大中型企業網絡安全架構設計

■河北 張青 張明儒

隨著“大、云、物、移、智、鏈”等先進信息通信技術的發展，大中型企業信息化水平不斷提高，但是在信息化水平給公司帶來便利的同時，網絡安全形式日益嚴峻。

為此，本文從網絡安全需求、網絡安全架構方案設計兩個方面進行介紹，為大中型企業網絡安全方案架構設計提供參考依據。

圖1 兩地三中心

網絡安全需求

在網絡安全方案設計之前，首先要明確網絡的安全需求。網絡安全最基本的也是最重要的需求是業務系統、網絡設備、服務器以及終端能夠正常運行，當出現個別設備遭到攻擊后，能夠保證網絡系統繼續運行，不能出現網絡安全事件范圍的擴大化。

另外，在進行網絡安全需求分析時，應當提倡適度安全，不能嚴重影響系統的正常運行。

一般對于大多數中小型企業用戶來說，由于用戶存儲的信息大多是非涉密信息，因此，只提供普通的安全保障技術措施即可。

但是對于某些特殊企業（如國家電網公司、發電廠、國家鐵路集團公司等），網絡中存在涉密、敏感信息，在企業網絡方案設計時，一定要考慮安全的方案設計，對網絡所承載的業務信息進行嚴格的安全限制，采取嚴格的技術措施（如內外網物理隔離網閘）來保證企業資料的安全訪問和輸出，核心設備建議選用國產品牌設備。

網絡安全架構方案設計

網絡安全架構體系設計可按層次分為管理安全、應用數據安全、網絡安全、操作系統安全及物理安全。

1.管理安全

管理安全確保各類人員按照規定的職責行事，做到各行其責、避免網絡與信息系統責任事故的發生，防止惡意的侵犯。管理安全采取的手段主要是通過健全一系列安全管理規章制度，加強人員管理，進出信息機房必須登記許可，在操作設備前，必須進行安全交底，并開工作票。

2.應用數據安全

應用數據安全主要保證各類應用軟件和數據的安全，其中數據的安全在網絡架構設計時必須著重考慮。數據安全應考慮以下幾個方面。

圖2 網絡安全架構方案

一是磁盤陣列RAID 的選擇。存儲設備設計時在考慮到存儲容量的同時，也應考慮安全性、數據恢復性、數據保護性等，磁盤陣列可以采用性能與可靠性都不錯的RAID10 或RAID5，相比RAID5，RAID10 的性能更高，對于數據庫系統建議采用RAID10，備用服務器建議采用RAID5 的方式。

二是應健全定期數據備份制度，并定期驗證數據。完全、增量及差分三種備份方式相結合使用，可以發揮出最佳的效果。

三是對于某些特殊企業，如國家電網公司和發電集團，可以從集團層面進行數據的災備，如建設兩地三中心，即主數據中心、同城災備及異地災備中心，通過建設環形結構，不但節約成本，還一定程度上提供冗余保護，如圖1 所示。

3.網絡安全

網絡安全確保系統各網絡區域間的隔離防護采取的訪問控制、入侵檢測及防御、防火墻、身份認證、安全審計及路由安全等措施。本文把網絡安全主要分為以下幾個區域，安全防護區、安全管理區、安全隔離區。

網絡安全方案架構如圖2 所示。

（1）安全防護區

安全防護區主要是實現內外網絡隔離及其防御控制。在該區域所配置的設備主要包括防火墻、入侵防御系統以及防DDoS 攻擊主機等。

防火墻通過配置安全策略實現內外網網絡隔離和訪問權限控制。網絡中的防火墻位置可放置于接入互聯網的路由器之前，也可將其放置于網絡的核心層，以提高內部網絡用戶的使用體驗，串接于網絡中。

防火墻主要分為三部分，分別是安全級別最高的內網網絡、提供對外服務的DMZ、安全級別最低的外部網絡。為保證安全，在DMZ 與內網之間部署內部防火墻，實行嚴格的訪問限制；在DMZ 與外網之間部署外部防火墻，施加較少的訪問限制，除非禁止，都被允許；而在內部網絡中，除非允許，其余則被禁止。

入侵防御系統主要實現內網網絡的攻擊防御，并可以與防火墻聯動。入侵防御系統一般串接在業務服務器區域或者重要業務系統的網絡出口處，主要實現應用層的安全防護，通過匹配特征庫，對入侵活動和攻擊性網絡流量進行實時攔截。

防DDoS 攻擊主機主要保證正常的網絡請求。DDoS 攻擊的特點是收到大量源地址各異、用途不明的數據包，導致計算機耗盡TCP 連接數或CPU 有效時間或網絡帶寬等，導致不能響應正常的請求。為此，為了避免出現以上問題，可以配置防DDoS 攻擊主機。

WAF（Web 應用防火墻），防止SQL 注入，一般通過基于HTTP/HTTPS 的安全策略進行網站等Web 應用防護。

（2）安全管理區

安全管理區主要實現公司網絡系統的統一管理和監測、記錄并分析網絡的運行狀態，主要包括網管系統、上網行為管理設備、網絡準入設備、漏洞掃描設備、日志審計系統、安全審計系統等。

其中，網管系統、網絡安全準入設備、漏洞掃描設備、日志審計系統以及安全審計系統以旁路模式部署，上網行為管理串接在網絡系統中。

（3）安全隔離區

安全隔離區實現內外網數據的物理隔離，包括數據過濾系統、網閘及安全接入網關。通過網閘分時實現內外網數據的交互；通過數據過濾系統分離出信任數據和非信任數據；安全接入網關分為數據安全接入網關和視頻接入網關設備。

4.操作系統安全

操作系統安全主要包括網絡操作系統自身安全（如系統漏洞補丁、訪問控制權限及身份認證等）、系統的正確配置、防范病毒木馬及系統數據庫容災等。

5.物理安全

物理安全需要確保物理設備及基礎運行環境不受有意或無意破壞的防護措施，確保設備運行安全，包括溫度、濕度、電源、煙感、溫感、消防、防雷、防盜及防小動物等。

結論

本文主要從網絡安全需求、網絡安全架構方案設計二個方面介紹大中型企業網絡安全方案架構設計，其中網絡安全架構方案設計包括管理安全、應用數據安全、網絡安全、操作系統安全以及物理環境安全。希望本文的提出，能夠對大中型企業網絡安全架構設計提供一定的參考依據。