企業(yè)廣域網(wǎng)建設(shè)中安全防護(hù)設(shè)計(jì)探究

四川九洲空管科技有限責(zé)任公司 張澤亞

在信息化技術(shù)高速發(fā)展的今天，企業(yè)的日常管理、研發(fā)生產(chǎn)、市場(chǎng)營(yíng)收、信息傳遞等應(yīng)用伴隨著信息化建設(shè)日益深入。隨著業(yè)務(wù)發(fā)展的需要，越來越多的企業(yè)在不同地域設(shè)立新的分支機(jī)構(gòu)，“信息孤島”的弊端越來越明顯：不同的局域網(wǎng)之間相互隔離，分支機(jī)構(gòu)無法使用本部已建設(shè)的辦公、科研、財(cái)務(wù)、公文等各類企業(yè)信息化系統(tǒng)，單獨(dú)建設(shè)又面臨著費(fèi)用高、重復(fù)投資的問題；數(shù)據(jù)只能靠手工搬運(yùn)，各類流程效率低下；無法實(shí)現(xiàn)異地在線協(xié)同辦公和研發(fā)；各類數(shù)據(jù)統(tǒng)計(jì)困難，難以實(shí)現(xiàn)一體化數(shù)據(jù)實(shí)時(shí)采集與分析展現(xiàn)支持企業(yè)的決策分析。因此，建立安全、高效的廣域網(wǎng)以滿足業(yè)務(wù)的不斷發(fā)展，成為了眾多企業(yè)的迫切愿望。其中，應(yīng)對(duì)異地互聯(lián)帶來的威脅和風(fēng)險(xiǎn)是廣域網(wǎng)建設(shè)中的重要環(huán)節(jié)，須按照“同規(guī)劃、同設(shè)計(jì)、同建設(shè)、同驗(yàn)收”的原則同步進(jìn)行安全防護(hù)建設(shè)。

本文對(duì)企業(yè)廣域網(wǎng)的安全防護(hù)設(shè)計(jì)作了初步研究，主要從技術(shù)手段和管理手段兩方面加強(qiáng)廣域網(wǎng)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全。

1 網(wǎng)絡(luò)與信息安全設(shè)計(jì)

1.1 遠(yuǎn)程聯(lián)接設(shè)計(jì)

隨著近年來通訊技術(shù)的發(fā)展，網(wǎng)絡(luò)運(yùn)營(yíng)商異地專線的租賃費(fèi)用大幅下降，可靠性、速率等指標(biāo)快速增長(zhǎng)。選擇租賃網(wǎng)絡(luò)專線來實(shí)現(xiàn)企業(yè)安全、快速、可靠的異地局域網(wǎng)的互聯(lián)互通成為廣域網(wǎng)建設(shè)的首選，且該專線須要能夠支持?jǐn)?shù)據(jù)、語音、圖像等高質(zhì)量、高可靠性的多媒體業(yè)務(wù)。

PTN骨干網(wǎng)環(huán)網(wǎng)技術(shù)是基于PTN（分組傳送網(wǎng)，Packet Transport Network）技術(shù)網(wǎng)絡(luò)構(gòu)建的一種骨干網(wǎng)成環(huán)保護(hù)網(wǎng)絡(luò)技術(shù)。

PTN（分組傳送網(wǎng)，Packet Transport Network）是指這樣一種光傳送網(wǎng)絡(luò)架構(gòu)和具體技術(shù)：在IP業(yè)務(wù)和底層光傳輸媒質(zhì)之間設(shè)置了一個(gè)層面，它針對(duì)分組業(yè)務(wù)流量的突發(fā)性和統(tǒng)計(jì)復(fù)用傳送的要求而設(shè)計(jì)，以分組業(yè)務(wù)為核心并支持多業(yè)務(wù)提供，具有更低的總體使用成本（TCO），同時(shí)秉承光傳輸?shù)膫鹘y(tǒng)優(yōu)勢(shì)，包括高可用性和可靠性、高效的帶寬管理機(jī)制和流量工程、便捷的OAM和網(wǎng)管、可擴(kuò)展、較高的安全性等。

PTN支持多種基于分組交換業(yè)務(wù)的雙向點(diǎn)對(duì)點(diǎn)連接通道，具有適合各種粗細(xì)顆粒業(yè)務(wù)、端到端的組網(wǎng)能力，提供了更加適合于IP業(yè)務(wù)特性的“柔性”傳輸管道；具備豐富的保護(hù)方式，遇到網(wǎng)絡(luò)故障時(shí)能夠?qū)崿F(xiàn)基于50ms的電信級(jí)業(yè)務(wù)保護(hù)倒換，實(shí)現(xiàn)傳輸級(jí)別的業(yè)務(wù)保護(hù)和恢復(fù)。

廣泛應(yīng)用于政企專線、銀行、證券等需要作高速業(yè)務(wù)傳送的行業(yè)，適用于任何局域網(wǎng)之間的高速互聯(lián)、以及會(huì)議電視等圖像業(yè)務(wù)的傳輸，為客戶提供高速透明的數(shù)據(jù)傳輸通路。

1.2 邊界安全和訪問控制設(shè)計(jì)

不同安全級(jí)別的網(wǎng)絡(luò)進(jìn)行互聯(lián)的時(shí)候，一定會(huì)產(chǎn)生網(wǎng)絡(luò)邊界，只有有效解決網(wǎng)絡(luò)邊界的各類問題，加強(qiáng)網(wǎng)絡(luò)邊界的安全設(shè)計(jì)，才能為企業(yè)廣域網(wǎng)提供有力的邊界屏障。在互聯(lián)的不同局域網(wǎng)各自連接專線邊界入口處上分別部署邊界防火墻，并設(shè)置細(xì)粒度的訪問控制策略，對(duì)系統(tǒng)邊界進(jìn)行有效管控，保障出入不同局域網(wǎng)數(shù)據(jù)流量的安全性。

在管理和策略設(shè)置上，由企業(yè)本部和分支機(jī)構(gòu)對(duì)本地的邊界防火墻進(jìn)行管理維護(hù)，原則上禁止本部用戶訪問分支機(jī)構(gòu)內(nèi)部資源，按照最小化原則授權(quán)分支機(jī)構(gòu)用戶訪問本部?jī)?nèi)網(wǎng)中相應(yīng)應(yīng)用系統(tǒng)和軟件資源，其余訪問行為及數(shù)據(jù)流量一律禁止。

對(duì)于存在不同敏感級(jí)別信息的網(wǎng)絡(luò)進(jìn)行互聯(lián)時(shí)，還需考慮信息的安全隔離和交換。在高敏感網(wǎng)絡(luò)邊界處部署安全隔離與信息交換系統(tǒng)（網(wǎng)閘），通過安全隔離與信息交換技術(shù)應(yīng)用于高敏感網(wǎng)絡(luò)和低敏感網(wǎng)絡(luò)之間，攔截TCP/IP數(shù)據(jù)流，過濾丟棄TCP/IP協(xié)議格式，還原上層應(yīng)用數(shù)據(jù)，并經(jīng)過安全處理后，以數(shù)據(jù)擺渡的方式實(shí)現(xiàn)不同敏感級(jí)別網(wǎng)絡(luò)之間的應(yīng)用數(shù)據(jù)安全交換。數(shù)據(jù)擺渡的方式類似實(shí)際生活中的渡船載客，能保證內(nèi)外網(wǎng)絡(luò)在任何時(shí)候沒有聯(lián)通的電氣連接情況下，實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的往返傳輸。

1.3 網(wǎng)絡(luò)接入設(shè)計(jì)

企業(yè)分支機(jī)構(gòu)的辦公環(huán)境往往較為復(fù)雜，存在外部人員、外部設(shè)備等不可控因素，因此需加強(qiáng)網(wǎng)絡(luò)和計(jì)算機(jī)設(shè)備的物理安全管控和接入控制。

將網(wǎng)絡(luò)設(shè)備鎖入樓層機(jī)柜中，系統(tǒng)中暫不使用的網(wǎng)絡(luò)接口均不進(jìn)行接線，保持物理斷開。通過802.1x協(xié)議對(duì)交換機(jī)端口進(jìn)行控制，并綁定用戶IP、MAC地址等信息，對(duì)系統(tǒng)內(nèi)終端用戶接入非涉密局域網(wǎng)的端口進(jìn)行安全控制。在用戶接入網(wǎng)絡(luò)前，強(qiáng)制檢查終端用戶的IP、MAC等信息，強(qiáng)制實(shí)施用戶接入控制策略，拒絕非法用戶（IP、MAC）接入網(wǎng)絡(luò)，在保證終端用戶安全接入的前提下，合理控制用戶的網(wǎng)絡(luò)行為，提升整網(wǎng)的安全防御能力。

1.4 終端安全防護(hù)設(shè)計(jì)

廣域網(wǎng)中分支機(jī)構(gòu)網(wǎng)絡(luò)往往安全級(jí)別較低、安全管理松散，終端端口不受控，易引入病毒、木馬、蠕蟲等威脅，需在進(jìn)行廣域網(wǎng)建設(shè)時(shí)同步設(shè)計(jì)終端安全防護(hù)。

用戶終端部署網(wǎng)絡(luò)版防病毒軟件，統(tǒng)一按本部的防護(hù)策略進(jìn)行病毒與惡意代碼防護(hù)。通過終端端口控制系統(tǒng)或帶有該項(xiàng)功能的防病毒系統(tǒng)，對(duì)終端用戶的USB類設(shè)備、光驅(qū)等輸入輸出接口進(jìn)行監(jiān)控和控制，防止違規(guī)導(dǎo)入未經(jīng)敏感信息檢查和病毒查殺的數(shù)據(jù)、導(dǎo)出未經(jīng)審批確認(rèn)的內(nèi)部數(shù)據(jù)。用戶終端和應(yīng)用系統(tǒng)通過用戶名+用戶口令的方式進(jìn)行身份鑒別和認(rèn)證，對(duì)于辦公環(huán)境復(fù)雜的分支機(jī)構(gòu)網(wǎng)絡(luò)還可通過配置USBKEY、寫入身份證書的方式加強(qiáng)身份鑒別力度。

1.5 數(shù)據(jù)管理防護(hù)設(shè)計(jì)

（1）數(shù)據(jù)監(jiān)控

高敏感度的本部網(wǎng)絡(luò)，可以部署數(shù)據(jù)防泄漏系統(tǒng)，通過對(duì)動(dòng)態(tài)網(wǎng)絡(luò)數(shù)據(jù)、靜態(tài)存儲(chǔ)數(shù)據(jù)、終端數(shù)據(jù)進(jìn)行分析和識(shí)別，對(duì)各種違規(guī)行為執(zhí)行監(jiān)控、阻斷等措施，實(shí)現(xiàn)對(duì)公司核心機(jī)密數(shù)據(jù)的保護(hù)和管理。

憑借數(shù)據(jù)防泄漏系統(tǒng)，運(yùn)維人員能夠看到異地互聯(lián)后的廣域網(wǎng)內(nèi)哪些數(shù)據(jù)庫(kù)、服務(wù)器和臺(tái)式機(jī)存在敏感數(shù)據(jù)，能夠定位到個(gè)人通過網(wǎng)絡(luò)違規(guī)發(fā)送敏感信息，或復(fù)制數(shù)據(jù)到存儲(chǔ)介質(zhì)中；運(yùn)維人員還可以通過攔截包含敏感數(shù)據(jù)的網(wǎng)絡(luò)傳輸執(zhí)行策略，并且自動(dòng)化執(zhí)行信息確認(rèn)、放行或報(bào)警。

（2）數(shù)據(jù)輸入輸出

在分支機(jī)構(gòu)網(wǎng)絡(luò)終端部署網(wǎng)絡(luò)版打印復(fù)印和光盤刻錄安全監(jiān)控與審計(jì)系統(tǒng)，并安裝網(wǎng)絡(luò)打印機(jī)和刻錄機(jī)，對(duì)網(wǎng)絡(luò)內(nèi)所有信息的打印、刻錄輸出進(jìn)行全過程管控，實(shí)現(xiàn)網(wǎng)絡(luò)化的審批流程和刷卡輸出，并實(shí)現(xiàn)信息輸出審計(jì)。授權(quán)專人對(duì)輸出內(nèi)容進(jìn)行審核審批，控制數(shù)據(jù)出口。

在導(dǎo)入點(diǎn)部署掃描機(jī)和導(dǎo)入機(jī)，采用導(dǎo)入前單機(jī)隔離檢查模式，通過數(shù)據(jù)檢查工具和殺毒軟件檢查，保障導(dǎo)入廣域網(wǎng)的數(shù)據(jù)安全可控。

（3）數(shù)據(jù)內(nèi)部流轉(zhuǎn)

通過OA或文件傳輸系統(tǒng)，實(shí)現(xiàn)廣域網(wǎng)內(nèi)數(shù)據(jù)的內(nèi)部流轉(zhuǎn)。由發(fā)起人提出申請(qǐng)，經(jīng)授權(quán)人員審批同意后方可網(wǎng)絡(luò)傳輸，運(yùn)維人員可通過定期審計(jì)的方式對(duì)文件受控情況進(jìn)行檢查。

2 網(wǎng)絡(luò)與信息安全管理設(shè)計(jì)

2.1 安全策略和制度文件

廣域網(wǎng)存在諸多因素的潛在威脅，在網(wǎng)絡(luò)建設(shè)初期，就要提前進(jìn)行現(xiàn)狀分析和預(yù)測(cè)分析，對(duì)網(wǎng)絡(luò)安全威脅和可能產(chǎn)生的后果進(jìn)行預(yù)測(cè)，從而制定出應(yīng)對(duì)安全漏洞和威脅的安全策略、操作規(guī)程和制度文件，對(duì)原有的管理體系進(jìn)行擴(kuò)展補(bǔ)充。

2.2 安全計(jì)劃

對(duì)各類風(fēng)險(xiǎn)進(jìn)行分析，制定應(yīng)急響應(yīng)預(yù)案并提前進(jìn)行演練。

2.3 定期審計(jì)

運(yùn)維管理人員須對(duì)網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、安全產(chǎn)品和用戶終端定期進(jìn)行檢查、審計(jì)和評(píng)估，發(fā)現(xiàn)問題隱患并及時(shí)整改。

結(jié)語：綜上所述，企業(yè)廣域網(wǎng)的安全運(yùn)行面臨的威脅日益復(fù)雜，須同步進(jìn)行安全防護(hù)技術(shù)和管理建設(shè)。廣域網(wǎng)的安全防御是一個(gè)動(dòng)態(tài)提升的過程，需要定期審計(jì)和評(píng)估，分析系統(tǒng)脆弱性和新的風(fēng)險(xiǎn)，調(diào)整安全策略，及時(shí)引入新的安全防護(hù)技術(shù)。