劉家玉， 荀廣連， 曹　萌， 劉家祥， 戴　秀， 施　奎， 高曉輝， 陳　磊

(江蘇省農(nóng)業(yè)科學院信息服務中心，江蘇南京 210014)

近年來，隨著互聯(lián)網(wǎng)與IT技術的發(fā)展，信息化已經(jīng)成為當前科技、經(jīng)濟與社會發(fā)展的重要趨勢。信息技術在社會各領域的廣泛滲透，開創(chuàng)了經(jīng)濟發(fā)展的新時代，在推動人類社會生產(chǎn)力的同時，各種形式的網(wǎng)絡安全問題也頻頻發(fā)生，給國家安全和社會穩(wěn)定帶來了極大的威脅。根據(jù)國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》[1]顯示，2016年，我國捕獲的移動互聯(lián)網(wǎng)惡意程序數(shù)量205萬余個，國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞10 822個，約4萬個IP地址對我國境內(nèi)8萬余個網(wǎng)站植入后門，等等。網(wǎng)絡安全問題已經(jīng)引起了我國政府的高度重視。全國人大常委會于2016年11月發(fā)布《中華人民共和國網(wǎng)絡安全法》[2]，規(guī)定了網(wǎng)絡安全建設監(jiān)督條例，并對包括農(nóng)業(yè)科研機構(gòu)在內(nèi)的各級單位的網(wǎng)絡安全建設提出了更高的要求。如何建設安全可靠的農(nóng)業(yè)科研局域網(wǎng)，如何合理、安全、有效地管理、保護農(nóng)業(yè)科研信息資源，安全利用農(nóng)業(yè)科研大數(shù)據(jù)，已經(jīng)成為省級農(nóng)業(yè)科研單位必須面對的重要問題。

1　網(wǎng)絡安全建設現(xiàn)狀

省級農(nóng)業(yè)科研單位組織架構(gòu)及局域網(wǎng)建設情況比較類似，以江蘇省農(nóng)業(yè)科學院為例，除管理服務部門外，還有10多個專業(yè)研究所或投資企業(yè)，在職人數(shù)超過1 000人，終端類型多、數(shù)量大。局域網(wǎng)建設之初是為了方便科研和管理人員對外聯(lián)系、與國內(nèi)外同行交流，采用與因特網(wǎng)邏輯隔離的技術架構(gòu)，網(wǎng)絡拓樸為典型的三層結(jié)構(gòu)，包括核心層、匯聚層和接入層，核心交換進行熱備冗余部署，保證網(wǎng)絡的穩(wěn)定，同時建設單位門戶網(wǎng)站，對外宣傳和展示，為三農(nóng)提供技術支持和服務。隨著IT技術應用的發(fā)展，局域網(wǎng)逐步建設了支撐單位管理和科研業(yè)務的辦公自動化(OA)、科研項目管理、積分制績效考核、財務管理、檔案管理等多個信息管理系統(tǒng)。在與Internet連接的局域網(wǎng)出口處部署了網(wǎng)絡防火墻和上網(wǎng)行為管理系統(tǒng)，將面向互聯(lián)網(wǎng)服務的應用集中部署到DMZ區(qū)，并前置專用的Web應用防火墻進行多層安全防護，分支機構(gòu)和出差職工可通過VPN接入訪問內(nèi)部系統(tǒng)。

該局域網(wǎng)從安全配置上具備一定的安全防護能力，也有一定的防御外部網(wǎng)路攻擊的安全措施，但與當前的網(wǎng)絡安全形勢及相關職能部門的要求相比，仍然存在一定的安全隱患：如科研人員更強調(diào)便利，信息安全意識不足；科研單位經(jīng)費管理分散，電腦購置經(jīng)費來源多樣，個人使用維護，難以實現(xiàn)終端統(tǒng)一安全管理；內(nèi)網(wǎng)應用服務器與辦公區(qū)、生活區(qū)同屬1個子網(wǎng)，容易受到來自內(nèi)部終端的攻擊；網(wǎng)絡結(jié)構(gòu)邊界不清晰，不利于精細化的安全防護；投入不足，網(wǎng)絡安全設備無法滿足性能要求等。

隨著信息化建設的不斷推進，日常辦公的公文流轉(zhuǎn)、科研信息的數(shù)字化保存與未來大數(shù)據(jù)的分析利用對IT系統(tǒng)的依賴日趨升高，局域網(wǎng)信息資產(chǎn)的安全防護更趨重要，如何利用有限的資金，在保護原有投資的前提下進行網(wǎng)絡安全改造，實現(xiàn)網(wǎng)絡安全性能提升的平滑過渡，滿足信息化對管理和科研活動的支撐，是當前工作亟待解決的問題。

2　網(wǎng)絡安全建設方案

1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院令第147號)[3]規(guī)定了計算機信息系統(tǒng)應實行安全等級保護。國家保密局2000年1月1日起頒布實施的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》[4]規(guī)定“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相連接，必須實行物理隔離”。農(nóng)業(yè)科研單位的網(wǎng)絡承載的多是與科研業(yè)務相關的科研、財務、管理等信息，不涉及國家秘密，因此應按照等級保護的相關安全要求進行網(wǎng)絡建設。

2.1　安全域的劃分

大型網(wǎng)絡及信息系統(tǒng)進行等級保護，不是對整個網(wǎng)絡或系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內(nèi)部不同的業(yè)務區(qū)域或業(yè)務子網(wǎng)進行不同等級的保護，以達到安全策略統(tǒng)一、資源調(diào)配合理、業(yè)務交互便捷可靠的目標。安全域劃分是進行信息安全等級保護的首要步驟[5-6]，安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡或系統(tǒng)，將網(wǎng)絡劃分為不同的區(qū)域或邏輯子網(wǎng)，對每個區(qū)域進行層次化、有重點的保護。通過安全域的劃分，可以把復雜的大型網(wǎng)絡系統(tǒng)安全問題轉(zhuǎn)化為較小區(qū)域與業(yè)務板塊更為統(tǒng)一的安全保護問題，從而更好地控制網(wǎng)絡安全風險，將有限的安全防控資源分配給最需要保護的資產(chǎn)，提高網(wǎng)絡整體安全性與安全防護的經(jīng)濟性。

2.2　安全域劃分原則

進行安全域的劃分時，應考慮到網(wǎng)絡系統(tǒng)規(guī)劃設計、部署、維護管理到運營全過程中的所有因素。安全域劃分的基本原則包括以下幾條：(1)業(yè)務保障原則。安全域方法的根本目標是能夠更好地保障網(wǎng)絡上承載的業(yè)務。在保證安全的同時，還要保障日常辦公和科研業(yè)務的正常運行和運行效率。(2)結(jié)構(gòu)簡化原則。安全域劃分的直接目的和效果是要將整個網(wǎng)絡變得更加簡單，簡單的網(wǎng)絡結(jié)構(gòu)便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數(shù)量過多過雜可能導致安全域的管理過于復雜和困難。(3)等級保護原則。安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。(4)生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態(tài)設計，還要考慮動態(tài)、不斷變化調(diào)整的工作。

2.3　安全域劃分方法

目前國內(nèi)比較常用的網(wǎng)絡安全域劃分有以下幾種基本方法：(1)按照業(yè)務系統(tǒng)等級劃分。這種方法依據(jù)業(yè)務系統(tǒng)的分類來區(qū)分支持不同業(yè)務系統(tǒng)的網(wǎng)絡區(qū)域，從而把網(wǎng)絡劃分成不同的網(wǎng)絡安全域。(2)按照防護等級劃分。這種方法依據(jù)網(wǎng)絡中信息資產(chǎn)的價值劃分不同的防護等級，相同等級構(gòu)成相同的網(wǎng)絡安全域。不同等級的安全域采用不同的安全手段，有效地減少了重復投資，同時也體現(xiàn)了安全縱深防御的思想。(3)按照系統(tǒng)行為等級劃分。這種方法按照信息系統(tǒng)的不同行為和需求來劃分相應網(wǎng)絡安全域，并根據(jù)信息系統(tǒng)的等級和特點選擇相應的防護手段。

2.4　安全域劃分

由于每個單位的網(wǎng)絡情況和業(yè)務需求都有所不同，因此進行安全域劃分時必須兼顧網(wǎng)絡的管理和業(yè)務屬性，既要保證現(xiàn)有業(yè)務的正常運行，也要考慮劃分方案是否可行。遵循任何單一的安全域劃分方法都無法實現(xiàn)網(wǎng)絡安全域的合理劃分，因此，應當從網(wǎng)絡承載的業(yè)務和管理需求，基于安全域劃分的4個原則，綜合幾種劃分方法，有針對性地合理劃分安全域。

根據(jù)江蘇省農(nóng)業(yè)科學院的網(wǎng)絡結(jié)構(gòu)及業(yè)務信息承載，通過調(diào)研和分析，設計出基于網(wǎng)絡現(xiàn)狀的基于安全域的網(wǎng)絡安全建設方案。首先根據(jù)網(wǎng)絡的拓樸將整個網(wǎng)絡劃分為內(nèi)網(wǎng)和外網(wǎng)兩部分，其目的是保障內(nèi)網(wǎng)中的核心業(yè)務安全運行，Internet出口位于外網(wǎng)區(qū)，內(nèi)網(wǎng)和外網(wǎng)之間設置網(wǎng)絡防火墻，規(guī)避了來自外網(wǎng)和Internet的威脅，實現(xiàn)內(nèi)外網(wǎng)之間的安全隔離。其次，分別在內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)按照業(yè)務系統(tǒng)進行安全域劃分。外網(wǎng)區(qū)為對外服務區(qū)，內(nèi)網(wǎng)則首先劃分為內(nèi)網(wǎng)數(shù)據(jù)區(qū)、網(wǎng)絡交換區(qū)和用戶接入?yún)^(qū)，根據(jù)功能重要性分為內(nèi)網(wǎng)核心業(yè)務數(shù)據(jù)服務器區(qū)、內(nèi)網(wǎng)非核心業(yè)務數(shù)據(jù)服務器區(qū)、生活小區(qū)、辦公用戶接入?yún)^(qū)和智慧園區(qū)等子區(qū)域，最終得出安全域劃分(圖1)。

對外服務區(qū)，即DMZ區(qū)，主要部署對互聯(lián)網(wǎng)開放的信息系統(tǒng)和服務，如門戶網(wǎng)站、郵件服務器等；內(nèi)網(wǎng)核心業(yè)務數(shù)據(jù)服務器區(qū)主要部署提供院內(nèi)服務的業(yè)務系統(tǒng)，安全性要求比較高，如OA、科研管理、積分考核、財務系統(tǒng)等；內(nèi)部大流量應用服務器區(qū)面向內(nèi)部提供服務，主要為上傳下載的高流量、安全性要求不高的服務與應用，如高性能計算、補丁服務器等；網(wǎng)絡交換區(qū)主要包含保障網(wǎng)絡暢通的各類網(wǎng)絡通信設備；生活區(qū)接入單位局域網(wǎng)的生活小區(qū)網(wǎng)絡，用戶群體類型比較豐富；辦公區(qū)，即單位辦公區(qū)域的網(wǎng)絡，用戶群體主要為單位職工；智慧園區(qū)主要包含車輛進出的道閘管理系統(tǒng)、視頻安防監(jiān)控、智慧一卡通等與日常辦公關系不密切，有一定安全需求同時沒有大量訪問需求的應用和業(yè)務系統(tǒng)。

2.5　安全防護策略

基于安全域的安全防護策略主要通過在安全域之間邊界適當部署安全訪問控制措施實現(xiàn)，而安全域的防護載體一般為邏輯結(jié)構(gòu)邊界上部署交換機、防火墻等防護設備[7]。

對外服務區(qū)邊界在原有防火墻、上網(wǎng)行為管理設備及訪問控制策略的基礎上增添部署網(wǎng)頁防篡改、IPS等設備，滿足對應的等級保護要求，增強安全防護功能。內(nèi)網(wǎng)核心業(yè)務數(shù)據(jù)服務區(qū)邊界部署防火墻及IPS并根據(jù)業(yè)務需求設定防護策略，同時在邊界交換機上旁路接入訪問審計設備，實現(xiàn)對內(nèi)網(wǎng)應用訪問的記錄，便于安全審查。網(wǎng)絡交換區(qū)的主要安全防護措施包括采用“https”或“ssh”等安全方式對網(wǎng)絡設備進行管理，避免管理帳號信息被非法竊取。定期對相關網(wǎng)絡設備進行周期性安全漏洞檢查和安全配置檢查和修補，防止利用漏洞的攻擊。實施冗余部署，避免單點故障。生活區(qū)邊界部署防火墻，結(jié)合VLAN劃分實施訪問控制策略，生活區(qū)對內(nèi)網(wǎng)其他邏輯區(qū)域不可訪問，最大程度地將生活區(qū)從辦公網(wǎng)絡中隔離。智慧園區(qū)邊界部署防火墻，設置此區(qū)域終端設備只可訪問內(nèi)網(wǎng)核心業(yè)務服務區(qū)與業(yè)務相關的指定服務器，拒絕外部其他接入?yún)^(qū)域的訪問，將此區(qū)域與其他區(qū)域隔離。內(nèi)部大流量應用服務器區(qū)和生活區(qū)這2個區(qū)域，因為其業(yè)務特性和較大的用戶數(shù)量，信息敏感度不高且對網(wǎng)速和帶寬有很高的要求，高性能的安全防護設備價格昂貴，暫未考慮對此區(qū)域增加專用設備防護。通過對內(nèi)網(wǎng)其他區(qū)域安全策略的設置，自然形成這2個分區(qū)的保護，以后如果需要更高防護，只需將此區(qū)域中有特別需求的VLAN劃成單獨的安全域部署實施相關的安全防護策略即可。終端管理在內(nèi)網(wǎng)安全管理中難度最大，采用網(wǎng)絡準入既需要科研人員配合，又需要所有設備都支持802.1x協(xié)議，實施推廣較難。用戶終端安全可以通過微軟的WSUS或者SCCM方案在局域網(wǎng)中部署補丁服務器，及時升級防止系統(tǒng)漏洞，或使用360安全衛(wèi)士等第三方客戶端進行補丁升級。

通過安全域劃分及安全策略部署，可以清晰地標識出整個網(wǎng)絡的子網(wǎng)邊界，確定網(wǎng)絡防護的對象和范圍，從而將復雜的網(wǎng)絡安全問題化解為多個相對簡單的問題，便于按照縱深防護的思想進行相關部署。同時，部署運維堡壘機，采用協(xié)議代理的方式，接管終端計算機對網(wǎng)絡和服務器的訪問，通過切斷終端計算機對網(wǎng)絡和服務器資源的直接訪問，實現(xiàn)核心系統(tǒng)運維和安全審計管控的功能，既能攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，又能對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，以便事后責任追蹤。

從實施結(jié)果看，防護效果顯著，一方面能實時發(fā)現(xiàn)服務器存在的配置漏洞、弱密碼漏洞、系統(tǒng)漏洞，并及時對網(wǎng)絡和服務器系統(tǒng)存在的漏洞進行防護，特別是近2年常見的Struts2高危漏洞，可以根據(jù)日志及時地制定防護策略；另一方面，發(fā)現(xiàn)用戶終端的威脅，及時給予提醒和處理。

3　總結(jié)

本文提出的基于安全域的農(nóng)業(yè)科研單位網(wǎng)絡安全建設方案，在現(xiàn)有網(wǎng)絡的基礎上進行了安全升級，改造成本低，對網(wǎng)絡和業(yè)務影響小，有效減少來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡的安全威脅，整體提高了局域網(wǎng)的安全防護能力。但網(wǎng)絡安全涉及技術和管理等許多方面，技術是手段，關鍵看管理，只有制定一系列的安全管理制度，并將其切實貫徹執(zhí)行，才能確保網(wǎng)絡安全。

參考文獻：

[1]2016年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告[EB/OL]. [2017-11-01]. http：//www.cert.org.cn/publish/main/46/2017/2017052715122 890 8822757/ 20170527151228908822757_.html.

[2]《中華人民共和國網(wǎng)絡安全法》[EB/OL]. [2017-11-01]. http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[3]《中華人民共和國計算機信息系統(tǒng)安全保護條例》[EB/OL]. [2017-11-01]. http：//www.gov.cn/gongbao/content/2011/content_1860849.htm.

[4]《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》[EB/OL]. [2017-11-01]. http：//cpc.people.com.cn/n/2013/0316/c359051-20812039.html.

[5]信息安全技術. 信息系統(tǒng)安全等級保護體系框架：GA/T 708—2007[S]. 北京：公安部信息系統(tǒng)安全標準化技術委員會，2007.

[6]于慧龍. 如何進行大型信息系統(tǒng)的安全域劃分和等級保護建設[J]. 網(wǎng)絡安全技術與應用，2006(6)：12-12.

[7]郭睿，陳濤. 安全域劃分在企業(yè)中的實際應用研究[J]. 信息網(wǎng)絡安全，2016(增刊1)：158-163.