基于等級保護的企業網絡安全防護設計

許明

摘要：在基于等級保護的基礎上，對某市政服務企業原有網絡進行網絡系統結構、應用系統安全、安全管理方面進行分析，提出安全防護設計。通過對網絡架構、服務器區域、安全運維區域、互聯網邊界進行加固設計，以提升企業網絡整體安全性。

關鍵詞：等級保護；防護設計；安全性

中圖分類號：TP309 文獻標識碼：A 文章編號：1009-3044（2019）06-0040-02

1 引言

信息系統的快速發展，使其所面臨的安全威脅日益劇增，對其安全要求也日漸增加。從大環境上看，信息系統安全已經成為近幾年熱門的話題，如何保障信息系統的安全已經成為國家關注的焦點。2003年中國頒發《關于加強信息安全保障工作的意見》明確等級保護工作的重點是基礎信息網絡和關系國家安全、經濟命脈、社會穩定等方面的重要信息系統；緊接國家陸續出臺了一系列的安全政策和標準，提出了“適度安全、分級保護”的核心等級保護設計思路。

2007年四部委聯合頒布了《關于開展全國重要信息系統安全等級保護定級工作的通知》和《信息安全等級保護管理辦法》文件，要求涉及國計民生的信息系統應達到一定的安全等級。根據文件精神和等級劃分的原則，國有企業內部信息系統構筑至少應達到二級或以上防護要求[1]。在中國等級保護系統劃分為五個級別，其中第二級以不損害國家安全為基準；因此，二級防護主要從以下十個方面展開：物理安全、網絡安全、主機安全、應用安全、數據安全以備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理[2]。

2 某市政企業網絡安全現狀

近年來，市政服務企業隨著信息化程度的不斷提升， 其所面臨的安全問題越來越復雜。互聯網的多元性混合威脅和企業內部員工網絡違規行為的泛濫，都嚴重影響企業網絡安全，進而對社會秩序和公共利益造成損害。因此，市政服務企業信息系統的安全管控工作愈發重要。為此， 該企業在公安機關的指導監督下開展了信息安全等級保護工作，通過定級、備案、測評、建設整改等流程提升信息系統的安全保護能力。

2.1 網絡系統現狀

該市政服務企業由于網絡搭建較早并且網絡規劃設計不規范，導致網絡核心層、接入層均存在較多安全隱患。原企業網絡拓撲圖如圖1所示。從圖中可知，網絡架構出口單一，存在單點故障，網絡可靠性極低；在接入層沒有合理劃分網段，導致不必要的廣播流量消耗帶寬資源，且不同的區域之間可以直接訪問，給信息安全帶來較大隱患；在現有網絡中，防火墻的過濾規則沒有進行細化且已過維保期，內置的安全庫均已不能適用于現今的網絡環境。

2.2 應用系統安全現狀

該企業員工以及網絡管理人員信息安全意識淡薄，大部分員工存在操作系統、業務系統賬號和密碼疏于管理等問題，同時存在業務系統信息泄露和旁人違規操作風險。在OA系統安全方面，該企業直接把OA服務器部署在公網中，且沒有經過任何防護。系統數據也未做冗余備份或者定期備份，一旦系統崩潰將丟失所有數據。管理員缺乏安全事件監控和分析手段，對維護人員的遠程操作缺乏操作規范和操作審計。

2.3 安全管理現狀

通過對企業網絡運維管理進行評測，該企業信息系統存在以下較嚴重的安全管理問題：（1）沒有建立完整的安全策略體系，安全管理規章制度缺失；（2）沒有相關的保密協議簽署，缺乏安全方面的培訓，考核和懲戒措施不足；（3）日常運行管理還主要靠經驗，缺乏明文的安全運行管理制度和流程。

3 某市政企業網絡安全防護設計

通過結合客戶的業務需求以及綜合等級保護二級的要求，對某市政企業網絡進行升級加固設計。本文主要介紹該網絡安全防護設計方案中的網絡架構設計部分內容。升級后網絡主要以核心層、匯聚層、接入層三層架構為主體，保證了網絡的穩定性和可靠性，同時通過部署安全設備來保證網絡的安全性。網絡拓撲圖如圖2所示。

3.1 網絡架構設計

核心網絡區域為企業內部網絡核心數據交換區域，通過使用IRF虛擬化技術，將兩臺核心交換機虛擬化成一臺，達到網絡的核心數據交換速率與網絡冗余性的目的，滿足等級保護要求“網絡冗余性”要求，保證網絡的可靠性和穩定性。同時為滿足安全設備的部署與管理，將核心交換機接口劃為兩個區域，一部分開啟三層模式方便內網數據交換，一部分開啟二層模式，給予安全設備管理與旁路監聽使用。

在匯聚層交換機上劃分不同的vlan，根據不同的功能劃分不同的區域，將服務器與無線接入區域區分開，采用分區分域的形式進行劃分。在不同角色VLAN接口下接入二層交換機用于連接各種終端設備。在財務接入區，通過ACL策略控制，使財務接入區域只能訪問服務器區域。

3.2 服務器區域設計

服務器區域為企業OA系統與其他應用系統放置區域。在服務器域核心交換機之間部署了綠盟的Web應用防護系統WAF從而實現對內網服務器的有效防護。將交換機流量鏡像到數據庫審計系統能夠記錄下內網用戶對數據庫服務器的操作，并對危險操作做出告警。

3.3 安全運維區域設計

安全運維區，部署了綠盟RSAS漏掃系統、綠盟審計系統堡壘機系列，提供對網絡進行運維管理、網絡安全檢查、網絡漏洞掃描審計功能。綠盟漏洞掃描系統通過對主機、web掃描結果進行風險評估，對客戶現場的網絡進行一定的評分，讓客戶清楚了解自己網絡的安全情況。綠盟入侵檢測系統通過旁路部署在核心交換機上，將核心交換機上的流量鏡像到入侵檢測系統上[3]，NIDS能過對流量進行分析，其中流量既包括了內網到外網的流量，也包含了內網主機到內網服務器的流量，對于異常流量能夠及時地檢測出來并產生警告，并且通過郵件或者短信的方式及時的通知網絡管理員，使得網絡管理員能夠及時地發現網絡中出現的威脅，及時做出保護措施，使得網絡的安全性得到保障。

3.4 互聯網邊界設計

企業網絡出口放置兩臺華為路由器，通過VRRP技術實現互備，保證了網絡的可靠性[4]。路由器下方部署兩臺綠盟下一代防火墻，防火墻使用透明部署模式，并開啟HA實現冗余，避免了單點故障問題。在防火墻域核心路由器之間部署了綠盟的入侵防護系統NIPS，通過入侵防護系統，對內網進行安全防護[5]。

4 結束語

實施信息安全等級保護，可以有效提高我國信息安全建設整體水平[6]，在企業中建設信息安全等級保護的網絡可以有效地對企業信息進行規范化的管理、提高安全性。本文主要對某市政服務企業原有網絡進行分析，依據二級等保要求與客戶的需求對網絡架構、系統應用安全和安全運維等技術方面進行整體的升級改造方案設計，以提升企業網絡整體安全性。

參考文獻：

[1] GB/T25070-2010.信息安全技術信息系統等級保護安全設計技術要求[S]，2010.

[2] 趙云，顧健.等級保護風險評估模型研究[J]. 網絡空間安全， 2014， 5（3）：14-18.

[3] Dr. Thomas H. Morris. Event and intrusion detection systems for cyber-physical power systems[M].2015.

[4] 吳超超， 龍海蓮， 羅明輝，等. VRRP協議在大中型網絡主干網中作用的研究與實現[J]. 通訊世界， 2017（2）：24-25.

[5] Jabez J， Muthukumar B. Intrusion Detection System （IDS）： Anomaly Detection Using Outlier Detection Approach [J]. Procedia Computer Science， 2015， 48（3）：338-346.

[6] 高育智. 試論Web網站安全問題與解決方法[J]. 數字技術與應用， 2010（8）：46-47.

【通聯編輯：代影】