基于安全域的省級農業科研單位網絡安全建設研究

劉家玉， 荀廣連， 曹　萌， 劉家祥， 戴　秀， 施　奎， 高曉輝， 陳　磊

(江蘇省農業科學院信息服務中心，江蘇南京 210014)

近年來，隨著互聯網與IT技術的發展，信息化已經成為當前科技、經濟與社會發展的重要趨勢。信息技術在社會各領域的廣泛滲透，開創了經濟發展的新時代，在推動人類社會生產力的同時，各種形式的網絡安全問題也頻頻發生，給國家安全和社會穩定帶來了極大的威脅。根據國家互聯網應急中心(CNCERT)發布的《2016年中國互聯網網絡安全報告》[1]顯示，2016年，我國捕獲的移動互聯網惡意程序數量205萬余個，國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞10 822個，約4萬個IP地址對我國境內8萬余個網站植入后門，等等。網絡安全問題已經引起了我國政府的高度重視。全國人大常委會于2016年11月發布《中華人民共和國網絡安全法》[2]，規定了網絡安全建設監督條例，并對包括農業科研機構在內的各級單位的網絡安全建設提出了更高的要求。如何建設安全可靠的農業科研局域網，如何合理、安全、有效地管理、保護農業科研信息資源，安全利用農業科研大數據，已經成為省級農業科研單位必須面對的重要問題。

1　網絡安全建設現狀

省級農業科研單位組織架構及局域網建設情況比較類似，以江蘇省農業科學院為例，除管理服務部門外，還有10多個專業研究所或投資企業，在職人數超過1 000人，終端類型多、數量大。局域網建設之初是為了方便科研和管理人員對外聯系、與國內外同行交流，采用與因特網邏輯隔離的技術架構，網絡拓樸為典型的三層結構，包括核心層、匯聚層和接入層，核心交換進行熱備冗余部署，保證網絡的穩定，同時建設單位門戶網站，對外宣傳和展示，為三農提供技術支持和服務。隨著IT技術應用的發展，局域網逐步建設了支撐單位管理和科研業務的辦公自動化(OA)、科研項目管理、積分制績效考核、財務管理、檔案管理等多個信息管理系統。在與Internet連接的局域網出口處部署了網絡防火墻和上網行為管理系統，將面向互聯網服務的應用集中部署到DMZ區，并前置專用的Web應用防火墻進行多層安全防護，分支機構和出差職工可通過VPN接入訪問內部系統。

該局域網從安全配置上具備一定的安全防護能力，也有一定的防御外部網路攻擊的安全措施，但與當前的網絡安全形勢及相關職能部門的要求相比，仍然存在一定的安全隱患：如科研人員更強調便利，信息安全意識不足；科研單位經費管理分散，電腦購置經費來源多樣，個人使用維護，難以實現終端統一安全管理；內網應用服務器與辦公區、生活區同屬1個子網，容易受到來自內部終端的攻擊；網絡結構邊界不清晰，不利于精細化的安全防護；投入不足，網絡安全設備無法滿足性能要求等。

隨著信息化建設的不斷推進，日常辦公的公文流轉、科研信息的數字化保存與未來大數據的分析利用對IT系統的依賴日趨升高，局域網信息資產的安全防護更趨重要，如何利用有限的資金，在保護原有投資的前提下進行網絡安全改造，實現網絡安全性能提升的平滑過渡，滿足信息化對管理和科研活動的支撐，是當前工作亟待解決的問題。

2　網絡安全建設方案

1994年國務院頒布的《中華人民共和國計算機信息系統安全保護條例》(國務院令第147號)[3]規定了計算機信息系統應實行安全等級保護。國家保密局2000年1月1日起頒布實施的《計算機信息系統國際聯網保密管理規定》[4]規定“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網絡相連接，必須實行物理隔離”。農業科研單位的網絡承載的多是與科研業務相關的科研、財務、管理等信息，不涉及國家秘密，因此應按照等級保護的相關安全要求進行網絡建設。

2.1　安全域的劃分

大型網絡及信息系統進行等級保護，不是對整個網絡或系統進行同一等級的保護，而是針對系統內部不同的業務區域或業務子網進行不同等級的保護，以達到安全策略統一、資源調配合理、業務交互便捷可靠的目標。安全域劃分是進行信息安全等級保護的首要步驟[5-6]，安全域是指同一環境內有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網絡或系統，將網絡劃分為不同的區域或邏輯子網，對每個區域進行層次化、有重點的保護。通過安全域的劃分，可以把復雜的大型網絡系統安全問題轉化為較小區域與業務板塊更為統一的安全保護問題，從而更好地控制網絡安全風險，將有限的安全防控資源分配給最需要保護的資產，提高網絡整體安全性與安全防護的經濟性。

2.2　安全域劃分原則

進行安全域的劃分時，應考慮到網絡系統規劃設計、部署、維護管理到運營全過程中的所有因素。安全域劃分的基本原則包括以下幾條：(1)業務保障原則。安全域方法的根本目標是能夠更好地保障網絡上承載的業務。在保證安全的同時，還要保障日常辦公和科研業務的正常運行和運行效率。(2)結構簡化原則。安全域劃分的直接目的和效果是要將整個網絡變得更加簡單，簡單的網絡結構便于設計防護體系。比如，安全域劃分并不是粒度越細越好，安全域數量過多過雜可能導致安全域的管理過于復雜和困難。(3)等級保護原則。安全域的劃分要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級、安全環境、安全策略等。(4)生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態設計，還要考慮動態、不斷變化調整的工作。

2.3　安全域劃分方法

目前國內比較常用的網絡安全域劃分有以下幾種基本方法：(1)按照業務系統等級劃分。這種方法依據業務系統的分類來區分支持不同業務系統的網絡區域，從而把網絡劃分成不同的網絡安全域。(2)按照防護等級劃分。這種方法依據網絡中信息資產的價值劃分不同的防護等級，相同等級構成相同的網絡安全域。不同等級的安全域采用不同的安全手段，有效地減少了重復投資，同時也體現了安全縱深防御的思想。(3)按照系統行為等級劃分。這種方法按照信息系統的不同行為和需求來劃分相應網絡安全域，并根據信息系統的等級和特點選擇相應的防護手段。

2.4　安全域劃分

由于每個單位的網絡情況和業務需求都有所不同，因此進行安全域劃分時必須兼顧網絡的管理和業務屬性，既要保證現有業務的正常運行，也要考慮劃分方案是否可行。遵循任何單一的安全域劃分方法都無法實現網絡安全域的合理劃分，因此，應當從網絡承載的業務和管理需求，基于安全域劃分的4個原則，綜合幾種劃分方法，有針對性地合理劃分安全域。

根據江蘇省農業科學院的網絡結構及業務信息承載，通過調研和分析，設計出基于網絡現狀的基于安全域的網絡安全建設方案。首先根據網絡的拓樸將整個網絡劃分為內網和外網兩部分，其目的是保障內網中的核心業務安全運行，Internet出口位于外網區，內網和外網之間設置網絡防火墻，規避了來自外網和Internet的威脅，實現內外網之間的安全隔離。其次，分別在內網區和外網區按照業務系統進行安全域劃分。外網區為對外服務區，內網則首先劃分為內網數據區、網絡交換區和用戶接入區，根據功能重要性分為內網核心業務數據服務器區、內網非核心業務數據服務器區、生活小區、辦公用戶接入區和智慧園區等子區域，最終得出安全域劃分(圖1)。

對外服務區，即DMZ區，主要部署對互聯網開放的信息系統和服務，如門戶網站、郵件服務器等；內網核心業務數據服務器區主要部署提供院內服務的業務系統，安全性要求比較高，如OA、科研管理、積分考核、財務系統等；內部大流量應用服務器區面向內部提供服務，主要為上傳下載的高流量、安全性要求不高的服務與應用，如高性能計算、補丁服務器等；網絡交換區主要包含保障網絡暢通的各類網絡通信設備；生活區接入單位局域網的生活小區網絡，用戶群體類型比較豐富；辦公區，即單位辦公區域的網絡，用戶群體主要為單位職工；智慧園區主要包含車輛進出的道閘管理系統、視頻安防監控、智慧一卡通等與日常辦公關系不密切，有一定安全需求同時沒有大量訪問需求的應用和業務系統。

2.5　安全防護策略

基于安全域的安全防護策略主要通過在安全域之間邊界適當部署安全訪問控制措施實現，而安全域的防護載體一般為邏輯結構邊界上部署交換機、防火墻等防護設備[7]。

對外服務區邊界在原有防火墻、上網行為管理設備及訪問控制策略的基礎上增添部署網頁防篡改、IPS等設備，滿足對應的等級保護要求，增強安全防護功能。內網核心業務數據服務區邊界部署防火墻及IPS并根據業務需求設定防護策略，同時在邊界交換機上旁路接入訪問審計設備，實現對內網應用訪問的記錄，便于安全審查。網絡交換區的主要安全防護措施包括采用“https”或“ssh”等安全方式對網絡設備進行管理，避免管理帳號信息被非法竊取。定期對相關網絡設備進行周期性安全漏洞檢查和安全配置檢查和修補，防止利用漏洞的攻擊。實施冗余部署，避免單點故障。生活區邊界部署防火墻，結合VLAN劃分實施訪問控制策略，生活區對內網其他邏輯區域不可訪問，最大程度地將生活區從辦公網絡中隔離。智慧園區邊界部署防火墻，設置此區域終端設備只可訪問內網核心業務服務區與業務相關的指定服務器，拒絕外部其他接入區域的訪問，將此區域與其他區域隔離。內部大流量應用服務器區和生活區這2個區域，因為其業務特性和較大的用戶數量，信息敏感度不高且對網速和帶寬有很高的要求，高性能的安全防護設備價格昂貴，暫未考慮對此區域增加專用設備防護。通過對內網其他區域安全策略的設置，自然形成這2個分區的保護，以后如果需要更高防護，只需將此區域中有特別需求的VLAN劃成單獨的安全域部署實施相關的安全防護策略即可。終端管理在內網安全管理中難度最大，采用網絡準入既需要科研人員配合，又需要所有設備都支持802.1x協議，實施推廣較難。用戶終端安全可以通過微軟的WSUS或者SCCM方案在局域網中部署補丁服務器，及時升級防止系統漏洞，或使用360安全衛士等第三方客戶端進行補丁升級。

通過安全域劃分及安全策略部署，可以清晰地標識出整個網絡的子網邊界，確定網絡防護的對象和范圍，從而將復雜的網絡安全問題化解為多個相對簡單的問題，便于按照縱深防護的思想進行相關部署。同時，部署運維堡壘機，采用協議代理的方式，接管終端計算機對網絡和服務器的訪問，通過切斷終端計算機對網絡和服務器資源的直接訪問，實現核心系統運維和安全審計管控的功能，既能攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標設備的非法訪問行為，又能對內部人員誤操作和非法操作進行審計監控，以便事后責任追蹤。

從實施結果看，防護效果顯著，一方面能實時發現服務器存在的配置漏洞、弱密碼漏洞、系統漏洞，并及時對網絡和服務器系統存在的漏洞進行防護，特別是近2年常見的Struts2高危漏洞，可以根據日志及時地制定防護策略；另一方面，發現用戶終端的威脅，及時給予提醒和處理。

3　總結

本文提出的基于安全域的農業科研單位網絡安全建設方案，在現有網絡的基礎上進行了安全升級，改造成本低，對網絡和業務影響小，有效減少來自互聯網和內部網絡的安全威脅，整體提高了局域網的安全防護能力。但網絡安全涉及技術和管理等許多方面，技術是手段，關鍵看管理，只有制定一系列的安全管理制度，并將其切實貫徹執行，才能確保網絡安全。

參考文獻：

[1]2016年中國互聯網網絡安全報告[EB/OL]. [2017-11-01]. http：//www.cert.org.cn/publish/main/46/2017/2017052715122 890 8822757/ 20170527151228908822757_.html.

[2]《中華人民共和國網絡安全法》[EB/OL]. [2017-11-01]. http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[3]《中華人民共和國計算機信息系統安全保護條例》[EB/OL]. [2017-11-01]. http：//www.gov.cn/gongbao/content/2011/content_1860849.htm.

[4]《計算機信息系統國際聯網保密管理規定》[EB/OL]. [2017-11-01]. http：//cpc.people.com.cn/n/2013/0316/c359051-20812039.html.

[5]信息安全技術. 信息系統安全等級保護體系框架：GA/T 708—2007[S]. 北京：公安部信息系統安全標準化技術委員會，2007.

[6]于慧龍. 如何進行大型信息系統的安全域劃分和等級保護建設[J]. 網絡安全技術與應用，2006(6)：12-12.

[7]郭睿，陳濤. 安全域劃分在企業中的實際應用研究[J]. 信息網絡安全，2016(增刊1)：158-163.