智慧企業網絡安全平臺研究

摘要：在數字化浪潮下，工業互聯網、云計算、大數據、物聯網、人工智能等新技術新業務在企業中得到廣泛應用。傳統網絡安全是以防火墻、殺毒軟件和入侵檢測為代表的網絡安全防護體系，側重于邊界防護，安全產品之間缺乏信息共享和防護協同。然而，在新形勢下傳統邊界安全的基礎存在空間已經蕩然無存。針對這一問題，文章設計了一款統一的網絡安全平臺，以數據為核心，在數據全生命周期中根據數據的不同場景提出防護解決方案，構建零信任架構，形成體系化的防御，讓風險可視可控。

關鍵詞：數字化;網絡安全;等保2.0;數據保護;企業網絡安全平臺

中圖分類號：TP393.08 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2022）05-0047-03

1 引言

隨著網絡規模的不斷擴大，網絡安全挑戰愈發嚴峻。數據泄露、勒索病毒、挖礦木馬等高危風險頻發。特別是企業在推進數字化轉型過程中，工業互聯網、云計算、大數據、物聯網、人工智能等新技術新業務的應用，網絡安全防護邊界模糊化[1]，由此對網絡安全提出了新要求。

傳統網絡安全防護平臺保護的目標是關鍵基礎設施，比如網絡、服務器、存儲設備等，采用的網絡安全技術有防火墻技術、身份認證、訪問控制和入侵檢測等。在物理邊界上部署防火墻，通過防火墻對進出內網和外網之間的數據進行檢查。利用身份認證和訪問控制用戶訪問。在這種分立的防護體系下，主要存在以下5個問題：1）安全產品之間缺乏信息共享和防護協同;2）默認邊界內部都是安全的，防護主要針對外部;3）默認用戶是合法的，經常出現信息化部門全員超級權限，缺少有效權限控制機制;4）以入侵行為特征為中心，缺乏對未知的威脅感知;5）缺少對數據泄露、權限濫用等行為的追溯及治理，企業迫切需要實現全面安全核查[2]。

在新形勢下一些新安全思想出現，比如加強邊界安全產品，重新構造邊界面向資產保護和引入零信任體系等等[3]。這些思想側重點不同，缺乏統一協調。根據企業網絡面臨的新問題，滿足監管合規要求，更全面地預防風險、發現風險、更快速地處置風險。本文提出一套以數據保護為中心的網絡安全平臺體系，落實等保2.0對信息系統的安全保護要求，通過網絡安全平臺的整體設計對企業的核心業務進行重點保障，對重要數據進行有效管理，建設信息安全等級保護縱深防御體系。關鍵基礎設施之所以成為關鍵基礎設施不在于設備，而在于運行在基礎設施上的業務和數據。數據保護是終極目標，有了這個認識，通過零信任架構讓數據可視可控，最終使得數據保護成為確定性。

2 設計思路

順應數字化潮流、推進數字化轉型是許多中小型企業在時代趨勢下的變革需求。數字化轉型的核心目標是“提高效率、優化資源、降低風險”，它的本質是以數字化技術為基礎、以數據為核心、打通數據之間的互聯互通，建立智能生產、科學管理的生態圈。因此實施基于數據的安全戰略，分析各種數據場景的特點，明確網絡安全防護的關鍵任務是網絡安全管理的核心要素。

數據場景包含“數據存儲、數據傳輸、數據使用、數據保護”，將核心目標與數據場景相結合，可明確網絡安全平臺的關鍵設計為“超融合數據中心、智能傳輸網絡、安全云桌面、規范內部治理、縱深防御體系”。對應的框架如圖1所示。

網絡安全是一個動態的、不斷完善的過程，沒有一勞永逸的解決方案。企業可進一步結合自身的發展情況，關注網絡安全需求的變化，一步步建設適合的網絡安全平臺。

3 解決方案

分析數據的不同場景，提出了不同的網絡安全解決方案。

3.1 數據存儲

傳統企業數據存儲的方式有DAS、NAS和SAN。DAS（Direct Attached Storage，直接外掛存儲），是個人電腦中的存儲，將外存儲設備直接連到應用服務器上。NAS（Network Attached Storage：網絡附屬存儲），應用服務器和存儲服務器在同一個局域網內，直接通過以太網網絡存取數據。SAN采用FC技術建立專用于數據存儲的區域網絡，將計算和存儲分離，增強存儲擴張的彈性。這三種技術都存在大量的資源孤島，資源利用率低，導致業務承載成本高。同時基礎資源擴展性差，無法提供快捷靈活的業務服務，缺乏彈性、運維工作量大。

隨著云計算應用的推廣，許多企業把數據搬到云上。業務上云后，安全邊界模糊，企業缺少對應的安全解決方案。

在數字化轉型的過程中，企業對數據中心業務系統的穩定性和連續性提出了更高要求。而傳統架構下單機部署，硬件設備無冗余，業務連續性以及數據可靠性得不到保障，服務器或存儲宕機時，都會導致業務長時間訪問中斷。

超融合解決方案基于“軟件定義數據中心”的思想，通過虛擬化技術整合計算、存儲、網絡、安全等資源，替代傳統的云數據中心基礎設施，形成統一的資源池，實現計算和存儲完全的資源整合、統一管理、調配和統一存儲功能。超融合架構解決方案如圖2所示。

數據中心只需部署超融合一體機和交換機即可快速搭建業務所需要的一切IT資源，新業務上線無須復雜冗長的設備采購流程，只需進行虛擬資源的分配即可實現新業務的快速上線，大幅度縮短了業務上線時間，使得業務更加靈活，最終提高資源利用率。超融合架構通過負載均衡、彈性IP、虛IP實現業務高可用。服務器虛擬化實現主機高可靠，主機宕機可漂移。Ceph分布式存儲實現三副本，保障數據不丟失。在減少投資成本的同時，實現承載業務豐富、性能優良、可視化運維、數據安全可靠等功能。

3.2 數據傳輸

傳統企業組網主要有VPN組網和MPLS專線組網。

VPN一般指虛擬專用網絡。它的功能是在公用網絡上建立專用網絡，進行加密通訊。在企業網絡中有廣泛應用，將企業的總部、分支機構、上下游合作伙伴、移動辦公人員等連接起來的一項技術。這種組網方式的顯著優勢有：1）投入成本較低，VPN利用的是公共網絡而建立的虛擬專網，企業無須花費高額的硬件設備、線路租賃、維護等費用;2）部署時間較快，VPN一般是由防火墻或者VPN網關等硬件設備來實現的，路由設備到位后，進行網絡配置即可完成;3）可實現遠程訪問，無論是在外地出差還是在家中辦公的用戶，通過互聯網連接VPN，即可訪問企業的內網資源，為遠程辦公、移動辦公提供技術基礎。VPN的缺點也非常明顯，由于VPN需要在互聯網環境中創建加密虛擬隧道，因此其網絡質量和穩定性不可控;同時也由于其穿越了互聯網，因此存在被旁路監聽的風險。隨著企業應用場景的變化，尤其是疫情的原因，遠程辦公的場景爆發式增長，VPN業務體驗不好、安全有隱患等弊端也逐漸凸顯出來。

多協議標簽交換（MPLS），是一種在開放的通信網上利用標簽引導數據高速、高效傳輸的新技術。MPLS專線是運營商提供的一種基于MPLS技術的廣域網服務專用線路，該線路為企業的專用通道，幫助企業總部和各分支之間互聯，組建企業內部的數據傳送網絡。它的優點有：1）分支節點就近接入，節約本地專線費用，避免因跨地區、跨運營商造成的多網絡連接的網絡問題;2）具有很高的安全性，對用戶透明，防止不同用戶的數據被混在一起;3）組網簡單，只要將客戶的CE設備連接到運營商的網絡邊緣設備即可;4）可擴展性更高，但因價格高昂、部署周期長、運維復雜、難以規模化應用于云計算及SaaS等原因，在現代企業多樣性的場景需求面前已捉襟見肘。上述兩種組網模式的可視化和智能化程度不足，缺乏統一集中管理手段，導致總部及分支運維工作量巨大，分支組網安全薄弱，缺少專門的安全設備技術人員，難以滿足監管合規要求。

以業務為核心，以IT為載體，要做到網絡信息化水平升級。不僅要做到技術升級，還要做到管理升級、可靠性升級及安全合規，而SD-WAN具備靈活組網、快速部署、高性價比等諸多優勢。在新形勢新要求下，越來越多的企業選擇了SD-WAN組網方案來實現智能化組網。SD-WAN，即軟件定義廣域網，利用SDN技術將網絡的控制權集中管理起來，解決MPLS一系列問題而出現的一種新興WAN廣域網技術。它的主要優點有：1）提升訪問體驗，SD-WAN可以根據網絡情況，實現鏈路無感知切換，保證訪問質量;還可根據管理員的配置策略，實現流量的負載均衡，保證關鍵應用（如視頻會議、OA系統等）或關鍵用戶的鏈路質量和訪問速率，實現業務高可用;2）部署簡單，快速接入，SD-WAN支持硬件、軟件、客戶端等多種部署方式，可實現“零接觸部署”;3）能夠通過SD-WAN集中管理平臺實現全網設備、鏈路、應用流量可視化管理，為用戶打造智能、可靠的多線路廣域網網絡;4）“零信任”產品安全接入，集身份認證、風險感知、權限管控、傳輸加速等功能為一體，打造更加安全、簡單的企業級遠程辦公環境。

3.3 數據使用

企業數字化轉型速度逐漸加快，如何保護和管理企業的關鍵信息資產變得至關重要。由于傳統PC模式采用分散化部署，數據存儲于本地，企業敏感數據難以有效管控，存在嚴重法人數據泄密風險。同時難以匹配移動辦公場景，運維效率低下，需要維護每一臺設備的硬件、軟件和數據，導致大幅影響工作效率。運營成本高，用戶設備到達替換周期需全部換新，資源利用率低。

云桌面是基于服務器虛擬化和桌面虛擬化技術基礎上的軟硬件一體的私有云解決方案，是一種使用云終端設備通過網絡去運行遠端桌面的方法。安全云桌面向用戶提供包含虛擬化管理平臺、虛擬桌面控制平臺以及受眾端在內的整體解決方案，從而幫助用戶降低投資和運維成本，更快速地實現虛擬桌面的部署，具有如下優點：1）保障數據安全，數據全部保存在服務器，普通用戶無法接觸核心數據;2）集中管控，保證性能和管控兩不誤;3）集中部署，減少維護，提升桌面服務水平;4）環保節能，使用方便。

3.4 數據保護

數據是企業最重要的資產，數據在帶來巨大價值的同時，也引入了大量的安全風險與挑戰。數據安全不僅關系到國家主權、安全和發展利益，而且關系到公民、組織的合法權益。“十四五”規劃中，將“加快數字化發展建設數字中國”作為獨立篇章，數據安全成為國家安全戰略的一部分。為了規范數據處理活動，保障數據安全，建立數據分類分級管理制度，《中華人民共和國數據安全法》于2021年9月1日正式施行，這是我國首部數據安全領域的基礎性法律[4]。

企業面臨的主要數據安全威脅有數據泄露、數據破壞、隱私泄露、數據失控、數據濫用和數據丟失或損壞。依據業務戰略、合規要求，明確數據安全保護的方針戰略、治理的主題、制度，進行體系建設，圍繞數據全生命周期，全面提升數據安全防護、數據安全治理和數據安全威懾能力。

不容忽視的一個事實是：越來越多網絡攻擊的源頭來自機構內部。人員身份與資產信息難以梳理，權限管理工作量大，員工訪問及上網權限難以精細化，存在內部泄密、賬號共用等違規訪問行為，公司缺乏合規審計手段。采用規范化的內部治理解決方案有：1）引入上網行為管理，實現上網行為管控和審計、內網統一接入認證及內網業務訪問審計;2）部署終端檢測響應平臺EDR，通過預防、防御、檢測、響應賦予終端更為細致的隔離策略、更為精準的查殺能力、更為持續的檢測能力、更為快速的處置能力;3）引入云端運維管控，實時監測、深度分析數據泄密風險和內部業務違規風險，并及時預警;4）引入零信任、細粒度訪問控制系統，加強對系統安全以及運維的控制力。對賬號、授權、認證、訪問、審計進行管理，聚焦人的身份、權限、行為，實現身份合法、權限合理、行為合規。

數據泄露、勒索病毒、挖礦木馬等高危風險頻頻發生，外部高級威脅多而復雜，其攻擊手法不斷進化，為網絡安全帶來極大挑戰。企業在安全建設中普遍缺乏對風險統一分析、定位、展示及快速處置的手段。針對這些問題，應引入體系化的縱深防御，通過體系的力量扭轉攻防不對稱，從而有效保障系統核心業務的安全。采用的措施有：1）在聯網出口部署下一代防火墻AF+入侵防御系統IPS+網站應用防火墻WAF，保障內部PC和服務器安全防護。下一代防火墻提出了以業務資產保護為核心構建威脅抵抗邊界的威脅分層治理模型，對已知、未知和高級威脅進行抵抗，持續升級威脅抵抗能力，以可進化的智能邊界為用戶提供更簡單、更有效的安全保護。IPS（Intrusion Prevention System）入侵防御系統，是一種安全機制，能根據用戶事先設置好的安全策略對流過的每一個報文進行分析，在發現威脅后立即進行響應，保護企業業務和數據不受損害。Web應用防火墻（Web Application Firewall，簡稱 WAF）為網站提供一站式安全防護，可以有效識別Web業務流量的惡意特征，在對流量進行清洗和過濾后，將正常、安全的流量返回給服務器，避免網站服務器被惡意入侵導致服務器性能異常等問題，保障網站的業務安全和數據安全;2）在所有服務器和終端安裝終端檢測響應平臺EDR，實現病毒查殺終端微隔離，保障終端安全;3）云端基于SaaS方式提供集中運營管理平臺，統一管理并實時更新安全設備，同時補充外部威脅情報，保障企業信息安全;4）基于流量分析的態勢感知，基于整個會話進行關鍵元素、關鍵行為的動態關聯分析，快速定位業務風險。

4 結論

數字化給企業帶來前所未有的機遇，同時我們也應該清楚地認識到企業所面臨的日益復雜嚴峻的網絡安全形勢。數據是企業最重要的資產，數據安全不僅關系到國家主權、安全和發展利益，而且關系到公民、組織的合法權益。將數據場景與核心目標“提高效率、優化資源、降低風險”相結合，以等級保護2.0標準建設基礎安全防護體系，對安全防護薄弱系統進行整改，完善防御體系基礎建設[5]。一個可行的網絡安全平臺的設計應為超融合數據中心、智能傳輸網絡、安全云桌面、規范化內部治理、縱深防御體系的綜合運用。

參考文獻：

[1] 安恒信息.提高韌性、助力智慧企業網絡安全建設振翼高飛[EB/OL]. [2021-08-20].https：//www.dbappsecurity.com.cn/content/details792_2738.html.

[2] 深信服.運維安全管理系統白皮書[EB/OL]. [2021-08-20].https：//www.sangfor.com.cn/info-center/document-center/document-list/002020200202002.

[3] 美創科技. 傳統網絡安全（邊界）和新安全的思辨[EB/OL]. [2021-08-20].https：//zhuanlan.zhihu.com/p/136730062.

[4] 全國人民代表大會. 中華人民共和國數據安全法[EB/OL]. [2021-08-20].http：//ww.npc.gov.cn/npc/c30834/202106/7c9af1 2f51334a73b56d7938f99a788a.shtml.

[5] 王嬌婷.遼寧廣電行業網絡安全態勢感知平臺研究與設計[J].電子世界，2021（24）：67-68.

【通聯編輯：代影】

收稿日期：2021-12-20

基金項目：2020年度高校國內訪問工程師“校企合作項目”（FG2020328）

作者簡介：鄭文光（1975—），男，浙江衢州人，高級工程師，碩士，主要從事網絡數據通信應用研究。