基于終端安全認證和蜜網(wǎng)的跨境企業(yè)內網(wǎng)策略淺談

王 皓（中國農業(yè)銀行數(shù)據(jù)中心（北京），北京100194）

0 前言

隨著企業(yè)市場規(guī)模的不斷擴大和發(fā)展，大量企業(yè)開始拓展海外市場，設立境外分公司、加工廠、業(yè)務分理處、科研中心等機構。

而現(xiàn)代企業(yè)的管理和運營，需要信息系統(tǒng)支持，建立起完善的企業(yè)網(wǎng)絡，覆蓋企業(yè)的各個機構。龐大的企業(yè)網(wǎng)絡需要完備的安全體系進行支撐保障，對企業(yè)網(wǎng)絡內的信息資源進行防護，保障信息系統(tǒng)的穩(wěn)定運行?！毒W(wǎng)絡安全法》的頒布加強了對企業(yè)網(wǎng)絡運維的要求，各企業(yè)需遵守網(wǎng)絡安全方面的國家標準和行業(yè)標準，滿足監(jiān)管機構的各項要求。

跨境企業(yè)因其關聯(lián)方和地理位置的復雜性，面臨更復雜的企業(yè)網(wǎng)絡安全問題。如何防止境外機構遭入侵，如何阻止通過內網(wǎng)連接破壞國內網(wǎng)絡系統(tǒng)是跨境企業(yè)內網(wǎng)建設必須考慮的內容。

1 普通跨地區(qū)企業(yè)網(wǎng)絡情況分析

1.1 普通跨地區(qū)企業(yè)網(wǎng)絡結構

大中型企業(yè)網(wǎng)絡，為保障網(wǎng)絡結構的穩(wěn)定性和可擴展性，便于管理維護，普遍采用層級化網(wǎng)絡的模型，由2或3層的結構構成。其中網(wǎng)絡的核心層由位于數(shù)據(jù)中心的核心交換機構成，負責全企業(yè)網(wǎng)內部數(shù)據(jù)的高速交換轉發(fā)，是全企業(yè)網(wǎng)絡架構的中心，通常為雙機互為主備互聯(lián)的冗余設計，對穩(wěn)定性要求敏感；核心交換機下聯(lián)各個功能分區(qū)的匯聚層交換機，在匯聚層交換機上配置訪問控制策略，確保各分區(qū)安全，針對重要分區(qū)部署防火墻對分區(qū)內部資源進行防護；匯聚層交換機下聯(lián)接入層交換機，與具體用戶、服務器等設備相連接，實現(xiàn)用戶和服務器的安全接入。

圖1為普通跨地區(qū)企業(yè)（下稱普通企業(yè)）網(wǎng)絡概況。

1.2 數(shù)據(jù)中心的基本安全措施

數(shù)據(jù)中心作為企業(yè)信息系統(tǒng)資源的核心，匯集了企業(yè)最重要的計算機系統(tǒng)、網(wǎng)絡設備和配套系統(tǒng)。數(shù)據(jù)中心內部根據(jù)功能劃分為多個不同服務器區(qū)對企業(yè)提供信息系統(tǒng)運維、資料信息存儲、業(yè)務數(shù)據(jù)處理、系統(tǒng)應用開發(fā)測試、門戶網(wǎng)站、郵件系統(tǒng)等服務。企業(yè)內網(wǎng)與外網(wǎng)連接的外聯(lián)區(qū)也位于數(shù)據(jù)中心，通過配置防火墻實現(xiàn)內外網(wǎng)隔離，外網(wǎng)應用由DMZ區(qū)提供。外聯(lián)區(qū)采用與互聯(lián)網(wǎng)連接和與第三方外聯(lián)等形式。

數(shù)據(jù)中心內部的網(wǎng)絡和服務器設備應嚴格遵守安全配置規(guī)范，嚴格訪問控制，嚴格賬戶權限控制，嚴格執(zhí)行賬號密碼管理，配置AAA認證登陸；應部署配置核查和漏洞掃描系統(tǒng)定期對網(wǎng)絡設備及服務設備進行安全排查，篩查不合規(guī)配置、安全漏洞、弱密碼、非必要服務及端口；部署資產清查系統(tǒng)，及時掌握資產增減情況，便于及時定位解決問題；部署服務器、數(shù)據(jù)庫、應用防護系統(tǒng)，防止外部入侵行為破壞篡改；配置審計系統(tǒng)，記錄對服務器、數(shù)據(jù)庫、應用系統(tǒng)的配置行為，便于被惡意破壞篡改發(fā)生后及時進行回退處理；各分區(qū)配置防火墻，對出入分區(qū)行為實行訪問控制；針對各分區(qū)配置IDS系統(tǒng)，分析記錄出入分區(qū)的疑似攻擊行為，及時調整防火墻配置；針對重要系統(tǒng)服務器區(qū)配置全流量記錄和回溯系統(tǒng)，分析進出分區(qū)的流量異常，調整服務器防護策略；定期進行全數(shù)據(jù)中心的漏洞排查，及時修補漏洞，避免被攻擊利用，并定期對全中心進行病毒排查，及時清除病毒、木馬等攻擊行為。

針對互聯(lián)網(wǎng)區(qū)等外網(wǎng)連接區(qū)，面對外部非可信網(wǎng)絡，在DMZ區(qū)前應配置防火墻、WAF、IDS、IPS，對出入內外網(wǎng)數(shù)據(jù)深度防護；配置防DDOS攻擊系統(tǒng)，防止來自互聯(lián)網(wǎng)的DDOS攻擊造成對外服務癱瘓；配置全流量記錄回溯系統(tǒng)，分析來自外部的攻擊流量識別已知攻擊，并分析未知攻擊，及時調整防護策略，阻斷攻擊行為。

1.3 分支機構的安全措施

圖1 普通企業(yè)網(wǎng)絡概況

圖1 中分支機構A和分支機構B，與數(shù)據(jù)中心處于同一國家。分支機構上層的匯聚層交換機，通過專線上聯(lián)數(shù)據(jù)中心的2臺核心交換機；匯聚層交換機下聯(lián)的本機構內的接入層交換機，分別連接位于機構內不同地點或不同業(yè)務需求的本地用戶和本地服務器。

分支機構內部網(wǎng)絡為匯聚層和接入層，采用以下措施實現(xiàn)對分支機構網(wǎng)絡的安全防護：通過在接入交換機上配置端口接入控制，阻斷未授權設備接入企業(yè)內網(wǎng)；通過對接入交換機下的網(wǎng)段進行訪問控制，確保授權用戶可訪問指定區(qū)域；通過對聯(lián)網(wǎng)設備進行終端安全管理，保證聯(lián)網(wǎng)設備的主機完整安全和防止信息泄露；通過部署防病毒系統(tǒng)，阻斷病毒感染及在網(wǎng)內的傳播；通過部署用戶行為管理，限制用戶進行非法操作，實現(xiàn)對用戶行為審計；通過定期安全漏洞檢測，及時排查漏洞風險，修復漏洞。

上述措施中的終端安全管理服務器、防病毒系統(tǒng)服務器、用戶行為審計系統(tǒng)、安全漏洞檢測系統(tǒng)均可部署在數(shù)據(jù)中心的服務器區(qū)，企業(yè)內各分支機構通過開通訪問權限和所需端口實現(xiàn)功能。

2 跨境企業(yè)與普通企業(yè)的網(wǎng)絡區(qū)別

跨境企業(yè)與普通企業(yè)相比較因機構設置不同，部署形式不同，所面臨的監(jiān)管機構、當?shù)貒一虻貐^(qū)法律規(guī)定不同，在內網(wǎng)部署方面有較大差異，表1是普通企業(yè)與跨境企業(yè)內網(wǎng)網(wǎng)絡的區(qū)別。

表1 普通企業(yè)與跨境企業(yè)內網(wǎng)網(wǎng)絡部分區(qū)別

表1中列舉了部分跨境企業(yè)內網(wǎng)搭建與普通企業(yè)的區(qū)別，跨境企業(yè)搭建內網(wǎng)面臨以下困難。

a）地理位置跨度大。與普通企業(yè)相比，跨境企業(yè)分支機構與總部地理位置跨度較大，甚至跨大洋，給機構間網(wǎng)絡部署帶來較大困難。

b）監(jiān)管要求不同。與普通企業(yè)相比，跨境企業(yè)機構間數(shù)據(jù)傳輸將面臨所跨越兩國的法律約束，如我國《網(wǎng)絡安全法》第三十七條、第六十六條都明確規(guī)定了關鍵信息基礎設施的運營者在因業(yè)務需要提供跨境數(shù)據(jù)傳輸所要遵守的相關規(guī)定，而其他各國法律也均有對應要求。

c）網(wǎng)絡運營商情況不同。普通企業(yè)在建設跨地區(qū)內網(wǎng)時普遍選擇1到2家網(wǎng)絡運營商租用專線實現(xiàn)跨地區(qū)的數(shù)據(jù)傳輸，網(wǎng)絡傳輸質量較穩(wěn)定?？缇称髽I(yè)機構間建立內網(wǎng)則需在不同國家選擇網(wǎng)絡運營商，實現(xiàn)跨境數(shù)據(jù)傳輸，網(wǎng)絡傳輸質量低于國內專線互聯(lián)。

d）分支機構可信度不同。與普通企業(yè)相比，跨境企業(yè)因環(huán)境背景復雜，其網(wǎng)絡被滲透被攻擊可能性加大，因此需對境外機構連接企業(yè)內網(wǎng)設置專用的DMZ區(qū)進行隔離。

e）設備供應情況不同。普通企業(yè)設備資產和服務采購，同類別產品可采購統(tǒng)一供應商，全部分支機構設備統(tǒng)一配備，減輕后期運維壓力。且根據(jù)監(jiān)管規(guī)定，出于安全需要，可全部選擇或重要敏感部分選擇自主可控品牌搭建企業(yè)網(wǎng)絡?？缇称髽I(yè)因供應商服務能力和經(jīng)營國家地區(qū)范圍，在境外可能無法選擇與國內相同的品牌，且部分國家也要求信息系統(tǒng)需選擇當?shù)毓袒虮O(jiān)管機構批準使用品牌，給組網(wǎng)帶來一定的不便。

f）被監(jiān)聽風險不同。與普通企業(yè)相比較，跨境企業(yè)因其商業(yè)價值受到境外國家政府、監(jiān)管、企業(yè)的層層關注，傳輸線路數(shù)據(jù)存在被監(jiān)聽風險，且因設備資產采購于境外供應商，存在被后門監(jiān)聽的可能。

g）時差、文化等其他差別?？缇称髽I(yè)國內總部與境外分支機構普遍存在時差，對網(wǎng)絡聯(lián)合調配造成不便；境外所在國家與國內存在文化差異，且因人員配備需要有部分外籍雇員，外籍雇員與國內技術人員的溝通理解有一定不便。

3 終端安全認證和蜜網(wǎng)的境外機構內網(wǎng)防護

分析境外分支機構面臨的安全問題，部署終端安全防護系統(tǒng)和蜜網(wǎng)服務器在終端接入層設置防護，保護內網(wǎng)真實環(huán)境。

3.1 系統(tǒng)架構

本系統(tǒng)在境外分支機構接入層交換機部署終端安全服務器、radius認證服務器以及入侵檢測系統(tǒng)IDS，在接入層交換機與匯聚層交換機間部署深度檢測防火墻，并部署honeynet蜜網(wǎng)服務器群。

圖2為基于終端安全與蜜網(wǎng)的境外機構內網(wǎng)架構。

數(shù)據(jù)中心部分單獨設立境外連接區(qū)，通過境外DMZ區(qū)隔離境外與內網(wǎng)的連接，在邊界路由器通過境內境外專線連接至境外分支機構邊界路由器。

圖2 基于終端安全與蜜網(wǎng)的境外機構內網(wǎng)架構

境外分支機構設置與數(shù)據(jù)中心境外連接區(qū)對稱的匯聚層結構，邊界路由器下聯(lián)防火墻，防火墻向下連接匯聚層交換機。

匯聚層交換機與接入層交換機間設置防火墻，并配置honeynet服務器區(qū)。honeynet服務器區(qū)內部配置多層虛擬網(wǎng)絡結構和多分區(qū)，設置honeypot迷惑攻擊者，分支機構接入層交換機連接終端安全服務器、radius認證服務器和IDS，保障接入層可控。

3.2 接入層控制策略

所有內網(wǎng)合規(guī)用戶均須在終端上安裝終端安全系統(tǒng)，配置強制合規(guī)策略，檢查被管理終端是否存在漏洞，是否安裝防病毒系統(tǒng)，是否安裝黑名單軟件。

a）當有終端連接至接入層交換機其上聯(lián)端口并不允許傳輸數(shù)據(jù)，終端需將終端安全系統(tǒng)檢測的強制合規(guī)信息上傳至終端安全服務器，并將其認證信息發(fā)送至radius服務器，在通過終端安全強制合規(guī)檢測和認證通過后，放行向內網(wǎng)傳輸數(shù)據(jù)，在傳輸過程中，如無異常行為，則保持與內網(wǎng)連接。

b）當可疑終端連接至接入層交換機，未能滿足強制合規(guī)或radius認證時，接入層交換機將不允許終端接入內網(wǎng)，而將可疑終端連接至honeynet服務器群的“仿真”內網(wǎng)環(huán)境，并監(jiān)測可疑終端是否在honeynet開展攻擊行為，如檢測到攻擊行為則中斷連接。

c）當設備通過強制合規(guī)監(jiān)測和radius認證，而在連接過程中經(jīng)IDS或深度檢測防火墻發(fā)現(xiàn)可疑行為時中斷其訪問內網(wǎng)，并將其引入honeynet服務器群，當可疑行為繼續(xù)進行時，將標記該設備為疑似受控設備，并與終端安全服務器聯(lián)動否定其強制合規(guī)監(jiān)測，下次連接將不再讓其連接內網(wǎng)。

通過引入接入層控制策略，將防止黑客直接接入境外內網(wǎng)或控制合規(guī)終端進入內網(wǎng)，對內網(wǎng)資源進行破壞。

4 結束語

綜上所述，在境外機構內網(wǎng)接入層進行終端安全認證和蜜網(wǎng)策略部署可有效防護黑客直接接入境外內網(wǎng)或控制內網(wǎng)合規(guī)終端，對內網(wǎng)資源安全防護有重要意義。在網(wǎng)絡系統(tǒng)建設中面臨的諸如傳輸過程中網(wǎng)絡監(jiān)聽、人為物理破壞等攻擊行為仍需要通過技術和管理體制的完善去不斷克服解決。