基于安全域技術的網絡安全架構設計

劉 宇

1 網絡安全域的定義和劃分方法

1.1 安全域基本概念

安全域劃分與邊界整合是安全工作的基礎。所謂安全域，是指網絡中具有相同的安全保護需求、相互信任并具有相同的安全訪問控制和邊界控制策略的子網或網絡，且相同的網絡安全域共享一樣的安全管理策略。一個安全域可劃分為若干安全子域，安全子域也可進一步劃分。

合理劃分安全域對大型網絡的建設有著重要意義。首先，通過網絡安全區域的清晰定義，梳理網絡架構，明確區域邊界，可以更系統地進行安全規劃，建立縱深防御體系；其次，可加強安全區域管理，增加處置突發威脅事件的緩沖時間；再次，根據安全目標與需求，排列安全防護優先次序，可以經濟有效地合理部署的安全設備；最后，使日常運維、應急處置在業務系統間的管理界面更加清晰，同時可有針對性地部署各類審計設備，提供檢查審核依據。

1.2 網絡安全域劃分的基本方法

按照業務系統劃分，依據業務系統的類別區分不同的網絡安全域。這種劃分方法對現有系統改動最小，但容易重復建設安全防護設備，增加投入成本。

按照防護等級來劃分，根據網絡中信息資產的價值或等級保護備案級別劃分不同的防護等級，相同等級構成相同的網絡安全域。這種劃分有效減少重復投資，體現了安全縱深防御的思想。但由于網絡區域的安全等級與業務特性存在較大差異，對已有系統重新調整整合的難度較大，可能會影響業務系統的正常運營和性能。因此這種方法比較適合新建業務系統。

按照系統行為來劃分，按照信息系統的不同行為和需求來劃分相應網絡安全域，并根據信息系統的等級和特點選擇相應的防護手段。這種方法充分分析承載業務系統的信息系統的情況和外部威脅，對業務系統精準調整，同時兼顧防護等級。但由于要對每一個承載業務的信息系統都進行系統行為分析，前期也需要部署流量分析、日志審計等設備以了解全網各系統的行為，對于信息系統繁多的大型網絡，劃分工作量較大，安全域太細也影響了安全投入的經濟性。

在實際的大型網絡安全域的劃分中往往將以上方法結合起來使用。

2 中南空管局網絡安全現狀

圖1 中南空管局網絡安全架構示意圖

當前中南空管局沒有設置專門的安全區域，不明確各網絡區域、業務系統的安全管理目標，缺少統籌分級規劃，安全設備間也缺乏橫向協作及縱向聯動。整個網絡系統規模大，業務網絡很多，業務主管部門也較多，網絡安全管理有較高的獨立性，業務數據交互日趨增多，結構復雜。管理信息網核心、生產網核心、廣域三套主要防火墻各自承擔了部分系統間的網絡交換功能，另有多套業務系統的邊界防火墻，導致網絡區域之間邊界不清晰，互連互通沒有統一控制規范，沒有明確的層次和區域劃分。業務系統各自為政，與外部網絡存在多個出口，在地點A 存在互聯網出口，在地點A 和地點B 存在與其他單位的外聯出口，在地點C 存在與上級及分支機構的內聯出口，無法統一管理。大多數生產業務使用業務1 的內部網絡鏈路傳輸地點B 與C 間的數據，同時接入內聯網的廣域防火墻位于業務1 與內聯網間的邊界，導致其他生產網業務與內聯網用戶進行數據交互需要穿越無關的業務1 網絡，存在安全隱患。各業務系統與等保測評的建議還存在差距。

3 基于安全域的網絡架構設計方案

中南空管局在保障業務正常運行及效率的前提下，綜合考慮系統信息資產價值、等級保護的要求，確定各安全域的防護等級，部署對應的安全防護體系。其中安全區域邊界的整合與防護是中南空管局網絡架構設計關注的重點。

3.1 安全區域劃分

根據網絡安全域的劃分原則及基本方法，需要調整的關鍵點如下：

新的業務信息系統和網絡建設將在初期依照網絡安全域的規劃進行。當前的網絡安全域規劃需在現有網絡的基礎上進行，受到現有業務和系統的制約。因此網絡安全規劃需在遵循基本原則的基礎上結合業務和功能的特性，如業務系統內部模塊間的關聯性、與外部應用的交互的需求等。還需要考慮業務現狀，如現有網絡拓撲、組網方式、地理位置和機房環境等網絡結構的狀況，以及網絡業務系統管理部門職權劃分等。由于中南空管局不同管理部門的業務系統本身較為獨立，與上級、分支、外部機構或存在各自獨立的網絡，同時業務系統的運行穩定性要求較高，因此安全子域主要以現有業務系統為基礎來劃分，在現狀的基礎上進行調整。

已有多個業務系統經過了等保備案及測評，通過整體評估，存在大量具有共性的安全風險和隱患，類似的需要補強的安全設備和配置規范。因此根據等保差距測評的建議將相同等級或保護需求的業務系統進行歸并整合，規范安全子域的邊界。同時建立安全管理中心，為全網的安全策略及各安全域的安全機制實施統一管理，并與各安全子域中的安全設備形成分級聯動機制。持續性地對于業務系統的流量、訪問關系、系統行為、威脅情況進行評估，將業務系統中的功能區域進行轉化拆分，按照業務特性進行安全設備的部署以及安全策略的應用。

大流量持續性數據流盡量限制在本子域內完成。安全域之間的存在大量的、間歇性數據交換。所以，需要把核心防火墻換為核心交換機。同時考慮到一些安全子域由于歷史原因安全防御手段較弱未知風險較高，因此有必要在核心交換機邊界增加核心防火墻。邏輯上一個子域可能需要跨不同的物理地區。管理上，不同的安全域可能存在不同的安全管理部門，故關鍵安全子域部署獨立防火墻，以便更清晰地落實“誰使用誰負責，誰主管誰負責”的要求。

根據主管部門、管理職能、業務關聯性、安全保護需求、網絡安全互訪信任度、網絡數據流、訪問頻率等因素劃分安全區域，現有的中南空管局網絡安全架構分為核心生產區、核心管理、安全核心區、安全接入、生產交互區、管理交互區、外部區域等七級安全區域。據此，制定縱深防御體系如圖2：

圖2 中南空管局縱深防御體系示意圖

通過該方案可有效梳理業務網絡的邊界，根據業務區域特性有針對性地部署邊界安全設備，強化功能區域之間的網絡交換，保持業務網絡內部管理及應用的獨立性，且具有良好的拓展性。

3.2 網絡結構

1）安全核心區。本方案安全核心區的核心交換機和防火墻均采用了冗余節點設計，采用集群虛擬化技術，在整個虛擬架構內實現控制和數據信息的冗余備份和無間斷的三層轉發，增強了虛擬架構的可靠性和高性能，同時消除了單點故障，避免了業務中斷，保證業務系統整體架構的可靠性。業務系統首先接入到核心防火墻，通過核心防火墻實現業務系統的安全域隔離，并依賴防火墻進行IPS、防病毒以及狀態包過濾等安全防護。

表1

2）安全接入區。為不同業務網絡設立的安全域可能存在不同的安全管理部門，故各安全區域邊界增加下一代防火墻，以便更清晰地落實“誰使用誰負責，誰主管誰負責”的要求。通過訪問策略控制區域內外數據交互，限制非法訪問。也可根據區域功能及流量流向等特性增加IPS，WAF，網頁防篡改，網閘，數據庫審計等安全設備。考慮到現狀，設備可以立舊，區域邊界可以共用防火墻。

3）各安全子區域內部網絡。各安全子域內部跨地區間的互聯主要通過傳輸主干網延伸網絡。傳輸主干網只作為地點ABC 三地之間的傳輸網絡，延伸單個網絡系統于異地，本身不具有網絡交換。因此多個安全級別不相同的子區域系統同時走在同一套傳輸主干網上并沒有數據連通交換的風險。子區域間數據交換依然要回到該子區域邊界安全設備，通過核心網絡交換機進行。通過將內聯網出口放置在外部互聯區，其連接的生產網DMZ 區放置在生產接入區，將業務1 網絡作為核心生產區的單個子區域與安全核心區的核心交換機連接，重新界定各子區域的邊界。業務1 內部網絡只承載業務1 的業務，從而禁止其他子區域間的信息交互需要橫穿業務1 網絡。

4）各生產網新建交互區。新建各生產網交互區，以業1 為例，將與生產并不直接相關的業務移至新建的子區域。該區域可承載其他生產網輔助類、管理類的應用向終端提供服務。雖然該區域目前主要與業務1 子區域進行信息交互，考慮到日后拓展，該子區域應接入核心安全區的核心交換機，與其他子區域進行網絡交換。

3.3 安全等級及主管部門

如表1 所示，橫向為具有大致相同安全等級的安全區域。縱向則為不同的業務系統構成的安全子域。

4 結束語

網絡安全域技術在中南空管局網絡安全架構設計中的應用，將使中南空管局整網中的各業務系統符合等級保護相關標準的要求，完善網絡安全建設的整體水平，提升全網安全防御能力，降低信息系統受攻擊的風險。安全狀態是一個動態的過程，需要不斷完善，基于安全域技術的網絡安全架構也需要在保持相對穩定的基礎上，根據實際安全狀況及需求的變化進行持續地調優和改進。最后，網絡安全需要在技術、管理、使用等方面多管齊下。網絡信息安全建設注重“三分技術，七分管理”，嚴格完善的管理制度是實現網絡安全的前提，系統有效的安全防護技術是保證，認真管理落實才是關鍵。