基于等保2.0標準下的網絡安全體系設計與思考

程 方，楊 露，黃紫翎

（長江三峽通航管理局，湖北 宜昌 443000）

引言

“等保”，即計算機信息系統安全等級保護。1994年國務院第一次頒布《中華人民共和國計算機信息系統安全保護條例》，第一次提出等保概念,此后經過20多年信息技術的發展，新型網絡攻擊手段層出不窮，原有1.0標準下建設的網絡安全防護體系對計算機信息系統安全保護的指導和監督明顯滯后[1]，已經無法滿足當下網絡安全防護需求。只有對原有的網絡體系進行升級改造，才能為核心業務系統提供多立體全方位的網絡安全保護。

2019年，國家正式發布了《GB/T 22239—2019信息安全技術網絡安全等級保護基本要求》為標準的網絡安全等級保護辦法，簡稱等保2.0[2]。等保2.0在法律義務、覆蓋范圍和測評要求等諸多方面，對信息系統防護提出了更為系統、更有針對性的要求。

1 原有網絡體系安全問題分析

原有網絡體系中一些核心業務系統，為交通領域從業人員提供多項便利服務，服務用戶群體復雜，覆蓋面廣，服務對象綜合文化層次不高，同時一些數據涉及到從業人員身份信息、交通數據，對數據的安全性和保密性要求較高。隨著在信息化方面不斷發展，為交通領域從業人員、企業提供的服務也越來越多，業務系統不斷上線。在網絡安全方面也存在一些安全隱患。

1）對網絡安全規劃存在滯后，在對核心業務系統和非核心系統在區域劃分上還有待加強，存在被動防御，無法做到主動防御。

2）安全防護措施不全，網絡信息技術的快速發展，也帶來了攻擊方式跨越式發展，攻擊方式也在不斷變化。長江三峽通航管理局在整個網絡中也部署有防火墻、IPS等安全設備，但是在核心業務系統與其他辦公網絡區域之間存在安全防護盲點，在重要核心系統的安全預警等方面，與等保2.0標準之間還有不相適應的方面。

3）網絡安全專業技術人員專業技術儲備不足，網絡安全專業對人員專業技能要求較高，不僅要掌握網絡通信、數據庫等基礎知識，還要熟練掌握滲透、測試、攻防和腳本編寫等專業技能，現有網絡安全專業技術人員在這些專業技能方面還有待加強。

2 基于等保2.0標準下網絡安全體系設計

隨著多個核心業務系統被上級主管部門確定為二級核心系統，在上級主管部門的大力支持下，單位網絡安全主管部門全面梳理網絡安全防護管理漏洞，并針對上述安全問題，進行全方位整改。

對負責信息業務的專業人員進行選拔，組建專業技術隊伍，專職負責網絡安全，并加大人員培訓力度，形成安全信息溝通長效機制，定期開展網絡測評。同時全方位梳理管理漏洞，制定了網絡設備安全臺賬以及一系列網絡安全管理辦法，制定網絡安全應急預案，編制突發網絡安全事件處置流程，多次開展一分鐘斷網、核心服務器宕機等事件應急演練。

為加強整體網絡的安全性，按照等保要求，重新梳理網絡層級，調整路由，劃分合理區域。由原來的外網、DMZ區和內網三大區域，重新劃分為局域網出口區、外網辦公區、DMZ區、內網辦公區和核心業務區。并在區域之間部署網絡安全設備，同時加強安全設備之間數據聯動，形成1+1＞2的效果，加強整體網絡安全防護[3]。

2.1 局域網出口區

在互聯網與局域網內核心交換機之間部署了大量網絡安全設備，最主要的是下一代防火墻。由于防火墻等安全設備在局域網出口處，為了避免單點故障導致整個網絡癱瘓，因此采用堆疊技術將多個防火墻在邏輯上虛擬成一個，多臺設備之間互為為冗余，提高了出口鏈路的穩定性。下一代防火墻能夠做到對外部訪問數據的有效控制，也能通過NAT、ACL將內網服務器指定端口映射至互聯網，通過黑名單禁止攻擊地址。同時，防火墻還可以與IPS（入侵防御檢測系統）或者IDS（入侵檢測系統）之間形成數據聯動，如IPS可以通過預先設置的規則，有效阻斷非正常的數據傳輸，特別是針對一些攻擊行為，可以直接阻斷。

2.2 外網辦公區

局域網內辦公終端主要在外網辦公區，因此，防御的重點在于終端的管控，并與核心交換機之間部署防火墻來加強區域防護。通過部署漏洞掃描和終端準入控制系統、EDR來實現對終端的安全防護。為了加強對終端的安全防護，可以使用漏洞掃描、行為管理等多種網絡安全設備來加強防護。使用漏掃對外網區域進行掃描，主要掃描漏洞風險，同時進行針對性的漏洞修補。通過終端準入控制實名制上網，既能保障終端安全，又能一定程度上規范上網行為。通過EDR對終端進行一鍵查殺、漏洞修復、外聯設備管控。

2.3 DMZ區

DMZ區是連接外網和內網的關鍵區域，為了避免將核心業務系統服務器暴露在互聯網上，常常是采用映射的方式來對外提供服務，該區域的重要性不言而喻。由于是數據交換的關鍵節點區域，因此，在網絡安全監控過程中，也是經常部署態勢感知平臺、日志審計等設備對整個交互的數據進行實時監控。同時，通過兩臺互為主備冗余的防火墻與外網辦公區、內網辦公區相連接，既能保障該區域的數據安全，又為內外網辦公區域加強防護。

2.4 內網辦公區

內網辦公區與外網核心交換區的安全防護類似，也是部署有漏掃、終端準入和EDR等安全防護設備。不同的是該區域終端無法訪問互聯網，根據各業務部門業務范圍的不同，在交換機上配置路由，不同業務部門的內網終端用戶所能訪問的業務系統也不盡相同。

2.5 核心業務區

核心業務區部署了大量對外提供業務支持的服務器，由于該區域業務系統的重要性，在設計時既要確保安全，又要充分考慮到冗余，因此，在服務器部署時就使用防火墻對其他設備進行隔離。防火墻與內網核心交換機相連接，通過冗余設計來增強安全性。同時，服務器也采用冗余設計，形成本地數據中心和異地容災數據中心，當本地數據中心出現故障時，能在幾分鐘內將全部業務數據切換到容災數據中心，極大地增強了網絡的冗余性。

3 結語

在等保2.0標準下，嚴格按照“一個中心+三重防護”的原則[4]，制定了更高標準的網絡安全防護體系，為核心業務系統提供符合等保2.0標準的網絡安全防護體系。但是，隨著網絡技術的飛速發展，網絡安全保護成為一個長期課題，只有管理與技術協同發展，才能真正答好網絡安全考卷。