構筑中小單位網絡安全多維防御體系

陳天翔

摘 ? 要：黑客滲透與網絡安全防御像矛與盾，隨著技術領域的日新月異，黑客滲透的方法也層出不窮。網絡安全防御就像安全鏈環環相扣，文章從網絡區域規劃、安全接入控制、網絡設備安全、服務器應用安全、數據備份恢復、安全制度、容災災備演練等環節，分析構筑中小單位網絡安全多維防御體系策略。

關鍵詞：局域網;校園網;網絡安全;邊界安全;網絡區域;數據安全

據查“網絡黑產”規模巨大，黑客滲透與攻擊行為晝夜不停，中小單位網絡安全形勢嚴峻。依照GB/T 22239—2008《信息安全技術信息系統安全等級保護基本要求》，GB17859—1999《計算機信息系統安全保護等級劃分準則》，GB/T 20984—2007《信息安全技術信息安全風險評估規范》，GB/T28448—2012《信息安全技術信息系統安全等級保護測評要求》《中華人民共和國網絡安全法》等法規要求，構筑環環相扣的安全鏈、構筑網絡安全多維防御體系意義重大。

1 ? ?網絡區域劃分與作用

對局域網在物理與邏輯進行區域細分，可實現便捷管理或快速排故。區域劃分按照拓撲或功能進行安全區域劃分、VLAN劃分和IP劃分，作用明顯。（1）安全邊界清晰明確，便于按需添加安全設備。（2）便于制定合理的邊界安全策略。（3）便于管理及快速排故檢修定位。

局域網區域劃分如圖1所示，①是互聯網運營商區域，局域網出入口就是接入該區域。②③④是連接互聯網出口區域，由安全設備、路由器、核心交換機等組成。⑤⑥是有線網絡、無線網絡區域，由匯聚、接入、AP等網絡設備組成，該區域中VLAN劃分IP網段劃分遵循最小夠用為原則，要求配置嚴格訪問控制列表（Access Control List，ACL）策略。⑦局域網內邊界安全區域，在服務器與局域網內其他區域間實現內網邊界安全，作用是對網絡重點區域進行安全防護，確保局域網中重點區域網絡安全。⑧⑨服務器區域由Web服務器、數據庫服務器、存儲服務器、虛擬化管理服務器等組成，是單位網絡中重點保護的區域。

2 ? ?安全接入控制

安全接入控制也叫網絡準入控制，作用是防止計算機等非授權的終端接入局域網。黑客攻擊主要來自互聯網，就是圖1中通過①②③④鏈路來滲透，該鏈路部署安全設備能起到防護作用。如果黑客滲透是來自有線或無線內網時，網絡則會存在重大安全隱患。

安全接入控制就是在局域網內，對有線、無線接入進行驗證。方法是在各層級網絡設備中配置網絡安全策略，對接入設備的“接入端口，IP地址，MAC地址”進行一一對應驗證，來實現內網接入控制。還要對權限很大的超級用戶進行嚴格接入管控，要求必須全程以安全殼協議（Secure Shell，SSH）加密方式運維管理，禁用默認管理員賬號，嚴格限定網管技術人員接入地點范圍、IP數量，最終實現內網全方位接入管控。

3 ? ?服務器操作系統、應用系統與數據安全

服務器是重點保護的區域，需禁用默認超級用戶賬號，啟用嚴格密碼安全策略，禁用遠程桌面，僅開啟必須的端口，關閉不需要的服務，服務器操作系統與應用架構的補丁都要更至最新，僅安裝必要的服務器組件與應用，Web應用采用安全套接層協議（Secure Sockets Layer，SSL）加密方式訪問，Web應用文件夾訪問權限，應配置以最小夠用為原則。

數據安全歷來都是重中之重，數據安全包括應用系統本身和配套數據庫兩個方面。數據庫系統安全要求：（1）啟用嚴格密碼安全相關策略，確保數據庫系統賬號密碼安全。（2）制定完全數據庫備份策略，備份數據庫容量較大時，可采用壓縮軟件對備份壓縮保存。筆者實際驗證，壓縮前容量為2 480 MB，壓縮后容量為367 MB，壓縮后容量為原容量的14.8%，編寫自動化腳本還可以實現高效異地備份。必須進行數據庫備份、Web應用系統備份，同時還要進行離線備份、異機或異地備份，以確保在極端情況下有效恢復應用系統和數據庫，保障業務系統連續性。服務器硬盤建議n-1塊硬盤設置radi5，余下1塊硬盤熱備。利用先進的vCenter虛擬、存儲等技術，可實現對服務器操作系統進行完全備份、增量備份、異地備份等功能。

數據庫中敏感數據的加密保密也是數據安全重要組成部分。近年來，國內知名網站數據被拖庫消息頻出，被拖庫中的數據沒有加密，導致巨量敏感數據泄露。數據加密手段已經很成熟，數據加密技術手段不再展開討論，對于中小單位而言，要重視應用系統數據庫中敏感數據加密工作的推進。設備有價，數據無價，在以數據為中心的大數據時代，按照需求科學規劃，確保數據萬無一失，確保數據庫中敏感數據不流失、不泄密，保障數據的安全性與保密性任重道遠。

4 ? ?網絡安全攻防容災災備演練

信息網絡安全應急演練，也叫容災演練、災備演練。事先按照技術規劃災備預案來進行推演，可先沙盤級推演，按照權重從高到低有針對性推演。

（1）網絡安全法強制要求相關，單位網絡要符合網絡安全等保的等級要求。應依法借助第三方權威安全測評機構，主動定期對整個局域網各個層面環節進行滲透與測評，對于發現的問題及時整改，以達到網絡安全等級保護的要求。（2）網絡設備數量相對較多，事先需要對網絡安全、交換路由、無線等設備的配置文件進行備份，有計劃地進行網絡設備配置文件恢復性演練，對網絡設備廠商提供備件相應能力進行演練。（3）在服務器層面上，對服務器、Web系統應用、數據庫系統等進行災備演練。（4）在數據安全層面上，對應用系統架構平臺、應用系統程序本身和數據庫備份進行容災協同恢復演練。

按需求科學規劃，進行網絡安全攻防容災災備預案推演和實戰演練，才能驗證系統規劃架構和容災災備預案是否有效，是否達到規劃效果，管理人員和技術人員是否具備容災災備操作割接系統、業務場景恢復、廠商配套備件供給、時間響應等方面能力的驗證，只有經過演練驗證的安全多維防御體系是穩定可靠、值得信任的。

5 ? ?網絡安全管理制度建設

制度建設是構筑網絡安全多維防御體系的重要一環。只有依法成立網絡安全領導小組、工作小組、技術保障小組，配套落實費用保障，才能使得構筑中小單位網絡安全多維防御體系成為可能。構筑中小單位網絡安全多維防御體系不僅是技術人員的工作，也涉及單位全體員工，同時建立完備的網絡安全制度是網絡安全法的要求。參照國家《網絡安全法》，就中小單位而言，網絡安全管理規章與制度包含本文列舉以下人員管理、巡查制度、建設管理、資產安全、介質安全、機房安全、信息變更、密碼安全、運維管理、網絡安全、系統安全、設備安全、備份與恢復、安全事件、應急預案、容災災備、保密協議等17個方面內容。

6 ? ?結語

網絡安全重要程度已經上升到國家層面。然而網絡安全形勢非常嚴峻，例如就連網絡安全設備也未必安全，安全設備漏洞也時有曝出，網絡安全設備都是如此，其他網絡設備、服務器操作系統或應用系統也難幸免，即使規劃了完備的安全防護措施，當一個高危漏洞出現，整個網絡軟硬件系統安全防線將面臨巨大風險。單位中全員網絡安全意識與運維技術人員的應急響應能力與經驗水平，也同等重要。網絡安全多維防御體系網絡安全鏈的最后一環，就是網絡安全鏈每一環必須數據備份，包括安全設備備份、核心交換與路由備份，匯聚與接入交換備份、服務器備份、應用系統備份、數據庫備份，敏感數據必須加密，配合虛擬化技術及存儲技術，結合完備的安全管理制度，打造一個有備無患的網絡安全多維防御體系。