企業(yè)網(wǎng)絡(luò)安全解決方案

◆趙菁

（北京信息職業(yè)技術(shù)學(xué)院北京 1000018）

1 前言

隨著系統(tǒng)速度、容量和使用的提高以及技術(shù)的變化，攻擊也在發(fā)展，威脅也在變化。對(duì)于ICT專業(yè)人員而言，無(wú)論是維護(hù)小型系統(tǒng)、個(gè)人訪問或管理大型企業(yè)的復(fù)雜網(wǎng)絡(luò)基礎(chǔ)設(shè)施，應(yīng)該能夠運(yùn)用多種網(wǎng)絡(luò)安全入侵預(yù)防和檢測(cè)方法。通過設(shè)計(jì)、實(shí)施和管理網(wǎng)絡(luò)安全解決方案，保護(hù)IT系統(tǒng)的安全環(huán)境，使用戶免受攻擊。包括入侵檢測(cè)和預(yù)防，用戶和資源訪問管理和維護(hù)惡意軟件防御等。

2 網(wǎng)絡(luò)安全解決方案

當(dāng)前常見的網(wǎng)絡(luò)安全威脅如設(shè)備的惡意軟件感染、網(wǎng)絡(luò)釣魚、勒索軟件攻擊、第三方供應(yīng)商的風(fēng)險(xiǎn)、DDoS攻擊、應(yīng)用程序漏洞、云服務(wù)/托管基礎(chǔ)設(shè)施泄露事件、物聯(lián)網(wǎng)漏洞等。根據(jù)卡巴斯基公司發(fā)布的《2019年IT安全經(jīng)濟(jì)學(xué)》調(diào)查報(bào)告，2019年約有一半的企業(yè)的設(shè)備遭受了惡意軟件感染。一半企業(yè)還發(fā)現(xiàn)員工擁有的設(shè)備上感染了惡意軟件。對(duì)于企業(yè)而言，卡巴斯基報(bào)告中提到的企業(yè)設(shè)備的惡意軟件感染是成本最昂貴的事件，平均每次事件損失成本為273萬(wàn)美元。對(duì)于中小型企業(yè)來(lái)說(shuō)，這個(gè)數(shù)字要少得多，平均損失為117,000美元。根據(jù)這份調(diào)查報(bào)告，2019年大約40%的企業(yè)經(jīng)歷了勒索軟件攻擊事件。對(duì)于大企業(yè)來(lái)說(shuō)，每起勒索軟件攻擊事件的平均損失為146萬(wàn)美元。另外，2019年有42%的大企業(yè)和38%的中小型企業(yè)遭受了分布式拒絕服務(wù)(DDoS)攻擊。從財(cái)務(wù)角度來(lái)看，每次 DDoS攻擊將使中小企業(yè)平均損失138000美元。

使用安全解決方案來(lái)保障企業(yè)網(wǎng)絡(luò)安全勢(shì)在必行。主要步驟是評(píng)估當(dāng)前系統(tǒng)的網(wǎng)絡(luò)安全性、方案設(shè)計(jì)、方案實(shí)施和網(wǎng)絡(luò)安全管理。

2.1 評(píng)估當(dāng)前系統(tǒng)的網(wǎng)絡(luò)安全性

信息安全風(fēng)險(xiǎn)評(píng)估的兩種方式，根據(jù)風(fēng)險(xiǎn)評(píng)估發(fā)起者的不同，包括自評(píng)估和檢查評(píng)估兩類。其中，企業(yè)常常采取自評(píng)估的形式進(jìn)行風(fēng)險(xiǎn)評(píng)估，以便找出系統(tǒng)潛在的漏洞。常用的風(fēng)險(xiǎn)評(píng)估工具包括SecAnalyst運(yùn)行狀態(tài)評(píng)估、MBSA綜合評(píng)估、X-scan攻擊掃描評(píng)估、MSAT安全評(píng)估等。當(dāng)然，企業(yè)也可以參考檢查評(píng)估中如《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239）中等級(jí)保護(hù)基本要求進(jìn)行風(fēng)險(xiǎn)評(píng)估。檢查評(píng)估包括基本技術(shù)要求和基本管理要求兩個(gè)方面。

2.2 方案設(shè)計(jì)

在進(jìn)行方案設(shè)計(jì)前，首要任務(wù)是進(jìn)行安全需求分析，應(yīng)根據(jù)企業(yè)的安全風(fēng)險(xiǎn)評(píng)估結(jié)果進(jìn)行分析，針對(duì)存在的安全隱患，給出詳細(xì)的要求。

解決方案的設(shè)計(jì)包括局域網(wǎng)設(shè)計(jì)、廣域網(wǎng)設(shè)計(jì)、服務(wù)器部署、邊界系統(tǒng)、用戶訪問、物理安全等。

局域網(wǎng)設(shè)計(jì)涉及的技術(shù)包括 STP(生成樹協(xié)議)優(yōu)先化、MAC控制、VLAN(虛擬局域網(wǎng))安全、ARP(地址解析協(xié)議)中毒、客戶端訪問、無(wú)線、設(shè)備信任;VLAN的設(shè)計(jì); trunk設(shè)計(jì);局域網(wǎng)段隔離等。

廣域網(wǎng)路設(shè)計(jì)涉及的技術(shù)包括路由協(xié)議認(rèn)證，訪問控制列表，路由圖，被動(dòng)接口，流量過濾器，網(wǎng)絡(luò)隔離，DMZ(非軍事區(qū))管理等。

服務(wù)器的部署，應(yīng)根據(jù)服務(wù)器規(guī)范確定安全需求，如打印機(jī)訪問，文件管理，數(shù)據(jù)管理，電子郵件。

邊界的安全防御系統(tǒng)，入侵檢測(cè)系統(tǒng)(IDS)，如防火墻過濾和規(guī)則、電子郵件監(jiān)控、應(yīng)用程序和數(shù)據(jù)包監(jiān)控、簽名管理、信任、網(wǎng)絡(luò)行為規(guī)范；訪問控制如流量過濾器，路由重定向等。

用戶權(quán)限可以分為用戶組和用戶兩種情況。以用戶組為對(duì)象時(shí)，應(yīng)考慮組成員、用戶組分配、權(quán)限歸屬幾個(gè)問題;以用戶為對(duì)象時(shí)，應(yīng)考慮用戶個(gè)人的權(quán)限，還應(yīng)對(duì)用戶權(quán)限分配進(jìn)行持續(xù)審查；信息系統(tǒng)中的資源包括文件、服務(wù)器、服務(wù)、數(shù)據(jù)、硬件、打印機(jī)、電子郵件等，應(yīng)合理分配用戶和用戶組對(duì)這些資源的訪問權(quán)限。

物理安全設(shè)計(jì)要考慮如下要素，包括電力供應(yīng)；物理門禁如鎖和鑰匙，電子門禁，基于人員的安全，生物識(shí)別；硬件和系統(tǒng)冗余；備份如數(shù)據(jù)、配置、影像；恢復(fù)策略。

如圖1所示，H3C典型的安全解決方案組網(wǎng)圖。方案設(shè)計(jì)分為內(nèi)網(wǎng)辦公區(qū)、數(shù)據(jù)中心區(qū)、網(wǎng)絡(luò)管理區(qū)、外聯(lián)服務(wù)區(qū)、 對(duì)外接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、廣域網(wǎng)接入?yún)^(qū)和專線分支機(jī)構(gòu)。內(nèi)網(wǎng)辦公區(qū)的安全設(shè)計(jì)包括VLAN劃分、在內(nèi)網(wǎng)辦公區(qū)邊界部署支持802.1x/portal認(rèn)證的以太網(wǎng)設(shè)備；數(shù)據(jù)中心區(qū)的邊界部署了AFC異常流量清洗設(shè)備，實(shí)現(xiàn)防御分布式拒絕服務(wù)（DDoS）攻擊、IPS設(shè)備和防火墻設(shè)備，IPS設(shè)備部署在網(wǎng)絡(luò)的關(guān)鍵路徑上，有效地識(shí)別并阻斷或限制各類網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)的濫用等功能；防火墻起到了隔離網(wǎng)段、訪問控制等功能，切實(shí)地保障了企業(yè)網(wǎng)絡(luò)的安全；網(wǎng)絡(luò)管理區(qū)中部署安全管理中心設(shè)備，對(duì)各類網(wǎng)絡(luò)、安全產(chǎn)品進(jìn)行統(tǒng)一管理。在其邊界部署防火墻/VPN設(shè)備，上聯(lián)到核心交換機(jī)；企業(yè)核心交換機(jī)采取雙機(jī)熱備方式，增強(qiáng)可靠性，并實(shí)現(xiàn)安全隔離；外聯(lián)服務(wù)區(qū)邊界，即對(duì)外服務(wù)區(qū)部署IPS和防火墻/vpn設(shè)備，保障了合作伙伴對(duì)外聯(lián)服務(wù)區(qū)資源的安全接入和資源的訪問；在互聯(lián)網(wǎng)服務(wù)器前端通過部署ASE設(shè)備實(shí)現(xiàn)服務(wù)器負(fù)載均衡和應(yīng)用加速。同時(shí)在互聯(lián)網(wǎng)接入?yún)^(qū)同樣部署了IPS和防火墻/vpn設(shè)備，以確保合作伙伴、企業(yè)移動(dòng)辦公員工、分支機(jī)構(gòu)的安全接入。專線分支機(jī)構(gòu)區(qū)中，企業(yè)的各個(gè)分支機(jī)構(gòu)邊界部署防火墻/VPN設(shè)備通過廣域網(wǎng)接入?yún)^(qū)安全接入并訪問企業(yè)資源。

圖1 安全解決方案典型組網(wǎng)圖

2.3 方案實(shí)施

根據(jù)完成的設(shè)計(jì)方案進(jìn)行實(shí)施，并進(jìn)行系統(tǒng)的測(cè)試、記錄和分析測(cè)試結(jié)果。 核心系統(tǒng)組成部分包括服務(wù)器、交換機(jī)、路由器、防火墻、IPS（Intrusion-prevention system，入侵防御系統(tǒng)）等。

涉及的相關(guān)技術(shù)：通信方面包括路由協(xié)議，STP，哈希交換，vlan,dot1q；密碼學(xué):隧道技術(shù)如 GRE, VPN;密鑰交換方法；加密方法如RSA,IPSec, ISAKMP, IKE, DES, 3DES；入侵檢測(cè)防范措施：如建立簽名，建立網(wǎng)絡(luò)行為規(guī)范；入侵預(yù)防工具:如防火墻，訪問控制，流量過濾器；惡意軟件:包括如桌面，服務(wù)器，路由器不同級(jí)別的策略部署;訪問權(quán)限問題: 可以基于用戶，組，網(wǎng)絡(luò)，設(shè)備，VLAN，地址范圍，文件，數(shù)據(jù)庫(kù)，基于時(shí)間等不同的要素進(jìn)行授權(quán)，以便使用戶可以合理的使用系統(tǒng)資源。測(cè)試：系統(tǒng)地進(jìn)行測(cè)試，包括端口、地址、協(xié)議、負(fù)載、訪問、已知漏洞利用等。

方案實(shí)施的主要步驟包括：連接網(wǎng)絡(luò)并完成網(wǎng)絡(luò)設(shè)備基本配置；配置路由協(xié)議、STP和VLAN使網(wǎng)絡(luò)暢通；配置VPN使得企業(yè)的分支機(jī)構(gòu)、合作伙伴以及出差員工能夠訪問企業(yè)授權(quán)的資源；配置入侵檢測(cè)與防御設(shè)備，保護(hù)企業(yè)資源不受非法入侵；配置防病毒網(wǎng)關(guān)，阻止惡意軟件入侵到企業(yè)網(wǎng)絡(luò)內(nèi)部、配置防病毒服務(wù)器和客戶端，實(shí)現(xiàn)企業(yè)的立體防病毒體系；企業(yè)資源可以分為WEB服務(wù)器資源、各類應(yīng)用服務(wù)器資源、數(shù)據(jù)庫(kù)服務(wù)器資源，針對(duì)不同的用戶或用戶組進(jìn)行授權(quán)，使得用戶可以在合理的權(quán)限內(nèi)安全地使用這些資源。在完成以上配置后，最后對(duì)系統(tǒng)進(jìn)行全面的測(cè)試，使得網(wǎng)絡(luò)能夠?qū)崿F(xiàn)設(shè)計(jì)方案的全部功能。

2.4 網(wǎng)絡(luò)安全管理

網(wǎng)絡(luò)安全管理功能包括計(jì)算機(jī)網(wǎng)絡(luò)的運(yùn)行、處理、維護(hù)、服務(wù)提供等所需的各種活動(dòng)。它要能保障網(wǎng)絡(luò)正常地、安全地運(yùn)行。要素包括人、設(shè)備、技術(shù)和管理流程。如在企業(yè)網(wǎng)絡(luò)安全運(yùn)維中的設(shè)備安全問題，確保用戶在合理的權(quán)限內(nèi)訪問設(shè)備和系統(tǒng)；運(yùn)維工程師對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行安全審計(jì)或滲透測(cè)試，確保對(duì)網(wǎng)絡(luò)安全狀況的了解，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的潛在風(fēng)險(xiǎn)和威脅；對(duì)訪問策略進(jìn)行審查，定期對(duì)用戶的訪問策略進(jìn)行審查，防止用戶在無(wú)權(quán)或越權(quán)的情況下訪問設(shè)備或系統(tǒng)資源；對(duì)系統(tǒng)進(jìn)行監(jiān)控，監(jiān)控的對(duì)象包括負(fù)載、流量類型、峰值流量、趨勢(shì)分析、用戶訪問模式、設(shè)備行為、日志服務(wù)器等；變更管理:基礎(chǔ)設(shè)施如網(wǎng)絡(luò)設(shè)備刪除/添加、服務(wù)器添加/刪除、網(wǎng)絡(luò)添加/刪除;用戶組添加/刪除、服務(wù)添加/刪除;對(duì)業(yè)務(wù)方面的影響。

3 結(jié)論

當(dāng)前網(wǎng)絡(luò)安全面臨著病毒、蠕蟲、木馬等各種網(wǎng)絡(luò)攻擊，對(duì)企業(yè)網(wǎng)絡(luò)資源的安全造成極大的威脅和影響，企業(yè)網(wǎng)絡(luò)安全解決方案能夠有效解決以上問題，要求網(wǎng)絡(luò)安全管理的相關(guān)負(fù)責(zé)人和運(yùn)維技術(shù)人員密切關(guān)注網(wǎng)絡(luò)安全態(tài)勢(shì)，及時(shí)做出響應(yīng)，保護(hù)企業(yè)信息資源不受攻擊，并對(duì)用戶提供可靠的信息服務(wù)。