信息網(wǎng)絡(luò)安全防御體系建設(shè)

摘 要：公司信息網(wǎng)絡(luò)從建設(shè)伊始，就注意把安全規(guī)劃貫穿到網(wǎng)絡(luò)建設(shè)的始終，形成了安全可靠和功能實(shí)現(xiàn)相并重的網(wǎng)絡(luò)建設(shè)特點(diǎn)。按照信息安全防護(hù)等級高于其它公共服務(wù)類企業(yè)的原則，將公司管理信息網(wǎng)分為信息內(nèi)網(wǎng)和信息外網(wǎng)。通過信息網(wǎng)絡(luò)安全防御體系的建設(shè)，在各個需要互訪的區(qū)域網(wǎng)絡(luò)邊界之間，采用了多重手段，如強(qiáng)隔離設(shè)備、防火墻、路由器、入侵防御系統(tǒng)、交換機(jī)集成設(shè)備安全特性等，實(shí)現(xiàn)了嚴(yán)格而完善的安全策略，很好的在用戶的需求之間和網(wǎng)絡(luò)的安全方面取得了較好的平衡。

關(guān)鍵詞：信息網(wǎng)絡(luò) 安全 防御體系 建設(shè)

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1672-3791（2012）11（b）-0003-01

公司信息網(wǎng)絡(luò)從建設(shè)伊始，就注意把安全規(guī)劃貫穿到網(wǎng)絡(luò)建設(shè)的始終，形成了安全可靠和功能實(shí)現(xiàn)相并重的網(wǎng)絡(luò)建設(shè)特點(diǎn)。信息網(wǎng)絡(luò)現(xiàn)分為如下幾個安全區(qū)域：外網(wǎng)區(qū)域，內(nèi)網(wǎng)區(qū)域，特殊系統(tǒng)區(qū)域，子公司內(nèi)網(wǎng)區(qū)域。其中外網(wǎng)和內(nèi)網(wǎng)又分別劃分為服務(wù)器群子區(qū)域和用戶終端群子區(qū)域。

1 策略及實(shí)現(xiàn)方案

1.1 信息外網(wǎng)與信息內(nèi)網(wǎng)

按照信息安全防護(hù)等級高于其它公共服務(wù)類企業(yè)的原則，將公司管理信息網(wǎng)分為信息內(nèi)網(wǎng)和信息外網(wǎng)。信息內(nèi)網(wǎng)部署涉及企業(yè)商業(yè)秘密的工程業(yè)務(wù)應(yīng)用，信息外網(wǎng)部署不涉及企業(yè)商業(yè)秘密的對外業(yè)務(wù)服務(wù)，并為公司用戶提供互聯(lián)網(wǎng)服務(wù)。信息內(nèi)網(wǎng)PC終端不能訪問internet。對外發(fā)布信息的服務(wù)器只提供對外網(wǎng)的服務(wù)，內(nèi)部網(wǎng)絡(luò)不能訪問。信息內(nèi)網(wǎng)服務(wù)器不能訪問Internet，信息內(nèi)網(wǎng)服務(wù)器與信息外網(wǎng)服務(wù)器之間允許在設(shè)置嚴(yán)格安全策略情況下進(jìn)行互通。

信息外網(wǎng)選用大型交換機(jī)作為外網(wǎng)訪問區(qū)的核心交換機(jī)。選用中型交換機(jī)作為樓層終端的接入交換機(jī)，選擇中型交換機(jī)作為外網(wǎng)匯聚交換機(jī)。選擇網(wǎng)絡(luò)千兆防火墻作為外網(wǎng)出口防火墻，直接連接至因特網(wǎng)匯聚交換機(jī)，進(jìn)入因特網(wǎng)。交換機(jī)之間通過鏈路捆綁實(shí)現(xiàn)互連。在大型交換機(jī)上起用VRRP熱備網(wǎng)關(guān)協(xié)議，實(shí)現(xiàn)了用戶上網(wǎng)的網(wǎng)關(guān)熱備；在辦公區(qū)選擇一間房間作為集中上網(wǎng)區(qū)域，通過交換機(jī)連接至核心交換機(jī)處，接入互聯(lián)網(wǎng)。信息內(nèi)網(wǎng)防火墻連接至外網(wǎng)防火墻，形成雙堡壘架構(gòu)，在內(nèi)網(wǎng)和外網(wǎng)之間通過防火墻系統(tǒng)實(shí)現(xiàn)了相當(dāng)強(qiáng)度的邏輯隔離，對于內(nèi)外服務(wù)器之間的數(shù)據(jù)交互，可以通過制定嚴(yán)格的訪問策略進(jìn)行解決，如通過IP地址，端口等限制條件嚴(yán)格控制，這樣既保證了外網(wǎng)和內(nèi)網(wǎng)的隔離，同時又很好的解決了內(nèi)外服務(wù)器數(shù)據(jù)交互的問題。

1.2 外網(wǎng)和內(nèi)網(wǎng)之間

外網(wǎng)和內(nèi)網(wǎng)之間主要實(shí)現(xiàn)了如下策略：外網(wǎng)用戶終端和內(nèi)網(wǎng)用戶終端之間完全斷開，不能互訪。外網(wǎng)用戶只能訪問互聯(lián)網(wǎng)應(yīng)用，內(nèi)網(wǎng)用戶只能訪問內(nèi)部應(yīng)用。外網(wǎng)應(yīng)用系統(tǒng)和內(nèi)網(wǎng)應(yīng)用系統(tǒng)之間的數(shù)據(jù)交換，實(shí)現(xiàn)基于SQL層面的互通，阻斷其余協(xié)議互通。上述策略主要通過雙防火墻架構(gòu)以及國網(wǎng)標(biāo)準(zhǔn)強(qiáng)隔離設(shè)備實(shí)現(xiàn)，同時，對于外網(wǎng)和內(nèi)網(wǎng)各子區(qū)域，采用了入侵防護(hù)設(shè)備，對重點(diǎn)網(wǎng)絡(luò)區(qū)域進(jìn)行應(yīng)用層面的保護(hù)，有效降低了黑客攻擊和蠕蟲病毒泛濫所造成的影響。

1.3 子公司內(nèi)網(wǎng)和母公司內(nèi)網(wǎng)之間

子公司內(nèi)網(wǎng)和母公司內(nèi)網(wǎng)之間的業(yè)務(wù)互通主要通過廣域網(wǎng)實(shí)現(xiàn)，廣域網(wǎng)主要承載涉及大型應(yīng)用系統(tǒng)等業(yè)務(wù)。主要實(shí)現(xiàn)了如下安全策略：（1）默認(rèn)策略為互訪全部禁止。（2）母公司內(nèi)網(wǎng)用戶可以根據(jù)需要訪問子公司內(nèi)網(wǎng)相應(yīng)應(yīng)用系統(tǒng)。（3）子公司內(nèi)網(wǎng)用戶可以根據(jù)需要訪問母公司內(nèi)網(wǎng)相應(yīng)應(yīng)用系統(tǒng)。（4）母公司用戶和子公司用戶不能互訪。

在具體的安全實(shí)現(xiàn)手段上，主要采取了以下措施：首先，通過采用基于MPLS VPN技術(shù)進(jìn)行廣域網(wǎng)組網(wǎng)，完成了各種業(yè)務(wù)橫向隔離，縱向貫通。其次，在子公司內(nèi)網(wǎng)架設(shè)出口防火墻，同時在母公司內(nèi)網(wǎng)架設(shè)入口防火墻，通過兩套防火墻的訪問控制元素（如源地址、源端口、目地址、目端口，時間段）等手段，實(shí)現(xiàn)了可控能控目的子公司和母本部業(yè)務(wù)互訪。最后，在遠(yuǎn)期在子公司局網(wǎng)絡(luò)和母公司網(wǎng)絡(luò)之間部署入侵防御系統(tǒng)，進(jìn)一步提高這兩個區(qū)域網(wǎng)絡(luò)之間的安全互訪水平。

1.4 數(shù)據(jù)中心網(wǎng)絡(luò)和子公司內(nèi)網(wǎng)及母公司內(nèi)網(wǎng)之間

數(shù)據(jù)中心網(wǎng)絡(luò)是大型應(yīng)用系統(tǒng)建設(shè)而專設(shè)的安全區(qū)域網(wǎng)絡(luò)，主要實(shí)現(xiàn)了如下安全策略：子公司內(nèi)網(wǎng)用戶根據(jù)需要可以訪問數(shù)據(jù)中心應(yīng)用服務(wù)器區(qū)域，但不能訪問數(shù)據(jù)庫區(qū)域，母公司用戶根據(jù)需要可以訪問數(shù)據(jù)中心應(yīng)用服務(wù)器區(qū)域以及個別數(shù)據(jù)庫服務(wù)器區(qū)域，應(yīng)用服務(wù)器區(qū)域和數(shù)據(jù)庫區(qū)域嚴(yán)格按照IP源地址、IP目地址、源端口、目端口等實(shí)現(xiàn)有限互通。數(shù)據(jù)中心網(wǎng)絡(luò)主要設(shè)計(jì)特點(diǎn)如下：（1）設(shè)計(jì)了獨(dú)立的大型系統(tǒng)網(wǎng)絡(luò)安全分區(qū)，實(shí)現(xiàn)了統(tǒng)一集中的安全防御策略。

原有臨時的服務(wù)器群和母公司局域網(wǎng)服務(wù)器群混合在一起，而局域網(wǎng)服務(wù)器群和大型服務(wù)器群在制定訪問策略的需求上有諸多不同，造成了相關(guān)安全策略的不一致性，為此，專門設(shè)計(jì)建設(shè)了獨(dú)立為大型服務(wù)器群服務(wù)的系統(tǒng)網(wǎng)絡(luò)安全分區(qū)，通過細(xì)化相關(guān)的安全策略需求，形成了統(tǒng)一集中的安全防御策略，大大提高了系統(tǒng)的安全訪問級別。（2）基于網(wǎng)絡(luò)7層概念，利用多種層面、多種安全特性的使用，實(shí)現(xiàn)了深度安全防御策略。防火墻實(shí)現(xiàn)網(wǎng)絡(luò)層的安全保護(hù)、實(shí)現(xiàn)基于應(yīng)用層的安全防護(hù)、交換機(jī)實(shí)現(xiàn)基于設(shè)備本身的集成安全特性。該三重安全防護(hù)手段能夠?qū)崿F(xiàn)網(wǎng)絡(luò)1～7層的全面防護(hù)。在數(shù)據(jù)中心，采用硬件防火墻實(shí)現(xiàn)基于網(wǎng)絡(luò)層的安全保護(hù)、入侵防護(hù)系統(tǒng)實(shí)現(xiàn)基于應(yīng)用層的安全保護(hù)、高端交換機(jī)實(shí)現(xiàn)基于設(shè)備本身的集成安全特性。該三重安全防護(hù)手段實(shí)現(xiàn)了完整的網(wǎng)絡(luò)1～7層的全面防護(hù)，實(shí)現(xiàn)了深度安全防御策略。（3）基于三層軟件設(shè)計(jì)架構(gòu)，實(shí)現(xiàn)了應(yīng)用層和數(shù)據(jù)庫層分區(qū)設(shè)計(jì)的安全防御策略。現(xiàn)有大型軟件系統(tǒng)多為B/S架構(gòu)，基于這種設(shè)計(jì)架構(gòu)，以及數(shù)據(jù)是企業(yè)生命的理念，對相關(guān)系統(tǒng)進(jìn)行了應(yīng)用服務(wù)器群和數(shù)據(jù)庫服務(wù)器群的劃分，在應(yīng)用服務(wù)器群和數(shù)據(jù)庫服務(wù)器群前段分別配置防火墻和交換機(jī)，數(shù)據(jù)庫服務(wù)器群只能從應(yīng)用服務(wù)器群發(fā)起訪問，而應(yīng)用服務(wù)器群可從網(wǎng)絡(luò)其他地方訪問，通過這種手段，大大強(qiáng)化了數(shù)據(jù)庫服務(wù)器群的安全性。

2 結(jié)論

通過信息網(wǎng)絡(luò)安全防御體系的建設(shè)，在各個需要互訪的區(qū)域網(wǎng)絡(luò)邊界之間，采用了多重手段，如強(qiáng)隔離設(shè)備、防火墻、路由器、入侵防御系統(tǒng)、交換機(jī)集成設(shè)備安全特性等，實(shí)現(xiàn)了嚴(yán)格而完善的安全策略，很好的在用戶的需求之間和網(wǎng)絡(luò)的安全方面取得了較好的平衡。