朱鑫霖
(大庆油田信息技术公司,黑龙江 大庆 163000)
随着信息化网络建设的发展,各种具有跨区域远程数据信息交流、终端、分站等越来越多,这种运营模式也逐渐成为现代企业网络情况的主流需求。为了数字采集的便利性,数据中心和各二级分中心,然后直接到终端,需要实时地进行信息传输和资源调用,越来越多地依赖传输网络。但是,由于网络的开放性和通信协议原始设计的局限性影响,很多信息采用明文或低安全的方式传输,特别是企业生产数据这种敏感信息如果被非法访问、网络攻击、信息窃取等,会为企业的正常运行带来安全隐患,甚至造成不可估量的损失。
为解决油田部分偏远地区网络无法覆盖生产场所,以及为保障移动作业工程施工数据传输需求,充分利用运营商4G网络覆盖广的优势,按照网络安全管理办法相关要求构建4G VPDN专用网络,需开通与运营商的4G虚拟专网接入专线,实现数据和视频安全传输,以符合中国石油企业网信息安全相关标准。为保证油田VPDN虚拟专网业务开通,大庆油田智慧指挥中心已经在油田公司生产网DMZ区部署了VPDN接入平台,包括相应接入路由器、防火墙、数据转发服务器等设备,平台按照《信息安全技术网络安全等级保护基本要求》,在安全区域边界、安全计算环境、安全通信网络、接入层网络4个方面制订统一的网络安全策略,确保业务数据安全传输,有效防御网络攻击。
利用移动通信网络,网络互连及远程访问网络中,效率高、价格低廉、迅速、安全性高、可靠性强的解决方案就是VPDN,其还具备可扩展性,可对移动办公安全通信需求、企业分支机构、政府机构等安全通信需求进行满足,已经成为企业中最关键性的接入业务。安全防护主要打造防火墙、审计、网管等安全防护资源池。根据策略引用把接入终端按照生产业务应用引入相应的油田生产网划分的VPND中形成一个个信息孤岛。同时,有特殊需求的用户可以进行互联互通,VPDN有以下几点好处。
(1)缩减企业成本:针对VPND应用、移动办公等开展远程访问工作中,无须重复性地进行专线开通,其可以节约专线费用,降低企业运营成本,节约网络维护费用和链路租用费用。
(2)强烈移动性:其可以在任何存在3G或者4G无线网络覆盖位置上应用,可以随时依靠无线向企业内网接入,接入条件不会对其产生限制。
(3)其建网速度较快,拓展方便,定制简便;
二级单位需要进行无线上网设备的购置,比如,无线路由器和网卡等,并对其开展简单化的配置即可完成。其可迅速建立自身专用网络,以促进工作效率的提升,增加员工生产力,促进油田竞争能力的全面增长。
(4)可靠性及安全性强:隧道技术在VPDN中的应用,可构建网络层和逻辑隧道的加密干预,可以采取口令保护、防火墙、权限设置和身份验证等形式,确保数据完整程度的提升,降低数据非法窃取情况的发生。
其中涉及的相关技术:
(1)APN。APN(Access Point Name接入点名称),其全称为虚拟拨号专网技术其建立在拨号用户之上,属于虚拟的专用网络,依靠IP网络自身承载功能,必须将其与授权机制、加密机制及认证机制结合,将专用虚拟虚拟数据通信网络在公用网络中构建。实质:利用无线资源替代部分有线资源,构建用户数据通信网络。
APN节点直接接入运营商物联网专用网络,利用运营商骨干网络的安全防护性保障数据安全,提供专享的APN鉴权接入(只有符合客户专用APN域名的无线卡才能接入,该域名的申请和绑定都需要经过特定流程)。使用专用行业网关GGSN/LTE,与互联网GGSN网关互相独立。SGSN和GGSN基于PDP(分组数据报文)上下文转发报文,不同客户之间以及同一客户不同用户之间完全隔离。核心网报文转发全部经过GTP隧道封装,终端和客户网络都无法进入核心网络。
运营商无线部分的安全防护:①3G/4G快速功率控制将信号隐藏在噪声中,无法被监听。②增强的128位5元组(随机数RAND、期望响应XRES、加密密钥CK、完整性密钥IK和认证令牌AUTN)鉴权密码算法。③网络以临时识别码(TMSI)给用户在传输信息中屏蔽用户真实身份。④CK的128位加密密钥,分组加密算法函数f8利用KASUMI分组方式加密数据,以降低消息被伪造和恶意篡改的发生率。⑤将双向认证提供。其不仅可以进行MS的基站移动终端认证,也可以进行移动终端的认证,可减少伪基站的攻击。⑥加密接入链路数据,将其向RNC——无线网络控制器延伸。⑦RNA无线接入网络为运营商网络,其主要负责将信息由无线信号之中提取,并向电路域及分组域转发,传输过程中,数据也会加密和压缩。并且,RAN均为底层设备,从这些设备角度来讲,数据上层具有抽象的含义,且RAN设备自身并未存在安全隐患。⑧安全机制(3G/4G)均存在可拓展性,可以将其在新业务中引入并对其进行保护,以保障其安全。运营商无线安全被确保的前提下,敏感数据可以安全有效地穿透运营商送到企业内部。
(2)IPsec over L2TP VPN。Layer Two Tunneling Protocol——第二层隧道协议,简称为L2TP,其属于虚拟隧道协议,一般情况下,在虚拟专用网之中应用。L2TP协议自身均不进行可靠验证及加密功能的提供,可以将其与安全协议协同应用,以加密进行数据的传输。一般情况下,其会与L2TP协议配合应用,IPsec为加密协议,若是搭配应用这两种协议过程中,一般情况下,其被称为IPsec over L2TP,而使用这种方式的VPN就称为IPsec over L2TP VPN。
企业数据在安全穿透运营商网络后如何传入企业内网中,就存在多个部署方式,企业对准入要求比较高的就会进行二次身份验证来确保进入企业内网数据的身份合法性。数据从运营商传到企业内部最好的方式就是隧道技术,为了达到二次认证的用途,采用IPsec over L2TP VPN专线方式。
(3)DMZ区域安全防护。通过企业自己创建AAA接入鉴权形式,认证不同拨入号码的密码和账号,将其与IMSI——手机卡串号、IMEI——可捆绑收集串号、密码及用户名开展认证干预,企业可以自主进行IP地质的分配,也可以组织设置拨入服务器主机的域名和IP地质,其与人员无法对企业内部网络部署防火墙设备进行认知,前端数据模块中,进行了网闸设备的部署,限制差异网络的通信,并对其隔离处理,以此确保外界风险对VPDN的影响可降至最低,其安全保障机制为:①非法用户的评比,每张SIM卡均为IMSI卡的唯一标识,域名绑定及IMSI号可确保无授权的卡无法向专网中拨入;
②Internet服务被关闭,由于是物联网专用的物联网卡,关闭了Internet服务,做到了“专卡专用”;
③防止内部盗用,设置于企业所建立的AAA服务器上,依靠用户名绑定、用户IP及IMSI形式进行绑定,以降低内部盗用风险。实现专人专卡自主应用,与强化风险控制和管理。④防火墙防护,由于此类方式接入大多数为工业模块传输数据,企业内部建立工业防火墙,针对专有工业协议进行策略绑定,还可以使用ACL等基础防护措施对数据流进入企业内网后的流向进行小颗粒、细致化的控制,保障了生产数据统一管理部署,从而减轻了大量数据模块后期维护和故障处理的工作强度,提高了运维效率。
开通VPDN后,企业中,运营商可进行域名的提供,针对SIM卡进行对应权限的开通。下文主要为报文的交互过程:①路由器由接入段用户接入,支持APN拨号方式的终端的SIM卡自主搜寻运营商通信基站,并可将其连接注册,注册完成后,对PPP拨号启动,并向运营商LAC进行认证请求的发送;
②认证请求被运营商AAA服务器接收后,会做主判断,分析用户的VPDN域。直接进入运营商物联网专网内部,脱离公网环境,运营商AAA服务器可从认证结果出发,将用户所属企业由LAC返回,以对隧道属性和LNS路由器地质信息进行返回;
③企业内网LNS由LAC向其进行L2TP隧道请求的构建,在LNS接收以后,应用PAP形式或者CHAP形式开展认证,待成功以后,建立L2TP与LAC之间的构建;
④建立L2TP以后,LNS路由器,再次认证拨入用户,对其账号和密码确认后,拨入用户的IP地址,由企业内部员工所设置的地址池开展,将用户设备的对应拨号接口设置为UP状态,做好协商端至IPSEC端的准备;
⑤用户获得IP地址后,若是接入用户可对流量IPSEC VPN触发,则会开展隧道协商(IPSEC VPN),隧道启动建立;
⑥待隧道协商完成后,构建端至端之间的私有隧道——VPN,加密传输数据。
以此,终端企业敏感生产数据就进入了企业内部的网络中。
通过企业DMZ区部署一系列安全防护设备结合与运营商IPsec over L2TP VPN专线的安全传输,数据已经安全的进入企业内部,对于一些中小型企业似乎任务已经完成可以批量处理无线终端上传的数据了,但是,对于一些大型企业,网络构架大、部署方式多样化,甚至企业存在多张大型环网,如何有效地利用VPDN数据在超大型企业网络内部合理的传输也是大型企业面临的考验。
(1)企业内部二级单位的VPN隔离。大型企业下属二级单位众多,每个二级单位需要独立运作并不定时和总部有信息交互,所以大型企业会布置多个MPSL VPN使得各下属二级单位运行在自己的虚拟局网中。在通过建立服务作用的MPLS VPN通过策略使其与各二级单位的MPSL VPN互通,这样就保障了下属二级单位独立运行的能力,也保持了与总部核心设备互通的需求。
(2)VPDN引入MPSL VPN。自动化和定制化是VPDN的显著特征,二级单位对项目需求有着千差万别的个性化需求,在保证共性需求的基础上,还要满足企业二级单位个性化的定制需求,向企业的二级单位提供灵活、个性化配置的VPDN服务。VPDN要提供按需变化的服务,就要有反应敏捷的人员、流程和策略,来适应业务变化的需要。VPDN下的运维需要更多的灵活性和可伸缩性,可以根据二级单位的需要,快速调整资源和服务。所以,在VPDN接入企业内部后,对接至服务作用的MPSL VPN中,保证其数据可以访问到任何二级单位部署的数据采集服务器中,根据项目和二级单位的关系,进行VPN-instance的引入,按照不同的项目和二级单位的分配直接引入相应的VPN实例里,更精细化地把VPDN传送上来的数据进行拆分和隔离,保障了不同业务数据的独立性。如此部署安全隔离了不同种类数据,后期运维人员还可以根据划分开的业务类型定制个性化的安全策略,不同业务设置不同的ACL(访问控制列表),极大地提升了整体VPDN的安全性,也在后期运行维护的过程中减少了故障影响范围和故障处理时间。
大庆油田正向智能化、智慧化迈进,推进信息化建设,促进信息化与工业化深度融合,推动物联网、云计算、大数据、人工智能等业务领域的广泛应用。万丈高楼平地起,智慧油田的顶层设计应用,需要有稳定、高效的扩展接入设备的支持,需要海量的移动终端上传的数据作为资源“数据湖”湖水,只有“湖水”不断涌入“数据湖”才能发挥信息化的最大价值,这样就更需要整体安全防护体系为保障生产数据安全传输保驾护航。
猜你喜欢加密运营商无线一种新型离散忆阻混沌系统及其图像加密应用湖南理工学院学报(自然科学版)(2022年1期)2022-03-16《无线互联科技》征稿词(2021)无线互联科技(2021年4期)2021-04-21一种基于熵的混沌加密小波变换水印算法太原科技大学学报(2019年3期)2019-08-05无线追踪3小猕猴智力画刊(2019年3期)2019-04-19基于ARM的无线WiFi插排的设计电子制作(2018年23期)2018-12-26一种PP型无线供电系统的分析电子制作(2018年19期)2018-11-14加密与解密课堂内外(小学版)(2017年5期)2017-06-07认证加密的研究进展信息安全研究(2016年10期)2016-02-28取消“漫游费”只能等运营商“良心发现”?消费者报道(2016年3期)2016-02-28第一章 在腐败火上烤的三大运营商IT时代周刊(2015年9期)2015-11-11