您好, 访客   登录/注册

APN网络和WIFI网络环境的安全系统搭建

来源:用户上传      作者: 郝伟

  摘要:在APN网络和WIFI网络环境下的安全系统的搭建,主要为新的一种网络架构和防护措施,通过这种安全网络环境,实现安全可靠的接入内网系统。
  关键词:APN网络和WIFI网络 安全网络 系统搭建郝伟
  
  1、背景
  目前,国家电网公司主要业务系统(安全生产、营销、物资、应急指挥、移动办公等)在逐步采用移动作业终端通过GPRS/CDMA/3G等无线接入技术与信息内、外网进行数据交换系统。但此类接入在终端侧、传输通道和业务访问等方面都存在安全风险。
  随着智能电网和SG-ERP(国家电网资源计划)的建设,对国家电网公司信息安全的机密性、完整性和可用性提出了更高要求。国家电网公司主要业务系统已逐步采用PC终端接入方式通过公用移动通信网络与信息内、外网进行数据交换,且接入数量将会持续快速增长。
  在这种形势下,如何保证PC终端安全、可信地接入电力信息网络,同时保证机密数据不会遭到泄露,并实现对接入对象和操作的监控与审计,已成为国家电网公司智能电网和SG-ERP信息化建设过程中的迫切需要解决的问题。同时,未来智能电网更加复杂的接入环境、多样灵活的接入方式、数量庞大的接入终端对信息的安全、可信、可控的接入都提出了新的要求。
  2、安全风险
  WIFI,是一种无线互联技术,它可以将个人电脑、手持设备(如PDA、手机)等终端以无线方式互相连接。由于采用无线互联技术,所以使用WIFI技术主要存在如下几方面的安全风险:范围广,不可控;信号容易被捕捉,密码容易被破解;用户身份被冒用等高等安全风险。
  采用无线公网的传输通道(APN)和虚拟私有拨号网络(VPDN),都是使用公共线路传输数据,线路没有完全与其它用户进行物理隔离。使用APN和VPDN主要存在如下几方面的安全风险:传输数据机密性易被破坏;传输数据完整性易被破坏;传输数据真实性易被破坏;传输数据容易被篡改,用户身份容易被冒用。
  3、安全网络系统
  图一是该搭建该安全网络的示意图。整套移动作业安全接入系统由移动终端、APN通道、移动接入网关、数据交换系统服务器、身份认证服务器、集中监管服务器和内网业务系统组成。移动终端包括PDA、智能手机等移动设备。移动接入网关通过APN通道与移动终端建立加密隧道连接;身份认证和集中监管服务器用于认证接入用户的身份,控制其访问权限;数据交换系统对交换的数据进行内容审查和监控。
  安全网络系统在终端侧采用两种接入方式,一种为USBKEY接入或XPEKEY,USBKEY为在TF卡内置一种加密算法和数字证书,在连接内网时启用它,起到对传输的数据进行加密,对终端进行认证的功能;XPPKEY为在TF卡内内置一套XPP系统,在每次使用内置的XPP系统连接内网。
  在数据传输的过程中,有4层防护措施用以保护网络安全。
  第一层防护措施:MAC地址,IP,加密KEY与设备信息绑定在一起,其中任何一个信息发生变化,都不能通过防火墙、安全接入网关和身份认证系统。
  第二层防护措施:加密KEY,加密KEY内含有加密算法,如果不知道加密算法,是无法解密数据的。
  第三层防护措施:防火墙和安全接入网关,防火墙和安全网关只接收固定IP、固定端口发送的数据,其他IP和端口的数据直接丢弃。
  第四层防护措施:数字证书的颁布,没有有效的数字证书,无法接入系统。
  只有通过了上面的认证、加密后的数据,才能有效的传入内网系统(图1)。
  4、实际应用
  2011年初开始,华北电网现代化仓库开始在各区域库中搭建由国网电科院提供安全设备的WIFI环境,通过手持PDA,电子标签和自动识别技术的应用,提高作业效率和准确率,降低物流作业成本。目前,秦皇岛库和北京超高压公司库已经可以通过现有的WIFI环境进行日常的仓库管理。
  在仓库搭建WIFI环境的同时,开始在物资公司搭建APN安全网络,APN网络主要是利用中国移动提供的无线公网传输通道,在物资公司侧使用由国网电科院提供的安全设备,实现数据的安全传输。该APN安全网络的搭建,主要是为了提高到货现场的工作效率,降低现场工作人员的工作量,规范到货验收流程,在到货现场使用手持PDA进行到货验收,实现业务数据实时回传企业ERP系统。在两个地市的施工现场,已经开始使用手持PDA进行到货的接收和验收工作。
  现有的仓库,已经部署WIFI无线网络通道,WIFI无线通道首先在仓库所在地的电力公司信息内网进行有线落地,再经所在地公司中转至华北电网信息内网。现阶段,各区域库的WIFI硬件环境已经搭建完毕并且通过了调试阶段。


转载注明来源:https://www.xzbu.com/8/view-1684161.htm