基于安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì)研究

張建權(quán) 李杰

【摘要】? ? 當(dāng)前互聯(lián)網(wǎng)逐步實(shí)現(xiàn)了在各行各業(yè)中的滲透與融合，網(wǎng)絡(luò)信息資源得到了有效的開(kāi)發(fā)和利用，但是與此同時(shí)經(jīng)由互聯(lián)網(wǎng)泄露的信息比例也大幅上升，其中不乏涉及到一些有關(guān)的國(guó)家安全信息和個(gè)人安全信息。本文就主要從安全域的劃分與保護(hù)角度入手，探討應(yīng)用層網(wǎng)絡(luò)安全體系設(shè)計(jì)與保密方案，旨在為網(wǎng)絡(luò)安全防護(hù)體系的建設(shè)和發(fā)展提供一定的參考和借鑒。

【關(guān)鍵詞】? ? 安全域? ? 網(wǎng)絡(luò)安全體系? ? 設(shè)計(jì)研究

網(wǎng)絡(luò)安全體系主要有外部安全體系和內(nèi)部安全體系兩部分組成，當(dāng)前在進(jìn)行網(wǎng)絡(luò)安全體系架構(gòu)的過(guò)程中，更加強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)外部安全體系的建設(shè)，通過(guò)安裝防火墻、防病毒網(wǎng)關(guān)等的方法來(lái)增強(qiáng)網(wǎng)絡(luò)邊界的安全防護(hù)，這在一定程度上降低了來(lái)自網(wǎng)絡(luò)外部的攻擊風(fēng)險(xiǎn)。[1]但是伴隨著網(wǎng)絡(luò)攻擊技術(shù)的升級(jí)，暴露出許多網(wǎng)絡(luò)內(nèi)部安全體系方面存在的不足，針對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的內(nèi)部攻擊沒(méi)有有效的技術(shù)防范和治理，這就進(jìn)一步增加了從內(nèi)部導(dǎo)致的核心機(jī)密丟失及信息泄露的可能性。為更好的解決這一問(wèn)題，就必須要基于安全域的劃分與保護(hù)，進(jìn)一步健全和完善網(wǎng)絡(luò)安全體系。

一、基于安全域的網(wǎng)絡(luò)信息安全體系設(shè)計(jì)思路

1.1整體思路——“三線一中心”

基于安全域的網(wǎng)絡(luò)信息安全體系設(shè)計(jì)，要遵循“三線一中心”的整體設(shè)計(jì)思路?！叭€”主要就是指網(wǎng)絡(luò)邊界防線、計(jì)算機(jī)系統(tǒng)安全防線、應(yīng)用系統(tǒng)安全防線這三道防線，而“一個(gè)中心”則主要指網(wǎng)絡(luò)安全管理中心。[2]在我們的通信網(wǎng)絡(luò)之中，網(wǎng)絡(luò)邊界防線和計(jì)算機(jī)系統(tǒng)安全防線這兩道防線能夠針對(duì)絕大多數(shù)的外部攻擊進(jìn)行阻攔和遏制，從而有效的提升網(wǎng)絡(luò)安全防護(hù)能力和水平。

1.2網(wǎng)絡(luò)信息安全保密組織體系

有關(guān)網(wǎng)絡(luò)信息安全保密涉及到主體和客體兩個(gè)方面，保密的主體就是指涉密人員，也包括能夠代表涉密人員身份所執(zhí)行加密操作的機(jī)構(gòu)或者是其他實(shí)體，而保密的客體就是指各種加密的文檔、信息數(shù)據(jù)以及計(jì)算機(jī)等移動(dòng)載體設(shè)備。由于基于安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì)主要就是針對(duì)應(yīng)用層的安全防護(hù)，因此就必須要從主體和客體兩個(gè)方面入手，既要保證操作主體的安全和可靠，同時(shí)又要對(duì)客體進(jìn)行科學(xué)定密，利用不同的安全域進(jìn)行業(yè)務(wù)類別以及涉密等級(jí)的劃分，并且進(jìn)行強(qiáng)制性的訪問(wèn)控制和安全審計(jì)，從而構(gòu)建基于安全域技術(shù)的網(wǎng)絡(luò)信息保密與安全控制系統(tǒng)。[3]在此基礎(chǔ)上，增強(qiáng)主體對(duì)客體訪問(wèn)時(shí)的安全防護(hù)水平，從而真正地發(fā)揮“三線一中心”網(wǎng)絡(luò)安全體系的作用，有效的阻隔來(lái)自內(nèi)部和外部的攻擊。

二、基于安全域的網(wǎng)絡(luò)安全體系建設(shè)方案及技術(shù)措施

2.1強(qiáng)化應(yīng)用級(jí)安全域防護(hù)與控制設(shè)計(jì)

首先是應(yīng)用級(jí)安全域的設(shè)計(jì)我按照不同的業(yè)務(wù)范疇和管理主體來(lái)進(jìn)行劃分，確保各安全域的獨(dú)立性，使彼此之間在沒(méi)有獲得授權(quán)的情況下，無(wú)法進(jìn)行信息和數(shù)據(jù)的交換[4]。其次則是取消即時(shí)通信系統(tǒng)，也就是點(diǎn)到點(diǎn)的傳輸應(yīng)用，這樣能夠?yàn)閷?shí)現(xiàn)針對(duì)安全域的訪問(wèn)控制和安全審計(jì)提供可能。同時(shí)為了保證內(nèi)部通信的高效和便捷，可以將即時(shí)通信并入到辦公自動(dòng)化系統(tǒng)之中，同時(shí)配合用戶行為審計(jì)系統(tǒng)，來(lái)對(duì)相關(guān)的操作主體進(jìn)行信用評(píng)級(jí)，實(shí)現(xiàn)對(duì)通信消息的記錄和審核，從而增強(qiáng)應(yīng)用級(jí)安全域的網(wǎng)絡(luò)安全防護(hù)效果。再次就是針對(duì)每一個(gè)應(yīng)用級(jí)的安全域內(nèi)的涉密客體，也就是一些加密的信息以及文件等，設(shè)置安全標(biāo)記，這樣能夠?qū)Ω鞣N訪問(wèn)和流經(jīng)的信息加以強(qiáng)制控制，按照相應(yīng)的定密規(guī)則對(duì)信息進(jìn)行過(guò)濾和審計(jì)，排除有可能潛在的安全隱患和危險(xiǎn)。[5]最后，針對(duì)應(yīng)用級(jí)安全域的網(wǎng)絡(luò)安全設(shè)計(jì)，其保護(hù)的核心就是數(shù)據(jù)庫(kù)系統(tǒng)，為提升安全防護(hù)等級(jí)，可以將劃分的不同安全域的業(yè)務(wù)數(shù)據(jù)進(jìn)行分類存放，建立子數(shù)據(jù)庫(kù)，并且子數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交換必須要使用專門的鏈接工具，同時(shí)為進(jìn)一步保證跨安全域數(shù)據(jù)傳輸?shù)陌踩院捅Ｃ苄?，同樣可以設(shè)置專門的加密機(jī)確保安全域之間的獨(dú)立性。

2.2做好安全域間涉密電子文檔交換的保密工作

首先對(duì)涉密電子文檔按照其業(yè)務(wù)種類和密級(jí)進(jìn)行邏輯分類，劃分為不同的邏輯安全域，為控制這些電子文檔在不同安全域間的交換和流動(dòng)，要在不同安全域的邊界設(shè)置安全域網(wǎng)關(guān)，由安全域網(wǎng)關(guān)來(lái)負(fù)責(zé)對(duì)流經(jīng)的電子文檔以及郵件等進(jìn)行篩查和過(guò)濾，主要檢測(cè)的內(nèi)容包括電子文檔的密級(jí)、流向等是否與操作主體的權(quán)限相匹配，是否符合分級(jí)保護(hù)的原則，如果通過(guò)檢查則獲取查看權(quán)限，沒(méi)有通過(guò)則顯示相關(guān)文檔傳輸失敗。其次，為了更好的讓安全域網(wǎng)關(guān)來(lái)進(jìn)行安全識(shí)別和檢查，要求在整個(gè)的電子文檔安全域控制系統(tǒng)內(nèi)統(tǒng)一密級(jí)標(biāo)識(shí)以及安全標(biāo)記，并且配合電子文檔生成相關(guān)的配置文件，其中記錄有關(guān)的涉密信息、審批人信息、簽名文件等，方便進(jìn)行統(tǒng)一的篩查。最后，在劃分電子文檔安全域并配置安全域網(wǎng)關(guān)的同時(shí)，還要設(shè)置好強(qiáng)制訪問(wèn)[6]控制的規(guī)則，要求每個(gè)安全域的過(guò)濾端口必須開(kāi)放，并且要在不同的安全域中設(shè)定本級(jí)安全域定密審批人的相關(guān)信息，包括私鑰簽名以及公鑰證書(shū)等等，這樣能夠極大的提升涉密電子文檔安全域控制系統(tǒng)的工作效率。

2.3創(chuàng)建基于安全域間網(wǎng)絡(luò)應(yīng)用的安全體系

基于應(yīng)用級(jí)安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì)，除了針對(duì)涉密電子文檔的訪問(wèn)控制之外，還應(yīng)當(dāng)應(yīng)對(duì)更加復(fù)雜的應(yīng)用系統(tǒng)。上文中所提到的涉密電子文檔安全域控制系統(tǒng)更多的適用于電子郵件系統(tǒng)，但是對(duì)于更為復(fù)雜的辦公自動(dòng)化系統(tǒng)、信息化財(cái)務(wù)管理系統(tǒng)等卻不能很好的適用。[7]為解決這一問(wèn)題，滿足高性能和復(fù)雜的網(wǎng)絡(luò)應(yīng)用體系之間信息高效傳輸和資源共享的要求，可以采用先進(jìn)的SSL VPN技術(shù)，對(duì)網(wǎng)絡(luò)應(yīng)用中的瀏覽器以及服務(wù)器進(jìn)行安全防護(hù)和保密設(shè)置，這樣既增強(qiáng)了對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)交換的訪問(wèn)控制和安全審計(jì)，同時(shí)又能夠方便用戶進(jìn)行相關(guān)信息數(shù)據(jù)的快速傳輸和有關(guān)網(wǎng)絡(luò)資源的共享。

這一設(shè)計(jì)方案的具體思路和技術(shù)措施如下：首先就是要在原有的涉密電子文檔安全域控制系統(tǒng)的基礎(chǔ)上再添加一個(gè)專門的服務(wù)器安全域，將辦公過(guò)程中各種基于網(wǎng)絡(luò)的應(yīng)用服務(wù)器都?xì)w納到這個(gè)服務(wù)器安全域之中，在服務(wù)器安全域的邊界設(shè)置SSL VPN網(wǎng)關(guān)，通過(guò)提供相應(yīng)的認(rèn)證服務(wù)，對(duì)用戶也就是操作主體進(jìn)行統(tǒng)一的身份認(rèn)證和授權(quán)，同時(shí)按照強(qiáng)制訪問(wèn)控制的規(guī)則通過(guò)網(wǎng)絡(luò)瀏覽器與網(wǎng)關(guān)建立SSL會(huì)話，這樣用戶可以使用的資源就會(huì)在網(wǎng)絡(luò)服務(wù)器的頁(yè)面上羅列出來(lái)，這樣可以對(duì)從服務(wù)器返回給客戶端的數(shù)據(jù)進(jìn)行一個(gè)過(guò)濾和安全審計(jì)。為了進(jìn)一步增強(qiáng)服務(wù)器安全域的防護(hù)性能，還可以在SSL VPN的網(wǎng)關(guān)外端設(shè)置防火墻，從而實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)安全域的防護(hù)。[8]其次，用戶在使用相關(guān)應(yīng)用系統(tǒng)的過(guò)程中，就要首先獲得服務(wù)器安全域認(rèn)證以及身份檢驗(yàn)，服務(wù)器安全域通過(guò)審核之后才能夠建立相應(yīng)的安全通信通道，從而由服務(wù)器安全域轉(zhuǎn)發(fā)用戶的各項(xiàng)請(qǐng)求或者是指令到各應(yīng)用級(jí)安全域中進(jìn)行操作執(zhí)行。這種設(shè)計(jì)方法可以簡(jiǎn)單的理解為為整個(gè)應(yīng)用級(jí)安全域網(wǎng)絡(luò)安全體系安裝了一個(gè)大腦，從而更好的對(duì)其進(jìn)行訪問(wèn)控制和安全審計(jì)。最后，服務(wù)器安全域的網(wǎng)關(guān)在進(jìn)行信息過(guò)濾和審計(jì)的過(guò)程中，要完全的按照強(qiáng)制訪問(wèn)控制規(guī)則對(duì)接收端所屬安全域的密級(jí)進(jìn)行匹配，匹配成功則轉(zhuǎn)發(fā)出相應(yīng)的請(qǐng)求和指令，實(shí)現(xiàn)快速應(yīng)答，否則則拒絕轉(zhuǎn)發(fā)請(qǐng)求?？绨踩蛭募鬏?shù)目刂埔?guī)則如表1所示。

2.4提升基于安全域的入網(wǎng)安全控制水平

伴隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的升級(jí)，相關(guān)應(yīng)用系統(tǒng)的用戶在接入安全域的過(guò)程中往往不受到時(shí)間和空間的限制，用戶可以從不同的地點(diǎn)，用不同的網(wǎng)絡(luò)終端設(shè)備接入到所屬應(yīng)用系統(tǒng)的安全域之中。在這樣的背景下，傳統(tǒng)的靜態(tài)安全域接入技術(shù)已經(jīng)不能適應(yīng)網(wǎng)絡(luò)安全防護(hù)的要求，要采取動(dòng)態(tài)安全域技術(shù)來(lái)實(shí)現(xiàn)對(duì)入網(wǎng)身份的認(rèn)證和訪問(wèn)控制。動(dòng)態(tài)安全域技術(shù)主要就是利用交換機(jī)來(lái)根據(jù)某個(gè)條件將用戶自動(dòng)的劃分劃分到某個(gè)安全域之中，劃分的條件一般就是對(duì)用戶進(jìn)行身份認(rèn)證，根據(jù)身份認(rèn)證信息來(lái)自動(dòng)的進(jìn)行安全域的劃分。動(dòng)態(tài)安全域技術(shù)應(yīng)用的缺點(diǎn)就是需要配置核心交換機(jī)和眾多的邊緣交換機(jī)，但優(yōu)點(diǎn)就是能夠?qū)崿F(xiàn)動(dòng)態(tài)的訪問(wèn)控制和安全審計(jì)。采取動(dòng)態(tài)安全域技術(shù)實(shí)現(xiàn)入網(wǎng)安全控制，并不需要對(duì)網(wǎng)絡(luò)應(yīng)用系統(tǒng)的布局進(jìn)行大的調(diào)整，只需要核心交換機(jī)以及邊緣交換機(jī)能夠支持基于端口的訪問(wèn)控制協(xié)議，同時(shí)提供身份認(rèn)證客戶端和服務(wù)器即可，如果用戶沒(méi)有通過(guò)身份認(rèn)證，則相應(yīng)的受控端口就會(huì)顯示處于未認(rèn)證的狀態(tài)，那么用戶就無(wú)法訪問(wèn)安全域內(nèi)的應(yīng)用系統(tǒng)，在一定程度上保證了接入級(jí)的網(wǎng)絡(luò)安全。要更好的實(shí)現(xiàn)基于端口訪問(wèn)控制協(xié)議的認(rèn)證，一般要求用戶要在工作電腦或者是移動(dòng)筆記本上來(lái)下載端口訪問(wèn)控制協(xié)議客戶端軟件，當(dāng)用戶有接入需求時(shí)，不需要通過(guò)網(wǎng)絡(luò)連接來(lái)激活客戶端程序，輸入相應(yīng)的身份認(rèn)證信息，并發(fā)出接入請(qǐng)求。

相關(guān)的認(rèn)證設(shè)備在接收到用戶的請(qǐng)求之后，要將相關(guān)的用戶信息傳輸給認(rèn)證服務(wù)器，認(rèn)證服務(wù)器用來(lái)對(duì)信息進(jìn)行檢驗(yàn)和審計(jì)，認(rèn)證通過(guò)之后要向認(rèn)證設(shè)備發(fā)出指令，認(rèn)證設(shè)備接收到指令之后會(huì)打開(kāi)相應(yīng)的服務(wù)端口，從而進(jìn)一步強(qiáng)化對(duì)用戶的訪問(wèn)控制。

三、結(jié)語(yǔ)

基于安全域的網(wǎng)絡(luò)安全體系設(shè)計(jì)，要實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)安全域、應(yīng)用系統(tǒng)安全域以及接入級(jí)安全域的全方位設(shè)計(jì)，健全和完善網(wǎng)絡(luò)安全防護(hù)體系，增強(qiáng)安全域訪問(wèn)控制水平，保障信息安全。

參? 考? 文? 獻(xiàn)

[1]胡國(guó)良，肖剛，張超.新形勢(shì)網(wǎng)絡(luò)安全管理存在的問(wèn)題及應(yīng)對(duì)建議淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2020（08）：7-8.

[2]尚可龍，古強(qiáng).零信任安全體系設(shè)計(jì)與研究[J].保密科學(xué)技術(shù)，2020（05）：54-59.

[3]夏晨.探究聯(lián)動(dòng)式網(wǎng)絡(luò)安全系統(tǒng)的防御體系設(shè)計(jì)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（02）：13-15.

[4]賈美玉.企業(yè)信息網(wǎng)絡(luò)安全體系的設(shè)計(jì)與實(shí)現(xiàn)[J].電子技術(shù)與軟件工程，2020（01）：255-258.

[5]樊金健，謝一飛.基于安全域劃分的網(wǎng)絡(luò)安全體系設(shè)計(jì)——保障煙草工業(yè)企業(yè)安全生產(chǎn)[J].工業(yè)技術(shù)創(chuàng)新，2019，06（02）：59-65.

[6]靳起朝，任超.基于零信任架構(gòu)的邊緣計(jì)算接入安全體系研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2018（12）：26-27.

[7]王艷偉，鄔江，羅赟騫，史春見(jiàn).一種基于開(kāi)放聚合框架的網(wǎng)絡(luò)流量安全監(jiān)測(cè)體系設(shè)計(jì)[J].信息技術(shù)與網(wǎng)絡(luò)安全，2018，37（09）：22-26.

[8]黃道麗.網(wǎng)絡(luò)安全漏洞披露規(guī)則及其體系設(shè)計(jì)[J].暨南學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2018，40（01）：94-106.