流量分類的系統(tǒng)等級(jí)保護(hù)建設(shè)方案

中國(guó)民用航空溫州空中交通管理站 林海敏

在“十四五”規(guī)劃中頻繁提到“網(wǎng)絡(luò)安全”，涉及到多個(gè)領(lǐng)域。網(wǎng)絡(luò)安全已確定成為未來國(guó)家發(fā)展建設(shè)工作的重點(diǎn)之一。這樣的指導(dǎo)方針也對(duì)運(yùn)維人員提出了新的要求：掌握必要的等級(jí)保護(hù)建設(shè)知識(shí)，熟悉一定架構(gòu)的等級(jí)保護(hù)建設(shè)模式；進(jìn)一步地，能提出優(yōu)化等級(jí)保護(hù)建設(shè)的具體方案，以應(yīng)對(duì)不同場(chǎng)景下的網(wǎng)絡(luò)安全能力建設(shè)需要。

1 等級(jí)保護(hù)建設(shè)

目前網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)基于《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）文件要求，也稱等保2.0。建設(shè)要求分為技術(shù)要求和管理要求兩部分，其中技術(shù)要求有五大項(xiàng)：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。除安全物理環(huán)境依賴前期機(jī)房、機(jī)柜建設(shè)規(guī)劃外，其余安全能力都較為依賴安全設(shè)備或安全廠商提供的一體化解決方案。

2 廠商解決方案

安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等要求項(xiàng)存在一定需求重合。從技術(shù)角度劃分，可以分為網(wǎng)絡(luò)架構(gòu)、可信驗(yàn)證、邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、身份鑒別、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份與恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)、系統(tǒng)管理、安全管理和集中管控等業(yè)務(wù)面。

目前安全廠商較為通用的做法是將身份鑒別、訪問控制、安全審計(jì)等各項(xiàng)安全能力按一定邏輯分類，并集成為不同的安全模塊。這些安全模塊通常包含防火墻、SSL VPN網(wǎng)關(guān)、堡壘機(jī)組件、日志審計(jì)模塊、數(shù)據(jù)庫(kù)審計(jì)模塊、終端防護(hù)模塊等。部署安全能力的方法通常有兩種：依賴各種具備部分安全模塊功能的單體物理設(shè)備，組建具備整體防護(hù)能力的安全系統(tǒng)；主要硬件采取一體機(jī)安裝方案，在一體機(jī)上部署具備不同的安全模塊軟件，其余根據(jù)建設(shè)需要采用單體安全設(shè)備，稱為等保一體機(jī)方案。就造價(jià)而言，分體設(shè)備通常較一體機(jī)來說更貴高昂，甚至可以達(dá)到兩倍。

以等保一體機(jī)為例，在部署并完成如日志審計(jì)、數(shù)據(jù)庫(kù)審計(jì)、登錄驗(yàn)證、可信驗(yàn)證等“規(guī)定動(dòng)作”后，如何規(guī)劃“自選動(dòng)作”以引導(dǎo)建設(shè)方向，進(jìn)行高效的安全防護(hù)，成為了等保建設(shè)工作中需要安全建設(shè)人員考慮的內(nèi)容。

3 網(wǎng)絡(luò)滲透和防御

站在攻擊者角度來看，要完全滲透一套系統(tǒng)，首先要找到合適的攻擊鏈。常見的滲透案例中，外網(wǎng)在線的資產(chǎn)由于長(zhǎng)期暴露在外網(wǎng)環(huán)境下，被收集的信息多，被攻擊的可能性更大，通過外網(wǎng)環(huán)境向本地資產(chǎn)投送的流量相較內(nèi)部流量來說更具威脅性。因此，對(duì)外網(wǎng)流量往往要采取最嚴(yán)格的審計(jì)手段。

無論是內(nèi)網(wǎng)滲透還是外網(wǎng)滲透，它們都依賴于向某一些開放端口投放有威脅的流量，并利用可以被訪問到的一些資產(chǎn)漏洞來攻陷資產(chǎn)主機(jī)。審計(jì)流量，可以在不同協(xié)議層協(xié)同組合進(jìn)行，比如可以利用目標(biāo)IP過濾、目標(biāo)端口過濾、應(yīng)用協(xié)議過濾、應(yīng)用程序特征流量過濾等。

4 基于流量分類的建設(shè)方案

在筆者的建議方案中，采取的措施是基于流量分類采取不同的流量審計(jì)手段，在合理基礎(chǔ)上提高系統(tǒng)吞吐效率，優(yōu)化安全設(shè)備資源配置。

在建議方案中，系統(tǒng)通過部署等保一體機(jī)、SSL VPN、高性能防火墻等防護(hù)設(shè)備，組建多層次、高效率的防護(hù)網(wǎng)絡(luò)。審計(jì)業(yè)務(wù)流量的特點(diǎn)，對(duì)不同的業(yè)務(wù)流量作分級(jí)處理，在獲得足夠安全性的同時(shí)，提高系統(tǒng)效率。

具體方案為：利用高性能防火墻，基于五元組，對(duì)業(yè)務(wù)南北向流量作特征過濾；在核心交換機(jī)單臂部署串接防火墻及深度運(yùn)維設(shè)備，對(duì)敏感流量作深度清洗；在核心交換機(jī)上旁掛一臺(tái)SSL VPN接入設(shè)備，為高風(fēng)險(xiǎn)訪問提供可控端口；在核心業(yè)務(wù)域的虛擬系統(tǒng)上部署終端防護(hù)軟件；同時(shí)在該核心交換機(jī)安全運(yùn)維域內(nèi)部署一臺(tái)態(tài)勢(shì)感知平臺(tái)，通過威脅潛伏探針映射牽引業(yè)務(wù)流量。如圖1所示。

圖1 系統(tǒng)安全區(qū)域劃分及設(shè)備部署方案

對(duì)進(jìn)入系統(tǒng)的業(yè)務(wù)流量作三級(jí)分類。

對(duì)于結(jié)構(gòu)單一的南向大流量，如音視頻數(shù)據(jù)、生產(chǎn)系統(tǒng)外送接口數(shù)據(jù)等。考慮到業(yè)務(wù)流量大且結(jié)構(gòu)單一，為減輕深度運(yùn)維域的運(yùn)行負(fù)載，增加穩(wěn)定性和清洗效率，利用高性能防火墻作五元組特征過濾，限制流量訪問的目標(biāo)地址為特定服務(wù)器地址，限制訪問端口為非敏感的自定義端口。如圖2所示。

圖2 大流量業(yè)務(wù)數(shù)據(jù)流向

對(duì)于內(nèi)部終端常態(tài)的業(yè)務(wù)訪問流量，如內(nèi)部客戶端訪問服務(wù)器的web流量等。先利用現(xiàn)有防火墻先作五元組過濾，限制訪問流量的目標(biāo)地址和端口；再將流量牽引至深度運(yùn)維域，利用下一代防火墻及等保一體機(jī)作深度流量清洗；最后將處理完成的清潔流量送至目標(biāo)服務(wù)器。如圖3所示。

圖3 復(fù)雜的內(nèi)部業(yè)務(wù)流量流向

對(duì)于敏感的外部流量，如遠(yuǎn)程運(yùn)維服務(wù)的臨時(shí)流量，提供SSL VPN跳板接入。先利用防火墻先作五元組過濾，限制訪問流量的目標(biāo)地址和端口為SSL VPN跳板機(jī)設(shè)備；再在SSL VPN跳板機(jī)上完成多重身份驗(yàn)證（基于短信、人臉識(shí)別等二次校驗(yàn)技術(shù)）；后將SSL VPN訪問流量牽引至深度運(yùn)維域，利用下一代防火墻及等保一體機(jī)作深度流量清洗；最后將處理完成的清潔流量送至目標(biāo)服務(wù)器。如圖4所示。

圖4 敏感的外部業(yè)務(wù)流量流向

結(jié)語：網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)是一個(gè)復(fù)雜且靈活的整體工程，在考慮安全能力的同時(shí)要兼顧設(shè)備建設(shè)投資的經(jīng)濟(jì)效益。合理的網(wǎng)絡(luò)安全建設(shè)架構(gòu)有利于提高業(yè)務(wù)效率，減少網(wǎng)絡(luò)安全運(yùn)維人員的壓力，同時(shí)能充分發(fā)揮設(shè)備的安全能力。在整體建設(shè)的視角下，不同系統(tǒng)也可以依據(jù)業(yè)務(wù)流量的分類特點(diǎn)來共用部分安全設(shè)備，以提高安全建設(shè)效率。