企業廣域網建設中安全防護設計探究

四川九洲空管科技有限責任公司 張澤亞

在信息化技術高速發展的今天，企業的日常管理、研發生產、市場營收、信息傳遞等應用伴隨著信息化建設日益深入。隨著業務發展的需要，越來越多的企業在不同地域設立新的分支機構，“信息孤島”的弊端越來越明顯：不同的局域網之間相互隔離，分支機構無法使用本部已建設的辦公、科研、財務、公文等各類企業信息化系統，單獨建設又面臨著費用高、重復投資的問題；數據只能靠手工搬運，各類流程效率低下；無法實現異地在線協同辦公和研發；各類數據統計困難，難以實現一體化數據實時采集與分析展現支持企業的決策分析。因此，建立安全、高效的廣域網以滿足業務的不斷發展，成為了眾多企業的迫切愿望。其中，應對異地互聯帶來的威脅和風險是廣域網建設中的重要環節，須按照“同規劃、同設計、同建設、同驗收”的原則同步進行安全防護建設。

本文對企業廣域網的安全防護設計作了初步研究，主要從技術手段和管理手段兩方面加強廣域網的網絡安全和數據安全。

1 網絡與信息安全設計

1.1 遠程聯接設計

隨著近年來通訊技術的發展，網絡運營商異地專線的租賃費用大幅下降，可靠性、速率等指標快速增長。選擇租賃網絡專線來實現企業安全、快速、可靠的異地局域網的互聯互通成為廣域網建設的首選，且該專線須要能夠支持數據、語音、圖像等高質量、高可靠性的多媒體業務。

PTN骨干網環網技術是基于PTN（分組傳送網，Packet Transport Network）技術網絡構建的一種骨干網成環保護網絡技術。

PTN（分組傳送網，Packet Transport Network）是指這樣一種光傳送網絡架構和具體技術：在IP業務和底層光傳輸媒質之間設置了一個層面，它針對分組業務流量的突發性和統計復用傳送的要求而設計，以分組業務為核心并支持多業務提供，具有更低的總體使用成本（TCO），同時秉承光傳輸的傳統優勢，包括高可用性和可靠性、高效的帶寬管理機制和流量工程、便捷的OAM和網管、可擴展、較高的安全性等。

PTN支持多種基于分組交換業務的雙向點對點連接通道，具有適合各種粗細顆粒業務、端到端的組網能力，提供了更加適合于IP業務特性的“柔性”傳輸管道；具備豐富的保護方式，遇到網絡故障時能夠實現基于50ms的電信級業務保護倒換，實現傳輸級別的業務保護和恢復。

廣泛應用于政企專線、銀行、證券等需要作高速業務傳送的行業，適用于任何局域網之間的高速互聯、以及會議電視等圖像業務的傳輸，為客戶提供高速透明的數據傳輸通路。

1.2 邊界安全和訪問控制設計

不同安全級別的網絡進行互聯的時候，一定會產生網絡邊界，只有有效解決網絡邊界的各類問題，加強網絡邊界的安全設計，才能為企業廣域網提供有力的邊界屏障。在互聯的不同局域網各自連接專線邊界入口處上分別部署邊界防火墻，并設置細粒度的訪問控制策略，對系統邊界進行有效管控，保障出入不同局域網數據流量的安全性。

在管理和策略設置上，由企業本部和分支機構對本地的邊界防火墻進行管理維護，原則上禁止本部用戶訪問分支機構內部資源，按照最小化原則授權分支機構用戶訪問本部內網中相應應用系統和軟件資源，其余訪問行為及數據流量一律禁止。

對于存在不同敏感級別信息的網絡進行互聯時，還需考慮信息的安全隔離和交換。在高敏感網絡邊界處部署安全隔離與信息交換系統（網閘），通過安全隔離與信息交換技術應用于高敏感網絡和低敏感網絡之間，攔截TCP/IP數據流，過濾丟棄TCP/IP協議格式，還原上層應用數據，并經過安全處理后，以數據擺渡的方式實現不同敏感級別網絡之間的應用數據安全交換。數據擺渡的方式類似實際生活中的渡船載客，能保證內外網絡在任何時候沒有聯通的電氣連接情況下，實現應用數據的往返傳輸。

1.3 網絡接入設計

企業分支機構的辦公環境往往較為復雜，存在外部人員、外部設備等不可控因素，因此需加強網絡和計算機設備的物理安全管控和接入控制。

將網絡設備鎖入樓層機柜中，系統中暫不使用的網絡接口均不進行接線，保持物理斷開。通過802.1x協議對交換機端口進行控制，并綁定用戶IP、MAC地址等信息，對系統內終端用戶接入非涉密局域網的端口進行安全控制。在用戶接入網絡前，強制檢查終端用戶的IP、MAC等信息，強制實施用戶接入控制策略，拒絕非法用戶（IP、MAC）接入網絡，在保證終端用戶安全接入的前提下，合理控制用戶的網絡行為，提升整網的安全防御能力。

1.4 終端安全防護設計

廣域網中分支機構網絡往往安全級別較低、安全管理松散，終端端口不受控，易引入病毒、木馬、蠕蟲等威脅，需在進行廣域網建設時同步設計終端安全防護。

用戶終端部署網絡版防病毒軟件，統一按本部的防護策略進行病毒與惡意代碼防護。通過終端端口控制系統或帶有該項功能的防病毒系統，對終端用戶的USB類設備、光驅等輸入輸出接口進行監控和控制，防止違規導入未經敏感信息檢查和病毒查殺的數據、導出未經審批確認的內部數據。用戶終端和應用系統通過用戶名+用戶口令的方式進行身份鑒別和認證，對于辦公環境復雜的分支機構網絡還可通過配置USBKEY、寫入身份證書的方式加強身份鑒別力度。

1.5 數據管理防護設計

（1）數據監控

高敏感度的本部網絡，可以部署數據防泄漏系統，通過對動態網絡數據、靜態存儲數據、終端數據進行分析和識別，對各種違規行為執行監控、阻斷等措施，實現對公司核心機密數據的保護和管理。

憑借數據防泄漏系統，運維人員能夠看到異地互聯后的廣域網內哪些數據庫、服務器和臺式機存在敏感數據，能夠定位到個人通過網絡違規發送敏感信息，或復制數據到存儲介質中；運維人員還可以通過攔截包含敏感數據的網絡傳輸執行策略，并且自動化執行信息確認、放行或報警。

（2）數據輸入輸出

在分支機構網絡終端部署網絡版打印復印和光盤刻錄安全監控與審計系統，并安裝網絡打印機和刻錄機，對網絡內所有信息的打印、刻錄輸出進行全過程管控，實現網絡化的審批流程和刷卡輸出，并實現信息輸出審計。授權專人對輸出內容進行審核審批，控制數據出口。

在導入點部署掃描機和導入機，采用導入前單機隔離檢查模式，通過數據檢查工具和殺毒軟件檢查，保障導入廣域網的數據安全可控。

（3）數據內部流轉

通過OA或文件傳輸系統，實現廣域網內數據的內部流轉。由發起人提出申請，經授權人員審批同意后方可網絡傳輸，運維人員可通過定期審計的方式對文件受控情況進行檢查。

2 網絡與信息安全管理設計

2.1 安全策略和制度文件

廣域網存在諸多因素的潛在威脅，在網絡建設初期，就要提前進行現狀分析和預測分析，對網絡安全威脅和可能產生的后果進行預測，從而制定出應對安全漏洞和威脅的安全策略、操作規程和制度文件，對原有的管理體系進行擴展補充。

2.2 安全計劃

對各類風險進行分析，制定應急響應預案并提前進行演練。

2.3 定期審計

運維管理人員須對網絡設備、服務器、應用系統、安全產品和用戶終端定期進行檢查、審計和評估，發現問題隱患并及時整改。

結語：綜上所述，企業廣域網的安全運行面臨的威脅日益復雜，須同步進行安全防護技術和管理建設。廣域網的安全防御是一個動態提升的過程，需要定期審計和評估，分析系統脆弱性和新的風險，調整安全策略，及時引入新的安全防護技術。