陳 勛，張德棟，趙英明，馮凱亮

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

近年來，國內(nèi)外的網(wǎng)絡安全形勢較為嚴峻，網(wǎng)絡攻擊的組織性和目的性愈加凸顯。高級持續(xù)性威脅（APT,Advanced Persistant Threat）攻擊逐步向重要行業(yè)滲透[1]，安全漏洞更加頻繁地被利用[2]，勒索攻擊威脅突破歷史最高點[3]。中國于2020年首次超過美國、韓國、中東等國家和地區(qū)，成為全球APT攻擊的首要地區(qū)性目標[4]，網(wǎng)絡安全早已成為關系國家安全的重要領域。

我國在國家層面已開始提高對網(wǎng)絡空間安全的重視，并陸續(xù)發(fā)布了《中華人民共和國網(wǎng)絡安全法》《中華人民共和國密碼法》《信息安全技術網(wǎng)絡安全等級保護基本要求》（簡稱：等級保護2.0）等法律法規(guī)。國內(nèi)的各行各業(yè)陸續(xù)開展網(wǎng)信自主創(chuàng)新產(chǎn)業(yè)，圍繞核心芯片、基礎硬件、操作系統(tǒng)、中間件、數(shù)據(jù)服務器等基礎信息技術（IT,Information Technology）底層架構，逐步進行國產(chǎn)化設備替代。加強網(wǎng)絡安全建設，優(yōu)先采用國產(chǎn)化軟硬件設備來實現(xiàn)網(wǎng)信安全可靠，已成為企業(yè)信息化建設的首要任務。

許多企業(yè)按照《信息安全技術信息系統(tǒng)安全等級保護基本要求》（簡稱：等級保護1.0）的要求，建成了網(wǎng)絡安全防護體系。如今，滿足等級保護1.0要求的網(wǎng)絡安全防護體系已經(jīng)不滿足等級保護2.0的要求，且設備老舊，這使其無法滿足日益增長的信息化安全和性能要求，因此，不少企業(yè)已經(jīng)陸續(xù)啟動網(wǎng)絡安全改造工程的計劃。目前，已有企業(yè)進行網(wǎng)絡安全的相關學術研究，大部分是以等級保護1.0為標準，通過優(yōu)化網(wǎng)絡結(jié)構和部署各類網(wǎng)絡安全設備來提升企業(yè)網(wǎng)絡安全水平[5-6]；也有使用數(shù)據(jù)融合算法和云存儲策略等方式強化云安全防護的研究[7]。但以等級保護2.0為建設目標，側(cè)重未知威脅感知預警，滿足企業(yè)園區(qū)網(wǎng)絡環(huán)境、云平臺、移動設備等企業(yè)全方位安全的研究成果較少。本文以此為目標，圍繞通信網(wǎng)絡、區(qū)域邊界、計算環(huán)境、管理中心、云安全、移動安全等方面，提出滿足當前與未來幾年網(wǎng)絡安全防護需求的建設方案。

1 網(wǎng)絡安全現(xiàn)狀與風險分析

各中小企業(yè)的網(wǎng)絡架構與網(wǎng)絡安全現(xiàn)狀不盡相同。在網(wǎng)絡架構方面，企業(yè)一般采用包含外網(wǎng)和內(nèi)網(wǎng)的典型網(wǎng)絡架構，其中，外網(wǎng)與互聯(lián)網(wǎng)相連；內(nèi)網(wǎng)包含企業(yè)重要的敏感信息，與互聯(lián)網(wǎng)不相連。內(nèi)網(wǎng)和外網(wǎng)之間通過網(wǎng)閘或物理方式進行隔離。在信息系統(tǒng)方面，企業(yè)一般在內(nèi)外網(wǎng)都部署了信息系統(tǒng)，等級保護級別通常被定級為第二級或第三級，因此，本文按照等級保護2.0第三級的要求對企業(yè)所面臨的網(wǎng)絡安全風險進行分析。

1.1 安全通信網(wǎng)絡

安全通信網(wǎng)絡的風險主要包括以下方面。

（1）安全域劃分：現(xiàn)有的安全域規(guī)劃無法滿足網(wǎng)絡安全需求，主要體現(xiàn)在缺少集中的安全管理區(qū)域和開發(fā)測試區(qū)域。

（2）安全通信網(wǎng)絡：部分關鍵節(jié)點缺少硬件冗余，存在單點故障的風險。

（3）網(wǎng)絡性能：網(wǎng)絡鏈路存在部分設備沒有部署雙機的情況。

（4）設備國產(chǎn)化：關鍵鏈路存在采用國外網(wǎng)絡設備的情況。

1.2 安全區(qū)域邊界

安全區(qū)域邊界的風險主要包括以下方面。

（1）在安全區(qū)域之間的邊界防護方面，沒有確保每個區(qū)域之間設置訪問控制手段。現(xiàn)有防火墻的訪問控制列表無法保證控制規(guī)則最優(yōu)化和規(guī)則數(shù)量最小化。

（2）終端接入?yún)^(qū)攻擊行為的檢測與報警手段缺失，整個網(wǎng)絡缺少對未知威脅攻擊的檢測與分析手段。

（3）網(wǎng)絡的關鍵節(jié)點缺少重要的安全事件審計手段。

（4）有線網(wǎng)絡與無線網(wǎng)絡的邊界之間缺少無線接入網(wǎng)關，使有線流量與無線流量混在一起無法區(qū)分。

（5）無線網(wǎng)絡的邊界缺少非授權接入及攻擊檢測手段。

（6）部分邊界防護系統(tǒng)存在采用國外安全設備的情況。

1.3 安全計算環(huán)境

安全計算環(huán)境的風險主要包括以下方面。

（1）身份認證：雖然能夠為部分系統(tǒng)提供雙因子身份認證，但是缺少為整個網(wǎng)絡提供雙因子認證的身份鑒別措施。

（2）脆弱性檢查：缺少對關鍵節(jié)點的網(wǎng)絡設備、安全設備、服務器的安全基線檢查和漏洞檢查手段。

（3）數(shù)據(jù)安全：缺少對數(shù)據(jù)庫的安全審計措施。

（4）應用安全：缺少網(wǎng)頁防篡改的自動恢復手段。

1.4 安全管理中心

安全管理中心的風險主要包括以下方面。

（1）審計：缺少能夠?qū)ο到y(tǒng)管理員、審計管理員和安全管理員進行身份鑒別和運維操作的審計措施。

（2）集中管理：缺少對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備、服務器等運行狀況進行集中監(jiān)測和管理的技術手段。

1.5 云安全防護

云安全防護存在防護能力不足的問題，缺少對云服務客戶發(fā)起的網(wǎng)絡攻擊行為、虛擬網(wǎng)絡節(jié)點發(fā)起的網(wǎng)絡攻擊行為的檢測與審計能力，缺少對虛擬機與宿主機之間、虛擬機與虛擬機之間異常流量的檢測能力。

1.6 移動應用安全防護

移動應用安全防護在移動終端的接入安全、移動環(huán)境安全方面缺少相應的安全防護手段。

2 總體設計原則

中小型企業(yè)園區(qū)網(wǎng)絡安全的設計應遵循以下設計原則。

2.1 強化邊界監(jiān)管

中小型企業(yè)通過細化邊界防護系統(tǒng)的訪問控制粒度來強化邊界防護，堅決不允許不符合安全策略的流量通過。

2.2 嚴控終端安全

多份調(diào)研報告表明，由于防護不當，終端設備極易成為攻擊者滲透進入企業(yè)網(wǎng)絡的跳板。中小型企業(yè)通過嚴格防護終端設備的安全，保障終端設備合規(guī)入網(wǎng)，以減少網(wǎng)絡攻擊的滲透點。

2.3 定期檢查漏洞，做好基線核查

網(wǎng)絡攻擊往往針對系統(tǒng)的脆弱點，因此，中小型企業(yè)可以通過定期檢查并修復漏洞，堵住系統(tǒng)存在的各類安全隱患。同時，中小型企業(yè)也要做好基線配置核查，修復系統(tǒng)的脆弱點。

2.4 緊盯異常流量

當發(fā)生攻擊時，攻擊行為將會體現(xiàn)在流量的異常變化上。中小型企業(yè)可以通過監(jiān)測并發(fā)現(xiàn)異常流量，及時采取措施，以防范惡意攻擊。

2.5 態(tài)勢集中研判

中小型企業(yè)可以通過建立集中安全管理平臺，結(jié)合外部安全情報，對安全威脅實時分析，實現(xiàn)安全態(tài)勢的集中研判。

3 建設方案設計

3.1 建設目標

通過對網(wǎng)絡進行改造，以達到滿足網(wǎng)絡安全相關法律法規(guī)的基本要求為目標，根據(jù)國內(nèi)外網(wǎng)絡安全威脅的發(fā)展趨勢，提出適用于中小型企業(yè)網(wǎng)絡安全建設的方案。所提方案能夠優(yōu)化網(wǎng)絡結(jié)構與配置，強化網(wǎng)絡邊界，構建基于計算環(huán)境安全、應用安全、網(wǎng)絡邊界安全、集中管控為一體的“一個中心，三重防護”安全防御體系。中小型企業(yè)通過本文所提方案建設符合等級保護2.0第三級要求的網(wǎng)絡安全架構，建成網(wǎng)絡安全威脅自動分析、安全漏洞實時檢測、威脅情報通報共享、安全策略集中管控、防護措施協(xié)同聯(lián)動、安全事件預警及時的安全防御機制。

3.2 總體架構

中小型企業(yè)的網(wǎng)絡安全設計思路應遵循我國網(wǎng)絡安全的相關法律法規(guī)，依據(jù)等級保護2.0的建設規(guī)范，建立以計算環(huán)境安全為基礎，以區(qū)域邊界安全、通信網(wǎng)絡安全為保障，以安全管理中心為核心的網(wǎng)絡安全整體保障體系，建立態(tài)勢感知平臺和集中管理平臺，實現(xiàn)從事后分析向主動防御、動態(tài)防護、整體防控、精準防護推進。網(wǎng)絡安全整體設計框架如圖1所示，本文基于該框架提出可改進安全防護能力的網(wǎng)絡安全建設方案。

圖1 網(wǎng)絡安全整體設計框架

3.3 建設方案

3.3.1 安全通信網(wǎng)絡

（1）安全域改造

假設原網(wǎng)絡區(qū)域包括邊界接入?yún)^(qū)、服務器區(qū)和終端接入?yún)^(qū)。在此基礎上，將內(nèi)外網(wǎng)服務器區(qū)的開發(fā)測試環(huán)境劃分為獨立的開發(fā)測試區(qū)，以便使生產(chǎn)環(huán)境與開發(fā)測試環(huán)境相互隔離，避免開發(fā)測試行為影響生產(chǎn)環(huán)境。通過測試的數(shù)據(jù)才能遷移到生產(chǎn)環(huán)境，以保障生產(chǎn)環(huán)境數(shù)據(jù)的安全性。同時，規(guī)劃安全管理區(qū)、核心交換區(qū)和帶外管理區(qū)，其中，安全管理區(qū)集中部署用于網(wǎng)絡安全管理的設備或系統(tǒng)；核心交換區(qū)是各個安全區(qū)域的網(wǎng)絡數(shù)據(jù)匯聚區(qū)域，以便進行安全監(jiān)測；帶外管理區(qū)用于收集可能產(chǎn)生大流量的監(jiān)控數(shù)據(jù)，以及用于網(wǎng)絡安全運維管理，運維流量單獨隔離可減少對業(yè)務流量的影響。在各個安全區(qū)域邊界均部署防火墻，通過安全策略進行訪問控制。

（2）關鍵設備冗余設計

對匯聚交換機、區(qū)域邊界防火墻、核心交換機、入侵防御系統(tǒng)（IPS，Intrusion Prevention System）、網(wǎng)站應用級防護系統(tǒng)（WAF，Web Application Firewall）等各區(qū)域核心節(jié)點均采用硬件冗余設計，保障高可用性。

（3）性能保障

對于年代久遠、性能不足的設備，將它們替換成高性能、支持高帶寬的設備。在品牌選擇上，以成熟度較高的國產(chǎn)品牌為主，確保自主安全可控。

（4）VPN流量防護

中小型企業(yè)的虛擬專用網(wǎng)絡（VPN，Virtual Private Network）設備在部署上可以進行優(yōu)化，將VPN加密機旁路部署在邊界接入?yún)^(qū)的防火墻，并在防火墻后端串聯(lián)部署IPS，確保VPN流量經(jīng)過解密后，由IPS進行攻擊流量檢測。

3.3.2 安全區(qū)域邊界

（1）入侵檢測與入侵防御

除在上述邊界接入?yún)^(qū)部署IPS用來抵御來自互聯(lián)網(wǎng)的網(wǎng)絡攻擊外，還分別在內(nèi)網(wǎng)和外網(wǎng)服務器區(qū)的邊界部署IPS，用以抵御來自內(nèi)部的網(wǎng)絡攻擊。同時，在外網(wǎng)終端接入?yún)^(qū)的無線網(wǎng)絡邊界部署IPS作為安全防護網(wǎng)關，使無線網(wǎng)絡的流量與有線網(wǎng)絡的流量區(qū)分開，以抵御無線網(wǎng)絡攻擊。

（2）網(wǎng)絡流量審計

分別在外網(wǎng)的核心交換區(qū)、服務器區(qū)、終端接入?yún)^(qū)和內(nèi)網(wǎng)的核心交換區(qū)、服務器區(qū)部署網(wǎng)絡流量分析器（也稱流量探針），對已知和未知威脅進行檢測和分析，為態(tài)勢感知平臺和威脅分析平臺提供數(shù)據(jù)來源。

（3）應用邊界防護

傳統(tǒng)VPN提供粗粒度的訪問控制，一般只提供身份鑒別信息的保護，一旦通過驗證，整個內(nèi)部網(wǎng)絡將被暴露給訪問者。身份鑒別信息若因保管不善落入攻擊者手中，企業(yè)的整個網(wǎng)絡相當于開放給了攻擊者。因此，在邊界接入?yún)^(qū)部署軟件定義邊界（SDP，Software Defined Perimeter）系統(tǒng)，為園區(qū)外的員工提供遠程訪問應用系統(tǒng)服務。SDP系統(tǒng)可以實現(xiàn)基于用戶、設備、應用的細粒度訪問控制[8]，達到最小化特權的目的，對所有的遠程訪問以零信任的態(tài)度進行不間斷、持續(xù)強化地身份驗證，并監(jiān)控其訪問行為。

（4）違規(guī)接入檢測

在內(nèi)網(wǎng)的安全管理區(qū)部署“一機兩網(wǎng)”檢測設備，通過主動探測技術進行邊界安全檢測，保障網(wǎng)絡邊界的完整性，實現(xiàn)專網(wǎng)專用，杜絕“一機兩網(wǎng)”現(xiàn)象的發(fā)生。

（5）終端準入控制

在內(nèi)外網(wǎng)的安全管理區(qū)部署網(wǎng)絡準入控制系統(tǒng)，并且在全網(wǎng)接入層交換機配置準入控制策略，使所有入網(wǎng)的設備經(jīng)過網(wǎng)絡準入的控制，實現(xiàn)對非授權設備私自聯(lián)到企業(yè)網(wǎng)絡的行為進行檢查和限制，并且實現(xiàn)對已授權入網(wǎng)的設備、關聯(lián)人員和安全事件的綁定。

3.3.3 安全計算環(huán)境

（1）身份鑒別

在外網(wǎng)部署動態(tài)口令（OTP，One Time Password）認證引擎，通過為每個用戶分配不同的身份種子，實現(xiàn)服務器端與客戶端在同一時刻計算出用于驗證的動態(tài)口令，也為各系統(tǒng)認證模塊提供基于密碼運算的第二因子身份認證服務。同時，建設統(tǒng)一認證與授權系統(tǒng)，實現(xiàn)各信息系統(tǒng)的認證與雙因子認證的集成，并對用戶訪問信息系統(tǒng)的授權進行統(tǒng)一管理。

（2）應用安全

在內(nèi)外網(wǎng)的服務器區(qū)部署WAF，通過對應用層的攻擊進行攔截，實現(xiàn)信息系統(tǒng)的防護。同時，在外網(wǎng)的安全管理區(qū)部署網(wǎng)頁防篡改系統(tǒng)，實現(xiàn)網(wǎng)頁的完整性檢測與自動恢復；部署安全基線核查系統(tǒng)，對操作系統(tǒng)、網(wǎng)絡設備、數(shù)據(jù)庫、中間件等多類設備及系統(tǒng)的不合理或不安全配置進行核查并匯總報告與加固建議；并在內(nèi)外網(wǎng)的安全管理區(qū)部署漏洞掃描系統(tǒng)，定期對服務器進行漏洞掃描，使漏洞得到及時檢測、跟蹤、修復。

（3）數(shù)據(jù)庫審計

在內(nèi)外網(wǎng)的服務器區(qū)旁路部署數(shù)據(jù)庫審計系統(tǒng)，對數(shù)據(jù)庫的操作行為進行審計與分析，防止內(nèi)部人員違規(guī)訪問數(shù)據(jù)庫。

3.3.4 安全管理中心

（1）防火墻集中管理

通過部署防火墻集中管理平臺，對全網(wǎng)防火墻的訪問控制策略進行靜態(tài)和動態(tài)分析，使訪問控制策略最小化與最優(yōu)化，并實現(xiàn)對防火墻的統(tǒng)一管理[9]。

（2）集中安全管理

在內(nèi)外網(wǎng)的安全管理區(qū)部署網(wǎng)絡運維管理系統(tǒng)，對網(wǎng)絡鏈路、安全設備、網(wǎng)絡設備、服務器等設備的運行狀況進行集中監(jiān)測和配置管理；在帶外管理區(qū)部署安全威脅分析系統(tǒng)[10]，通過帶外管理鏈路收集各個網(wǎng)絡區(qū)域的流量探針所采集的流量審計數(shù)據(jù)，并進行分析處理，實現(xiàn)對網(wǎng)絡中已知和未知威脅的檢測。同時，在內(nèi)網(wǎng)的安全管理區(qū)部署安全態(tài)勢感知平臺[11]，收集安全威脅分析系統(tǒng)的數(shù)據(jù)，以及各個安全設備、網(wǎng)絡設備、服務器等系統(tǒng)采集的審計數(shù)據(jù)，全面掌握中小型企業(yè)網(wǎng)絡安全態(tài)勢的威脅、風險和隱患，及時預警重大網(wǎng)絡安全威脅。

（3）運維審計

通過在內(nèi)外網(wǎng)的安全管理區(qū)部署堡壘機，對運維人員進行身份鑒別、賬號授權，以及對運維操作的審計，實現(xiàn)事中監(jiān)控、事后取證。

（4）日志審計存儲

為了達到《中華人民共和國網(wǎng)絡安全法》關于日志記錄需留存不少于6個月的要求，增加日志審計的存儲設備，用以存儲網(wǎng)絡運行狀態(tài)、網(wǎng)絡安全事件等數(shù)據(jù)。

3.3.5 云安全防護

在內(nèi)外網(wǎng)的服務器區(qū)部署云安全平臺，通過提供云WAF、云IPS、云防火墻、云審計等功能，對云計算環(huán)境中南北向（數(shù)據(jù)中心內(nèi)外網(wǎng)之間的方向）、東西向（數(shù)據(jù)中心內(nèi)部之間的方向）的流量進行檢查、審計和防護，提升面向云環(huán)境的綜合安全防護能力。

3.3.6 移動應用安全防護

通過在外網(wǎng)的安全管理區(qū)部署移動安全管理平臺，實現(xiàn)對安裝客戶端的移動設備進行安全管理。移動安全管理平臺能夠為關鍵應用提供安全且隔離的運行環(huán)境，同時，通過用戶無感知的加密隧道，實現(xiàn)互聯(lián)網(wǎng)環(huán)境下移動應用安全接入企業(yè)內(nèi)網(wǎng)，防止數(shù)據(jù)泄露，為企業(yè)員工提供一個安全的移動辦公環(huán)境。

4 關鍵技術

4.1 網(wǎng)絡準入控制

目前的網(wǎng)絡準入控制從技術層面包括基于802.1x標準、動態(tài)主機配置協(xié)議（DHCP，Dynamic Host Configuration Protocol）、策略路由器、虛擬網(wǎng)關、地址解析協(xié)議（ARP，Address Resolution Protocol）、TCP重置報文技術（TCP RST）等[12]，這些準入控制技術各有利弊[13]。信息系統(tǒng)與數(shù)據(jù)存儲系統(tǒng)存儲著大量的重要數(shù)據(jù)，因此，企業(yè)希望網(wǎng)絡準入控制技術在保護好重要數(shù)據(jù)的同時，能夠方便員工和來訪人員使用互聯(lián)網(wǎng)。本文所提方案將有線網(wǎng)絡與無線網(wǎng)絡分開，其中，無線網(wǎng)絡直接由專線提供互聯(lián)網(wǎng)訪問，并禁止訪問企業(yè)的內(nèi)部網(wǎng)絡；有線網(wǎng)絡則通過強綁定與強認證的準入控制實現(xiàn)安全準入。基于802.1x標準的網(wǎng)絡準入控制技術是較為合適的選擇，通過交換機等網(wǎng)絡基礎設施支持基于802.1x標準認證服務。常用的桌面型操作系統(tǒng)也支持的802.1x標準認證服務，可以實現(xiàn)員工賬號、終端設備的多媒體接入控制（MAC，Media Access Control）地址、員工身份綁定等功能。這些技術都可以實現(xiàn)網(wǎng)絡的準入控制，并且不影響網(wǎng)絡使用的便攜性。

4.2 安全態(tài)勢感知

安全態(tài)勢感知平臺主要由網(wǎng)絡流量分析器和態(tài)勢處理系統(tǒng)組成。部署在網(wǎng)絡核心結(jié)點的流量探針采集來自流量監(jiān)測、各類安全系統(tǒng)、信息系統(tǒng)監(jiān)測等多源數(shù)據(jù)，通過數(shù)據(jù)過濾、數(shù)據(jù)格式標準化、數(shù)據(jù)關聯(lián)信息補齊等處理，將采集的數(shù)據(jù)匯集到可檢索型數(shù)據(jù)庫進行數(shù)據(jù)存儲。數(shù)據(jù)分析系統(tǒng)對統(tǒng)一格式后的數(shù)據(jù)進行分類、關聯(lián)、聚類、回歸等大數(shù)據(jù)處理，并通過多維態(tài)勢可視化技術給予安全態(tài)勢展示，實現(xiàn)安全態(tài)勢感知、資產(chǎn)安全評估、安全狀況預警等功能。

本文部署的安全態(tài)勢感知平臺，能夠幫助企業(yè)及時發(fā)現(xiàn)各類已知與未知威脅，抵御逐年增加的漏洞利用、勒索威脅、APT等攻擊，及時發(fā)現(xiàn)并修復潛在的安全風險。該平臺可以為企業(yè)提供全面的安全評估，以及攻擊發(fā)生時提供及時預警。

4.3 防火墻策略優(yōu)化

防火墻策略優(yōu)化是安全管理中心的重要功能之一，本文通過策略審計技術來實現(xiàn)防火墻策略的優(yōu)化。策略審計技術的靜態(tài)分析和動態(tài)分析技術可以優(yōu)化已配置的防火墻策略，其中，靜態(tài)分析可檢測策略中屏蔽異常、冗余異常、交叉異常等未知問題[14]；動態(tài)分析則通過一定時長的流量監(jiān)測分析出過寬策略、頻次為零的策略。防火墻策略審計技術可以優(yōu)化企業(yè)各個防火墻的安全策略，既能滿足等級保護2.0中關于訪問控制規(guī)則數(shù)量最小化的要求，又能提高防火墻的邊界防護性能，同時，還能減少大量的運維成本，降低因安全策略配置不當造成的損失。

5 結(jié)束語

在企業(yè)從等級保護1.0向等級保護2.0升級所進行的網(wǎng)絡升級改造背景下，本文分析總結(jié)中小型企業(yè)網(wǎng)絡所面臨的共性問題，根據(jù)等級保護2.0第三級的要求，提出可供中小型企業(yè)參考的網(wǎng)絡安全建設方案。該方案不僅可以滿足國家法律法規(guī)的合規(guī)性要求，還能為企業(yè)信息化打造一個高可靠的縱深防御體系，減少來自外部和內(nèi)部的網(wǎng)絡安全威脅，降低因網(wǎng)絡安全事件所帶來的經(jīng)濟損失風險。