基于安全域的地市網(wǎng)絡(luò)架構(gòu)研究

倪健

摘 要：文章以安全域的劃分為網(wǎng)絡(luò)架構(gòu)設(shè)計思想，詳細(xì)分析了目前市煙草專賣局（公司）網(wǎng)絡(luò)通信安全現(xiàn)狀，闡述了基于安全域的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)，結(jié)合市局信息系統(tǒng)實際情況，將網(wǎng)絡(luò)安全域通過垂直分層、水平分區(qū)兩部分，從安全性、先進(jìn)性、可開放性、可管理性、可持續(xù)性5個層面，對安全域進(jìn)行網(wǎng)絡(luò)優(yōu)化改造。

關(guān)鍵詞：安全域;網(wǎng)絡(luò)安全架構(gòu);網(wǎng)絡(luò)優(yōu)化

1 研究背景及現(xiàn)狀

1.1 研究背景

隨著浙江煙草專賣、商業(yè)系統(tǒng)“三場硬仗”的持續(xù)深入，煙草企業(yè)對網(wǎng)絡(luò)的依賴性越來越高，信息網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，結(jié)構(gòu)也逐漸復(fù)雜，煙草網(wǎng)絡(luò)黑客入侵、病毒破壞、信息泄露風(fēng)險也在提高。“信息就是財富，安全才有價值”。信息的絕對安全是公司信息系統(tǒng)正常運行的根本前提，只有安全的信息才是有價值的信息[1]。

網(wǎng)絡(luò)的安全對煙草企業(yè)的發(fā)展具有極其重要的作用。采用安全域[2]方式對煙草企業(yè)網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，并根據(jù)網(wǎng)絡(luò)區(qū)域的重要性部署相應(yīng)的安全技術(shù)手段，成為建設(shè)安全企業(yè)網(wǎng)的一種可行方式。

1.2 目前現(xiàn)狀

某市煙草專賣局（公司）信息中心經(jīng)過多年的信息化建設(shè)，對市局、縣局及物流中心有針對性地做了全面加固，網(wǎng)絡(luò)安全有了很大提高，但網(wǎng)絡(luò)安全風(fēng)險依然存在。

1.2.1 網(wǎng)絡(luò)現(xiàn)狀概述

某市煙草專賣局（公司）目前已將各縣外網(wǎng)防火墻和核心路由器進(jìn)行統(tǒng)一調(diào)整，市局外網(wǎng)防火墻、核心路由交換均放在市辦公大樓機房，提高網(wǎng)絡(luò)防護(hù)高效性;各縣級分公司分別使用兩臺思科路由器與市公司相連，做到鏈路聚合，負(fù)載均衡。

1.2.2? 網(wǎng)絡(luò)設(shè)備老化

目前市局（公司）為配合部分應(yīng)用正常使用，當(dāng)前仍主用思科6509核心設(shè)備，其性能由于年限較久，沒有新設(shè)備的轉(zhuǎn)發(fā)、承載性能高，兩臺核心設(shè)備沒有做到雙機熱備，存在嚴(yán)重的單點故障，一旦其中一臺設(shè)備發(fā)生故障，勢必對煙草的網(wǎng)絡(luò)產(chǎn)生很大的影響。

1.2.3? 網(wǎng)絡(luò)架構(gòu)各區(qū)域劃分模糊，區(qū)域邊界保護(hù)錯時不足

市局OA系統(tǒng)中的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)建設(shè)都是基于不同需求不同時期開發(fā)建設(shè)的，建設(shè)初期對安全方面的考慮不足，安全需求沒有統(tǒng)一的規(guī)劃，核心業(yè)務(wù)系統(tǒng)缺少有效的訪問控制，也缺乏有效隔離[3]。

1.2.4? 規(guī)模不斷擴(kuò)大，缺乏一套運維管理平臺

網(wǎng)絡(luò)中存在不可管理設(shè)備，或此設(shè)備無法正常登錄，故障時不便于及時管理。樓層接入交換機級聯(lián)方式不統(tǒng)一，存在單鏈路上行接入設(shè)備，缺少內(nèi)網(wǎng)流量監(jiān)控、分析設(shè)備，無法快速定位異常源。不能對現(xiàn)網(wǎng)所有設(shè)備進(jìn)行可視化管理，不能準(zhǔn)確定位故障，運維人員管理效率不高。

由于各系統(tǒng)功能傾向性不同，對于網(wǎng)絡(luò)安全防護(hù)有著不同的等級要求和側(cè)重，采取傳統(tǒng)“一刀切”的方式是不可行的。結(jié)合某市煙草專賣局（公司）現(xiàn)狀，采用安全域的分區(qū)分域、縱深防護(hù)思想，針對不同子網(wǎng)特點不同，分區(qū)分域防護(hù)，能有效解決上述問題。

2 網(wǎng)絡(luò)安全域設(shè)計原則

2.1 先進(jìn)性和實用性

為了確保煙草網(wǎng)絡(luò)安全具有較長的生命周期，在系統(tǒng)軟硬件配置上，綜合考慮了實用化目標(biāo)以及國際計算機技術(shù)發(fā)展的趨勢進(jìn)行規(guī)劃。實用性原則主要體現(xiàn)在以下方面：以現(xiàn)行需求為基礎(chǔ)，適當(dāng)考慮發(fā)展的需要為依據(jù)來確定系統(tǒng)規(guī)模。選擇成熟、先進(jìn)、維護(hù)量小、使用方便的技術(shù)設(shè)備和措施。創(chuàng)造一個開放的網(wǎng)絡(luò)平臺，支持多種業(yè)務(wù)的同時傳輸，支持語音、圖像、視頻、云業(yè)務(wù)等多媒體業(yè)務(wù)[4]。

2.2 可持續(xù)發(fā)展和經(jīng)濟(jì)性

計算機網(wǎng)絡(luò)技術(shù)是個發(fā)展很快的領(lǐng)域，系統(tǒng)建設(shè)必須考慮到系統(tǒng)以后的擴(kuò)充和變化，因此必須保持系統(tǒng)的可擴(kuò)展性。采用成熟、穩(wěn)定、性能價格比高、擴(kuò)展能力強的產(chǎn)品，既要避免采用過高的性能配置，造成資源的浪費和投資的緊張，又要防止系統(tǒng)處理能力不足、擴(kuò)展能力不夠而無法適應(yīng)未來發(fā)展的需要[5]。

2.3 可靠性和安全性

系統(tǒng)必須具有很高的可靠性和安全性。在邊界處部署防火墻設(shè)備進(jìn)行訪問控制，實施區(qū)域邊界保護(hù)，確保只允許煙草指定業(yè)務(wù)應(yīng)用和管理數(shù)據(jù)流通過;啟用防火墻設(shè)備的病毒過濾功能，過濾惡意代碼。在互聯(lián)網(wǎng)出口部署入侵防范系統(tǒng)，防范外部掃描，針對主機漏洞的惡意攻擊和木馬蠕蟲等應(yīng)用層攻擊，實現(xiàn)應(yīng)用層防護(hù);在互聯(lián)網(wǎng)出口部署防DDoS攻擊系統(tǒng)，防止DDoS的攻擊。整個網(wǎng)絡(luò)系統(tǒng)的設(shè)備和服務(wù)器的安全性、數(shù)據(jù)流量、性能等得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。

3 安全域劃分

3.1? 安全域劃分管理策略

核心硬件管理：提升煙草網(wǎng)絡(luò)轉(zhuǎn)發(fā)、承載性能，核心網(wǎng)絡(luò)交換機新購一臺H3C10508替換原先的CISOC6509E設(shè)備，做IRF，做到端口聚合，實現(xiàn)雙機熱備。

網(wǎng)絡(luò)防火墻：需要在該安全域?qū)阂獯a進(jìn)行檢測和防護(hù)，過濾攔截病毒、木馬、蠕蟲等惡意代碼。增加內(nèi)網(wǎng)防火墻設(shè)備，對內(nèi)網(wǎng)訪問行為進(jìn)行有效控制，規(guī)范內(nèi)網(wǎng)訪問行為，確保內(nèi)網(wǎng)服務(wù)器區(qū)應(yīng)用的訪問安全

流量審計系統(tǒng)：部署一套流量分析設(shè)備，對網(wǎng)絡(luò)數(shù)據(jù)關(guān)鍵業(yè)務(wù)流量甚至全流量無死角管理和監(jiān)控、回溯，清晰直觀掌握整個網(wǎng)絡(luò)的運行情況。在產(chǎn)生網(wǎng)絡(luò)故障事件時，根據(jù)用戶、應(yīng)用、協(xié)議、數(shù)據(jù)包的實時和歷史數(shù)據(jù)，快速分析定位故障點、判斷影響范圍、界定責(zé)任，避免處理過程過長、證據(jù)不充足，不能及時修復(fù)和控制導(dǎo)致?lián)p失不可控、責(zé)任主體不明的情況，保障業(yè)務(wù)持續(xù)穩(wěn)定，實現(xiàn)企業(yè)網(wǎng)絡(luò)服務(wù)的價值最大化。

IT可視化運維管理平臺：通過運維可視化運維管理平臺的建設(shè)，記錄運維過程，開展運維過程的審計和事后追蹤。建設(shè)可視化展現(xiàn)系統(tǒng)中網(wǎng)絡(luò)系統(tǒng)、主機服務(wù)器、數(shù)據(jù)庫、應(yīng)用、安全等運行狀況的集中展示管理平臺，平臺提供當(dāng)前運行一覽視圖、業(yè)務(wù)一覽視圖、業(yè)務(wù)監(jiān)測視圖、網(wǎng)絡(luò)監(jiān)測視圖、機房展現(xiàn)視圖等多種監(jiān)測視圖來查看當(dāng)前系統(tǒng)的整體運行情況，并支持投放到大屏幕上。

3.2? 市局網(wǎng)絡(luò)區(qū)域定義及優(yōu)化方法

外部專線區(qū)：外部專線區(qū)指市局網(wǎng)絡(luò)與其他單位互聯(lián)專線，目前各地市以政務(wù)網(wǎng)互聯(lián)和銀行互聯(lián)為主。互聯(lián)單位通過廣域網(wǎng)專線接入市局的行業(yè)專線接入?yún)^(qū)，再聯(lián)入核心交換區(qū)，進(jìn)而與內(nèi)部業(yè)務(wù)進(jìn)行數(shù)據(jù)交互。該區(qū)域以專線形式接入市局網(wǎng)絡(luò)必須存在三層設(shè)備與其互聯(lián)，建議采用獨立三層防火墻接入各專線，防火墻與核心交換采用三層互聯(lián)。

行業(yè)專線區(qū)：行業(yè)專線區(qū)指以市局網(wǎng)絡(luò)為主體，與其他煙草單位或部門連接的區(qū)域。互聯(lián)單位通過廣域網(wǎng)專線接入省局的行業(yè)專線接入?yún)^(qū)，再聯(lián)入核心交換區(qū)，進(jìn)而與內(nèi)部業(yè)務(wù)進(jìn)行數(shù)據(jù)交互。針對煙草，邊界通信方式為：市局網(wǎng)絡(luò)通過行業(yè)專線接入?yún)^(qū)路由器連接各區(qū)縣路由器而搭建的OSPF網(wǎng)絡(luò);連接省局路由器搭建的OSPF網(wǎng)絡(luò);連接物流中心路由器搭建的三層路由網(wǎng)絡(luò)，三者都是通過該區(qū)域一組路由器實現(xiàn)互聯(lián)互通。考慮到地市與省局行政關(guān)系，建議將市局為主體網(wǎng)絡(luò)的上行、下行網(wǎng)絡(luò)進(jìn)行獨立區(qū)分，該區(qū)域僅作為市局連接省局網(wǎng)絡(luò)的邊界，同時該區(qū)域?qū)⒓缲?fù)未來國家局分布部署信息系統(tǒng)的服務(wù)邊界。

物流中心域：物流中心與市局網(wǎng)絡(luò)通常在不同地理位置，當(dāng)前物流中心與區(qū)縣域均接在行業(yè)路由器上。由于物流中心網(wǎng)絡(luò)的獨立性，安全域規(guī)劃時必須明確物理中心與市局網(wǎng)絡(luò)邊界，采用靜態(tài)路由協(xié)議進(jìn)行互聯(lián)，同時做好邊界防護(hù)。市局網(wǎng)絡(luò)與物流中心網(wǎng)絡(luò)采用防火墻進(jìn)行隔離，與市公司之間增加防火墻設(shè)備，隔離異常流量，實時監(jiān)控配送至市局流量行為，發(fā)現(xiàn)異常時報警并及時處理。

區(qū)縣域：當(dāng)前各地市與區(qū)縣、物流中心公用行業(yè)專線路由器。優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，去除縣公司前端互聯(lián)路由器，直接新購高性能核心交換機和市公司路由器實現(xiàn)互聯(lián)，從邊界安全角度來說，區(qū)縣流量進(jìn)入市局應(yīng)當(dāng)通過市局的安全檢查方能入網(wǎng)，整改樓層級聯(lián)方式，實現(xiàn)雙光纖鏈路聚合上行，全面可管理，并添加監(jiān)控平臺。去除HUB和NAT設(shè)備，由可管理小交換機代替。

樓層接入?yún)^(qū)：樓層接入?yún)^(qū)是指市局煙草各樓層及老大樓通過防火墻，經(jīng)過核心交換區(qū)，再連接互聯(lián)網(wǎng)的出口安全區(qū)，是內(nèi)部用戶和服務(wù)器與互聯(lián)網(wǎng)進(jìn)行通訊的關(guān)鍵網(wǎng)絡(luò)邊界。外網(wǎng)出口區(qū)擔(dān)任內(nèi)網(wǎng)地址到公網(wǎng)地址轉(zhuǎn)換的作用，同時還應(yīng)肩負(fù)內(nèi)網(wǎng)終端上網(wǎng)的安全管理，根據(jù)等保對網(wǎng)絡(luò)安全相關(guān)要求，該區(qū)域還應(yīng)識別內(nèi)部終端非法外連的行為。

4 結(jié)語

本文針對市煙草專賣局（公司）的信息系統(tǒng)實際，結(jié)合市煙草專賣局（公司）業(yè)務(wù)系統(tǒng)的要求，提出了基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系。方案包括兩部分：網(wǎng)絡(luò)安全域設(shè)計原則和安全域劃分。針對安全域的功能特點提出防護(hù)要求，將煙草網(wǎng)絡(luò)劃分為若干不同的安全域進(jìn)行防護(hù)管理，根據(jù)不同安全域級別制訂相應(yīng)的安全管理策略。當(dāng)然，煙草的網(wǎng)絡(luò)安全不僅僅需要安全防護(hù)技術(shù)，關(guān)鍵還需要嚴(yán)格的管理制度和可靠的信息管理人員。

[參考文獻(xiàn)]

[1]李柏松.由Windows的安全實踐看可信計算的價值和局限[J].信息安全與通信保密，2014（9）：100-107.

[2]王群.基于安全域的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2015（9）：206-210.

[3]繆嘉嘉，尹小虎，溫研，等.基于可信隔離運行環(huán)境的信息資產(chǎn)保護(hù)系統(tǒng)[J].信息網(wǎng)絡(luò)安全，2009（10）：35-37.

[4]楊威.可信網(wǎng)絡(luò)中的擁塞控制策略研究[D].南京：南京郵電大學(xué)，2011.

[5]孫曉川.未來網(wǎng)絡(luò)虛擬化資源管理機制研究[D].北京：北京郵電大學(xué)，2013.

（編輯 何 琳）