电力客户网上服务中心内外网安全隔离技术

     摘 要 由于电力企业的特殊性，信息安全尤为重要，如何保障电力客户网上服务中心内外网数据安全、如何保证网上营业厅功能涉及的网上交易安全至关重要，本文着重从内外网安全隔离角度提出解决方案。

        关键词 信息安全；电力客户网上服务中心；内外网安全隔离

        中图分类号TP39 文献标识码A 文章编号 1674-6708（2012）81-0210-02

         引言

        电力客户网上服务中心（即95598互动网站）作为营销服务手段的延伸，在为客户提供营业柜台、电话/传真接入服务等的基础上，增加了Internet服务的功能，使客户能够通过Internet对企业各项业务进行查询和办理、与客户代表进行联系沟通，丰富客户营销服务的手段。由于网站开放于互联网，而网站的基础业务数据则基于内部营销业务系统，因此在网站运行过程中将会产生大量内外网数据的交互。由于电力企业的特殊性，信息内网的安全不容出错，因此，如何依靠现有的技术条件在95598互动网站正常运行的基础上保证内网数据的安全隔离将成为一个难点。而目前提供的强隔离装置只能针对ORACLE数据库进行部署，所提供的参数也不够全面，而且没有实际运行的有效验证数据，该装置是否满足网站业务服务的需求也将是的一个难点。

        1 内外网隔离方案

        1.1 内外网穿透

        95598互动网站信息内外网数据访问传输遵循了《国家电网公司智能电网信息安全防护总体方案》（征求意见稿）有关要求，采用安全隔离设备进行数据访问和传输。

        1.1.1 网站数据访问穿透

        网站数据库访问（账户信息检索、停电信息查询等）内外网数据穿透如图1所示：

        图1 内外网数据穿透图

        1.1.2 服务调用请求穿透

        网站需调用信息内网其它应用服务通过数据库中转方式完成，即用户通过“用户电脑-95598互动网站（web服务器）-安全隔离设备-95598互动网站（数据库）-95598互动网站（应用服务器）-接口前置服务器-营销业务应用系统”进行查询与检索，再通过“营销业务应用系统-接口前置服务器-95598互动网站（应用服务器）-95598互动网站（数据库）-安全隔离设备-95598互动网站（web服务器）-用户电脑”显示查询结果。

        1.2 边界安全防护设计

        边界安全防护设计包括：信息外网第三方边界、信息内外网边界、总部与网省（直辖市）信息内网边界。

        1.2.1 信息外网第三边界

        描述：与互联网之间的边界。

        控制措施：部署两道防火墙（互联网边界防火墙和信息外网边界防火墙），有效阻挡来自互联网的安全威胁；采用入侵检测系统和漏洞扫描系统，对来自互联网的非法访问和攻击进行检测和过滤；部署外网安全接入平台，进行用户身份认证和网站业务访问控制。

        1.2.2 信息内外网边界

        描述：Web服务器与内网应用服务器、数据库之间的边界。

        控制措施：部署隔离装置，保证信息外网不直接连接信息内网；采用正向隔离与逻辑强隔离组合方式，实现信息的安全交互；相关措施按照《国家电网公司“SG186”工程安全防护总体方案》，采用防火墙进行第三方业务的访问控制。

        1.2.3 总部与网省（直辖市）

        描述：网省信息内网与总部信息内网数据库之间的边界。

        控制措施：部署采用防火墙进行的访问控制。

        1.3 专用信息网隔离装置

        信息网隔离主要用于信息内网和信息外网边界安全防护，采用国家电网公司专用信息网隔离装置。基于代理的信息安全网络隔离装置（SGI-NDS 200）采用接口代理的技术架构，客户端部署自主研发的安全JDBC驱动软件，实现基于自学习的SQL智能过滤模块，全面支持Oracle、SqlServer、DB2等数据库的安全隔离。主要功能如下：

        1.3.1 基本功能

        信息安全网络隔离装置具备了通用防火墙产品的基本功能。具体包括：

        1）访问控制。提供基于状态检测技术的IP地址、端口的管理控制；防止非法的机器接入的IP与MAC地址绑定；

        2）防御功能。隔离装置可以检测到对网络或内部主机的所有TCP/UDP扫描，日志中提供防御审计等功能；

        3）安全管理。操作系统一是提供管理员和审计员分权管理的安全机制，保证安全产品的安全管理；二是提供丰富完整的审计机制，有对系统管理体系的分类日志（管理日志、通信事件日志），也有按日期的运行日志。日志内容包括事件时间及事件摘要等。 三是提供日志查询功能，这为用户进行日志的审计和分析提供了方便；

        4）双机热备份。双机热备份功能，提高应用系统可靠性和操作性能。热备份通过多种方式触发工作模式切换，模式切换时间短；

        5）操作管理。提供灵活的本地管理方式。

        1.3.2 增强的安全功能

        1）加固的安全操作系统。采用安全LINUX操作系统，根据最小特权原则对装置的软件，硬件制定MAC（强制访问控制）策略；取消ROOT特权用户，保证重要数据不被轻易修改；

        2）裁减网络协议栈。装置无TCP/IP协议栈，可以抵御一切从网络发起对装置的攻击行为；

        3）严格的访问控制策略。只有特定的TCP链路才能通过本装置。本装置一是配置对源IP、目的IP、目的端口进行控制，可以检查相应的MAC地址是否正确，最大程度上防止报文欺骗。二是增加对ARP协议控制，只有配置了相应传输规则的通信后，外网应用服务器才能获取到其对应数据库服务器的MAC地址，最大程度让数据库服务器对非法访问者不可见，以保障数据库安全。

        1.3.3 数据库专用安全防护功能

        1）Oracle 通讯协议控制。对于数据库服务器的开放端口进行特殊防护，仅仅允许来自应用服务器的数据库客户端进行访问。对于非数据库客户端，本装置将切断其TCP连接，保护数据库安全。装置对Oracle通信网络协议进行安全控制，保证Oracle服务器从网络底层不受到攻击，并通过分析通信协议的内容，对通信的行为进行控制；

        2）SQL语句控制。对于连接上数据库的通讯内容进行全方位分析，从其中分析出完整的SQL语句，对其进行过滤，如果是恶意SQL语句，本装置将立即切断其连接，将恶意SQL语句及时阻挡住，使之无法在数据库服务器上执行；

        3）SQL行为控制。访问数据库的行为是一个动态的具有语义上下文的行为，信息安全网络隔离装置能够动态缓冲SQL序列，分析SQL语句的行为；

        4）SQL解析和过滤。经过TNS过滤后的数据继续将进入系统核心：SQL解析和过滤模块，进行深入的SQL分析过滤，并根据用户配置的安全控制策略，对来自特定网络地址范围以及具有特定内容的应用数据进行阻断过滤或转发操作，将来自外部网络中企图对后台数据库进行攻击的危险行为阻断开来，从而在一定程度上保证了只有来自可信网络的不具攻击性的数据才能进入内部网络，确保后台数据库的安全。

        信息安全网络隔离装置对一些常见的SQL注入攻击预置了相应的默认过滤规则，随着黑客技术的发展和网络攻击手段的进步，技术人员可以对过滤规则进行及时更新。规则的更新是实时动态生效的，装置无需重新启动，因此并不会阻断上层应用。

        SQL解析和过滤模块采用基于规则的包过滤模式，其过滤规则语法采用Snort 五元组的方法进行，同时对模式匹配进行改进和优化。

        2 结论

        采用安全隔离装置进行防护，确保内外网数据安全性、防止入侵的同时，满足电力客户服务网站系统业务不间断、实时性数据交互需求。随着电力客户服务网络的建设应用，应从五个层次（终端、边界、网络、主机、应用）进行安全防护设计，最大限度的保证网站的安全、可靠和稳定运行。

        参考文献

        [1]张少敏.基于Web的管理信息系统方案及安全性[J].河北保定：华北电力大学学报，2001，28（1）.

        [2]叶小芳.VQ工P在呼叫中心的应用[J].北京：中国计算机报，2001（999）.

        [3]董听，杨杨.电力企业客户服务中心系统建设[J].南京：电力系统自动化，2000，24（19）.

        [4]李源，张沛超，提兆旭，郁惟镛.基于客户/服务器计算的电力企业M工S构造与优化研究[J].上海：微型电脑应用，1998，14（4）.