智慧水務網絡安全性設計探析

李鈺婷

當今世界，隨著數據通信與計算機網絡技術的迅速發展，全球信息化已成為人類發展的大趨勢。因此國內外企業的生產經營管理方式也都隨著網絡技術的發展而朝著信息化、網絡化方向發展。企業內部網絡系統的建立，極大地提高了對外以及內部各部門之間的溝通效率。但近年來網絡安全威脅日趨嚴重，不斷演化的網絡攻擊對企業造成了極大地損失（如勒索病毒等）。另外，由于陜西省水務集團的業務涉及關鍵基礎設施（如自來水廠等），并且在智慧水務建設過程中將采用越來越多的物聯網設備，這使得企業在網絡安全方面將面臨更為嚴峻的挑戰。

本文的研究內容正是基于此種大背景下提出來的，通過分析陜西省水務集團的網絡安全需求，以企業網絡架構的設計及安全部署為重點展開研究，并提出相應的網絡安全設計方案[1]。

1 企業網絡安全

從陜西省水務集團的網絡結構分析，企業網絡層的安全主要涉及Internet連接安全、廣域網連接安全和內網系統安全。

1.1 Internet連接安全防護

陜西省水務集團需通過門戶網站向大眾提供業務服務并對企業進行宣傳，公司內部用戶辦公也需通過互聯網與外界進行電子郵件往來。因此，企業的Internet出入口連接點，存在遭受來自外部惡意攻擊、病毒傳播的可能性，必須采取措施進行保護，如部署防火墻系統。

1.2 廣域網連接安全防護

陜西省水務集團下屬分公司及三級子公司位于省內各市縣，需通過數字電路專線組成的廣域網與集團總部進行連接。這種在物理上分布廣泛的網絡系統，每一個在地理上屬異地的分支機構或部門，其網絡應用和管理都有相對的獨立性，因此在網絡安全管理實施和執行上就很容易產生差異，從而出現網絡安全漏洞。

1.3 內網系統安全防護

陜西省水務集團內網中的信息系統中存放了大量的企業數據和信息，不同的信息系統開放的用戶范圍及權限是不同的，因此需要有比較好的手段對內部用戶進行信息資源訪問的控制。同時，企業網環境比較復雜，設備眾多，網絡管理人員查找和修補網絡中的安全隱患有相當大的難度。因此，利用先進的技術、工具進行網絡系統自身的脆弱性檢查，先于入侵者發現漏洞并及時彌補，是十分必要的安全防護措施。

員工進入信息系統時需要輸入用戶名稱和密碼，而單一靜態密碼容易泄露，很容易被網絡入侵者猜測或破解。因此在原有用戶名密碼登錄驗證的基礎上，需增加更強大的認證手段[2-4]。

2 網絡安全方案設計

根據陜西省水務集團網絡安全防護的實際需求，制定了相應方案解決水務網絡安全問題。

2.1 劃分安全區域

根據企業業務需要，以及網絡應用對安全性的不同級別的要求，可劃分出以下不同的安全區域：

（1）DMZ區,包括門戶網站服務器、郵箱服務器等需要對外提供服務的服務器群。

（2）廣域網分區，異地的集團分公司、三級公司通過數字電路專線連接到集團總部網絡，分公司、三級公司的業務系統數據將通過該分區進入總部數據中心。

（3）數據中心區，該區域由集團的智慧水務大數據平臺、數據備份服務器等服務器集群構成，承載集團一切業務的核心數據，因此該區域對安全性要求最高，對業務穩定不間斷運行要求也最高。

（4）內部辦公區，該區域是集團總部內部員工辦公計算機所在區域，該區域對網絡運行穩定性要求較高。

2.2 采用防火墻

采用防火墻解決Internet連接及廣域網連接的安全隱患，隔離各安全區域。防火墻通常部署在內部網與外部網之間，用于控制通過的流量以及對外部網絡攻擊進行防護，是目前網絡安全解決方案中應用最多的技術手段。防火墻能夠對數據包進行過濾，阻斷不符合策略的連接，還可以關閉不使用的端口以免被攻擊者利用，并且具備非常強的抗攻擊能力。

2.3 采用入侵檢測（IDS）

采用入侵檢測設備，實現對攻擊行為的識別，與防火墻進行配合，可加強對應用層的安全防護。入侵檢測技術能夠識別出對計算機和網絡資源的惡意使用行為，并對惡意使用行為做出相應的處理。入侵檢測的第一步是信息收集，內容包括系統、網絡、數據及用戶活動的狀態和行為。收集到的信息將被送到檢測引擎，進行模式匹配、統計分析、完整性分析。當檢測到惡意使用行為時，將會產生告警，并根據策略可聯動防火墻對攻擊行為進行阻斷。

2.4 病毒防護（Anti Virus）

病毒防護應采用預防為主，軟件查殺為輔的防治策略。首先要加強網絡的管理，制定嚴格的管理制度，對管理員和用戶加強培訓，提高防毒意識。同時給計算機安裝殺毒軟件，并定期進行病毒庫升級。服務器可采用裝載防病毒模塊，或者安裝防毒卡的防護方式。

2.5 采用認證服務器

可考慮采用RADIUS或TACACS+認證方法，兩種認證方法都可實現用戶在訪問業務系統前，必須通過認證服務器的認證與授權。區別在于RADIUS采用UDP協議傳輸，只對客戶端請求包中的密碼加密，而TACACS+采用TCP協議傳輸，對除了頭部外的整個分組加密。

2.6 采用安全審計

為實現攻擊行為及網絡日常管理的事中跟蹤，事后分析，可采用安全審計技術。根據GB/T 20945-2013國標定義，“安全審計”指對網絡或信息系統的事件進行記錄和分析，并針對特定事件采取相應比較的動作。安全審計分為監測審計和日志審計兩種，前者是監測實時數據，后者是事后審計方式。安全審計的范圍包括了所有與安全相關的設備和系統。

2.7 采用漏洞掃描

借助漏洞掃描技術提升內網系統安全性。漏洞掃描是一種主動的防范措施，通過對網絡中的服務器、路由器、交換機、數據庫等設備進行逐項規則檢測，或模擬網絡攻擊，來判定網絡系統中是否存在安全漏洞。網絡管理員因此能及時發現安全漏洞，客觀評估網絡風險等級，根據掃描結果修補相關安全漏洞，做到防患于未然[5-7]。

3 網絡安全方案確定

結合陜西省水務集團的網絡架構，劃分安全域，在安全域邊界部署防火墻對Internet連接和廣域網連接進行管控，配合IDS進一步解決應用層的安全威脅，采用Radius認證、漏洞掃描、病毒防護等技術共同加強內網的安全防護。具體方案見圖1。

圖1 網絡安全方案示意圖

根據網絡安全方案設計，將集團網絡劃分為數據中心區、內部辦公區、DMZ區、廣域網區共四個安全區域，部署兩臺防火墻對安全區域進行隔離。防火墻上關于安全區域的訪問控制策略應配置為：

<1＞內部辦公區可以訪問Internet,廣域網區，DMZ區。

<2＞Internet不能訪問內部辦公區、數據中心區，廣域網區，可以訪問DMZ區。

<3＞DMZ區可以訪問Internet，不能訪問內部辦公區，數據中心區，廣域網區。

內部辦公區網絡，應按各部門劃分VLAN,起到邏輯隔離作用，避免廣播風暴。

內部辦公區、數據中心區、DMZ區各部署一臺IDS設備（配置與防火墻聯動），對各安全區域的網絡信息進行檢測分析，發現攻擊行為則聯動防火墻，由防火墻阻斷相關連接。防火墻、IDS均開啟審計日志。

在防火墻上配置啟用Radius認證服務器，用戶訪問各業務系統時，需先輸入用戶名、密碼，Radius認證服務器認證通過后，則授權用戶繼續訪問。

定期對內網進行安全性檢測時，可將漏洞掃描設備以旁路方式接入各安全區域內的交換機上，依次對各網段開展漏洞掃描分析。

所有新采購的服務器要求必須安裝防病毒模塊、軟件防火墻，已有的服務器由系統管理負責安裝防病毒模塊、軟件防火墻。集團所有辦公電腦統一安裝企業版殺毒軟件，由系統管理員負責病毒庫更新等日常管理。

4 結語

通過DMZ區劃分、網絡邊界防火墻、入侵檢測、漏洞掃描、網絡審計、病毒防護等網絡安全技術的設計、部署，將建立起全方位的企業網安全防護體系，有效阻擋來自外網以及內網的攻擊。后續根據集團業務需求，還可建設VPN虛擬專用網絡，為遠程用戶提供到集團內網的安全傳輸方式。

[1]wjessie.企業網絡系統安全需求分析與設計方案.[OL].2017-03-19.https://max.book118.com/html/2017/0319/96078529.shtm

[2]江超.面向應用層的網絡安全方案的設計與實施[D].北京郵電大學,2013.

[3]趙玉田.某信息技術企業計算機網絡安全系統的設計與實現 [D].山東大學,2015.

[4]鄧林.網絡信息安全防護理論與方法的研究[D].合肥工業大學,2009.

[5]曹勝華.集團企業網絡架構及安全部署的設計與實現[D].中南大學,2010.

[6]曹晶秀.企業網安全架構模型的研究與驗證[D].吉林大學,2008.

[7]徐波濤.校園網網絡安全方案設計與工程實踐 [D].北京郵電大學,2012.