在國家和行業幾個紅頭文件下發之后，電力企業的信息化建設和規劃正在緊鑼密鼓進行，雙網隔離早已成為電力企業信息安全的必修課。雙網隔離技術在一定程度上解決了電力企業信息化建設的困境，滿足了當前安全需要。通過雙網隔離這樣的辦法，盡量減少互聯互通，減少接觸面，杜絕多出口多互連所帶來的業務是否需要上網界定不清無法控制問題，而且互聯互通程度越高，對人員、管理、運維要求也越高。今天，日趨完善的網絡隔離產品已成為網絡信息安全體系中不可缺少的重要環節，是防范非法入侵、阻擋網絡攻擊、防止內部信息泄密的一種簡單而有效的手段。

安全隔離網閘是采用雙主機+物理隔離開關的硬件結構，結合高強度的網絡協議分析和控制的軟件系統，共同構建一個在網絡邊界處隔離網絡已知和未知攻擊行為的高端網絡安全設備。簡單的說，安全隔離網閘是一套雙主機系統，兩個主機之間是永遠斷開的，以達到物理隔離的目的，雙主機之間的信息交換是通過借助拷貝、鏡像、反射等第三方非網絡方式來完成的。當數據需要從外網下載到內網，或者和內網通訊時，安全隔離網閘在內外網之間扮演著一種類似“信息渡船”的角色。信息技術是動態發展的，“道高一尺，魔高一丈”，安全不是絕對化的。

作者所在企業的雙網隔離方案是集團本部和分公司分別部署安全隔離網閘，三級單位及電廠的內外網實現完全的物理隔離。每個三級單位及電廠均有專線通道到分公司，每個分公司又有專線通道到集團本部構成整個集團內網，大集中方式部署在集團內網的應用系統正常情況下均通過集團安全隔離網閘實現內外網安全訪問和數據擺渡，分公司部署的應用系統均從分公司安全隔離網閘實現內外網安全訪問和數據擺渡，三級單位原則上不允許部署單獨的應用系統，現有系統將逐步集中到分公司層面，三級單位及電廠嚴禁內外網互聯互通。這樣就形成了兩個網絡，雙網(內外網)共存，內網作為集團企業內部各業務應用系統信息網絡基礎平臺，外網各單位分別與Internet國際互聯網互連。其實作者認為外網也同樣應該減少局域網與互聯網的互聯互通，因為人員編制等原因，實際上各單位的信息網絡管理和維護水平和領導重視程度都不一樣，參差不齊。

分區分域防護原則

劃分安全域是構建企業信息安全網絡的基礎，提高抗擊風險能力，提高可靠性和可維護性。內網具體劃分為網絡核心區域、各業務應用服務器區域、桌面辦公區域、廣域網接入區域、測試服務器區域、集中管控服務器區域和與外網安全隔離區域。網絡核心區域是企業信息安全網絡的心臟，它負責全網的路由交換以及和不同區域的邊界防護。這個區域一般包括核心交換設備、核心防火墻以及主動防攻擊和流量控制設備等。

各業務應用服務器區域是內部各應用管理系統所在區域，包括企業門戶、辦公自動化、電子商務、HR人力資源系統、財務一體化、營銷、生產管理、ERP等內部管理信息系統。桌面辦公區域包括接入交換機和員工桌面終端。廣域網接入區域包含由公司總部到集團總部乃至各所屬機構的專線安全設備以及交換路由設備，是公司總部至各單位的通信命脈。測試服務器區域是供系統開發人員所訪問的未上線的開發系統所在區域。集中管控服務器區域是內網輔助類服務器區域，這個區域一般包括DNS、DHCP、防病毒、桌面管理系統、網管系統、IT運維管理平臺和安全運維管理平臺SOC等。

內外網安全隔離區域是用于內網與外網擺渡的區域，是內網與外網通信的唯一出口，其主要設備是安全隔離網閘。各安全域的信息系統之間邊界鮮明，為安全防護體系設計和層層遞進、逐級深入的安全防護策略提供了必要條件。網絡核心區域是整體信息網絡的核心，所有其他區域均經過核心區域進行交互，這個區域理所當然地成為各個區域的安全邊界。以核心服務器區域為例，它和網絡核心區域中間部署安全設備，對過往的流量起到控制作用，以達到安全防護。再以廣域網接入區域為例，它和網絡核心區域中間部署安全設備和主動防攻擊設備，達到更高層級的防護。

分區域防護的設置，將降低外界對信息系統的物理攻擊和網絡攻擊的危害性，以確保內部各網絡應用系統的安全。外網具體可劃分為網絡核心區域、服務器區域、桌面辦公區域、DMZ區域、與內網安全隔離區域和與Internet國際互聯網接入區域。外網的服務器區域類似內網的輔助類服務器區域。與內網交互的安全隔離區域包括安全堡壘機系統、認證系統、SSLVPN系統。DMZ區域是提供給互聯網用戶訪問的系統，主要包括WWW、Email、外部DNS等服務器，DMZ區域的服務器禁止訪問其他區域，避免來自互聯網用戶攻擊或控制DMZ區服務器后影響或威脅其他區域。拓撲結構如下圖：

應用虛擬化接入原則

雙網隔離方案的建設極大提高了內部網絡的信息安全水平，卻又面臨一個新的問題，內外網之間信息安全交互受到制約，保密性(Confidentiality)和可用性(Availabili-ty)矛盾日益凸出。一方面隨著雙網建設的不斷深入和推進，對信息系統的安全性要求越來越高;另一方面隨著公司信息化建設的不斷深入，投入的業務系統不斷增加，用戶業務快速發展，商務出行及會議等逐漸增多，導致公司員工無法遵循業務要求的標準化，流程化，及時地處理文件，從而使整個業務停滯不前，同時隨著集團雙網改造和建設的不斷深入和推進，原有VPN移動辦公解決方案從安全和性能上都已經不能滿足要求，限制了信息系統的效益，阻礙了業務的處理。

移動辦公也面臨著諸多方面的挑戰，今天的信息安全已經從最初的網絡安全逐漸向應用安全、數據安全和系統安全的全面安全體系發展，從基礎安全向細粒度的高階安全發展。雙網改造后，如何在安全的前提下實現內外網數據的交互和便捷的移動辦公應用?如何對員工的訪問進行有效地控制，實現便捷高效訪問被授權資源?如何防止內部人員泄密或其他未授權人員直接接入內部網絡導致的泄密等?作者所在企業選擇了經過公安部、電監會、國家信息中心等權威部門的論證和充分的調研可行的立體解決方案，采用虛擬化技術的安全堡壘平臺和SSLVPN設備，使用數字證書或UKEY登錄，徹底解決了雙網環境下跨網訪問、移動辦公的難題。

安全堡壘平臺將應用虛擬化技術應用于信息安全領域，將應用100%在服務器運行，沒有任何應用組件運行于客戶端環境，以虛擬的方式與客戶端交互，實現一種新型的數據不落地的傳輸模式。虛擬化技術分離應用的表現與計算，實現虛擬應用交互、本地化應用體驗，客戶端與服務器之間只傳遞鍵盤、鼠標和熒屏變化等交互信息，沒有實際的業務數據流到客戶端，客戶端看到的只是服務器上應用運行的顯示鏡像。安全堡壘平臺的整體安全體系，包括事前安全策略規劃、事中安全訪問控制和事后安全審計三個層次，可以實現多級的用戶管理和細粒度的用戶授權，可以完成對用戶整個生命周期的監控和管理，制定統一的、標準的用戶賬戶安全策略，捆綁具體用戶，對用戶、行為和資源進行授權，以達到對權限的細粒度控制，最大限度保護用戶資源的安全。可以記錄和查詢用戶何時、多長時間、從哪里訪問、訪問設備的信息等。

還可以通過對用戶訪問的行為全程錄制，實現事后的審計與追溯。訪問控制策略是保護系統安全性的重要環節，制定良好的訪問策略能夠更好的提高系統的安全性。最終用戶通過訪問SSLVPN設備，手機和平板電腦通過數字證書，筆記本電腦通過UKEY與安全堡壘平臺建立虛擬的專用VPN隧道加密，從而實現了4A(認證Authentication、賬號Account、授權Authorization、審計Au-dit)的安全標準。

積極管控原則

隨著信息技術的快速發展，信息化建設的不斷提高，各種應用系統逐漸上線運行，各種業務也開始在網絡上開展起來，有些應用已經是在整個集團正常運行，同時網絡的擴展也為病毒和木馬的傳播提供了便利的條件，各種極具破壞性的病毒在網絡中流竄，使網絡擁堵不堪，甚至癱瘓，也給一些不法分子和敵對國家獲取企業和國家機密信息和重要數據等信息提供了便利，所以健全的網絡建設和管理機制對維護企業和國家利益都有著重要意義，一旦網絡癱瘓或信息泄密，后果將不堪設想。因此信息安全的建設并沒有隨著雙網建設、分區防御的建設和應用虛擬化移動辦公接入的建設而結束，反而對整體信息網絡的安全防護和監督控制提出了更高的要求，必須要加強對信息安全的管理和控制，提高信息安全意識。

作者所在企業的信息網絡基礎平臺關鍵設備和鏈路通常采取雙機雙鏈路方式部署，實現負載均衡和單點失效保護，利用可管理交換機、路由器、防火墻、防毒墻、上網行為管理、安全隔離網閘、堡壘機、統一認證平臺、SSLVPN、IPS、IDS、WAF等網絡產品構建安全高效的信息網絡基礎架構平臺，在設備選型時盡可能考慮廠家異構和產品異構，安全設備必須是國產自主知識產權產品，盡可能的規避由于產品和設備選型帶來的安全風險。通過部署網管系統、IT運維管理平臺和安全運維管理平臺SOC，既滿足了信息安全運維管理的需要，同時也能滿足國資委信息化檢查和數據收集報送的需要。

采取細分VLAN來減少網絡病毒影響的范圍，防止類似ARP泛洪攻擊，利用DHCP服務器綁定MAC地址方法管理客戶端IP地址，使用桌面安全管理系統有效管理和控制客戶端，包括安全接入控制、安全策略管理、U盤等移動存儲管理、資產管理、軟件分發、補丁管理、員工行為等管理。網絡管理人員在上述系統的輔助下及時對實時運行的網絡進行分析和管控，預判故障和攻擊行為，實行主動防御、及時處理，將這些對智能電網建設和運行中可能發生的不安全因素，消滅在萌芽狀態之中。

隨著企業網絡建設規模的不斷擴大及上網人員用戶的增加，不可避免帶來泄密隱患。企業必須正視現實，處理好安全與應用方便性之間的關系，提高認識，高度重視信息網絡安全問題。對于因特網的弊端，不能矯枉過正，不能因為因特網對企業信息安全形成了巨大威脅，就強制要求所有單位和用戶斷開與因特網的連接，這樣無異于“因噎廢食”。在當前“雙網隔離”不失為一種有效的解決方案，然后通過安全分區域防護，部署相應安全產品和系統保證各業務應用系統和各種客戶端在授權模式下，都能安全訪問所需業務并實現事后追蹤審計。

當然雙網隔離的應用不但沒有降低對管理的要求，反而帶來新的管理問題，對管理要求日漸提升。我們要以“三分技術、七分管理”作為信息安全管理基本原則，其中最重要的還是人，我們不要太崇拜技術，人的安全意識提高才是最重要的，現在很多信息網絡基礎平臺建設很全面，安全制度制定得也很完善，但在執行過程中，常常被打破，被忽視，現在其實缺乏的不是技術，很多時候欠缺的是一個完善的體系化的管理機制。

作者：李正忠            單位：云南華能瀾滄江水電有限公司