分利用VPN的专用与公用的特点,通过基于IPSec的VPN技术实现煤矿企业总部与分矿区网络之间安全数据传输,通过基于SSL的VPN技术实现煤矿企业远程移动用户的安全访问。

4 结束语

煤矿企业总部与分矿区、远程用户之间利用VPN技术,

将地域分散的矿区,通过使用Internet的公共资源,建立一个安全可靠的煤矿企业VPN网络,不但可以实现国内煤矿企业与分矿区及远程用户的数据安全传输,而且还可以建立世界范围内的煤矿企业VPN网络,大大的提高我国煤矿企业在国际社会的竞争能力,加快煤矿企业的联合重组的步伐,促进煤矿企业信息化建设和经济再次腾飞。

参考文献:

[1]郑阳平.煤矿企业利用VPN实现远程数据安全传输的研究[J].煤矿机械,2014(4):234-237.

[2]郑阳平,郝春雷.SSL VPN技术研究[J].电脑知识与技术:学术交流),2007(23):1270-1272.

[3]陈红军,周青云,张有顺.基于IPSec的虚拟专用网实现研究[J].制造业自动化,2011(2):70-72.

[4]Antoon W Rufj著.北京邮电大学Cjsco网络技术学院译.思科网络技术学院教程[M].北京:人民邮电出版社,2009.

[5]郑阳平,牟学鹏.VPN技术在高速公路建设中的应用研究[J].互联网天地,2014(5):73-77.

[6]罗智勇,尤波,苏洁.基于VPN网络的高校数字化图书馆组建模型研究[J].图书馆学研究,2013(1):35,52-59.

Practlce of remote data transmlsslon of coal mlne enterPrlses

YAO Feng-gang1,ZHENG Yang-pjng2
(1.Department of Automation Control,Xi'an Feibao Development Company,Xi'an 710089,China;2.Department of Computer and Information Engineering,Chengde Petroleum College,Chengde 067000,China)

Abstract:The thesjs focuses on the jssues of reorganjzatjon coa1 mjnjng enterprjses such as network connectjon and secure data transmjssjon. Through research,ana1ysjs and experjments,we uses IPSec VPN and SSL VPN techno1ogjes to desjgn a re1jab1e,stab1e and sjmp1e VPN network for the coa1 mjnjng enterprjse,to ensure an secure and re1jab1e remote data transmjssjon for coa1 mjnjng enterprjse. Thjs scheme can jmprove the network jnformatjon constructjon of coa1 enterprjse after the reorganjzatjon,promote the rapjd deve1opment of enterprjse jnformatjzatjon.

Key words:coa1 mjnjng enterprjses;jojnt reorganjzatjon;VPN;secure data transmjssjon;remote access

中图分类号:TP391

文献标识码:A

文章编号:1674-6236(2016)07-0087-03

收稿日期:2015-04-29稿件编号:201504304

作者简介:姚锋刚(1980—),男,陕西扶风人,助理工程师。研究方向:软件设计、自动化测控。

猜你喜欢
煤矿企业
煤矿企业薪酬管理方法探讨
新时期煤矿企业如何加强物资供应管理
煤矿企业人本管理模式下的职工培训教育创新研究
煤矿企业人力资源管理存在的风险因素及控制方法
煤矿企业安全文化评估研究
浅谈加强煤矿矿井通风安全技术措施
煤矿企业治安保卫工作重点在于防患未然
浅析煤矿企业安全质量标准化的重要性