以風險隔離為核心的網(wǎng)絡安全技術架構研究

尚遵義

（大連交通大學網(wǎng)絡信息中心 遼寧省大連市 116208）

面對日益嚴峻的網(wǎng)絡安全威脅，傳統(tǒng)安全防范技術強調單一產品的功能且不能有效劃分明確的網(wǎng)絡防御層次和安全邊界[1]，忽視統(tǒng)一安全規(guī)劃，尤其是安全邊界不清晰極易產生擴散性網(wǎng)絡次生災害，使原本局部入侵轉變?yōu)閷θW(wǎng)的威脅，產生不必要的影響和數(shù)據(jù)損失。

因此，為了有效應對網(wǎng)絡安全威脅，需要深入分析和歸類信息化資產，明確網(wǎng)絡安全邊界，建立不同安全等級資產的安全防護策略和縱深技術防御體系，阻止風險在不同安全域間移動。本文提出了傳統(tǒng)網(wǎng)絡安全架構改進的基本路線，從傳統(tǒng)的分層次的防御模式向以風險隔離為重心的模式轉變，最大化降低網(wǎng)絡安全風險的威脅和影響。

1 風險安全域劃分

1.1 網(wǎng)絡邊界劃分原則和策略

網(wǎng)絡安全防御范圍包括基礎網(wǎng)、數(shù)據(jù)中心、業(yè)務系統(tǒng)、用戶端、移動端等多個保護區(qū)域。這些區(qū)域是在統(tǒng)一架構下緊密聯(lián)系的整體，相互間既有垂直的直連縱向關系,又有橫向的間接協(xié)作關系，每個區(qū)域都有各自的安全等級和安全目標，在網(wǎng)絡安全邊界劃分時，遵循以下原則：

（1）核心業(yè)務損失最小化原則。將財務、一卡通、機要政務等核心業(yè)務與其它常規(guī)業(yè)務分離，甚至單向隔離，明確其在數(shù)據(jù)中心中的訪問邊界，明確安全信任域。

（2）業(yè)務和安全等級相近原則。網(wǎng)絡安全域劃分主要以安全等級相同、業(yè)務類型或功能相似的服務器、計算機、數(shù)據(jù)庫、業(yè)務系統(tǒng)等為區(qū)分，安全域對應信任域。

（3）風險代價平衡原則。理論上安全域劃分越多越好，風險區(qū)塊細化，可以更為精細的實施控制策略，但同時會增加策略管理的復雜性，遇到調整時響應速度慢，因此需要在風險控制和管理代價間平衡，盡可能科學分類，在不增加風險的情況下減少安全域的分類數(shù)量。

1.2 風險安全域劃分實例

圖1為以高校為例劃分的風險安全域，分為服務域和用戶域，服務域進一步分為以基礎設施為主的網(wǎng)絡硬件、網(wǎng)絡公共服務和以業(yè)務系統(tǒng)為主的各大類應用，用戶域按照權限類別分為管理、教學、服務、對象、外協(xié)等五類，利用VLAN 和ACL 靈活實現(xiàn)用戶群體與相應權限服務的訪問，并且可以隨時調整策略以滿足不同時期的業(yè)務需要。

上述安全域的劃分，歸類相對科學，安全區(qū)域邊界清晰，便于實施有差異的安全區(qū)域策略，減小安全事件發(fā)生時的影響范圍和處理時間，每個區(qū)域可以分類部署不同的安全技術措施和安全設備，實施具有針對性的防護。

2 風險隔離的技術路線

安全域隔離技術可分兩類，一類是物理隔離，在本實例中財務和一卡通系統(tǒng)利用網(wǎng)闡等單向傳輸裝置實現(xiàn)與公共網(wǎng)的風險隔離，另一類是邏輯隔離，主要利用防火墻、VLAN、堡壘機、SSL 加密、VPN 隧道等技術實現(xiàn)網(wǎng)絡資源的互訪控制與隔離。本次研究重點在VLAN 技術和策略的應用，因為對于隔離目標而言，VLAN 是最接近物理隔離的邏輯隔離手段。傳統(tǒng)的VLAN基于端口和IP劃分，缺乏不同VLAN ID 組間差異邏輯定義，為適應上述風險安全域劃分的靈活策略實施，采用MUX VLAN 和Super VlAN 技術開展隔離研究，圖2、圖3描述了兩種VLAN 的結構。

2.1 MUX VLAN

MUX VLAN 由 主VLAN（Principal VLAN）和 從VLAN（Subordinate VLAN）組成，其中從VLAN 進一步分兩類，即隔離型從VLAN（Separate VLAN）和互通型從VLAN（Group VLAN）。主VLAN 支持創(chuàng)建VLANIF 接口，接口IP 地址可以用作網(wǎng)關。主VLAN 接口可以和MUX VLAN 所有接口通信。隔離型從VLAN 接口只支持與主VLAN 接口通信?；ネㄐ蛷腣LAN 接口支持與主VLAN 接口通信，同組VLAN 用戶間亦可通信，不支持組間或與其它隔離型從VLAN 間通信。

2.2 Super VLAN

Super VLAN由多個Sub VLAN聚合而成，Super VLAN 作為邏輯聚合VLAN 可以創(chuàng)建VLANIF 但不包含物理端口，支持配置Super VLAN 接口IP 地址；SubVLAN 承載物理接入功能，Sub VLAN 間二層通信隔離，Sub VLAN 與外部的三層通信需借助Super VLAN 接口IP 地址作為網(wǎng)關才能實現(xiàn)[2]。同時，不同Sub VLAN內主機如需通信可通過在VLANIF接口開啟Proxy ARP實現(xiàn)。

2.3 VLAN特性融合利用

在校園網(wǎng)辦公區(qū)域，利用MUX VLAN 開展安全區(qū)域劃分，借助主VLAN 接口與公共服務器通信、隔離型從VLAN 接口與外協(xié)用戶通信、互通型從VLAN 接口與教職工用戶通信，教職工用戶可劃分為多個互通型從VLAN，不同組間利用ACL 實現(xiàn)可控的互訪或完全隔離，教職員工和外協(xié)用戶可以與公共服務器通信，同組教職工內部互通、外協(xié)用戶間隔離、教職工和外協(xié)用戶間隔離，同時，外協(xié)用戶實現(xiàn)了類似QINQ 的每端口隔離，避免了橫向訪問帶來的安全風險。

在學生宿舍網(wǎng)區(qū)域，利用Super VLAN 將校園網(wǎng)最大的用戶群體學生以學院或位置為界限分割成多個Sub VLAN，實現(xiàn)二層隔離，分割廣播域，限制廣播風暴，降低安全事件發(fā)生時橫向傳播的范圍，由于所有的Sub VLAN 共享Super VlAN 的網(wǎng)關IP，可以極大程度上節(jié)省有限的IPV4 地址資源。

3 風險隔離技術架構設計

在用戶級風險隔離基礎上，將服務和行為隔離綜合納入統(tǒng)一框架，以完成整體風險隔離架構的設計，如圖4所示。

3.1 用戶隔離

即利用上述VLAN 技術將已劃分的安全域進行邏輯隔離，同時利用終端準入、防火墻、VPN 實現(xiàn)不同層面用戶的專屬資源訪問。

3.2 服務隔離

面向全校WEB 業(yè)務系統(tǒng)和DNS/WWW/FTP/IPTV/MAIL 等公共服務，通過HTTPS 建立加密隧道隔離中間人竊取或篡改、WAF隔離80 端口的應用層攻擊、虛擬機FW 隔離虛擬機之間的非授權訪問、SDN 隔離數(shù)據(jù)中心和虛擬化流量、網(wǎng)闡單向傳輸機制物理隔離外網(wǎng)攻擊、主機受到未知攻擊產生損失時可遠程一鍵斷網(wǎng)，上述服務隔離措施確保各項信息化服務安全風險可控。

3.3 行為隔離

部署堡壘機、上網(wǎng)行為管理、網(wǎng)站防篡改、主機加固等技術措施，一方面將網(wǎng)站和信息系統(tǒng)、路由交換等設備的后臺維護界面與前臺顯示界面隔離，隔離所有未經(jīng)授權的更新行為，記錄所有管理員操作過程，可事后追溯[3]，另一方面對用戶的上網(wǎng)行為進行管控諸如P2P 限流、下載限速、關鍵字過濾、游戲等應用時間控制等，從局端和用戶端兩方面保障運維和上網(wǎng)行為合規(guī)，降低人為操作和侵占資源風險。

4 結語

本文從風險隔離的角度對改進傳統(tǒng)網(wǎng)絡安全技術防御架構進行了研究，提出了安全邊界的劃分、風險隔離的技術路線，并在實踐中做了有益的嘗試。目前，網(wǎng)絡安全架構的前沿在零信任網(wǎng)絡（ZTNA），盡管目前落地案例很少，但“不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入系統(tǒng)的人/事/物進行驗證”的思路無疑是具有前瞻性的，后續(xù)將繼續(xù)開展在零信任網(wǎng)絡領域的研究，不斷提升網(wǎng)絡安全技術防御水平。