單位整體網(wǎng)絡(luò)安全提升方案

■ 江蘇 錢海年

編者按： 隨著企業(yè)網(wǎng)絡(luò)架構(gòu)復(fù)雜度的提升，這給網(wǎng)絡(luò)安全防護帶來很大難題，企業(yè)如何針對具體網(wǎng)絡(luò)應(yīng)用場景下進行有效防護，本文進行了一系列探討，其中包括在傳統(tǒng)園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心、云計算、工控網(wǎng)絡(luò)等網(wǎng)絡(luò)架構(gòu)下，整體提升單位網(wǎng)絡(luò)安全能力。

隨著單位網(wǎng)絡(luò)架構(gòu)的不斷演變，出現(xiàn)了傳統(tǒng)園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心、云計算、工控網(wǎng)絡(luò)等網(wǎng)絡(luò)架構(gòu)并存的局面，架構(gòu)類別的復(fù)雜性也給網(wǎng)絡(luò)安全防護帶來難題。

傳統(tǒng)園區(qū)網(wǎng)

在傳統(tǒng)園區(qū)網(wǎng)架構(gòu)下，每個終端接入的位置都是固定的，企業(yè)對網(wǎng)絡(luò)外部的防御只需使用如防火墻、IDS、IPS等傳統(tǒng)的邊界安全設(shè)備即可構(gòu)建出企業(yè)的馬其諾防線。移動設(shè)備連接的多樣性和方便性很容易將企業(yè)整體網(wǎng)絡(luò)的邊界進行連接廣度上的擴展和連接深度上的延伸，網(wǎng)絡(luò)安全威脅源在傳統(tǒng)的互聯(lián)網(wǎng)出口區(qū)域，內(nèi)部有線PC的基礎(chǔ)上，增加了WiFi接入點、移動終端、遠程接入等多個點，原來網(wǎng)絡(luò)的安全邊界被打破。

網(wǎng)絡(luò)安全的無邊界使得傳統(tǒng)基于物理位置的單點防御、邊界防護思想越來越難以奏效。同時，近年來由于用戶對關(guān)鍵業(yè)務(wù)的安全防護措施不斷完善，黑客攻擊目標趨向于從傳統(tǒng)直接攻擊服務(wù)器轉(zhuǎn)向攻擊安全較薄弱的內(nèi)網(wǎng)客戶端，以客戶端為跳板再向服務(wù)器滲透。接入端安全逐漸成為內(nèi)部網(wǎng)絡(luò)安全的關(guān)鍵點。

傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)

在傳統(tǒng)的數(shù)據(jù)中心中，安全防護通常是通過在安全域入口部署專用的安全設(shè)備來實現(xiàn)。在云計算模式下，傳統(tǒng)一勞永逸的防護方案就不那么奏效了。

一方面，各租戶的業(yè)務(wù)和流量存在很大的差異，如果單純的在入口進行安全防護，既難做到租戶之間的區(qū)分，同時也會在一定程度上加大安全設(shè)備的負載，增大網(wǎng)絡(luò)故障的風險。另一方面，云環(huán)境使得網(wǎng)絡(luò)邊界變得不像物理數(shù)據(jù)中心那么清晰，很難進行固定安全域的劃分，同時東西向流量又占據(jù)了很大比重，因此機房內(nèi)部的流量攻擊是傳統(tǒng)入口部署方式防護不了的。

傳統(tǒng)工控網(wǎng)絡(luò)

工業(yè)控制系統(tǒng)（ICS）在傳統(tǒng)上憑借封閉的專有協(xié)議，以及與外部其他網(wǎng)絡(luò)環(huán)境相獨立，系統(tǒng)在最初的設(shè)計時，并沒有把自身的安全性作為主要的考慮目標，與之配套的安全控制機制普遍設(shè)計不足，其安全保障并未得到應(yīng)有的足夠重視。

伴隨著工業(yè)化與信息化的融合，信息技術(shù)已經(jīng)成為工業(yè)系統(tǒng)的重要支撐力量，隨著工業(yè)互聯(lián)網(wǎng)應(yīng)用的推進，企業(yè)智能制造的實現(xiàn)要求將工業(yè)生產(chǎn)數(shù)據(jù)以及工業(yè)設(shè)備自身運行數(shù)據(jù)上傳至云平臺進行大數(shù)據(jù)分析，以進一步指導(dǎo)企業(yè)生產(chǎn)智造。工控網(wǎng)絡(luò)越來越來的與外部網(wǎng)絡(luò)建立了數(shù)據(jù)通道，而隨之而來的，安全威脅和安全風險顯著提高。

通過外聯(lián)安全、內(nèi)連安全、數(shù)據(jù)中心安全、工控網(wǎng)絡(luò)接入和互聯(lián)安全以及全網(wǎng)安全協(xié)防，構(gòu)建點面結(jié)合、內(nèi)外結(jié)合、重點與全網(wǎng)結(jié)合、預(yù)防與處理結(jié)合的網(wǎng)絡(luò)安全體系，實現(xiàn)在無邊界網(wǎng)絡(luò)環(huán)境下的全網(wǎng)整體安全，如圖1所示。

1.內(nèi)連安全，攘外必先安內(nèi)，消除城堡內(nèi)部漏洞

2.外聯(lián)安全，協(xié)同作戰(zhàn)，消除各類安全問題來源

3.數(shù)據(jù)中心安全，利用云安全（針對云數(shù)據(jù)中心）和下一代防火墻（針對傳統(tǒng)數(shù)據(jù)中心）防護體系，實現(xiàn)動態(tài)、集成的防護，保證核心資源安全

4.工控網(wǎng)絡(luò)安全，根據(jù)《工業(yè)控制系統(tǒng)信息安全防護指南》在網(wǎng)絡(luò)層面的指導(dǎo)，利用工控防火墻、工控入侵檢測和防御及漏掃系統(tǒng)、工控安全審計系統(tǒng)進行安全區(qū)域劃分和隔離以及數(shù)據(jù)分析和處理。

圖1 無邊界網(wǎng)絡(luò)環(huán)境下的全網(wǎng)整體安全

內(nèi)連安全

為有效應(yīng)對無邊界網(wǎng)絡(luò)和移動終端帶來的安全問題，同時解決傳統(tǒng)PC存在的各類問題（病毒、漏洞、無權(quán)限管控），實現(xiàn)接入端的安全，設(shè)計利用網(wǎng)絡(luò)準入系統(tǒng)和企業(yè)網(wǎng)絡(luò)版防毒系統(tǒng)以實現(xiàn)統(tǒng)一的、一體化的管理方法。具體的規(guī)劃設(shè)計在以下幾個方面進行重點考慮：

1.實現(xiàn)的功能

（1）應(yīng)對訪問的終端設(shè)備進行管理。由于目前終端設(shè)備的種類紛繁復(fù)雜，必須能夠清晰的識別出訪問資源的是什么設(shè)備，它的安全狀況如何。同時還需要對設(shè)備進行標識，防止設(shè)備的偽造。

（2）對訪問人員進行身份識別。人是信息資源訪問的主體，必須要能夠確定訪問資源的是何人，避免非法用戶擅自訪問信息資源。

（3）對訪問者進行授權(quán)管理。通過授權(quán)可以控制對資源的訪問。良好的授權(quán)管理能最大限度的保護企業(yè)網(wǎng)絡(luò)信息資源，避免非授權(quán)訪問和敏感信息泄露。

（4）對訪問行為進行監(jiān)控。細致的訪問監(jiān)控可以及時發(fā)現(xiàn)異常情況，在出現(xiàn)安全事件后還可以進行事后追溯。

（5）移動終端和傳統(tǒng)PC終端安全管理手段集成，實現(xiàn)移動終端和傳統(tǒng)終端的一體化管理。如圖2所示。

2.規(guī)劃設(shè)計

（1）全網(wǎng)的透視和終端的發(fā)現(xiàn)

在傳統(tǒng)的網(wǎng)絡(luò)中，網(wǎng)絡(luò)結(jié)構(gòu)都是由網(wǎng)絡(luò)管理員進行規(guī)劃的，當出現(xiàn)變動時，管理員一定是第一個知道的。

然而隨無邊界網(wǎng)絡(luò)的出現(xiàn)，如筆者單位內(nèi)部網(wǎng)絡(luò)中存在大量無線路由器、WiFi、雙網(wǎng)卡，將網(wǎng)絡(luò)隨意的就擴展到了圍墻之外，內(nèi)部網(wǎng)絡(luò)被打出了無數(shù)個缺口。

利用網(wǎng)絡(luò)準入系統(tǒng)，可實現(xiàn)第一時間直觀、快速、準確的獲知當前網(wǎng)絡(luò)延展的情況，以及每個網(wǎng)絡(luò)邊緣連接的終端，而不論這個終端是PC還是移動終端。一旦發(fā)現(xiàn)有非授權(quán)的網(wǎng)絡(luò)延展和終端就可以快速定位并進行隔離處理。

（2）根據(jù)終端設(shè)備的類型自動區(qū)分并進行設(shè)備標定

隨著“everything over IP”、“IP over everything”的進一步應(yīng)用加深，單位內(nèi)部網(wǎng)絡(luò)中形成了多種終端的混合應(yīng)用。對于千變?nèi)f化的IP終端，如果不能自動區(qū)分類型，不能進行有效的設(shè)備標定，那么就無法阻止非法的各種終端的接入，安全也就無從談起了。

圖2 實現(xiàn)統(tǒng)一的、一體化的管理方法

由于MAC地址極易被偽造，因此在進行設(shè)備識別和標定時，不能單純采取MAC地址的記錄和比對。利用網(wǎng)絡(luò)準入系統(tǒng)，對各種IP設(shè)備進行外部“非介入”的掃描，獲取到該設(shè)備的指紋特征信息，并與準入系統(tǒng)強大的設(shè)備指紋特性庫進行比對，實現(xiàn)自動發(fā)現(xiàn)該設(shè)備的類型，進行歸類記錄。

（3）各類終端的安全接入，將安全隱患杜絕在網(wǎng)絡(luò)之外

利用網(wǎng)絡(luò)準入系統(tǒng)，對所有接入終端在病毒控制、補丁更新、權(quán)限控制、軟件控制、安全設(shè)置等方面進行入網(wǎng)前的規(guī)范管理，實現(xiàn)不安全不入網(wǎng)，入網(wǎng)即安全。

（4）集成化的管理方案

不論是傳統(tǒng)終端設(shè)備，還是移動終端，需要提供的管理方式方法都不一樣，所針對的側(cè)重點也不同。但是由于都是連接到同一個網(wǎng)絡(luò)中，彼此又存在千絲萬縷的聯(lián)系。利用網(wǎng)絡(luò)準入系統(tǒng)，提供一個整體、集成的方案進行管理。遵循“透視網(wǎng)絡(luò)”-“發(fā)現(xiàn)設(shè)備”-“授權(quán)標定”-“分而治之”-“統(tǒng)一統(tǒng)計查詢”的過程。

外聯(lián)安全

設(shè)立園區(qū)網(wǎng)外聯(lián)區(qū)域，在外聯(lián)區(qū)部署安全系統(tǒng)，主要包括下一代防火墻系統(tǒng)、上網(wǎng)行為管理系統(tǒng)、病毒過濾系統(tǒng)和入侵防御及DDoS防護系統(tǒng)、IP地址轉(zhuǎn)換系統(tǒng)，通過縱深防御，為單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間設(shè)置一道有效的安全屏障，以充分保護企業(yè)內(nèi)部網(wǎng)絡(luò)不受外部侵襲，同時規(guī)范內(nèi)部網(wǎng)絡(luò)用戶上網(wǎng)行為，符合國家法律法規(guī)要求。

1.下一代防火墻

專注于威脅防御，將多種功能完全集于一身，采用統(tǒng)一管理，可在攻擊前、攻擊中和攻擊后提供有效的高級威脅防護。主要功能包括應(yīng)用可視性與可控性、IPS、面向網(wǎng)絡(luò)的高級惡意軟件防護以及URL過濾功能。同時具備傳統(tǒng)防火墻的功能，包括VPN功能和訪問控制，通過安全區(qū)域劃分，將網(wǎng)絡(luò)劃分為多個安全區(qū)域，包括內(nèi)部區(qū)域、互聯(lián)網(wǎng)區(qū)域、DMZ區(qū)域等，通過設(shè)置各個區(qū)域的安全級別以及各區(qū)域間的訪問控制策略，實現(xiàn)各區(qū)域之間的安全訪問。

2.上網(wǎng)行為管理

主要用作應(yīng)用控制、帶寬限制、帶寬保證和上網(wǎng)行為審計。利用動態(tài)流控功能動態(tài)調(diào)節(jié)流控策略，智能分配空閑時帶寬資源。

該系統(tǒng)對所有流經(jīng)該設(shè)備的下行和上行流量進行管控，對各個內(nèi)部子網(wǎng)進行帶寬和優(yōu)先級的設(shè)置，可保證最低帶寬、限制最高帶寬、設(shè)置單個IP地址最大帶寬值并丟棄BT等，保證內(nèi)部員工正常訪問互聯(lián)網(wǎng)。

通過應(yīng)用、內(nèi)容的識別和控制，可精確實現(xiàn)對外網(wǎng)訪問的控制；通過審計功能，可詳細記錄內(nèi)部員工的外網(wǎng)訪問行為并保存，以符合國家相關(guān)法律法規(guī)的要求。

3.病毒過濾系統(tǒng)和入侵防御及DDoS防護系統(tǒng)

對進入和離開內(nèi)部網(wǎng)絡(luò)的流量進行檢測和清洗，阻斷潛在的各類病毒和惡意攻擊。

集成沙箱功能，可以有效抵御分布式拒絕服務(wù)攻擊(DDoS)、未知的蠕蟲、流氓流量和其他零日攻擊，有效應(yīng)對日益增加的APT攻擊，發(fā)現(xiàn)0day漏洞攻擊和未知惡意軟件，實現(xiàn)對已知攻擊和未知攻擊檢測并防御的融合。

利用流式病毒掃描技術(shù)，實時跟蹤熱點病毒，實現(xiàn)小時級別的熱點病毒更新服務(wù)。區(qū)別于傳統(tǒng)的基于文件型的防病毒技術(shù)，流式掃描技術(shù)對網(wǎng)關(guān)的性能幾乎無任何損耗。

通過基于實時的信譽機制，結(jié)合企業(yè)級和全球信譽庫，可有效檢測惡意URL、僵尸網(wǎng)絡(luò)，保護用戶在訪問被植入木馬等惡意代碼的網(wǎng)站地址時不受侵害，第一時間有效攔截Web威脅，并能及時發(fā)現(xiàn)網(wǎng)絡(luò)中可能出現(xiàn)的僵尸網(wǎng)絡(luò)主機和C&C連接。

4.IP地址轉(zhuǎn)換系統(tǒng)

該設(shè)備用作Internet接口的NAT（地址轉(zhuǎn)換），使單位內(nèi)部網(wǎng)用戶使用私有IP地址訪問外部網(wǎng)絡(luò)。對外界網(wǎng)絡(luò)用戶來說，訪問全部是來自于負載均衡設(shè)備轉(zhuǎn)換后的地址，并不知道是來自內(nèi)部網(wǎng)的某個地址，能夠有效的隱藏內(nèi)部網(wǎng)絡(luò)的拓撲結(jié)構(gòu)等信息。

數(shù)據(jù)中心安全

1.傳統(tǒng)數(shù)據(jù)中心架構(gòu)環(huán)境

在數(shù)據(jù)中心核心交換機與園區(qū)網(wǎng)核心交換機之間部署下一代防火墻系統(tǒng)，在提供傳統(tǒng)防火墻、身份認證、Anti-DDoS等基礎(chǔ)防御功能外，同時支持IPS、反垃圾郵件、Web安全、應(yīng)用控制等專業(yè)安全功能，利用多方位的安全特性對數(shù)據(jù)中心提供全方位的安全防護。

2.云數(shù)據(jù)中心環(huán)境

從傳統(tǒng)數(shù)據(jù)中心的安全防護來看，通常安全設(shè)備所提供的防護能力，包括掃描類（比如系統(tǒng)漏掃、Web漏掃、配置核查等）的安全服務(wù)和網(wǎng)關(guān)類（比如防火墻、入侵防御、入侵檢測等）的安全服務(wù)。

基于云計算的虛擬化安全防護，業(yè)務(wù)對于安全防護的需求，在本質(zhì)上并沒有發(fā)生變化，安全防護的手段也沒有發(fā)生實質(zhì)性的變化。其不同之處在于虛擬化環(huán)境下，業(yè)務(wù)的流量更復(fù)雜，防護的方式更加的多元化、復(fù)雜化。

業(yè)務(wù)部署云化之后，其流量主要包括三個方面：公網(wǎng)訪問云平臺內(nèi)部業(yè)務(wù)的流量（南北向流量）；同一個租戶不同子網(wǎng)之間的訪問流量；租戶同一個子網(wǎng)不同虛擬主機之間的訪問流量（東西向流量）。

針對上述3種流量的安全防護，設(shè)計采用獨立于云平臺的安全資源池技術(shù)（可稱之為彈性的安全云）來實現(xiàn)，通過部署安全云（所有安全資源池化，可以是傳統(tǒng)的硬件安全設(shè)備，也可以是虛擬化的安全設(shè)備）并利用SDN技術(shù)，可以動態(tài)的將待防護流量牽引到安全云，安全云對其進行清洗完畢后，會將流量再送回至SDN網(wǎng)絡(luò)，保證業(yè)務(wù)的正常運行。

安全云分布式的部署在用戶云平臺所在的每一個數(shù)據(jù)中心內(nèi)部，實現(xiàn)安全防護的就近選擇。這種彈性的安全云主要功能包括：

圖3 工控網(wǎng)絡(luò)安全防護邏輯關(guān)系

流量處理靈活。既可以實現(xiàn)南北向流量的安全防護，又可以實現(xiàn)東西向流量的防護。

與云平臺解耦。安全設(shè)備的形態(tài)既可以是傳統(tǒng)的硬件盒子，也可以是虛擬化的安全設(shè)備實例。設(shè)備部署不依賴于云平臺，并且可以集成眾多廠商設(shè)備，共同組成這朵安全云。

彈性擴充和收縮。由于安全云內(nèi)部擁有眾多的虛擬化安全設(shè)備實例，因此，可以根據(jù)用戶防護任務(wù)的壓力大小，動態(tài)的實現(xiàn)安全云朵的擴張與收縮。既滿足的防護需求，同時又可以做到綠色環(huán)保。

負載均衡與高可用。彈性的安全云根據(jù)各安全設(shè)備負載大小，動態(tài)的對安全防護任務(wù)分布進行負載均衡，保證每一項防護任務(wù)的防護性能和防護效果。同時還可以據(jù)此實現(xiàn)防護服務(wù)的高可用。

安全服務(wù)編排。由于用戶流量的安全防護均在安全云內(nèi)進行，因此可以針對不同的流量特性，對其進行自動化的服務(wù)編排，實現(xiàn)多種安全防護的智能組合，使得防護更加精準與安全。

工控網(wǎng)絡(luò)安全

《工業(yè)控制系統(tǒng)信息安全防護指南》中所提出要求包含安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責任共十一小節(jié)，共三十一條內(nèi)容，邏輯關(guān)系如圖3所示。

解讀《工業(yè)控制系統(tǒng)信息安全防護指南》，總結(jié)在網(wǎng)絡(luò)連接和數(shù)據(jù)監(jiān)測層面的指導(dǎo)措施主要包括了以下幾點：

（1）涉及企業(yè)信息網(wǎng)絡(luò)(生產(chǎn)管理層、信息管理層)和企業(yè)生產(chǎn)網(wǎng)絡(luò) (過程監(jiān)督層、過程控制層)的數(shù)據(jù)交互明確了防護措施。除了指出禁止沒有防護的工業(yè)控制網(wǎng)絡(luò)與互聯(lián)網(wǎng)連接，還提供了具體的邊界安全防護手段，例如規(guī)定將工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境進行分離，通過工業(yè)控制網(wǎng)絡(luò)邊界防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護，通過工業(yè)防火墻、網(wǎng)閘等防護設(shè)備對工業(yè)控制網(wǎng)絡(luò)安全區(qū)域之間進行邏輯隔離安全防護。

（2）涉及企業(yè)信息網(wǎng)絡(luò)向企業(yè)生產(chǎn)網(wǎng)絡(luò)的遠程訪問安全，防護指南參考了電力等相對發(fā)展成熟行業(yè)中已經(jīng)采用并得到檢驗的技術(shù)手段，如嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風險通用網(wǎng)絡(luò)服務(wù)；確需遠程訪問的，采用數(shù)據(jù)單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。

（3）規(guī)定了需要在工業(yè)控制網(wǎng)絡(luò)部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，報告并處理網(wǎng)絡(luò)攻擊或異常行為；在重要工業(yè)控制設(shè)備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設(shè)備，限制違法操作；定期對工業(yè)控制系統(tǒng)的應(yīng)急響應(yīng)預(yù)案進行演練。另外，防護指南還特別指出需要保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志，并對操作過程進行安全審計。

通過對指南的解讀和總結(jié)，結(jié)合企業(yè)實際情況，可通過下述方案對工控網(wǎng)絡(luò)進行安全防護：

在企業(yè)工業(yè)控制網(wǎng)絡(luò)區(qū)域中部署工業(yè)防火墻，通過工業(yè)防火墻對安全區(qū)域之間進行邏輯隔離安全防護，包括對重要工業(yè)控制設(shè)備的安全防護。工業(yè)防火墻應(yīng)能提供針對工業(yè)協(xié)議的數(shù)據(jù)級深度過濾，實現(xiàn)對Modbus、OPC等主流工業(yè)協(xié)議和規(guī)約的細粒度檢查和過濾，阻斷來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，限制違法操作，避免其對控制網(wǎng)絡(luò)的影響和對生產(chǎn)流程的破壞。

在企業(yè)工業(yè)控制網(wǎng)絡(luò)區(qū)域與企業(yè)網(wǎng)或互聯(lián)網(wǎng)區(qū)域之間部署工業(yè)防火墻或網(wǎng)閘設(shè)備，解決控制網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題，解決控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護的問題。

對于確需遠程維護的工作站，可通過工業(yè)防火墻自帶的VPN等安全接入方式進行連接。

在確需使用USB、光驅(qū)、無線等接口的情況下，通過工控終端管控系統(tǒng)對外設(shè)進行嚴格的訪問控制，工控終端管控系統(tǒng)還可兼具防病毒及應(yīng)用程序白名單功能，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。

在工業(yè)控制網(wǎng)絡(luò)區(qū)域部署網(wǎng)絡(luò)安全監(jiān)測設(shè)備，例如工控入侵檢測系統(tǒng)、工控安全審計系統(tǒng)，從而及時發(fā)現(xiàn)、報告并處理網(wǎng)絡(luò)攻擊或異常行為。安全監(jiān)測設(shè)備應(yīng)能識別多種工控協(xié)議，適應(yīng)攻防的最新發(fā)展，準確監(jiān)測網(wǎng)絡(luò)異常流量，自動應(yīng)對各層面安全隱患，通過對相關(guān)工控協(xié)議進行解析，發(fā)現(xiàn)潛在異常行為，并在第一時間進行告警。