以風險隔離為核心的網絡安全技術架構研究

尚遵義

（大連交通大學網絡信息中心 遼寧省大連市 116208）

面對日益嚴峻的網絡安全威脅，傳統安全防范技術強調單一產品的功能且不能有效劃分明確的網絡防御層次和安全邊界[1]，忽視統一安全規劃，尤其是安全邊界不清晰極易產生擴散性網絡次生災害，使原本局部入侵轉變為對全網的威脅，產生不必要的影響和數據損失。

因此，為了有效應對網絡安全威脅，需要深入分析和歸類信息化資產，明確網絡安全邊界，建立不同安全等級資產的安全防護策略和縱深技術防御體系，阻止風險在不同安全域間移動。本文提出了傳統網絡安全架構改進的基本路線，從傳統的分層次的防御模式向以風險隔離為重心的模式轉變，最大化降低網絡安全風險的威脅和影響。

1 風險安全域劃分

1.1 網絡邊界劃分原則和策略

網絡安全防御范圍包括基礎網、數據中心、業務系統、用戶端、移動端等多個保護區域。這些區域是在統一架構下緊密聯系的整體，相互間既有垂直的直連縱向關系,又有橫向的間接協作關系，每個區域都有各自的安全等級和安全目標，在網絡安全邊界劃分時，遵循以下原則：

（1）核心業務損失最小化原則。將財務、一卡通、機要政務等核心業務與其它常規業務分離，甚至單向隔離，明確其在數據中心中的訪問邊界，明確安全信任域。

（2）業務和安全等級相近原則。網絡安全域劃分主要以安全等級相同、業務類型或功能相似的服務器、計算機、數據庫、業務系統等為區分，安全域對應信任域。

（3）風險代價平衡原則。理論上安全域劃分越多越好，風險區塊細化，可以更為精細的實施控制策略，但同時會增加策略管理的復雜性，遇到調整時響應速度慢，因此需要在風險控制和管理代價間平衡，盡可能科學分類，在不增加風險的情況下減少安全域的分類數量。

1.2 風險安全域劃分實例

圖1為以高校為例劃分的風險安全域，分為服務域和用戶域，服務域進一步分為以基礎設施為主的網絡硬件、網絡公共服務和以業務系統為主的各大類應用，用戶域按照權限類別分為管理、教學、服務、對象、外協等五類，利用VLAN 和ACL 靈活實現用戶群體與相應權限服務的訪問，并且可以隨時調整策略以滿足不同時期的業務需要。

上述安全域的劃分，歸類相對科學，安全區域邊界清晰，便于實施有差異的安全區域策略，減小安全事件發生時的影響范圍和處理時間，每個區域可以分類部署不同的安全技術措施和安全設備，實施具有針對性的防護。

2 風險隔離的技術路線

安全域隔離技術可分兩類，一類是物理隔離，在本實例中財務和一卡通系統利用網闡等單向傳輸裝置實現與公共網的風險隔離，另一類是邏輯隔離，主要利用防火墻、VLAN、堡壘機、SSL 加密、VPN 隧道等技術實現網絡資源的互訪控制與隔離。本次研究重點在VLAN 技術和策略的應用，因為對于隔離目標而言，VLAN 是最接近物理隔離的邏輯隔離手段。傳統的VLAN基于端口和IP劃分，缺乏不同VLAN ID 組間差異邏輯定義，為適應上述風險安全域劃分的靈活策略實施，采用MUX VLAN 和Super VlAN 技術開展隔離研究，圖2、圖3描述了兩種VLAN 的結構。

2.1 MUX VLAN

MUX VLAN 由 主VLAN（Principal VLAN）和 從VLAN（Subordinate VLAN）組成，其中從VLAN 進一步分兩類，即隔離型從VLAN（Separate VLAN）和互通型從VLAN（Group VLAN）。主VLAN 支持創建VLANIF 接口，接口IP 地址可以用作網關。主VLAN 接口可以和MUX VLAN 所有接口通信。隔離型從VLAN 接口只支持與主VLAN 接口通信。互通型從VLAN 接口支持與主VLAN 接口通信，同組VLAN 用戶間亦可通信，不支持組間或與其它隔離型從VLAN 間通信。

2.2 Super VLAN

Super VLAN由多個Sub VLAN聚合而成，Super VLAN 作為邏輯聚合VLAN 可以創建VLANIF 但不包含物理端口，支持配置Super VLAN 接口IP 地址；SubVLAN 承載物理接入功能，Sub VLAN 間二層通信隔離，Sub VLAN 與外部的三層通信需借助Super VLAN 接口IP 地址作為網關才能實現[2]。同時，不同Sub VLAN內主機如需通信可通過在VLANIF接口開啟Proxy ARP實現。

2.3 VLAN特性融合利用

在校園網辦公區域，利用MUX VLAN 開展安全區域劃分，借助主VLAN 接口與公共服務器通信、隔離型從VLAN 接口與外協用戶通信、互通型從VLAN 接口與教職工用戶通信，教職工用戶可劃分為多個互通型從VLAN，不同組間利用ACL 實現可控的互訪或完全隔離，教職員工和外協用戶可以與公共服務器通信，同組教職工內部互通、外協用戶間隔離、教職工和外協用戶間隔離，同時，外協用戶實現了類似QINQ 的每端口隔離，避免了橫向訪問帶來的安全風險。

在學生宿舍網區域，利用Super VLAN 將校園網最大的用戶群體學生以學院或位置為界限分割成多個Sub VLAN，實現二層隔離，分割廣播域，限制廣播風暴，降低安全事件發生時橫向傳播的范圍，由于所有的Sub VLAN 共享Super VlAN 的網關IP，可以極大程度上節省有限的IPV4 地址資源。

3 風險隔離技術架構設計

在用戶級風險隔離基礎上，將服務和行為隔離綜合納入統一框架，以完成整體風險隔離架構的設計，如圖4所示。

3.1 用戶隔離

即利用上述VLAN 技術將已劃分的安全域進行邏輯隔離，同時利用終端準入、防火墻、VPN 實現不同層面用戶的專屬資源訪問。

3.2 服務隔離

面向全校WEB 業務系統和DNS/WWW/FTP/IPTV/MAIL 等公共服務，通過HTTPS 建立加密隧道隔離中間人竊取或篡改、WAF隔離80 端口的應用層攻擊、虛擬機FW 隔離虛擬機之間的非授權訪問、SDN 隔離數據中心和虛擬化流量、網闡單向傳輸機制物理隔離外網攻擊、主機受到未知攻擊產生損失時可遠程一鍵斷網，上述服務隔離措施確保各項信息化服務安全風險可控。

3.3 行為隔離

部署堡壘機、上網行為管理、網站防篡改、主機加固等技術措施，一方面將網站和信息系統、路由交換等設備的后臺維護界面與前臺顯示界面隔離，隔離所有未經授權的更新行為，記錄所有管理員操作過程，可事后追溯[3]，另一方面對用戶的上網行為進行管控諸如P2P 限流、下載限速、關鍵字過濾、游戲等應用時間控制等，從局端和用戶端兩方面保障運維和上網行為合規，降低人為操作和侵占資源風險。

4 結語

本文從風險隔離的角度對改進傳統網絡安全技術防御架構進行了研究，提出了安全邊界的劃分、風險隔離的技術路線，并在實踐中做了有益的嘗試。目前，網絡安全架構的前沿在零信任網絡（ZTNA），盡管目前落地案例很少，但“不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入系統的人/事/物進行驗證”的思路無疑是具有前瞻性的，后續將繼續開展在零信任網絡領域的研究，不斷提升網絡安全技術防御水平。