基于等保2.0標(biāo)準(zhǔn)下的網(wǎng)絡(luò)安全體系設(shè)計(jì)與思考

程 方，楊 露，黃紫翎

（長(zhǎng)江三峽通航管理局，湖北 宜昌 443000）

引言

“等保”，即計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)。1994年國(guó)務(wù)院第一次頒布《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》，第一次提出等保概念,此后經(jīng)過(guò)20多年信息技術(shù)的發(fā)展，新型網(wǎng)絡(luò)攻擊手段層出不窮，原有1.0標(biāo)準(zhǔn)下建設(shè)的網(wǎng)絡(luò)安全防護(hù)體系對(duì)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的指導(dǎo)和監(jiān)督明顯滯后[1]，已經(jīng)無(wú)法滿足當(dāng)下網(wǎng)絡(luò)安全防護(hù)需求。只有對(duì)原有的網(wǎng)絡(luò)體系進(jìn)行升級(jí)改造，才能為核心業(yè)務(wù)系統(tǒng)提供多立體全方位的網(wǎng)絡(luò)安全保護(hù)。

2019年，國(guó)家正式發(fā)布了《GB/T 22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》為標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全等級(jí)保護(hù)辦法，簡(jiǎn)稱等保2.0[2]。等保2.0在法律義務(wù)、覆蓋范圍和測(cè)評(píng)要求等諸多方面，對(duì)信息系統(tǒng)防護(hù)提出了更為系統(tǒng)、更有針對(duì)性的要求。

1 原有網(wǎng)絡(luò)體系安全問(wèn)題分析

原有網(wǎng)絡(luò)體系中一些核心業(yè)務(wù)系統(tǒng)，為交通領(lǐng)域從業(yè)人員提供多項(xiàng)便利服務(wù)，服務(wù)用戶群體復(fù)雜，覆蓋面廣，服務(wù)對(duì)象綜合文化層次不高，同時(shí)一些數(shù)據(jù)涉及到從業(yè)人員身份信息、交通數(shù)據(jù)，對(duì)數(shù)據(jù)的安全性和保密性要求較高。隨著在信息化方面不斷發(fā)展，為交通領(lǐng)域從業(yè)人員、企業(yè)提供的服務(wù)也越來(lái)越多，業(yè)務(wù)系統(tǒng)不斷上線。在網(wǎng)絡(luò)安全方面也存在一些安全隱患。

1）對(duì)網(wǎng)絡(luò)安全規(guī)劃存在滯后，在對(duì)核心業(yè)務(wù)系統(tǒng)和非核心系統(tǒng)在區(qū)域劃分上還有待加強(qiáng)，存在被動(dòng)防御，無(wú)法做到主動(dòng)防御。

2）安全防護(hù)措施不全，網(wǎng)絡(luò)信息技術(shù)的快速發(fā)展，也帶來(lái)了攻擊方式跨越式發(fā)展，攻擊方式也在不斷變化。長(zhǎng)江三峽通航管理局在整個(gè)網(wǎng)絡(luò)中也部署有防火墻、IPS等安全設(shè)備，但是在核心業(yè)務(wù)系統(tǒng)與其他辦公網(wǎng)絡(luò)區(qū)域之間存在安全防護(hù)盲點(diǎn)，在重要核心系統(tǒng)的安全預(yù)警等方面，與等保2.0標(biāo)準(zhǔn)之間還有不相適應(yīng)的方面。

3）網(wǎng)絡(luò)安全專業(yè)技術(shù)人員專業(yè)技術(shù)儲(chǔ)備不足，網(wǎng)絡(luò)安全專業(yè)對(duì)人員專業(yè)技能要求較高，不僅要掌握網(wǎng)絡(luò)通信、數(shù)據(jù)庫(kù)等基礎(chǔ)知識(shí)，還要熟練掌握滲透、測(cè)試、攻防和腳本編寫等專業(yè)技能，現(xiàn)有網(wǎng)絡(luò)安全專業(yè)技術(shù)人員在這些專業(yè)技能方面還有待加強(qiáng)。

2 基于等保2.0標(biāo)準(zhǔn)下網(wǎng)絡(luò)安全體系設(shè)計(jì)

隨著多個(gè)核心業(yè)務(wù)系統(tǒng)被上級(jí)主管部門確定為二級(jí)核心系統(tǒng)，在上級(jí)主管部門的大力支持下，單位網(wǎng)絡(luò)安全主管部門全面梳理網(wǎng)絡(luò)安全防護(hù)管理漏洞，并針對(duì)上述安全問(wèn)題，進(jìn)行全方位整改。

對(duì)負(fù)責(zé)信息業(yè)務(wù)的專業(yè)人員進(jìn)行選拔，組建專業(yè)技術(shù)隊(duì)伍，專職負(fù)責(zé)網(wǎng)絡(luò)安全，并加大人員培訓(xùn)力度，形成安全信息溝通長(zhǎng)效機(jī)制，定期開展網(wǎng)絡(luò)測(cè)評(píng)。同時(shí)全方位梳理管理漏洞，制定了網(wǎng)絡(luò)設(shè)備安全臺(tái)賬以及一系列網(wǎng)絡(luò)安全管理辦法，制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，編制突發(fā)網(wǎng)絡(luò)安全事件處置流程，多次開展一分鐘斷網(wǎng)、核心服務(wù)器宕機(jī)等事件應(yīng)急演練。

為加強(qiáng)整體網(wǎng)絡(luò)的安全性，按照等保要求，重新梳理網(wǎng)絡(luò)層級(jí)，調(diào)整路由，劃分合理區(qū)域。由原來(lái)的外網(wǎng)、DMZ區(qū)和內(nèi)網(wǎng)三大區(qū)域，重新劃分為局域網(wǎng)出口區(qū)、外網(wǎng)辦公區(qū)、DMZ區(qū)、內(nèi)網(wǎng)辦公區(qū)和核心業(yè)務(wù)區(qū)。并在區(qū)域之間部署網(wǎng)絡(luò)安全設(shè)備，同時(shí)加強(qiáng)安全設(shè)備之間數(shù)據(jù)聯(lián)動(dòng)，形成1+1＞2的效果，加強(qiáng)整體網(wǎng)絡(luò)安全防護(hù)[3]。

2.1 局域網(wǎng)出口區(qū)

在互聯(lián)網(wǎng)與局域網(wǎng)內(nèi)核心交換機(jī)之間部署了大量網(wǎng)絡(luò)安全設(shè)備，最主要的是下一代防火墻。由于防火墻等安全設(shè)備在局域網(wǎng)出口處，為了避免單點(diǎn)故障導(dǎo)致整個(gè)網(wǎng)絡(luò)癱瘓，因此采用堆疊技術(shù)將多個(gè)防火墻在邏輯上虛擬成一個(gè)，多臺(tái)設(shè)備之間互為為冗余，提高了出口鏈路的穩(wěn)定性。下一代防火墻能夠做到對(duì)外部訪問(wèn)數(shù)據(jù)的有效控制，也能通過(guò)NAT、ACL將內(nèi)網(wǎng)服務(wù)器指定端口映射至互聯(lián)網(wǎng)，通過(guò)黑名單禁止攻擊地址。同時(shí)，防火墻還可以與IPS（入侵防御檢測(cè)系統(tǒng)）或者IDS（入侵檢測(cè)系統(tǒng)）之間形成數(shù)據(jù)聯(lián)動(dòng)，如IPS可以通過(guò)預(yù)先設(shè)置的規(guī)則，有效阻斷非正常的數(shù)據(jù)傳輸，特別是針對(duì)一些攻擊行為，可以直接阻斷。

2.2 外網(wǎng)辦公區(qū)

局域網(wǎng)內(nèi)辦公終端主要在外網(wǎng)辦公區(qū)，因此，防御的重點(diǎn)在于終端的管控，并與核心交換機(jī)之間部署防火墻來(lái)加強(qiáng)區(qū)域防護(hù)。通過(guò)部署漏洞掃描和終端準(zhǔn)入控制系統(tǒng)、EDR來(lái)實(shí)現(xiàn)對(duì)終端的安全防護(hù)。為了加強(qiáng)對(duì)終端的安全防護(hù)，可以使用漏洞掃描、行為管理等多種網(wǎng)絡(luò)安全設(shè)備來(lái)加強(qiáng)防護(hù)。使用漏掃對(duì)外網(wǎng)區(qū)域進(jìn)行掃描，主要掃描漏洞風(fēng)險(xiǎn)，同時(shí)進(jìn)行針對(duì)性的漏洞修補(bǔ)。通過(guò)終端準(zhǔn)入控制實(shí)名制上網(wǎng)，既能保障終端安全，又能一定程度上規(guī)范上網(wǎng)行為。通過(guò)EDR對(duì)終端進(jìn)行一鍵查殺、漏洞修復(fù)、外聯(lián)設(shè)備管控。

2.3 DMZ區(qū)

DMZ區(qū)是連接外網(wǎng)和內(nèi)網(wǎng)的關(guān)鍵區(qū)域，為了避免將核心業(yè)務(wù)系統(tǒng)服務(wù)器暴露在互聯(lián)網(wǎng)上，常常是采用映射的方式來(lái)對(duì)外提供服務(wù)，該區(qū)域的重要性不言而喻。由于是數(shù)據(jù)交換的關(guān)鍵節(jié)點(diǎn)區(qū)域，因此，在網(wǎng)絡(luò)安全監(jiān)控過(guò)程中，也是經(jīng)常部署態(tài)勢(shì)感知平臺(tái)、日志審計(jì)等設(shè)備對(duì)整個(gè)交互的數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)控。同時(shí)，通過(guò)兩臺(tái)互為主備冗余的防火墻與外網(wǎng)辦公區(qū)、內(nèi)網(wǎng)辦公區(qū)相連接，既能保障該區(qū)域的數(shù)據(jù)安全，又為內(nèi)外網(wǎng)辦公區(qū)域加強(qiáng)防護(hù)。

2.4 內(nèi)網(wǎng)辦公區(qū)

內(nèi)網(wǎng)辦公區(qū)與外網(wǎng)核心交換區(qū)的安全防護(hù)類似，也是部署有漏掃、終端準(zhǔn)入和EDR等安全防護(hù)設(shè)備。不同的是該區(qū)域終端無(wú)法訪問(wèn)互聯(lián)網(wǎng)，根據(jù)各業(yè)務(wù)部門業(yè)務(wù)范圍的不同，在交換機(jī)上配置路由，不同業(yè)務(wù)部門的內(nèi)網(wǎng)終端用戶所能訪問(wèn)的業(yè)務(wù)系統(tǒng)也不盡相同。

2.5 核心業(yè)務(wù)區(qū)

核心業(yè)務(wù)區(qū)部署了大量對(duì)外提供業(yè)務(wù)支持的服務(wù)器，由于該區(qū)域業(yè)務(wù)系統(tǒng)的重要性，在設(shè)計(jì)時(shí)既要確保安全，又要充分考慮到冗余，因此，在服務(wù)器部署時(shí)就使用防火墻對(duì)其他設(shè)備進(jìn)行隔離。防火墻與內(nèi)網(wǎng)核心交換機(jī)相連接，通過(guò)冗余設(shè)計(jì)來(lái)增強(qiáng)安全性。同時(shí)，服務(wù)器也采用冗余設(shè)計(jì)，形成本地?cái)?shù)據(jù)中心和異地容災(zāi)數(shù)據(jù)中心，當(dāng)本地?cái)?shù)據(jù)中心出現(xiàn)故障時(shí)，能在幾分鐘內(nèi)將全部業(yè)務(wù)數(shù)據(jù)切換到容災(zāi)數(shù)據(jù)中心，極大地增強(qiáng)了網(wǎng)絡(luò)的冗余性。

3 結(jié)語(yǔ)

在等保2.0標(biāo)準(zhǔn)下，嚴(yán)格按照“一個(gè)中心+三重防護(hù)”的原則[4]，制定了更高標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全防護(hù)體系，為核心業(yè)務(wù)系統(tǒng)提供符合等保2.0標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全防護(hù)體系。但是，隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全保護(hù)成為一個(gè)長(zhǎng)期課題，只有管理與技術(shù)協(xié)同發(fā)展，才能真正答好網(wǎng)絡(luò)安全考卷。