流量分類的系統等級保護建設方案

中國民用航空溫州空中交通管理站 林海敏

在“十四五”規劃中頻繁提到“網絡安全”，涉及到多個領域。網絡安全已確定成為未來國家發展建設工作的重點之一。這樣的指導方針也對運維人員提出了新的要求：掌握必要的等級保護建設知識，熟悉一定架構的等級保護建設模式；進一步地，能提出優化等級保護建設的具體方案，以應對不同場景下的網絡安全能力建設需要。

1 等級保護建設

目前網絡安全等級保護建設基于《信息安全技術—網絡安全等級保護基本要求》（GB/T 22239-2019）文件要求，也稱等保2.0。建設要求分為技術要求和管理要求兩部分，其中技術要求有五大項：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心。除安全物理環境依賴前期機房、機柜建設規劃外，其余安全能力都較為依賴安全設備或安全廠商提供的一體化解決方案。

2 廠商解決方案

安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等要求項存在一定需求重合。從技術角度劃分，可以分為網絡架構、可信驗證、邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、身份鑒別、數據完整性和保密性、數據備份與恢復、剩余信息保護、個人信息保護、系統管理、安全管理和集中管控等業務面。

目前安全廠商較為通用的做法是將身份鑒別、訪問控制、安全審計等各項安全能力按一定邏輯分類，并集成為不同的安全模塊。這些安全模塊通常包含防火墻、SSL VPN網關、堡壘機組件、日志審計模塊、數據庫審計模塊、終端防護模塊等。部署安全能力的方法通常有兩種：依賴各種具備部分安全模塊功能的單體物理設備，組建具備整體防護能力的安全系統；主要硬件采取一體機安裝方案，在一體機上部署具備不同的安全模塊軟件，其余根據建設需要采用單體安全設備，稱為等保一體機方案。就造價而言，分體設備通常較一體機來說更貴高昂，甚至可以達到兩倍。

以等保一體機為例，在部署并完成如日志審計、數據庫審計、登錄驗證、可信驗證等“規定動作”后，如何規劃“自選動作”以引導建設方向，進行高效的安全防護，成為了等保建設工作中需要安全建設人員考慮的內容。

3 網絡滲透和防御

站在攻擊者角度來看，要完全滲透一套系統，首先要找到合適的攻擊鏈。常見的滲透案例中，外網在線的資產由于長期暴露在外網環境下，被收集的信息多，被攻擊的可能性更大，通過外網環境向本地資產投送的流量相較內部流量來說更具威脅性。因此，對外網流量往往要采取最嚴格的審計手段。

無論是內網滲透還是外網滲透，它們都依賴于向某一些開放端口投放有威脅的流量，并利用可以被訪問到的一些資產漏洞來攻陷資產主機。審計流量，可以在不同協議層協同組合進行，比如可以利用目標IP過濾、目標端口過濾、應用協議過濾、應用程序特征流量過濾等。

4 基于流量分類的建設方案

在筆者的建議方案中，采取的措施是基于流量分類采取不同的流量審計手段，在合理基礎上提高系統吞吐效率，優化安全設備資源配置。

在建議方案中，系統通過部署等保一體機、SSL VPN、高性能防火墻等防護設備，組建多層次、高效率的防護網絡。審計業務流量的特點，對不同的業務流量作分級處理，在獲得足夠安全性的同時，提高系統效率。

具體方案為：利用高性能防火墻，基于五元組，對業務南北向流量作特征過濾；在核心交換機單臂部署串接防火墻及深度運維設備，對敏感流量作深度清洗；在核心交換機上旁掛一臺SSL VPN接入設備，為高風險訪問提供可控端口；在核心業務域的虛擬系統上部署終端防護軟件；同時在該核心交換機安全運維域內部署一臺態勢感知平臺，通過威脅潛伏探針映射牽引業務流量。如圖1所示。

圖1 系統安全區域劃分及設備部署方案

對進入系統的業務流量作三級分類。

對于結構單一的南向大流量，如音視頻數據、生產系統外送接口數據等。考慮到業務流量大且結構單一，為減輕深度運維域的運行負載，增加穩定性和清洗效率，利用高性能防火墻作五元組特征過濾，限制流量訪問的目標地址為特定服務器地址，限制訪問端口為非敏感的自定義端口。如圖2所示。

圖2 大流量業務數據流向

對于內部終端常態的業務訪問流量，如內部客戶端訪問服務器的web流量等。先利用現有防火墻先作五元組過濾，限制訪問流量的目標地址和端口；再將流量牽引至深度運維域，利用下一代防火墻及等保一體機作深度流量清洗；最后將處理完成的清潔流量送至目標服務器。如圖3所示。

圖3 復雜的內部業務流量流向

對于敏感的外部流量，如遠程運維服務的臨時流量，提供SSL VPN跳板接入。先利用防火墻先作五元組過濾，限制訪問流量的目標地址和端口為SSL VPN跳板機設備；再在SSL VPN跳板機上完成多重身份驗證（基于短信、人臉識別等二次校驗技術）；后將SSL VPN訪問流量牽引至深度運維域，利用下一代防火墻及等保一體機作深度流量清洗；最后將處理完成的清潔流量送至目標服務器。如圖4所示。

圖4 敏感的外部業務流量流向

結語：網絡安全等級保護建設是一個復雜且靈活的整體工程，在考慮安全能力的同時要兼顧設備建設投資的經濟效益。合理的網絡安全建設架構有利于提高業務效率，減少網絡安全運維人員的壓力，同時能充分發揮設備的安全能力。在整體建設的視角下，不同系統也可以依據業務流量的分類特點來共用部分安全設備，以提高安全建設效率。