大中型企業(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)

■河北 張青 張明儒

隨著“大、云、物、移、智、鏈”等先進(jìn)信息通信技術(shù)的發(fā)展，大中型企業(yè)信息化水平不斷提高，但是在信息化水平給公司帶來(lái)便利的同時(shí)，網(wǎng)絡(luò)安全形式日益嚴(yán)峻。

為此，本文從網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)安全架構(gòu)方案設(shè)計(jì)兩個(gè)方面進(jìn)行介紹，為大中型企業(yè)網(wǎng)絡(luò)安全方案架構(gòu)設(shè)計(jì)提供參考依據(jù)。

圖1 兩地三中心

網(wǎng)絡(luò)安全需求

在網(wǎng)絡(luò)安全方案設(shè)計(jì)之前，首先要明確網(wǎng)絡(luò)的安全需求。網(wǎng)絡(luò)安全最基本的也是最重要的需求是業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器以及終端能夠正常運(yùn)行，當(dāng)出現(xiàn)個(gè)別設(shè)備遭到攻擊后，能夠保證網(wǎng)絡(luò)系統(tǒng)繼續(xù)運(yùn)行，不能出現(xiàn)網(wǎng)絡(luò)安全事件范圍的擴(kuò)大化。

另外，在進(jìn)行網(wǎng)絡(luò)安全需求分析時(shí)，應(yīng)當(dāng)提倡適度安全，不能嚴(yán)重影響系統(tǒng)的正常運(yùn)行。

一般對(duì)于大多數(shù)中小型企業(yè)用戶來(lái)說(shuō)，由于用戶存儲(chǔ)的信息大多是非涉密信息，因此，只提供普通的安全保障技術(shù)措施即可。

但是對(duì)于某些特殊企業(yè)（如國(guó)家電網(wǎng)公司、發(fā)電廠、國(guó)家鐵路集團(tuán)公司等），網(wǎng)絡(luò)中存在涉密、敏感信息，在企業(yè)網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，一定要考慮安全的方案設(shè)計(jì)，對(duì)網(wǎng)絡(luò)所承載的業(yè)務(wù)信息進(jìn)行嚴(yán)格的安全限制，采取嚴(yán)格的技術(shù)措施（如內(nèi)外網(wǎng)物理隔離網(wǎng)閘）來(lái)保證企業(yè)資料的安全訪問(wèn)和輸出，核心設(shè)備建議選用國(guó)產(chǎn)品牌設(shè)備。

網(wǎng)絡(luò)安全架構(gòu)方案設(shè)計(jì)

網(wǎng)絡(luò)安全架構(gòu)體系設(shè)計(jì)可按層次分為管理安全、應(yīng)用數(shù)據(jù)安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全及物理安全。

1.管理安全

管理安全確保各類人員按照規(guī)定的職責(zé)行事，做到各行其責(zé)、避免網(wǎng)絡(luò)與信息系統(tǒng)責(zé)任事故的發(fā)生，防止惡意的侵犯。管理安全采取的手段主要是通過(guò)健全一系列安全管理規(guī)章制度，加強(qiáng)人員管理，進(jìn)出信息機(jī)房必須登記許可，在操作設(shè)備前，必須進(jìn)行安全交底，并開工作票。

2.應(yīng)用數(shù)據(jù)安全

應(yīng)用數(shù)據(jù)安全主要保證各類應(yīng)用軟件和數(shù)據(jù)的安全，其中數(shù)據(jù)的安全在網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)時(shí)必須著重考慮。數(shù)據(jù)安全應(yīng)考慮以下幾個(gè)方面。

圖2 網(wǎng)絡(luò)安全架構(gòu)方案

一是磁盤陣列RAID 的選擇。存儲(chǔ)設(shè)備設(shè)計(jì)時(shí)在考慮到存儲(chǔ)容量的同時(shí)，也應(yīng)考慮安全性、數(shù)據(jù)恢復(fù)性、數(shù)據(jù)保護(hù)性等，磁盤陣列可以采用性能與可靠性都不錯(cuò)的RAID10 或RAID5，相比RAID5，RAID10 的性能更高，對(duì)于數(shù)據(jù)庫(kù)系統(tǒng)建議采用RAID10，備用服務(wù)器建議采用RAID5 的方式。

二是應(yīng)健全定期數(shù)據(jù)備份制度，并定期驗(yàn)證數(shù)據(jù)。完全、增量及差分三種備份方式相結(jié)合使用，可以發(fā)揮出最佳的效果。

三是對(duì)于某些特殊企業(yè)，如國(guó)家電網(wǎng)公司和發(fā)電集團(tuán)，可以從集團(tuán)層面進(jìn)行數(shù)據(jù)的災(zāi)備，如建設(shè)兩地三中心，即主數(shù)據(jù)中心、同城災(zāi)備及異地災(zāi)備中心，通過(guò)建設(shè)環(huán)形結(jié)構(gòu)，不但節(jié)約成本，還一定程度上提供冗余保護(hù)，如圖1 所示。

3.網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全確保系統(tǒng)各網(wǎng)絡(luò)區(qū)域間的隔離防護(hù)采取的訪問(wèn)控制、入侵檢測(cè)及防御、防火墻、身份認(rèn)證、安全審計(jì)及路由安全等措施。本文把網(wǎng)絡(luò)安全主要分為以下幾個(gè)區(qū)域，安全防護(hù)區(qū)、安全管理區(qū)、安全隔離區(qū)。

網(wǎng)絡(luò)安全方案架構(gòu)如圖2 所示。

（1）安全防護(hù)區(qū)

安全防護(hù)區(qū)主要是實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)隔離及其防御控制。在該區(qū)域所配置的設(shè)備主要包括防火墻、入侵防御系統(tǒng)以及防DDoS 攻擊主機(jī)等。

防火墻通過(guò)配置安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)網(wǎng)絡(luò)隔離和訪問(wèn)權(quán)限控制。網(wǎng)絡(luò)中的防火墻位置可放置于接入互聯(lián)網(wǎng)的路由器之前，也可將其放置于網(wǎng)絡(luò)的核心層，以提高內(nèi)部網(wǎng)絡(luò)用戶的使用體驗(yàn)，串接于網(wǎng)絡(luò)中。

防火墻主要分為三部分，分別是安全級(jí)別最高的內(nèi)網(wǎng)網(wǎng)絡(luò)、提供對(duì)外服務(wù)的DMZ、安全級(jí)別最低的外部網(wǎng)絡(luò)。為保證安全，在DMZ 與內(nèi)網(wǎng)之間部署內(nèi)部防火墻，實(shí)行嚴(yán)格的訪問(wèn)限制；在DMZ 與外網(wǎng)之間部署外部防火墻，施加較少的訪問(wèn)限制，除非禁止，都被允許；而在內(nèi)部網(wǎng)絡(luò)中，除非允許，其余則被禁止。

入侵防御系統(tǒng)主要實(shí)現(xiàn)內(nèi)網(wǎng)網(wǎng)絡(luò)的攻擊防御，并可以與防火墻聯(lián)動(dòng)。入侵防御系統(tǒng)一般串接在業(yè)務(wù)服務(wù)器區(qū)域或者重要業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)出口處，主要實(shí)現(xiàn)應(yīng)用層的安全防護(hù)，通過(guò)匹配特征庫(kù)，對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)攔截。

防DDoS 攻擊主機(jī)主要保證正常的網(wǎng)絡(luò)請(qǐng)求。DDoS 攻擊的特點(diǎn)是收到大量源地址各異、用途不明的數(shù)據(jù)包，導(dǎo)致計(jì)算機(jī)耗盡TCP 連接數(shù)或CPU 有效時(shí)間或網(wǎng)絡(luò)帶寬等，導(dǎo)致不能響應(yīng)正常的請(qǐng)求。為此，為了避免出現(xiàn)以上問(wèn)題，可以配置防DDoS 攻擊主機(jī)。

WAF（Web 應(yīng)用防火墻），防止SQL 注入，一般通過(guò)基于HTTP/HTTPS 的安全策略進(jìn)行網(wǎng)站等Web 應(yīng)用防護(hù)。

（2）安全管理區(qū)

安全管理區(qū)主要實(shí)現(xiàn)公司網(wǎng)絡(luò)系統(tǒng)的統(tǒng)一管理和監(jiān)測(cè)、記錄并分析網(wǎng)絡(luò)的運(yùn)行狀態(tài)，主要包括網(wǎng)管系統(tǒng)、上網(wǎng)行為管理設(shè)備、網(wǎng)絡(luò)準(zhǔn)入設(shè)備、漏洞掃描設(shè)備、日志審計(jì)系統(tǒng)、安全審計(jì)系統(tǒng)等。

其中，網(wǎng)管系統(tǒng)、網(wǎng)絡(luò)安全準(zhǔn)入設(shè)備、漏洞掃描設(shè)備、日志審計(jì)系統(tǒng)以及安全審計(jì)系統(tǒng)以旁路模式部署，上網(wǎng)行為管理串接在網(wǎng)絡(luò)系統(tǒng)中。

（3）安全隔離區(qū)

安全隔離區(qū)實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的物理隔離，包括數(shù)據(jù)過(guò)濾系統(tǒng)、網(wǎng)閘及安全接入網(wǎng)關(guān)。通過(guò)網(wǎng)閘分時(shí)實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)的交互；通過(guò)數(shù)據(jù)過(guò)濾系統(tǒng)分離出信任數(shù)據(jù)和非信任數(shù)據(jù)；安全接入網(wǎng)關(guān)分為數(shù)據(jù)安全接入網(wǎng)關(guān)和視頻接入網(wǎng)關(guān)設(shè)備。

4.操作系統(tǒng)安全

操作系統(tǒng)安全主要包括網(wǎng)絡(luò)操作系統(tǒng)自身安全（如系統(tǒng)漏洞補(bǔ)丁、訪問(wèn)控制權(quán)限及身份認(rèn)證等）、系統(tǒng)的正確配置、防范病毒木馬及系統(tǒng)數(shù)據(jù)庫(kù)容災(zāi)等。

5.物理安全

物理安全需要確保物理設(shè)備及基礎(chǔ)運(yùn)行環(huán)境不受有意或無(wú)意破壞的防護(hù)措施，確保設(shè)備運(yùn)行安全，包括溫度、濕度、電源、煙感、溫感、消防、防雷、防盜及防小動(dòng)物等。

結(jié)論

本文主要從網(wǎng)絡(luò)安全需求、網(wǎng)絡(luò)安全架構(gòu)方案設(shè)計(jì)二個(gè)方面介紹大中型企業(yè)網(wǎng)絡(luò)安全方案架構(gòu)設(shè)計(jì)，其中網(wǎng)絡(luò)安全架構(gòu)方案設(shè)計(jì)包括管理安全、應(yīng)用數(shù)據(jù)安全、網(wǎng)絡(luò)安全、操作系統(tǒng)安全以及物理環(huán)境安全。希望本文的提出，能夠?qū)Υ笾行推髽I(yè)網(wǎng)絡(luò)安全架構(gòu)設(shè)計(jì)提供一定的參考依據(jù)。