基于等級保護的網(wǎng)絡改造方法及異常情況分析與處理

陳華智

浙江省電力試驗研究院 浙江 310014

0 引言

網(wǎng)絡信息安全是一個企業(yè)信息化發(fā)展和進步的重要信息安全基礎，也是國家信息安全等級保護基本要求的內(nèi)容之一。浙江省電力試驗研究院高度重視網(wǎng)絡信息安全管理，把信息安全納入電力生產(chǎn)安全同等管理。2010年，浙江省電力試驗研究院依據(jù)國網(wǎng)公司“SG186工程安全防護總體方案”中的“雙網(wǎng)雙機、分區(qū)分域、等級保護、多層防護”基本要求，在企業(yè)原有網(wǎng)絡安全防護基礎上開展了網(wǎng)絡二級域改造建設，以提升企業(yè)網(wǎng)絡安全防護水平。

1 網(wǎng)絡概況

浙江省電力試驗研究院作為省電力公司直屬企業(yè)，企業(yè)網(wǎng)絡以局域網(wǎng)方式接入省公司骨干網(wǎng)為主，信息網(wǎng)的骨干數(shù)據(jù)交換通過3層主交換機Foundry BigIron 8000實現(xiàn)，各部門及其下屬單位通過二層接入交換機或匯聚交換機接入企業(yè)信息網(wǎng)，實現(xiàn)用戶終端接入企業(yè)辦公信息網(wǎng)。企業(yè)信息網(wǎng)中的3層核心主交換機采用Foundry BigIron 8000設備(下稱Foundry BigIron 8000-1和 Founcry BigIron 8000-2)進行部署，采用靜態(tài)路由方式與省公司對端設備進行靜態(tài)路由相聯(lián)。企業(yè)信息網(wǎng)網(wǎng)絡拓撲示意圖如圖1所示。

基于圖1中的網(wǎng)絡拓撲示意結(jié)構圖，核心主交換機Foundry BigIron 8000-1和Foundry BigIron 8000-2之間運行虛擬路由器冗余協(xié)議(VRRP：Virtual Router Redundancy Protocol)，以達到路由備份冗余的目的。各樓層交換機亦采用雙鏈路分別上聯(lián)核心主交換機Foundry BigIron 8000-1和Founcry BigIron 8000-2設備，達到網(wǎng)絡鏈路及設備的熱備份效果。但問題在于：企業(yè)信息網(wǎng)中所有應用服務器均直接接入到核心主交換機Foundry BigIron 8000設備上，均通過主交換機Foundry BigIron 8000的物理端口實現(xiàn)數(shù)據(jù)包轉(zhuǎn)發(fā)?；趫D1網(wǎng)絡架構示意圖，網(wǎng)絡架構主要缺陷在于，即本項目改造的主要出發(fā)點：是企業(yè)信息網(wǎng)無法定義結(jié)構化的路由域以及無法清晰地界定重要服務器與普通內(nèi)網(wǎng)PC的之間的邊界。因此，企業(yè)信息網(wǎng)絡需要進行網(wǎng)絡安全域改造，通過建設二級服務器域和桌面系統(tǒng)域，以劃分清晰的二級服務器域和桌面終端域，實行邊界安全防護。

圖1 網(wǎng)絡拓撲示意圖

2 改造方法及步驟

按照“三級系統(tǒng)獨立成域、二級系統(tǒng)統(tǒng)一成域”的域劃分原則，在本案中，應該為本企業(yè)信息網(wǎng)絡系統(tǒng)劃分一個統(tǒng)一的二級系統(tǒng)服務器域和桌面終端域，并分別進行安全防護和管理。二級系統(tǒng)服務器域與桌面終端域間實行橫向域間的安全防護措施，以實現(xiàn)域間的安全防護。安全域劃分示意圖如圖2所示。

圖2 安全域劃分示意圖

因此，為建立二級系統(tǒng)服務器域，需新增加兩臺交換機(下稱Cisco A 和 CiscoB)作為二級系統(tǒng)服務器域的接入交換機，并把原部屬在核心主交換機Foundry BigIron 8000設備上的所有應用服務器下移到新增的網(wǎng)絡交換機Cisco設備上。同時，CiscoA和CiscoB將通過開放式最短路徑優(yōu)先協(xié)議(OSPF：Open Shortest Path)分別與兩臺核心主交換機Foundry BigIron 8000互聯(lián)，且原有在Founcry BigIron 8000設備上的服務器網(wǎng)段的網(wǎng)關將下移至Cisco A和Cisco B上，Cisco A和Cisco B之間將運行熱備份路由器協(xié)議(HSRP)，實現(xiàn)服務器網(wǎng)段網(wǎng)關、設備、鏈路冗余。據(jù)此，工程實施步驟需分三步進行：

(1) Cisco A和Cisco B路由設備配置服務器網(wǎng)段(Vlan)，并與核心主交換機Foundry BigIron 8000進行Trunc連接。即：在Foundry BigIron 8000-1、Foundry BigIron 8000-2、CiscoA和CiscoB 4臺設備間設置二層Trunc鏈路，形成環(huán)網(wǎng)。

(2) 服務器鏈路按重要等級順序遷移到Cisco A和Cisco B路由設備上，并測試所有應用系統(tǒng)網(wǎng)絡及業(yè)務是否正常。

(3) 將Foundry BigIron 8000-1設備與Cisco A設備互聯(lián)接口由二層Trunc模式修改為三層模式，同樣將Foundry BigIron 8000-2設備與Cisco B設備的互聯(lián)接口由二層Trunc模式修改為三層模式，并在此4臺設備上分別啟用OSPF協(xié)議，產(chǎn)生動態(tài)路由條目。

(4) 實行vlan訪問控制措施，實現(xiàn)橫向域間邊界防護。即在新增的服務器域交換機上，根據(jù)業(yè)務訪問規(guī)則和安全需求，配置vlan ACL，達到桌面終端到服務器的橫向訪問控制。

3 異常情況分析與處理

3.1 異常情況描述

在實施了第1步、第2步后，所有應用服務器均平滑下移到新增的Cisco A和Cisco B路由設備上，但當實施了第3步后，即當把Foundry BigIron 8000-1與CiscoA ，F(xiàn)oundry BigIron 8000-2與CiscoB之間由二層Trunc鏈路修改為物理三層接口互聯(lián)，并啟用CiscoA、CiscoB與2臺Foundry BigIron 8000設備的OSPF路由動態(tài)協(xié)議，產(chǎn)生動態(tài)路由條目信息后，我們經(jīng)過測試發(fā)現(xiàn)：4臺設備路由表信息建立正常，用戶終端到服務器端設備的PING包正常，客戶端到服務器端TELNET端口正常，但是存在部分7層應用服務出現(xiàn)異?，F(xiàn)象。如遠程桌面只能連通一次就無法再連接，部分服務器的WEB應用服務只能個別終端能訪問，大部分終端無法正常訪問等異?，F(xiàn)象。

3.2 異常情況分析

當網(wǎng)絡遇到異常時，技術人員首先關心的是如何確定并修復異常，使網(wǎng)絡快速恢復正常運行。因此，必須及時收集有關信息，并對所發(fā)生的問題進行仔細分析，通常從以下3個方面進行分析。

(1) 應用程序問題：部分應用可能出現(xiàn)網(wǎng)絡中斷后，應用服務需要重啟才能正常提供服務的情況。

(2) 網(wǎng)絡硬件問題：如設備連接、硬件、線路問題而引發(fā)網(wǎng)絡不穩(wěn)定或網(wǎng)路異常問題。

(3) 網(wǎng)絡配置問題：如網(wǎng)絡協(xié)議、配置問題造成網(wǎng)絡不穩(wěn)定異常。

3.3 異常情況處理

(1) 應用程序問題排查：針對部分應用服務器的遠程桌面無法正常連接的問題，我們通過與業(yè)務部門聯(lián)系，采用應用程序重啟的方式。重啟后，經(jīng)過測試，我們發(fā)現(xiàn)故障仍然存在。因此，排除了應用服務本身問題的可能性。

(2) 網(wǎng)絡硬件問題排查：我們從網(wǎng)絡設備及硬件基礎設施著手，逐步更換了網(wǎng)絡設備的尾纖、光模塊(SFP)、設備接入板卡槽位。通過測試發(fā)現(xiàn)，問題依然無法解決。故也排除了硬件引發(fā)故障的可能性。

(3) 網(wǎng)絡配置問題排查：首先，我們懷疑可能是網(wǎng)絡數(shù)據(jù)包收和發(fā)的網(wǎng)絡路徑不一致而引發(fā)網(wǎng)絡的不穩(wěn)定。因此，我們上調(diào)了主交換設備Foundry BigIron 8000-1和主交換Foundry BigIron 8000-2之間、路由器Cisco A和路由器Cisco B之間的路由成本值(cost)，進一步確保網(wǎng)絡數(shù)據(jù)包收和發(fā)能使用同一路徑。但測試表明，cost值調(diào)整后，問題依然存在。然后，我們將Foundry BigIron 8000-2與CiscoB之間的鏈路斷開后，經(jīng)過測試，問題仍然存在；但是當斷開Foundry BigIron 8000-1與Cisco A鏈路(保留Foundry BigIron 8000-2與Cisco B的鏈路)，我們測試發(fā)現(xiàn)：7層應用恢復正常，遠程桌面等問題也得到正?；謴?。所以，我們確定了是Foundry BigIron 8000-1和Cisco A之間鏈路配置的問題。

明確問題所在后，我們通過分析，核心主交換機Foundry BigIron 8000與Cisco A或 Cisco B路由器的網(wǎng)絡互連可以有3種方式(三層物理接口互連、網(wǎng)段Vlan接口的Trunc互連、網(wǎng)段Vlan接口的Access互連)，為實現(xiàn)Foundry BigIron-1與Cisco A的正常連接，如表1所示，我們對各種可能性進行了測試，結(jié)果我們發(fā)現(xiàn)，若Foundry BigIron 8000-1使用物理3層接口，無論CicsoA設備采用3種方式(三層物理接口互連、網(wǎng)段Vlan接口的Trunc互連、網(wǎng)段Vlan接口的Access互連)的任何一種，網(wǎng)絡異常將存在。而當Foundry BigIron 8000-1 采用基于Trunc鏈路模式的Vlan接口，或基于Access的Vlan接口，則網(wǎng)絡恢復正常。

表1 Foundry BigIron 8000 與 Cisco 三層互聯(lián)測試表

因此，為加強安全性，我們將Foundry BigIron 8000-1的互聯(lián)接口設置為基于Access的Vlan接口，Cisco A采用物理三層接口，網(wǎng)絡及應用均恢復了正常。通過網(wǎng)絡異常的分析與處理，我們發(fā)現(xiàn)問題主要在于不同網(wǎng)絡廠家設備之間三層互聯(lián)方式問題上，通過轉(zhuǎn)換互連方式，網(wǎng)絡異常最終得以解決。

4 結(jié)語

本文探討了電力直屬企業(yè)基于等級保護的網(wǎng)絡安全防護改造方法，提出了通過新增加網(wǎng)絡設備，構建服務器二級域，以清晰劃分企業(yè)信息網(wǎng)的服務器域與桌面終端域，通過配置Vlan ACL措施實現(xiàn)安全域安全防護的基本措施和基本步驟，并在浙江省電力試驗研究院具體案例中加以實踐。實踐表明：該方法簡單、有效，能夠達到國家等級保護基本要求，達到國網(wǎng)公司SG186工程安全總體防護的要求。在工程實施中，也遇到了不同廠家設備之間在啟用3層接口互聯(lián)上，由于技術人員對設備性能及配置不夠熟悉等原因產(chǎn)生網(wǎng)絡異常現(xiàn)象。技術人員通過多種方法測試、驗證、排錯，最終采用了安全性較高一種互聯(lián)配置模式，恢復正常網(wǎng)絡。因此，本文中基于等級保護的網(wǎng)絡安全防護改造方法及網(wǎng)絡改造中網(wǎng)絡異常的分析排查處理經(jīng)驗對同類型企業(yè)網(wǎng)絡改造具有一定的參考和借鑒意義。

[1] 馬力,任衛(wèi)紅,李明等.GB／T 22239-2008.信息安全技術一信息系統(tǒng)安全等級保護基本要求[s].北京:中國標準出版社.2008.

[2] 公安部,國家保密局.國家密碼管理局等.信息安全等級保護管理辦法(公通字[2007]43號)[z]. 2007.

[3] 陳建平.信息安全管理實踐探討[j].科技情報開發(fā)與經(jīng)濟.2006.

[4] 王志強等.電網(wǎng)信息安全等級保護縱深防御示范工程在浙江電力的試點建設[j].電力信息化.2010.

[5] 張海彬.黑龍江省電力信息系統(tǒng)等級保護技術安全設計[j].電力信息化.2010.

[6] 宋華茂.信息系統(tǒng)等級保護在供電企業(yè)的具體實踐[j].電力信息化.2009.