基于等級保護2.0的中小型企業網絡安全建設研究

陳 勛，張德棟，趙英明，馮凱亮

（中國鐵道科學研究院集團有限公司 電子計算技術研究所，北京 100081）

近年來，國內外的網絡安全形勢較為嚴峻，網絡攻擊的組織性和目的性愈加凸顯。高級持續性威脅（APT,Advanced Persistant Threat）攻擊逐步向重要行業滲透[1]，安全漏洞更加頻繁地被利用[2]，勒索攻擊威脅突破歷史最高點[3]。中國于2020年首次超過美國、韓國、中東等國家和地區，成為全球APT攻擊的首要地區性目標[4]，網絡安全早已成為關系國家安全的重要領域。

我國在國家層面已開始提高對網絡空間安全的重視，并陸續發布了《中華人民共和國網絡安全法》《中華人民共和國密碼法》《信息安全技術網絡安全等級保護基本要求》（簡稱：等級保護2.0）等法律法規。國內的各行各業陸續開展網信自主創新產業，圍繞核心芯片、基礎硬件、操作系統、中間件、數據服務器等基礎信息技術（IT,Information Technology）底層架構，逐步進行國產化設備替代。加強網絡安全建設，優先采用國產化軟硬件設備來實現網信安全可靠，已成為企業信息化建設的首要任務。

許多企業按照《信息安全技術信息系統安全等級保護基本要求》（簡稱：等級保護1.0）的要求，建成了網絡安全防護體系。如今，滿足等級保護1.0要求的網絡安全防護體系已經不滿足等級保護2.0的要求，且設備老舊，這使其無法滿足日益增長的信息化安全和性能要求，因此，不少企業已經陸續啟動網絡安全改造工程的計劃。目前，已有企業進行網絡安全的相關學術研究，大部分是以等級保護1.0為標準，通過優化網絡結構和部署各類網絡安全設備來提升企業網絡安全水平[5-6]；也有使用數據融合算法和云存儲策略等方式強化云安全防護的研究[7]。但以等級保護2.0為建設目標，側重未知威脅感知預警，滿足企業園區網絡環境、云平臺、移動設備等企業全方位安全的研究成果較少。本文以此為目標，圍繞通信網絡、區域邊界、計算環境、管理中心、云安全、移動安全等方面，提出滿足當前與未來幾年網絡安全防護需求的建設方案。

1 網絡安全現狀與風險分析

各中小企業的網絡架構與網絡安全現狀不盡相同。在網絡架構方面，企業一般采用包含外網和內網的典型網絡架構，其中，外網與互聯網相連；內網包含企業重要的敏感信息，與互聯網不相連。內網和外網之間通過網閘或物理方式進行隔離。在信息系統方面，企業一般在內外網都部署了信息系統，等級保護級別通常被定級為第二級或第三級，因此，本文按照等級保護2.0第三級的要求對企業所面臨的網絡安全風險進行分析。

1.1 安全通信網絡

安全通信網絡的風險主要包括以下方面。

（1）安全域劃分：現有的安全域規劃無法滿足網絡安全需求，主要體現在缺少集中的安全管理區域和開發測試區域。

（2）安全通信網絡：部分關鍵節點缺少硬件冗余，存在單點故障的風險。

（3）網絡性能：網絡鏈路存在部分設備沒有部署雙機的情況。

（4）設備國產化：關鍵鏈路存在采用國外網絡設備的情況。

1.2 安全區域邊界

安全區域邊界的風險主要包括以下方面。

（1）在安全區域之間的邊界防護方面，沒有確保每個區域之間設置訪問控制手段。現有防火墻的訪問控制列表無法保證控制規則最優化和規則數量最小化。

（2）終端接入區攻擊行為的檢測與報警手段缺失，整個網絡缺少對未知威脅攻擊的檢測與分析手段。

（3）網絡的關鍵節點缺少重要的安全事件審計手段。

（4）有線網絡與無線網絡的邊界之間缺少無線接入網關，使有線流量與無線流量混在一起無法區分。

（5）無線網絡的邊界缺少非授權接入及攻擊檢測手段。

（6）部分邊界防護系統存在采用國外安全設備的情況。

1.3 安全計算環境

安全計算環境的風險主要包括以下方面。

（1）身份認證：雖然能夠為部分系統提供雙因子身份認證，但是缺少為整個網絡提供雙因子認證的身份鑒別措施。

（2）脆弱性檢查：缺少對關鍵節點的網絡設備、安全設備、服務器的安全基線檢查和漏洞檢查手段。

（3）數據安全：缺少對數據庫的安全審計措施。

（4）應用安全：缺少網頁防篡改的自動恢復手段。

1.4 安全管理中心

安全管理中心的風險主要包括以下方面。

（1）審計：缺少能夠對系統管理員、審計管理員和安全管理員進行身份鑒別和運維操作的審計措施。

（2）集中管理：缺少對網絡鏈路、安全設備、網絡設備、服務器等運行狀況進行集中監測和管理的技術手段。

1.5 云安全防護

云安全防護存在防護能力不足的問題，缺少對云服務客戶發起的網絡攻擊行為、虛擬網絡節點發起的網絡攻擊行為的檢測與審計能力，缺少對虛擬機與宿主機之間、虛擬機與虛擬機之間異常流量的檢測能力。

1.6 移動應用安全防護

移動應用安全防護在移動終端的接入安全、移動環境安全方面缺少相應的安全防護手段。

2 總體設計原則

中小型企業園區網絡安全的設計應遵循以下設計原則。

2.1 強化邊界監管

中小型企業通過細化邊界防護系統的訪問控制粒度來強化邊界防護，堅決不允許不符合安全策略的流量通過。

2.2 嚴控終端安全

多份調研報告表明，由于防護不當，終端設備極易成為攻擊者滲透進入企業網絡的跳板。中小型企業通過嚴格防護終端設備的安全，保障終端設備合規入網，以減少網絡攻擊的滲透點。

2.3 定期檢查漏洞，做好基線核查

網絡攻擊往往針對系統的脆弱點，因此，中小型企業可以通過定期檢查并修復漏洞，堵住系統存在的各類安全隱患。同時，中小型企業也要做好基線配置核查，修復系統的脆弱點。

2.4 緊盯異常流量

當發生攻擊時，攻擊行為將會體現在流量的異常變化上。中小型企業可以通過監測并發現異常流量，及時采取措施，以防范惡意攻擊。

2.5 態勢集中研判

中小型企業可以通過建立集中安全管理平臺，結合外部安全情報，對安全威脅實時分析，實現安全態勢的集中研判。

3 建設方案設計

3.1 建設目標

通過對網絡進行改造，以達到滿足網絡安全相關法律法規的基本要求為目標，根據國內外網絡安全威脅的發展趨勢，提出適用于中小型企業網絡安全建設的方案。所提方案能夠優化網絡結構與配置，強化網絡邊界，構建基于計算環境安全、應用安全、網絡邊界安全、集中管控為一體的“一個中心，三重防護”安全防御體系。中小型企業通過本文所提方案建設符合等級保護2.0第三級要求的網絡安全架構，建成網絡安全威脅自動分析、安全漏洞實時檢測、威脅情報通報共享、安全策略集中管控、防護措施協同聯動、安全事件預警及時的安全防御機制。

3.2 總體架構

中小型企業的網絡安全設計思路應遵循我國網絡安全的相關法律法規，依據等級保護2.0的建設規范，建立以計算環境安全為基礎，以區域邊界安全、通信網絡安全為保障，以安全管理中心為核心的網絡安全整體保障體系，建立態勢感知平臺和集中管理平臺，實現從事后分析向主動防御、動態防護、整體防控、精準防護推進。網絡安全整體設計框架如圖1所示，本文基于該框架提出可改進安全防護能力的網絡安全建設方案。

圖1 網絡安全整體設計框架

3.3 建設方案

3.3.1 安全通信網絡

（1）安全域改造

假設原網絡區域包括邊界接入區、服務器區和終端接入區。在此基礎上，將內外網服務器區的開發測試環境劃分為獨立的開發測試區，以便使生產環境與開發測試環境相互隔離，避免開發測試行為影響生產環境。通過測試的數據才能遷移到生產環境，以保障生產環境數據的安全性。同時，規劃安全管理區、核心交換區和帶外管理區，其中，安全管理區集中部署用于網絡安全管理的設備或系統；核心交換區是各個安全區域的網絡數據匯聚區域，以便進行安全監測；帶外管理區用于收集可能產生大流量的監控數據，以及用于網絡安全運維管理，運維流量單獨隔離可減少對業務流量的影響。在各個安全區域邊界均部署防火墻，通過安全策略進行訪問控制。

（2）關鍵設備冗余設計

對匯聚交換機、區域邊界防火墻、核心交換機、入侵防御系統（IPS，Intrusion Prevention System）、網站應用級防護系統（WAF，Web Application Firewall）等各區域核心節點均采用硬件冗余設計，保障高可用性。

（3）性能保障

對于年代久遠、性能不足的設備，將它們替換成高性能、支持高帶寬的設備。在品牌選擇上，以成熟度較高的國產品牌為主，確保自主安全可控。

（4）VPN流量防護

中小型企業的虛擬專用網絡（VPN，Virtual Private Network）設備在部署上可以進行優化，將VPN加密機旁路部署在邊界接入區的防火墻，并在防火墻后端串聯部署IPS，確保VPN流量經過解密后，由IPS進行攻擊流量檢測。

3.3.2 安全區域邊界

（1）入侵檢測與入侵防御

除在上述邊界接入區部署IPS用來抵御來自互聯網的網絡攻擊外，還分別在內網和外網服務器區的邊界部署IPS，用以抵御來自內部的網絡攻擊。同時，在外網終端接入區的無線網絡邊界部署IPS作為安全防護網關，使無線網絡的流量與有線網絡的流量區分開，以抵御無線網絡攻擊。

（2）網絡流量審計

分別在外網的核心交換區、服務器區、終端接入區和內網的核心交換區、服務器區部署網絡流量分析器（也稱流量探針），對已知和未知威脅進行檢測和分析，為態勢感知平臺和威脅分析平臺提供數據來源。

（3）應用邊界防護

傳統VPN提供粗粒度的訪問控制，一般只提供身份鑒別信息的保護，一旦通過驗證，整個內部網絡將被暴露給訪問者。身份鑒別信息若因保管不善落入攻擊者手中，企業的整個網絡相當于開放給了攻擊者。因此，在邊界接入區部署軟件定義邊界（SDP，Software Defined Perimeter）系統，為園區外的員工提供遠程訪問應用系統服務。SDP系統可以實現基于用戶、設備、應用的細粒度訪問控制[8]，達到最小化特權的目的，對所有的遠程訪問以零信任的態度進行不間斷、持續強化地身份驗證，并監控其訪問行為。

（4）違規接入檢測

在內網的安全管理區部署“一機兩網”檢測設備，通過主動探測技術進行邊界安全檢測，保障網絡邊界的完整性，實現專網專用，杜絕“一機兩網”現象的發生。

（5）終端準入控制

在內外網的安全管理區部署網絡準入控制系統，并且在全網接入層交換機配置準入控制策略，使所有入網的設備經過網絡準入的控制，實現對非授權設備私自聯到企業網絡的行為進行檢查和限制，并且實現對已授權入網的設備、關聯人員和安全事件的綁定。

3.3.3 安全計算環境

（1）身份鑒別

在外網部署動態口令（OTP，One Time Password）認證引擎，通過為每個用戶分配不同的身份種子，實現服務器端與客戶端在同一時刻計算出用于驗證的動態口令，也為各系統認證模塊提供基于密碼運算的第二因子身份認證服務。同時，建設統一認證與授權系統，實現各信息系統的認證與雙因子認證的集成，并對用戶訪問信息系統的授權進行統一管理。

（2）應用安全

在內外網的服務器區部署WAF，通過對應用層的攻擊進行攔截，實現信息系統的防護。同時，在外網的安全管理區部署網頁防篡改系統，實現網頁的完整性檢測與自動恢復；部署安全基線核查系統，對操作系統、網絡設備、數據庫、中間件等多類設備及系統的不合理或不安全配置進行核查并匯總報告與加固建議；并在內外網的安全管理區部署漏洞掃描系統，定期對服務器進行漏洞掃描，使漏洞得到及時檢測、跟蹤、修復。

（3）數據庫審計

在內外網的服務器區旁路部署數據庫審計系統，對數據庫的操作行為進行審計與分析，防止內部人員違規訪問數據庫。

3.3.4 安全管理中心

（1）防火墻集中管理

通過部署防火墻集中管理平臺，對全網防火墻的訪問控制策略進行靜態和動態分析，使訪問控制策略最小化與最優化，并實現對防火墻的統一管理[9]。

（2）集中安全管理

在內外網的安全管理區部署網絡運維管理系統，對網絡鏈路、安全設備、網絡設備、服務器等設備的運行狀況進行集中監測和配置管理；在帶外管理區部署安全威脅分析系統[10]，通過帶外管理鏈路收集各個網絡區域的流量探針所采集的流量審計數據，并進行分析處理，實現對網絡中已知和未知威脅的檢測。同時，在內網的安全管理區部署安全態勢感知平臺[11]，收集安全威脅分析系統的數據，以及各個安全設備、網絡設備、服務器等系統采集的審計數據，全面掌握中小型企業網絡安全態勢的威脅、風險和隱患，及時預警重大網絡安全威脅。

（3）運維審計

通過在內外網的安全管理區部署堡壘機，對運維人員進行身份鑒別、賬號授權，以及對運維操作的審計，實現事中監控、事后取證。

（4）日志審計存儲

為了達到《中華人民共和國網絡安全法》關于日志記錄需留存不少于6個月的要求，增加日志審計的存儲設備，用以存儲網絡運行狀態、網絡安全事件等數據。

3.3.5 云安全防護

在內外網的服務器區部署云安全平臺，通過提供云WAF、云IPS、云防火墻、云審計等功能，對云計算環境中南北向（數據中心內外網之間的方向）、東西向（數據中心內部之間的方向）的流量進行檢查、審計和防護，提升面向云環境的綜合安全防護能力。

3.3.6 移動應用安全防護

通過在外網的安全管理區部署移動安全管理平臺，實現對安裝客戶端的移動設備進行安全管理。移動安全管理平臺能夠為關鍵應用提供安全且隔離的運行環境，同時，通過用戶無感知的加密隧道，實現互聯網環境下移動應用安全接入企業內網，防止數據泄露，為企業員工提供一個安全的移動辦公環境。

4 關鍵技術

4.1 網絡準入控制

目前的網絡準入控制從技術層面包括基于802.1x標準、動態主機配置協議（DHCP，Dynamic Host Configuration Protocol）、策略路由器、虛擬網關、地址解析協議（ARP，Address Resolution Protocol）、TCP重置報文技術（TCP RST）等[12]，這些準入控制技術各有利弊[13]。信息系統與數據存儲系統存儲著大量的重要數據，因此，企業希望網絡準入控制技術在保護好重要數據的同時，能夠方便員工和來訪人員使用互聯網。本文所提方案將有線網絡與無線網絡分開，其中，無線網絡直接由專線提供互聯網訪問，并禁止訪問企業的內部網絡；有線網絡則通過強綁定與強認證的準入控制實現安全準入。基于802.1x標準的網絡準入控制技術是較為合適的選擇，通過交換機等網絡基礎設施支持基于802.1x標準認證服務。常用的桌面型操作系統也支持的802.1x標準認證服務，可以實現員工賬號、終端設備的多媒體接入控制（MAC，Media Access Control）地址、員工身份綁定等功能。這些技術都可以實現網絡的準入控制，并且不影響網絡使用的便攜性。

4.2 安全態勢感知

安全態勢感知平臺主要由網絡流量分析器和態勢處理系統組成。部署在網絡核心結點的流量探針采集來自流量監測、各類安全系統、信息系統監測等多源數據，通過數據過濾、數據格式標準化、數據關聯信息補齊等處理，將采集的數據匯集到可檢索型數據庫進行數據存儲。數據分析系統對統一格式后的數據進行分類、關聯、聚類、回歸等大數據處理，并通過多維態勢可視化技術給予安全態勢展示，實現安全態勢感知、資產安全評估、安全狀況預警等功能。

本文部署的安全態勢感知平臺，能夠幫助企業及時發現各類已知與未知威脅，抵御逐年增加的漏洞利用、勒索威脅、APT等攻擊，及時發現并修復潛在的安全風險。該平臺可以為企業提供全面的安全評估，以及攻擊發生時提供及時預警。

4.3 防火墻策略優化

防火墻策略優化是安全管理中心的重要功能之一，本文通過策略審計技術來實現防火墻策略的優化。策略審計技術的靜態分析和動態分析技術可以優化已配置的防火墻策略，其中，靜態分析可檢測策略中屏蔽異常、冗余異常、交叉異常等未知問題[14]；動態分析則通過一定時長的流量監測分析出過寬策略、頻次為零的策略。防火墻策略審計技術可以優化企業各個防火墻的安全策略，既能滿足等級保護2.0中關于訪問控制規則數量最小化的要求，又能提高防火墻的邊界防護性能，同時，還能減少大量的運維成本，降低因安全策略配置不當造成的損失。

5 結束語

在企業從等級保護1.0向等級保護2.0升級所進行的網絡升級改造背景下，本文分析總結中小型企業網絡所面臨的共性問題，根據等級保護2.0第三級的要求，提出可供中小型企業參考的網絡安全建設方案。該方案不僅可以滿足國家法律法規的合規性要求，還能為企業信息化打造一個高可靠的縱深防御體系，減少來自外部和內部的網絡安全威脅，降低因網絡安全事件所帶來的經濟損失風險。