葉水勇,王文輝,蔡 翔
(1. 國網(wǎng)黃山供電公司,安徽 黃山 245000; 2. 全球能源互聯(lián)網(wǎng)研究院有限公司,北京 102200;3. 國網(wǎng)安徽省電力公司,安徽 合肥 230022)
目前國家電網(wǎng)對違規(guī)外聯(lián)的檢查與控制主要是通過北信源VRV軟件進行監(jiān)控,對客戶端出現(xiàn)違規(guī)外聯(lián)情況進行記錄并阻斷;無法實現(xiàn)禁止違規(guī)外聯(lián)的要求[1-2]。為防止發(fā)生違規(guī)外聯(lián)事件,信息部門必需通過其他的技術(shù)手段禁止信息內(nèi)網(wǎng)終端利用3G卡、電話撥號、WI-FI非法外聯(lián)。
為了有效地控制和管理公司內(nèi)網(wǎng)計算機訪問外網(wǎng)的“違規(guī)外聯(lián)現(xiàn)象”,本文通過采用基于Office Scan的模塊化入侵防御防火墻IDF進行控制,可降低因為違規(guī)外聯(lián)而導(dǎo)致的內(nèi)部信息外泄及病毒感染等風(fēng)險。
IDF入侵防護防火墻通過系統(tǒng)底層進行網(wǎng)絡(luò)數(shù)據(jù)包的分析過濾功能;通過在防“違規(guī)外聯(lián)”防火墻策略中,添加相應(yīng)的強制允許策略,僅允許內(nèi)網(wǎng)用戶的IP范圍進行數(shù)據(jù)交互,丟棄將非內(nèi)網(wǎng)IP的數(shù)據(jù)包,從而實現(xiàn)對違規(guī)外聯(lián)的控制[3-4]。
1.2.1 服務(wù)器策略配置
在趨勢控制臺中新建一個“違規(guī)外聯(lián)模板”,將多條防火墻規(guī)則組合成一個模塊部署到客戶端上[5-6]。
1.2.2 客戶端部署
對需要控制違規(guī)外聯(lián)的客戶端,部署“違規(guī)外聯(lián)模板” 。
在安裝防“違規(guī)外聯(lián)”防火墻的信息內(nèi)網(wǎng)終端上安裝3G卡,當(dāng)3G卡撥號成功后,終端能夠獲取到公網(wǎng)IP地址。但公網(wǎng)IP地址無法進行網(wǎng)絡(luò)通信,同時IDF在10 s自動終止3G卡的撥號連接[7-8]。測試結(jié)果具體如下。
(1)3G上網(wǎng)卡無法進行有效的數(shù)據(jù)包傳輸。
(2)計算機無法通過3G上網(wǎng)卡訪問互聯(lián)網(wǎng)。
(3)3G上網(wǎng)卡在幾秒鐘后由于數(shù)據(jù)包不阻斷,3G卡自動斷開連接。
(4)對于客戶端通過其他方式(如:無線AP等)訪問互聯(lián)網(wǎng),IDF也能將其非內(nèi)網(wǎng)數(shù)據(jù)包進行阻斷。
當(dāng)安裝有防“違規(guī)外聯(lián)”防火墻插件的客戶端使用別的非法違規(guī)途徑(如3G上網(wǎng)卡、無線網(wǎng)卡等)訪問外網(wǎng)時將無法與外網(wǎng)進行通信,“插件管理器”控制臺的自動記錄“警報”信息會在后臺顯示[9-10]。
此時登陸到趨勢IDF管理控制臺中,在“防火墻事件”中也會產(chǎn)生相關(guān)的日志信息。
通過防“違規(guī)外聯(lián)”防火墻,可成功阻止信息內(nèi)網(wǎng)計算機違規(guī)連接外網(wǎng)[11-12]。經(jīng)過運行,網(wǎng)絡(luò)安全性得到了加強,使信息內(nèi)網(wǎng)的安全性得到提高,杜絕了違規(guī)外聯(lián)事件,阻斷了公司信息外泄的可能性,對公司整體財產(chǎn)起到安全保護作用。
防“違規(guī)外聯(lián)”防火墻,成功對信息內(nèi)網(wǎng)違規(guī)外聯(lián)事件以及域外文件共享和打印進行了阻斷,實現(xiàn)了信息內(nèi)網(wǎng)安全化、規(guī)范化管理。提高了安全性,有效保障了信息內(nèi)網(wǎng)的安全穩(wěn)定運行。