安徽移動安全域改造創(chuàng)新實(shí)踐

王歡+許暖+王守濤

【摘要】 隨著安徽移動信息化的快速發(fā)展，業(yè)務(wù)系統(tǒng)成倍增加，網(wǎng)絡(luò)復(fù)雜度也在不斷提高。目前網(wǎng)絡(luò)主要存在問題有：網(wǎng)絡(luò)邊界不夠清晰，對網(wǎng)絡(luò)各個部分缺乏統(tǒng)一規(guī)劃，導(dǎo)致不少項目都有自己的防火墻設(shè)備，防火墻部署隨意性較大，種類雜亂，性能高低不一，不便于統(tǒng)一管理；由于缺乏統(tǒng)一的規(guī)劃，導(dǎo)致訪問控制策略制作非常繁瑣、復(fù)雜，一個需求有時候需要在幾個防火墻上同時制作策略，對全網(wǎng)的穩(wěn)定性帶來極大的影響，同時在發(fā)生問題時，路由和策略排查也耽誤很長時間。安徽移動提出安全域劃分模型并在辦公網(wǎng)進(jìn)行了實(shí)踐，實(shí)現(xiàn)不同系統(tǒng)之間安全域隔離，從縱深的角度，全盤考慮安全部署和應(yīng)用，提高了網(wǎng)絡(luò)安全性。

【關(guān)鍵字】 網(wǎng)絡(luò)安全 信息安全 安全域 邊界整合 網(wǎng)絡(luò)優(yōu)化

一、概述

傳統(tǒng)IT系統(tǒng)整體網(wǎng)絡(luò)建設(shè)方案很少從宏觀的角度關(guān)注IT安全體系的建立，經(jīng)常采用如物理隔離的方式來達(dá)到安全的目的，甚至建設(shè)兩套網(wǎng)絡(luò)，即所謂的內(nèi)網(wǎng)、外網(wǎng)。這種以物理隔離為主的消極防御手段使得某一IT系統(tǒng)只能做到針對自身的操作應(yīng)用，而無法實(shí)現(xiàn)與其他相關(guān)系統(tǒng)之間、與Internet之間的信息交互和共享，不但禁止了有用數(shù)據(jù)交換，造成信息化工作無法開展，還進(jìn)一步增加了投資，這與積極防御的理念是背道而馳的。另外，物理隔離的消極影響還在于可能會導(dǎo)致內(nèi)部網(wǎng)絡(luò)用戶出現(xiàn)通過電話線外連、移動計算設(shè)備一機(jī)多用、用移動存儲介質(zhì)在網(wǎng)絡(luò)間交換未知數(shù)據(jù)等潛在威脅。其次，由于IT系統(tǒng)所在的內(nèi)部網(wǎng)絡(luò)的建設(shè)方案缺乏宏觀的安全規(guī)劃，同時常規(guī)的安全系統(tǒng)經(jīng)常是分別隨著各自網(wǎng)絡(luò)或者應(yīng)用系統(tǒng)進(jìn)行建設(shè)的，雖然在一定程度上能夠起到安全防護(hù)作用，但是由于各套IT系統(tǒng)的安全建設(shè)自成體系、分散單一，缺乏統(tǒng)籌考慮和宏觀把握，造成系統(tǒng)中安全防御的主動權(quán)沒有辦法集中起來。因而帶來IT系統(tǒng)的安全防護(hù)能力、隱患發(fā)現(xiàn)能力、應(yīng)急反應(yīng)能力、信息對抗能力的整體效能下降等一系列問題。同時也帶來運(yùn)營商制訂的統(tǒng)一安全策略難以貫徹、重復(fù)建設(shè)，安全設(shè)備不能充分發(fā)揮作用等問題。

因此，克服和改造IT系統(tǒng)傳統(tǒng)局域網(wǎng)整體結(jié)構(gòu)的不足是解決網(wǎng)絡(luò)安全的首要工作，而安全域劃分及對安全域細(xì)粒度保護(hù)的方法是解決這個問題的最佳方案。只有通過明確安全域劃分的原則，才能形成清晰、簡潔、穩(wěn)定的IT組網(wǎng)架構(gòu)，實(shí)現(xiàn)系統(tǒng)之間嚴(yán)格訪問控制的安全互連，更好的解決復(fù)雜系統(tǒng)的安全問題。

二、研究意義

安全域[1]是由一組具有相同安全保護(hù)需求、并相互信任的系統(tǒng)組成的邏輯區(qū)域，是根據(jù)信息性質(zhì)、使用主體、安全目標(biāo)和策略等的不同來劃分的，是具有相近的安全屬性需求的網(wǎng)絡(luò)實(shí)體的集合。同一安全域的系統(tǒng)共享相同的安全策略，安全域劃分的目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題，化解為更小區(qū)域的安全保護(hù)問題，是實(shí)現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級保護(hù)的有效方法。安全域劃分是將網(wǎng)絡(luò)系統(tǒng)劃分為不同安全區(qū)域，分別進(jìn)行安全保護(hù)的過程。通過安全域的劃分和保護(hù)，可以基于網(wǎng)絡(luò)和系統(tǒng)進(jìn)行安全檢查和評估，進(jìn)而有效建立安全管理控制點(diǎn)，指導(dǎo)系統(tǒng)安全規(guī)劃、設(shè)計、入網(wǎng)和驗收工作。同時實(shí)現(xiàn)安全域邊界為災(zāi)難發(fā)生時的抑制點(diǎn)，防止影響的擴(kuò)散，同時避免了安全方面的重復(fù)投資，實(shí)現(xiàn)對各類終端用戶的控制，特別是對不可信用戶的可信控制。

三、安全域的創(chuàng)新研究

PPDRRF模型[2]是典型的、公認(rèn)的安全處理模型。它是一種動態(tài)的、自適應(yīng)的安全處理模型，可適應(yīng)安全風(fēng)險和安全需求的不斷變化，提供持續(xù)的安全保障。PPDRRF模型包括策略（Policy）、防護(hù)（Protection）、檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）和取證（Forensic）6個主要部分。防護(hù)、檢測、響應(yīng)、恢復(fù)和取證構(gòu)成一個完整的、動態(tài)的安全循環(huán)，在安全策略的指導(dǎo)下共同實(shí)現(xiàn)安全保障。

安徽移動安全域劃分一期目標(biāo)主要實(shí)現(xiàn)PPDRRF模型中的策略（Policy）和防護(hù)（Protection），并為檢測（Detection）、響應(yīng)（Response）、恢復(fù)（Recovery）和取證（Forensic）提供基 礎(chǔ)。依據(jù)支撐系統(tǒng)的架構(gòu)和IT組件提供的核心功能（業(yè)務(wù)功能、控制功能、管理功能）對支撐網(wǎng)系統(tǒng)進(jìn)行計算域、用戶域、支撐域、網(wǎng)絡(luò)域的劃分，形成安全域劃分概要模型，如圖1所示。

在上一步劃分的基礎(chǔ)上，按照“先應(yīng)用后網(wǎng)絡(luò)”的順序?qū)ο到y(tǒng)進(jìn)行安全域的細(xì)分。應(yīng)用層面包括了計算域、用戶域、支撐域，網(wǎng)絡(luò)層面包括網(wǎng)絡(luò)域。通過明確系統(tǒng)提供的各種核心業(yè)務(wù)功能及控制、管理支撐服務(wù)，分析其相應(yīng)的數(shù)據(jù)流，識別其相應(yīng)的應(yīng)用結(jié)構(gòu)、用戶類型和分布、支撐服務(wù)及網(wǎng)絡(luò)邏輯結(jié)構(gòu)，對系統(tǒng)計算域、網(wǎng)絡(luò)域在水平方向進(jìn)行不同數(shù)據(jù)流的邏輯隔離，在垂直方向進(jìn)行邏輯結(jié)構(gòu)分層。計算域細(xì)分基于系統(tǒng)包括的各種應(yīng)用結(jié)構(gòu)，依據(jù)應(yīng)用結(jié)構(gòu)所承載數(shù)據(jù)流的不同進(jìn)行水平方向分割；基于各個應(yīng)用結(jié)構(gòu)的內(nèi)在業(yè)務(wù)處理邏輯功能的不同進(jìn)行接入計算域、應(yīng)用計算域、數(shù)據(jù)計算域的劃分。用戶域細(xì)分根據(jù)工作終端的業(yè)務(wù)類別進(jìn)行業(yè)務(wù)用戶域、管理用戶域的劃分，再依據(jù)其網(wǎng)絡(luò)邏輯位置、用戶主體的不同進(jìn)行本地、遠(yuǎn)程及第三方的細(xì)分。支撐域細(xì)分根據(jù)IT要素所提供的支撐功能或服務(wù)的不同進(jìn)行運(yùn)維支撐域、網(wǎng)管支撐域、安全支撐域的劃分。網(wǎng)絡(luò)域細(xì)分依據(jù)應(yīng)用結(jié)構(gòu)將網(wǎng)絡(luò)域垂直分為網(wǎng)絡(luò)接入域、網(wǎng)絡(luò)核心域兩層；然后根據(jù)網(wǎng)絡(luò)的外部環(huán)境進(jìn)行互聯(lián)網(wǎng)接入域、外聯(lián)網(wǎng)接入域、內(nèi)聯(lián)網(wǎng)接入域的劃分，依據(jù)分支接入情況進(jìn)行分支網(wǎng)接入域劃分，依據(jù)遠(yuǎn)程用戶域的情況進(jìn)行遠(yuǎn)程接入域的劃分。對于廣域網(wǎng)，依據(jù)網(wǎng)絡(luò)的層級結(jié)構(gòu)進(jìn)行網(wǎng)絡(luò)接入域、網(wǎng)絡(luò)匯聚域、網(wǎng)絡(luò)核心域的劃分

根據(jù)對集團(tuán)公司規(guī)范的研究[4]，結(jié)合我省實(shí)際情況，簡化部署策略，高效的進(jìn)行部門網(wǎng)絡(luò)域的劃分，以“明晰網(wǎng)絡(luò)架構(gòu)、保障訪問安全、精簡防護(hù)手段、提高維護(hù)效率”為原則，將部門的網(wǎng)絡(luò)劃分為管理信息化域（MSS，簡稱M域）、業(yè)務(wù)支撐域（BSS，簡稱B域）這2個業(yè)務(wù)域，業(yè)務(wù)域間部署防火墻進(jìn)行域間隔離；各業(yè)務(wù)域內(nèi)劃分：互聯(lián)網(wǎng)出口域、核心域、接口域和開發(fā)測試域這4個子域，同一子域內(nèi)的設(shè)備互訪不受限制，跨子域的訪問需經(jīng)過防火墻進(jìn)行訪問策略控制。所有的業(yè)務(wù)系統(tǒng)必須歸屬于1個業(yè)務(wù)域，并且在核心域內(nèi)基于VLAN進(jìn)行網(wǎng)絡(luò)管理，不在通過防火墻進(jìn)行訪問控制。所有的防火墻部署基于主備互用或負(fù)載均衡架構(gòu)，確保網(wǎng)絡(luò)的動態(tài)冗余性[5] ?；ヂ?lián)網(wǎng)出口域因業(yè)務(wù)敏感性，采用雙層異構(gòu)防火墻，同時部署相應(yīng)的安全防護(hù)設(shè)備進(jìn)行安全管控。業(yè)務(wù)域和子域間防火墻在業(yè)務(wù)等級高的業(yè)務(wù)區(qū)部署，具體來說：B域和M域間在B域側(cè)部署防火墻，互聯(lián)網(wǎng)出口域和核心域在互聯(lián)網(wǎng)出口域側(cè)進(jìn)行隔離，核心域和接口域在核心域側(cè)進(jìn)行隔離。云平臺內(nèi)部劃分為：BSS、MSS、OSS、開發(fā)測試、綜合訪問區(qū)、互聯(lián)網(wǎng)訪問區(qū)這6個域，在開發(fā)測試、綜合訪問和互聯(lián)網(wǎng)訪問這3個域，分別劃分3個子與域?qū)?yīng)BSS、MSS和OSS。各域間默認(rèn)禁止互訪，各域內(nèi)不同的業(yè)務(wù)系統(tǒng)使用不同的VLAN進(jìn)行隔離。各域之間的互訪，則通過引入虛擬防火墻，進(jìn)行訪問策略的控制。

根據(jù)集團(tuán)公司《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》，威脅等級分為1-5，其中5威脅最大，即可能造成的損失最大[3]。通過單層防火墻實(shí)現(xiàn)兩個安全域邊界的訪問控制，適用于威脅等級相差較小的安全域之間的連接，具體包括支撐系統(tǒng)之間的互訪，支撐系統(tǒng)內(nèi)部互訪、集團(tuán)-省公司-地市的連接，第三方、漫游終端對支撐系統(tǒng)的訪問。通過雙重異構(gòu)防火墻實(shí)現(xiàn)邊界的訪問控制，適用于威脅等級為4、5的系統(tǒng)與等級為1、2的支撐系統(tǒng)的連接，具體包括銀行和SP等合作伙伴的連接，VPN 專網(wǎng)應(yīng)用的合作伙伴的連接，業(yè)務(wù)支撐系統(tǒng)的網(wǎng)上營業(yè)廳、網(wǎng)上聯(lián)辦營業(yè)廳，網(wǎng)管系統(tǒng)的綜合IP數(shù)據(jù)網(wǎng)管的采集，企業(yè)信息化系統(tǒng)與互聯(lián)網(wǎng)的連接，包括辦公上網(wǎng)、企業(yè)代理商的接入等。通過接口服務(wù)器（如PORTAL）實(shí)現(xiàn)系統(tǒng)之間的互訪，適用于威脅等級為3、5的系統(tǒng)與1、2的支撐系統(tǒng)的連接，具體包括網(wǎng)上營業(yè)廳的WEB服務(wù)器，銀行的前置機(jī)，IP數(shù)據(jù)網(wǎng)管的采集服務(wù)器，企業(yè)信息化系統(tǒng)的郵件轉(zhuǎn)發(fā)服務(wù)器和短消息轉(zhuǎn)發(fā)服務(wù)器等。通過接口服務(wù)器結(jié)合物理隔離實(shí)現(xiàn)內(nèi)/外網(wǎng)的訪問，適用于互聯(lián)網(wǎng)與支撐系統(tǒng)之間的互聯(lián)邊界，不適用于有大量實(shí)時性數(shù)據(jù)交互的系統(tǒng)之間的連接，具體包括業(yè)務(wù)支撐系統(tǒng)與網(wǎng)上營業(yè)廳的WEB服務(wù)器、SP對帳系統(tǒng)之間的連接等。

為便于描述，針對上述采用單層防火墻的訪問控制手段，我們稱其為NSG（Normal Secure Gateway）；針對上述采用雙重異構(gòu)防火墻的訪問控制手段，我們稱其為ESG（Enhanced Secure Gateway）。CMnet到核心域使用ESG進(jìn)行網(wǎng)絡(luò)隔離，終端域到業(yè)務(wù)系統(tǒng)使用NSG進(jìn)行隔離，接口域到其他業(yè)務(wù)域使用了接口服務(wù)器隔離，最終形成了適用于安徽移動的安全域劃分模型，如圖2所示。

四、應(yīng)用情況

整改后BOSS分公司終端用戶，設(shè)計院BOSS終端用戶和鐵通省公司終端用戶訪問BOSS應(yīng)用，直接從緯五路新建兩臺NE40E路由器經(jīng)BOSS核心交換機(jī)，對BOSS應(yīng)用進(jìn)行訪問；訪問OA應(yīng)用，從緯五路新建兩臺S9300交換機(jī)經(jīng)OA核心PE路由器，對OA應(yīng)用進(jìn)行訪問。OA分公司終端用戶，設(shè)計院OA終端用戶和鐵通省公司終端用戶訪問BOSS應(yīng)用，從緯五路新建兩臺NE40E路由器經(jīng)BOSS核心交換機(jī)，對BOSS應(yīng)用進(jìn)行訪問；訪問OA應(yīng)用直接經(jīng)OA核心PE路由器訪問OA業(yè)務(wù)應(yīng)用。根據(jù)監(jiān)測數(shù)據(jù)報告，核心設(shè)備CPU利用率同比降低了20%。最終不僅實(shí)現(xiàn)了同安全域內(nèi)訪問使用NSG隔離，不同安全域間訪問使用ESG隔離的安徽移動安全域劃分模型，提高了網(wǎng)絡(luò)安全性，而且減少了路由跳數(shù)，還減小了核心設(shè)備的壓力。

參 考 文 獻(xiàn)

[1]于慧龍；李萍；大型信息系統(tǒng)安全域劃分和等級保護(hù)[J]；計算機(jī)安全；2006年07期

[2]孟學(xué)軍，石崗；基于P～2DR的網(wǎng)絡(luò)安全體系結(jié)構(gòu)[J]；計算機(jī)工程；2004年04期

[3]《中國移動業(yè)務(wù)支撐網(wǎng)安全域劃分和邊界整合技術(shù)要求》（QB-J-003-2005）

[4]《中國移動支撐系統(tǒng)安全域劃分與邊界整合技術(shù)要求》

[5]張智杰. 安全域劃分關(guān)鍵理論與應(yīng)用實(shí)現(xiàn)[D]. 昆明：昆明理工大學(xué)，2008.