基于等級(jí)保護(hù)的企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)

許明

摘要：在基于等級(jí)保護(hù)的基礎(chǔ)上，對(duì)某市政服務(wù)企業(yè)原有網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)、應(yīng)用系統(tǒng)安全、安全管理方面進(jìn)行分析，提出安全防護(hù)設(shè)計(jì)。通過對(duì)網(wǎng)絡(luò)架構(gòu)、服務(wù)器區(qū)域、安全運(yùn)維區(qū)域、互聯(lián)網(wǎng)邊界進(jìn)行加固設(shè)計(jì)，以提升企業(yè)網(wǎng)絡(luò)整體安全性。

關(guān)鍵詞：等級(jí)保護(hù)；防護(hù)設(shè)計(jì)；安全性

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2019）06-0040-02

1 引言

信息系統(tǒng)的快速發(fā)展，使其所面臨的安全威脅日益劇增，對(duì)其安全要求也日漸增加。從大環(huán)境上看，信息系統(tǒng)安全已經(jīng)成為近幾年熱門的話題，如何保障信息系統(tǒng)的安全已經(jīng)成為國家關(guān)注的焦點(diǎn)。2003年中國頒發(fā)《關(guān)于加強(qiáng)信息安全保障工作的意見》明確等級(jí)保護(hù)工作的重點(diǎn)是基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)；緊接國家陸續(xù)出臺(tái)了一系列的安全政策和標(biāo)準(zhǔn)，提出了“適度安全、分級(jí)保護(hù)”的核心等級(jí)保護(hù)設(shè)計(jì)思路。

2007年四部委聯(lián)合頒布了《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》和《信息安全等級(jí)保護(hù)管理辦法》文件，要求涉及國計(jì)民生的信息系統(tǒng)應(yīng)達(dá)到一定的安全等級(jí)。根據(jù)文件精神和等級(jí)劃分的原則，國有企業(yè)內(nèi)部信息系統(tǒng)構(gòu)筑至少應(yīng)達(dá)到二級(jí)或以上防護(hù)要求[1]。在中國等級(jí)保護(hù)系統(tǒng)劃分為五個(gè)級(jí)別，其中第二級(jí)以不損害國家安全為基準(zhǔn)；因此，二級(jí)防護(hù)主要從以下十個(gè)方面展開：物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全以備份恢復(fù)、安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理[2]。

2 某市政企業(yè)網(wǎng)絡(luò)安全現(xiàn)狀

近年來，市政服務(wù)企業(yè)隨著信息化程度的不斷提升， 其所面臨的安全問題越來越復(fù)雜。互聯(lián)網(wǎng)的多元性混合威脅和企業(yè)內(nèi)部員工網(wǎng)絡(luò)違規(guī)行為的泛濫，都嚴(yán)重影響企業(yè)網(wǎng)絡(luò)安全，進(jìn)而對(duì)社會(huì)秩序和公共利益造成損害。因此，市政服務(wù)企業(yè)信息系統(tǒng)的安全管控工作愈發(fā)重要。為此， 該企業(yè)在公安機(jī)關(guān)的指導(dǎo)監(jiān)督下開展了信息安全等級(jí)保護(hù)工作，通過定級(jí)、備案、測評(píng)、建設(shè)整改等流程提升信息系統(tǒng)的安全保護(hù)能力。

2.1 網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀

該市政服務(wù)企業(yè)由于網(wǎng)絡(luò)搭建較早并且網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)不規(guī)范，導(dǎo)致網(wǎng)絡(luò)核心層、接入層均存在較多安全隱患。原企業(yè)網(wǎng)絡(luò)拓?fù)鋱D如圖1所示。從圖中可知，網(wǎng)絡(luò)架構(gòu)出口單一，存在單點(diǎn)故障，網(wǎng)絡(luò)可靠性極低；在接入層沒有合理劃分網(wǎng)段，導(dǎo)致不必要的廣播流量消耗帶寬資源，且不同的區(qū)域之間可以直接訪問，給信息安全帶來較大隱患；在現(xiàn)有網(wǎng)絡(luò)中，防火墻的過濾規(guī)則沒有進(jìn)行細(xì)化且已過維保期，內(nèi)置的安全庫均已不能適用于現(xiàn)今的網(wǎng)絡(luò)環(huán)境。

2.2 應(yīng)用系統(tǒng)安全現(xiàn)狀

該企業(yè)員工以及網(wǎng)絡(luò)管理人員信息安全意識(shí)淡薄，大部分員工存在操作系統(tǒng)、業(yè)務(wù)系統(tǒng)賬號(hào)和密碼疏于管理等問題，同時(shí)存在業(yè)務(wù)系統(tǒng)信息泄露和旁人違規(guī)操作風(fēng)險(xiǎn)。在OA系統(tǒng)安全方面，該企業(yè)直接把OA服務(wù)器部署在公網(wǎng)中，且沒有經(jīng)過任何防護(hù)。系統(tǒng)數(shù)據(jù)也未做冗余備份或者定期備份，一旦系統(tǒng)崩潰將丟失所有數(shù)據(jù)。管理員缺乏安全事件監(jiān)控和分析手段，對(duì)維護(hù)人員的遠(yuǎn)程操作缺乏操作規(guī)范和操作審計(jì)。

2.3 安全管理現(xiàn)狀

通過對(duì)企業(yè)網(wǎng)絡(luò)運(yùn)維管理進(jìn)行評(píng)測，該企業(yè)信息系統(tǒng)存在以下較嚴(yán)重的安全管理問題：（1）沒有建立完整的安全策略體系，安全管理規(guī)章制度缺失；（2）沒有相關(guān)的保密協(xié)議簽署，缺乏安全方面的培訓(xùn)，考核和懲戒措施不足；（3）日常運(yùn)行管理還主要靠經(jīng)驗(yàn)，缺乏明文的安全運(yùn)行管理制度和流程。

3 某市政企業(yè)網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)

通過結(jié)合客戶的業(yè)務(wù)需求以及綜合等級(jí)保護(hù)二級(jí)的要求，對(duì)某市政企業(yè)網(wǎng)絡(luò)進(jìn)行升級(jí)加固設(shè)計(jì)。本文主要介紹該網(wǎng)絡(luò)安全防護(hù)設(shè)計(jì)方案中的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)部分內(nèi)容。升級(jí)后網(wǎng)絡(luò)主要以核心層、匯聚層、接入層三層架構(gòu)為主體，保證了網(wǎng)絡(luò)的穩(wěn)定性和可靠性，同時(shí)通過部署安全設(shè)備來保證網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)拓?fù)鋱D如圖2所示。

3.1 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

核心網(wǎng)絡(luò)區(qū)域?yàn)槠髽I(yè)內(nèi)部網(wǎng)絡(luò)核心數(shù)據(jù)交換區(qū)域，通過使用IRF虛擬化技術(shù)，將兩臺(tái)核心交換機(jī)虛擬化成一臺(tái)，達(dá)到網(wǎng)絡(luò)的核心數(shù)據(jù)交換速率與網(wǎng)絡(luò)冗余性的目的，滿足等級(jí)保護(hù)要求“網(wǎng)絡(luò)冗余性”要求，保證網(wǎng)絡(luò)的可靠性和穩(wěn)定性。同時(shí)為滿足安全設(shè)備的部署與管理，將核心交換機(jī)接口劃為兩個(gè)區(qū)域，一部分開啟三層模式方便內(nèi)網(wǎng)數(shù)據(jù)交換，一部分開啟二層模式，給予安全設(shè)備管理與旁路監(jiān)聽使用。

在匯聚層交換機(jī)上劃分不同的vlan，根據(jù)不同的功能劃分不同的區(qū)域，將服務(wù)器與無線接入?yún)^(qū)域區(qū)分開，采用分區(qū)分域的形式進(jìn)行劃分。在不同角色VLAN接口下接入二層交換機(jī)用于連接各種終端設(shè)備。在財(cái)務(wù)接入?yún)^(qū)，通過ACL策略控制，使財(cái)務(wù)接入?yún)^(qū)域只能訪問服務(wù)器區(qū)域。

3.2 服務(wù)器區(qū)域設(shè)計(jì)

服務(wù)器區(qū)域?yàn)槠髽I(yè)OA系統(tǒng)與其他應(yīng)用系統(tǒng)放置區(qū)域。在服務(wù)器域核心交換機(jī)之間部署了綠盟的Web應(yīng)用防護(hù)系統(tǒng)WAF從而實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)服務(wù)器的有效防護(hù)。將交換機(jī)流量鏡像到數(shù)據(jù)庫審計(jì)系統(tǒng)能夠記錄下內(nèi)網(wǎng)用戶對(duì)數(shù)據(jù)庫服務(wù)器的操作，并對(duì)危險(xiǎn)操作做出告警。

3.3 安全運(yùn)維區(qū)域設(shè)計(jì)

安全運(yùn)維區(qū)，部署了綠盟RSAS漏掃系統(tǒng)、綠盟審計(jì)系統(tǒng)堡壘機(jī)系列，提供對(duì)網(wǎng)絡(luò)進(jìn)行運(yùn)維管理、網(wǎng)絡(luò)安全檢查、網(wǎng)絡(luò)漏洞掃描審計(jì)功能。綠盟漏洞掃描系統(tǒng)通過對(duì)主機(jī)、web掃描結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估，對(duì)客戶現(xiàn)場的網(wǎng)絡(luò)進(jìn)行一定的評(píng)分，讓客戶清楚了解自己網(wǎng)絡(luò)的安全情況。綠盟入侵檢測系統(tǒng)通過旁路部署在核心交換機(jī)上，將核心交換機(jī)上的流量鏡像到入侵檢測系統(tǒng)上[3]，NIDS能過對(duì)流量進(jìn)行分析，其中流量既包括了內(nèi)網(wǎng)到外網(wǎng)的流量，也包含了內(nèi)網(wǎng)主機(jī)到內(nèi)網(wǎng)服務(wù)器的流量，對(duì)于異常流量能夠及時(shí)地檢測出來并產(chǎn)生警告，并且通過郵件或者短信的方式及時(shí)的通知網(wǎng)絡(luò)管理員，使得網(wǎng)絡(luò)管理員能夠及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的威脅，及時(shí)做出保護(hù)措施，使得網(wǎng)絡(luò)的安全性得到保障。

3.4 互聯(lián)網(wǎng)邊界設(shè)計(jì)

企業(yè)網(wǎng)絡(luò)出口放置兩臺(tái)華為路由器，通過VRRP技術(shù)實(shí)現(xiàn)互備，保證了網(wǎng)絡(luò)的可靠性[4]。路由器下方部署兩臺(tái)綠盟下一代防火墻，防火墻使用透明部署模式，并開啟HA實(shí)現(xiàn)冗余，避免了單點(diǎn)故障問題。在防火墻域核心路由器之間部署了綠盟的入侵防護(hù)系統(tǒng)NIPS，通過入侵防護(hù)系統(tǒng)，對(duì)內(nèi)網(wǎng)進(jìn)行安全防護(hù)[5]。

4 結(jié)束語

實(shí)施信息安全等級(jí)保護(hù)，可以有效提高我國信息安全建設(shè)整體水平[6]，在企業(yè)中建設(shè)信息安全等級(jí)保護(hù)的網(wǎng)絡(luò)可以有效地對(duì)企業(yè)信息進(jìn)行規(guī)范化的管理、提高安全性。本文主要對(duì)某市政服務(wù)企業(yè)原有網(wǎng)絡(luò)進(jìn)行分析，依據(jù)二級(jí)等保要求與客戶的需求對(duì)網(wǎng)絡(luò)架構(gòu)、系統(tǒng)應(yīng)用安全和安全運(yùn)維等技術(shù)方面進(jìn)行整體的升級(jí)改造方案設(shè)計(jì)，以提升企業(yè)網(wǎng)絡(luò)整體安全性。

參考文獻(xiàn)：

[1] GB/T25070-2010.信息安全技術(shù)信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求[S]，2010.

[2] 趙云，顧健.等級(jí)保護(hù)風(fēng)險(xiǎn)評(píng)估模型研究[J]. 網(wǎng)絡(luò)空間安全， 2014， 5（3）：14-18.

[3] Dr. Thomas H. Morris. Event and intrusion detection systems for cyber-physical power systems[M].2015.

[4] 吳超超， 龍海蓮， 羅明輝，等. VRRP協(xié)議在大中型網(wǎng)絡(luò)主干網(wǎng)中作用的研究與實(shí)現(xiàn)[J]. 通訊世界， 2017（2）：24-25.

[5] Jabez J， Muthukumar B. Intrusion Detection System （IDS）： Anomaly Detection Using Outlier Detection Approach [J]. Procedia Computer Science， 2015， 48（3）：338-346.

[6] 高育智. 試論Web網(wǎng)站安全問題與解決方法[J]. 數(shù)字技術(shù)與應(yīng)用， 2010（8）：46-47.

【通聯(lián)編輯：代影】