民辦高校網(wǎng)絡(luò)安全等保2.0架構(gòu)設(shè)計(jì)的思考

熊 龍 馮井榮

（云南師范大學(xué)文理學(xué)院 云南·昆明 650221）

1 總體規(guī)劃目標(biāo)

根據(jù)等保2.0的要求，結(jié)合我校的實(shí)際情況，此次網(wǎng)絡(luò)安全防護(hù)體系升級改造的總體規(guī)劃目標(biāo)確定為：建立覆蓋我校多個校區(qū)的“可信、可控、可管”的統(tǒng)一完備的網(wǎng)絡(luò)安全防護(hù)體系。該防護(hù)體系將覆蓋網(wǎng)絡(luò)安全相關(guān)的信息化軟硬件設(shè)施的物理環(huán)境安全、網(wǎng)絡(luò)與通信安全、網(wǎng)站與信息系統(tǒng)安全、智能化系統(tǒng)安全、物聯(lián)網(wǎng)系統(tǒng)安全、各類計(jì)算機(jī)及移動終端安全、攝像頭及顯示系統(tǒng)安全、移動互聯(lián)網(wǎng)應(yīng)用安全、云計(jì)算與云服務(wù)安全、新媒體應(yīng)用安全、數(shù)據(jù)安全及個人隱私信息安全等各個方面，并充分考慮這些系統(tǒng)相關(guān)的安全通用要求和安全擴(kuò)展要求。

2 網(wǎng)絡(luò)安全等保2.0建設(shè)的主要內(nèi)容

最新等保2.0要求“一個中心，三重防護(hù)”，即：一個中心是指安全管理中心，三重防護(hù)是指通信網(wǎng)絡(luò)防護(hù)、區(qū)域邊界防護(hù)、計(jì)算環(huán)境防護(hù)。因此網(wǎng)絡(luò)安全規(guī)劃和設(shè)計(jì)也將圍繞這四個要點(diǎn)來展開。

2.1 安全中心規(guī)劃設(shè)計(jì)

安全中心建設(shè)的重點(diǎn)是對安全統(tǒng)一管理與把控，集中分析與審計(jì)，定期識別漏洞與隱患。安全管理中心設(shè)計(jì)，要求做好：安全管理中心、安全建設(shè)管理、安全運(yùn)維管理。安全管理中心主要包括系統(tǒng)管理、審計(jì)管理、安全管理、集中管理；安全建設(shè)管理主要是指導(dǎo)測試和驗(yàn)收；而運(yùn)維管理主要是及時發(fā)現(xiàn)漏洞和風(fēng)險(xiǎn)管理。具體有以下技術(shù)或手段可供參考：

（1）依照“三權(quán)（管理員、審核員、審計(jì)員）”分離的原則，劃分不同管理角色，并提供集中的身份鑒別、訪問授權(quán)和操作審計(jì)；

（2）通過網(wǎng)絡(luò)軟件、運(yùn)維系統(tǒng)等對網(wǎng)絡(luò)和信息基礎(chǔ)設(shè)施的運(yùn)行狀況進(jìn)行集中監(jiān)控；

（3）通過日志審計(jì)系統(tǒng)，把分散在網(wǎng)絡(luò)中的審計(jì)數(shù)據(jù)進(jìn)行收集匯總，然后進(jìn)行集中分析，對網(wǎng)絡(luò)中存在的安全隱患進(jìn)行事前、事中、事后處理；

（4）對安全策略、惡意代碼、補(bǔ)丁升級等進(jìn)行集中管理；

（5）部署態(tài)勢感知和安全運(yùn)營平臺，支撐安全監(jiān)測、分析、預(yù)警、響應(yīng)、處置、追溯等安全管理和運(yùn)維工作。

圖1：安全管理中心規(guī)劃示意圖

2.2 網(wǎng)絡(luò)區(qū)域劃分與設(shè)計(jì)

網(wǎng)絡(luò)區(qū)域劃分高校平常也在使用，最常見的就是基于VLAN技術(shù)劃分，少部分有能力的高校采用的是防火墻技術(shù)劃分。網(wǎng)絡(luò)區(qū)域劃分可以從以下幾個方面來劃分：

（1）基于防護(hù)等級：把安全等級要求相同或相近的業(yè)務(wù)或重點(diǎn)，劃分到一個區(qū)域，比如典型的內(nèi)網(wǎng)服務(wù)器、DMZ服務(wù)器等；

（2）基于業(yè)務(wù)類型：比如Web應(yīng)用、DB數(shù)據(jù)庫應(yīng)用、App應(yīng)用，可以劃分在不同區(qū)域；

（3）基于網(wǎng)絡(luò)功能：比如辦公樓、教學(xué)樓等可以劃分到不同區(qū)域；

（4）基于應(yīng)用群體：可以劃分為教師、學(xué)生和領(lǐng)導(dǎo)，分別劃在不同的區(qū)域。

無論如何來劃分不同的網(wǎng)絡(luò)區(qū)域，重要的還是要做好不同區(qū)域間的邊界劃分，在核心區(qū)域與其他區(qū)域可以使用網(wǎng)閘或者防火墻做好隔離。

圖2：網(wǎng)絡(luò)區(qū)域規(guī)劃示意圖

2.3 安全通信網(wǎng)絡(luò)設(shè)計(jì)

安全網(wǎng)絡(luò)可以理解為可信賴的網(wǎng)絡(luò)環(huán)境或者說傳輸過程中安全的網(wǎng)絡(luò)，主要可以從兩個層面來理解，一是網(wǎng)絡(luò)系統(tǒng)的安全，即硬件和軟件的安全；二是網(wǎng)絡(luò)中傳輸?shù)母黝愋畔踩？梢詮囊韵聨讉€方面來對計(jì)算機(jī)網(wǎng)絡(luò)安全進(jìn)行考慮，即網(wǎng)絡(luò)的可靠性、網(wǎng)絡(luò)的可用性、網(wǎng)絡(luò)的保密性和網(wǎng)絡(luò)的完整性。在設(shè)計(jì)時候需要考慮以下幾個方面的問題：

（1）滿足業(yè)務(wù)發(fā)展需求。路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)和安全設(shè)備業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要。在設(shè)備選型時，既要考慮當(dāng)前應(yīng)用的實(shí)際，也要考慮未來業(yè)務(wù)擴(kuò)展。

（2）網(wǎng)絡(luò)的可用和可靠性。在通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備和關(guān)鍵計(jì)算設(shè)備的規(guī)劃設(shè)計(jì)上，可以采用雙鏈接雙核心、雙電源雙引等冗余設(shè)計(jì)，確保網(wǎng)絡(luò)關(guān)鍵點(diǎn)不存在單點(diǎn)故障風(fēng)險(xiǎn)（待斟酌）。

（3）區(qū)域安全性。重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間采取可靠的技術(shù)如：VLAN、防火墻等技術(shù)進(jìn)行隔離。

（4）充分考慮網(wǎng)絡(luò)的完整性和保密性。在網(wǎng)絡(luò)設(shè)計(jì)中，使用加密技術(shù)和手段來保證數(shù)據(jù)不被截取和修改。

圖3：安全通信網(wǎng)絡(luò)設(shè)計(jì)示意圖

2.4 安全區(qū)域邊界設(shè)計(jì)

擬定級的系統(tǒng)的安全計(jì)算環(huán)境邊界，即本文所述的安全區(qū)域邊界，是安全的計(jì)算機(jī)環(huán)境與通信網(wǎng)絡(luò)之間的分界，其主要功能是實(shí)現(xiàn)連接，并對安全計(jì)算環(huán)境和通信網(wǎng)絡(luò)間實(shí)現(xiàn)連接的相關(guān)部件。在邊界設(shè)計(jì)時需要考慮的問題較多，具體建議如下：

（1）各區(qū)域間邊界的訪問及其控制。在邊界設(shè)置時，要考慮設(shè)置自主和強(qiáng)制訪問控制機(jī)制，通過定制與訪問要求相適應(yīng)的控制策略，從而控制安全區(qū)域進(jìn)出邊界的數(shù)據(jù)，對非授權(quán)訪問進(jìn)行必要的控制。

（2）區(qū)域邊界過濾。通過對數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議以及請求的服務(wù)等定制控制策略，對上述信息進(jìn)行檢查，從而確定是否對該數(shù)據(jù)包放行或者丟棄。

（3）區(qū)域邊界安全審計(jì)。由安全管理中心集中對安全區(qū)域邊界日志進(jìn)行審計(jì)，以便檢查和發(fā)現(xiàn)違規(guī)行為，并對違反相關(guān)審計(jì)規(guī)則的情況進(jìn)行相應(yīng)的處理。

（4）區(qū)域邊界完整性保護(hù)。通過在區(qū)域邊界設(shè)計(jì)如外接探測軟件一類的探測器，對非法連接到外部或非授權(quán)訪問進(jìn)行探測，并在第一時間向安全管理中心報(bào)告。

具體來說，要做好以下幾個事項(xiàng)：

（1）通過認(rèn)證系統(tǒng)來避免（杜絕）非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡(luò)，確保只有合法授權(quán)的設(shè)備能夠訪問內(nèi)部網(wǎng)絡(luò)；

（2）通過上網(wǎng)行為審計(jì)，對可能存在的外部設(shè)備非法訪問內(nèi)部網(wǎng)絡(luò)或內(nèi)部用戶非法訪問外部網(wǎng)絡(luò)等行為進(jìn)行偵測，對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制；

（3）在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處安裝和部署入侵檢測系統(tǒng)，檢測和防御各種網(wǎng)絡(luò)攻擊行為；

（4）對于 APT攻擊，可以關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處安裝和部署APT，對各種惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱秘通道檢測等多類型未知漏洞（0-day）利用行為的檢測，對網(wǎng)絡(luò)攻擊尤其是新型網(wǎng)絡(luò)攻擊行為進(jìn)行檢測分析；

（5）對于郵件病毒、內(nèi)部或外部垃圾郵件的防治，可以在郵件服務(wù)器上部署安全郵件網(wǎng)關(guān)；

（6）事后追溯。需要安裝和部署日志審計(jì)系統(tǒng)，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行收集、審計(jì)和分析。

2.5 安全計(jì)算環(huán)境設(shè)計(jì)

安全計(jì)算環(huán)境包括以下內(nèi)容：身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)和個人信息保護(hù)等方面的內(nèi)容。通常采取以下措施來提高計(jì)算環(huán)境的安全性：

（1）身份鑒別可以采用口令或生物技術(shù)結(jié)合密碼技術(shù)對用戶進(jìn)行身份鑒別，（單因子或多因子身份認(rèn)證）；

（2）采用基于角色/屬性或安全標(biāo)記的訪問控制技術(shù)對操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用用戶進(jìn)行權(quán)限管理（用戶權(quán)限訪問控制可用認(rèn)證系統(tǒng)或者堡壘機(jī)實(shí)現(xiàn)）；

（3）對可能產(chǎn)生重大影響的用戶行為和安全事件進(jìn)行集中審計(jì)（主機(jī)或服務(wù)器端的行為審計(jì)，常見的是堡壘機(jī)/終端安全管理系統(tǒng)）；

（4）采用漏洞檢測、終端管理結(jié)合補(bǔ)丁管理、終端威脅防御、主動免疫可信驗(yàn)證和主機(jī)加固等技術(shù)保障終端及服務(wù)器等計(jì)算資源的安全（漏掃、終端安全管理系統(tǒng)、主機(jī)加固軟件等）；

（5）采用密碼技術(shù)和容災(zāi)備份技術(shù)等保障重要數(shù)據(jù)的完整性、保密性和可用性（數(shù)據(jù)加密和容災(zāi)備份）；

（6）網(wǎng)頁防篡改（常用WAF來保障）；

（7）敏感數(shù)據(jù)和個人信息保護(hù)（等保2.0把個人信息安全也納入其中，常見實(shí)現(xiàn)方式為認(rèn)證和加密）。

3 網(wǎng)絡(luò)安全設(shè)備配置建議

序號 等保所需要產(chǎn)品與服務(wù) 等保二級 等保三級1 防火墻 是 是2 入侵檢測 是 是3 日志審計(jì) 是 是4 漏洞掃描 是 是5 上網(wǎng)行為管理 是 是6 WFA應(yīng)用防火墻 否 是7 堡壘機(jī) 否 是8 數(shù)據(jù)庫審計(jì) 否 是9 網(wǎng)站防篡改 否 是10 運(yùn)維管理系統(tǒng) 否 是11 網(wǎng)絡(luò)版殺毒軟件 是 是12 未知威脅防御 否 是13 安全流量分析 否 是14 等保一體機(jī) 否 是15 垃圾郵件網(wǎng)關(guān) 否 是16 沙箱系統(tǒng) 否 是17 態(tài)勢感知 否 是18 終端準(zhǔn)入系統(tǒng) 否 是19 VPN網(wǎng)關(guān) 否 是20 虛擬化安全系統(tǒng) 否 是21 網(wǎng)閘 否 是22 動態(tài)防御系統(tǒng) 否 是23 網(wǎng)站監(jiān)測預(yù)警系統(tǒng) 否 是24 備份與恢復(fù)系統(tǒng) 否 是

4 最終網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)

圖4：最終網(wǎng)絡(luò)拓?fù)鋱D

5 總結(jié)及展望

實(shí)踐表明，基于網(wǎng)絡(luò)安全等級保護(hù)2.0標(biāo)準(zhǔn)的多校區(qū)高校網(wǎng)絡(luò)安全防護(hù)體系的規(guī)劃、設(shè)計(jì)及在我校的成功實(shí)施，提高了我校的網(wǎng)絡(luò)安全防護(hù)能力，促進(jìn)了我校網(wǎng)絡(luò)安全穩(wěn)定運(yùn)行，取得了良好的社會效益和經(jīng)濟(jì)效益。隨著整個網(wǎng)絡(luò)安全防護(hù)體系的持續(xù)運(yùn)行和不斷完善，將繼續(xù)推進(jìn)等保2.0在我校網(wǎng)絡(luò)安全領(lǐng)域的落地實(shí)施，為我校網(wǎng)絡(luò)安全奠定更加堅(jiān)實(shí)的基礎(chǔ)。