關于某大型智慧園區的網絡安全設計

傅東東

（廣州市設計院集團有限公司）

1 引言

隨著業務應用系統類型爆炸式增長，人們在享受網絡帶來資源共享的同時，網絡中存在的越來越多的不安全因素也對信息安全造成了巨大的威脅。此外，業務系統對信息交換的需求日益強烈，使得網絡邊界逐漸模糊，若通過物理隔離手段將有網絡安全保護需求的網絡與不安全的網絡分開，表面上解決了安全問題，但網絡資源在重復建設，網絡孤島現象的存在依然不能滿足信息化的發展。

2019年5月13日《信息安全技術網絡安全等級保護基本要求》（以下簡稱等保2.0）正式發布，從保障思路看，等保2.0從被動防御的安全保障體系向事前預防、事中響應、事后審計全流程的安全可信、動態感知和全面審計的動態保障體系轉變，更多體現了對抗思維，講究一切從實戰出發，逐步構建主動防御、安全可信、動態感知、全面審計、應急保障的動態安全保障體系（見圖1）[1]。

圖1 等級保護體系

與此同時，網絡安全法相關政策體系以及等級保護標準體系的構建，形成企事業單位、國家各級機構的全面網絡安全保護，從法律和國家標準層面確定網絡安全綜合防御體系的指導方向。

2 網絡安全設計需求分析

基于本項目的網絡功能、應用業務以及使用人群等各方面綜合考慮，本項目信息網絡系統存在以下幾個主要風險。

1）信息系統采用傳統的網絡架構，存在以下主要的風險：

①安全邊界不斷擴大，傳統安全架構不足以應對其帶來的安全風險；

②局部分散的防護措施無法應對更加多樣化的攻擊手段，安全需具備體系化建設思想；

③內部、外部攻擊防范需求使得對安全監測、預警及響應能力有更高要求；

④網絡對抗不斷升級，面臨更嚴格的監管要求。

2）信息安全威脅主要來自以下幾個方面：

①內部威脅主要來自用戶和工作人員等人員的電腦終端、移動終端的非法訪問和病毒攻擊，電腦存在待修復的漏洞；

②外部威脅主要來自互聯網的安全攻擊。

3）應用安全威脅主要來自以下幾個方面：

①數據在信息傳輸過程中極易丟失；

②在住客信息等數據傳輸過程中極易被非法入侵主機的黑客篡改、竊取；

③病毒、蠕蟲郵件在網絡中傳播；

④操作系統以及IE瀏覽器的安全漏洞；

⑤人員管理以及制度管理的缺陷。

4）網絡互聯威脅主要來自以下幾個方面：

①在訪問網絡時存在越權訪問、惡意攻擊、病毒入侵等安全隱患；

②業務應用系統Web服務器的頁面容易被黑客非法篡改，源程序中存在BUG等；

③不能實時監控數據庫系統的運行情況；

④應用系統存在后門、安全漏洞等安全風險容易被非法訪問；

⑤DOS/DDOS攻擊、網頁篡改等會惡意攻擊或非法訪問系統。

3 網絡安全設計目標

基于上述將面臨的威脅和風險，根據《GBT22239-2019信息安全技術網絡安全等級保護基本要求》及系列標準要求，信息安全總體目標是：結合當前信息安全技術的發展水平，設計一套科學合理的深層防御安全保障體系，形成有效的安全防護能力、隱患發現能力、應急反應能力和系統恢復能力，從物理、網絡、服務器、應用和數據等方面保證平臺安全、高效、可靠運行，保證信息的機密性、完整性、可用性和操作的不可否認性，避免各種潛在的威脅。在合理代價下將各種安全風險降低到可以接受的水平，實現動態、主動的網絡安全防御策略，滿足平臺正常可靠運行、使用的需求。

具體的安全目標是：

①確保合法用戶使用合法網絡資源；

②確保平臺運行環境的安全；

③及時檢測出和阻斷各種攻擊行為，從而避免平臺網絡受到攻擊；

④實時監控和跟蹤網絡連接狀態；

⑤提供安全的運行環境，及時發現數據庫等的安全漏洞，保證主機資源不受到非法攻擊；

⑥確保平臺不被病毒感染、傳播和發作，阻止攜帶風險的Java、ActiveX小程序等攻擊內部網絡系統；

⑦注冊機制、身份認證機制和授權管理機制等靈活、有效，能夠確保操作的可控性和不可否認性；

⑧信息安全保護機制與業務系統等相適應，能夠確保數據的完整性、保密性；

⑨在發生突發事件后，應急處理機制和災難恢復機制能夠確保系統快速恢復運行。

4 網絡安全總體規劃

構建全網雙向流量檢測和主動防御能力，加強對黑客攻擊、病毒木馬、應用層攻擊的防護能力；以終端資產為核心，提升終端威脅防御能力，構建南北向、東西向流量的全流量檢測的防御體系。抵御針對業務系統、數據的各種威脅和入侵，保證業務不間斷正常運行。

提供嚴格的網絡行為控制能力和高效的審核查證手段，實現更加安全的網絡安全管理和審計機制[2]。實現內網人員訪問行為的大數據搜集和分析，從中分析、監管潛在的關鍵信息。

1）構建安全通信網絡保護

網絡構架、通信傳輸以及可信驗證是安全通信網絡設計的重點。確保網絡業務和帶寬滿足高峰業務的需求，劃分不同的網絡區域滿足管理和控制，避免重要的網絡區域與邊界直連，提供核心設備和關鍵鏈路的冗余。采用密碼技術確保通信數據的完整性和保密性。對通信設備重要的運行程序進行動態的可信驗證。

大部分網絡基本都能夠完全滿足高峰期的對帶寬和性能需求，但可能由于沒有做好SLA或業務優先級資源分配，會導致某些業務應用系統的需求無法保障[3]。因此規劃設計網絡時就需要充分考慮峰值帶寬，并考慮安全域以及IP段的分配和預留。

2）構建安全網絡邊界

①通過網絡出口處的外界隔離防護、入侵檢測，減少威脅的攻擊面以及漏洞暴露時間。

②通過劃分網絡安全域，加強安全域邊界的防護，確保受感染的區域隔離。

③加強對內網風險識別與防護，避免外部攻擊突破邊界防御對內網所造成的安全風險。

④形成全局安全可視能力，同時實現高級威脅防護，如APT攻擊、勒索病毒、0Day漏洞攻擊等安全防護能力。

⑤統一安全運維實現集中簡化的管理架構，通過邊界安全和終端安全的聯動防御，實現安全事件的集中管理、風險的集中管控、策略集中下發等。

3）構建安全計算環境

①通過部署數據庫審計與防護系統，實時監控、識別、阻斷外部黑客攻擊以及來自內部高權限用戶的數據竊取行為，幫助用戶應對來自外部和內部的數據庫安全威脅，滿足計算環境安全審計的合規性要求。

②具有用戶身份鑒別功能，包括主機身份鑒別和應用身份鑒別兩個方面[4]，同時等保2.0標準中明確要求應用系統所有具備兩種以上身份鑒別方式必須要包括密碼技術在內。

③具有訪問控制功能，服務器系統、應用業務平臺能夠給相應權限的用戶對應功能權限，權限粒度為文件、數據庫表級；刪除或重命名默認賬號、共享賬號等，不可以使用系統默認名和默認口令，滿足同時等保2.0標準的要求；支持后期海量數據的管理，通過對數據標記實現數據分級分類。

④支持入侵防范功能，在操作系統、應用平臺系統上只安裝需要的組件、關閉不需要的服務、默認共享、高危端口等；通過安全準入系統或者交換機配置ACL控制服務器終端接入；開啟系統校驗功能、打補丁修補安全漏洞；部署安全準入設備對前端感知設備、維護終端進行接入認證，防范非法用戶或設備侵入內網獲取信息及破壞系統。

⑤支持惡意代碼防范，在區域邊界通過防火墻或者其他技術手段限制高危安全端口，同時部署主機安全系統，加強主機系統的防范病毒、防垃圾郵件、防攻擊能力。

⑥系統應用平臺的數據在交付時通過采用數據加密和密碼認證方式保證數據完整性、保密性。

5 安全域設計

在項目設計中，嚴格按照信息系統的重要性和網絡使用的邏輯特性劃分安全域，將系統內相互信任、一樣的安全訪問控制和邊界控制的自網絡劃分為相同的安全域，通過設置共享安全策略滿足同樣級別的安全保護需求。通過劃分眾多的、小區域的安全防護區域，拆解復雜系統的安全問題，從而保證信息流在交換過程中的安全性。

網絡安全域具體劃分為互聯網接入區域、DMZ服務器區域、應用服務器區域、客用區域、辦公區域、智能設備接入區域等（見圖2）。

圖2 信息網絡整體架構圖

1）互聯網接入區

作為整個項目統一互聯網出口，滿足Internet、SSLVPN等的接入；其安全域需具有統一的防護網絡出口威脅的能力。本項目部署含IPS、防病毒功能的防火墻能有效防止外網對內網APT攻擊的預警防御，DOS/DDOS攻擊、網頁篡改、下載不懷好意的Java、ActiveX小程序等，為內網提供安全保障。

2）應用服務器區

同時具有安全管理服務區的功能，是管理員進行網絡運維管理所在的區域，審計類設備集中放置此區域。此區域需要對內網設備操作權限進行統一身份認證和管控，對日志統一收集分析，對內網設備、系統漏洞等進行統一管理。

3）DMZ區域

為網頁、APP、信息發布等需要對外公開提供應用服務的安全緩沖區域，是受保護內網的一道重要網絡安全防線。此區域的應用服務不能主動訪問內網，但需要被外網訪問。需要防止外網常見的web漏洞攻擊等，例如SQL注入、XSS跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的攻擊行為。

4）客用區

為用戶提供有線無線網絡、電話、電視等網絡服務；需要禁止主動與辦公區、智能設備區通信。

5）辦公接入區

為管理服務人員提供有線和無線網絡接入服務；需要通過專線與上一級主管部門的業務系統進行通信。

6）智能設備接入區

為各智能化各子系統提供網絡接入能力，需要與辦公網的業務系統進行通信。

辦公接入區、智能設備接入區均需要經過客用區核心交換機接入互聯網區，同時需要與應用服務器區的網管平臺、安全設備進行通信。

6 安全設備部署

6.1 互聯網接入區

在互聯網出口邊界進行隔離和訪問控制，保護內部網絡；對互聯網出口流量進行識別并對流量進行管控，提高帶寬利用率并保障用戶上網體驗；利用網絡防病毒，主動掃描web和電子郵件流量、阻止惡意軟件到達并感染網絡上主機等防護功能[5]。

部署含IPS、防病毒防火墻實現網絡邊界2層～7層邏輯隔離，實現對入侵事件的監控、阻斷，保護整體網絡各個安全域免受外網惡意攻擊。

基于威脅情報分析協同防御，動態實現對未知威脅、網絡攻擊、惡意域名等進行實時阻斷、全網感知，定位。實現對服務器和客戶端的漏洞攻擊防護，對所有從邊界流經下入侵防御系統的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，杜絕越權訪問，防止各類非法攻擊行為（見圖3）。

圖3 互聯網接入區架構圖

6.2 DMZ區域

部署WAF防火墻，防范黑客通過拖庫、惡意掃描等對網站進行攻擊；攔截如SQL注入、XSS跨站、獲取敏感信息、利用開源組件漏洞的攻擊等常見的web漏洞攻擊；隱藏真實服務器后對外發布應用，同時通過策略路由的方式將流量牽引到WAF進行流量清洗，將不同的保護站點端口設置為統一對外端口，保護內網服務器安全（見圖4）。

圖4 防篡改模塊功能圖

6.3 應用服務器區

部署終端殺毒、終端準入、日志審計、網管系統設備等設備，為全網提供限制非法外聯、終端安全基線自動檢測與強制修復、移動存儲管理、終端審計、終端準入、日志審計、網管等安全保障。

部署終端健康檢查和修復系統實現辦公區終端安全的集中統一管理，具有包括終端補丁的集中下載與分發、應用軟件的集中分發、禁止非工作軟件或有害軟件的安裝和運行等安全防范能力，強化終端安全策略，并對終端接入和外聯進行管理。

終端準入系統支持管理客用區域終端網絡可信接入和用戶身份級別的管理，記錄用戶的網絡訪問行為，對接入用戶實行全生命周期的數字身份管理，對終端服務器進行詳細信息展示：包括網絡信息、環境信息等；監聽端口，可對終端服務器上端口情況進行實時監控；運行進程，可對終端服務器上進程運行情況進行實時監控；賬號信息，可對終端服務器所有賬號信息進行統計；軟件信息，可對終端服務器上運行的軟件詳細信息進行統計。

6.4 區域邊界

在客戶區域，辦公區域和智能設備訪問區域之間部署了防火墻，以進行隔離。訪客區的普通用戶終端無法主動訪問辦公區和智能設備區。

在客用區域與辦公區域、智能設備接入區域之間分別部署防火墻進行隔離。客用區域的普通用戶終端不能主動訪問辦公區域和智能設備區域。

辦公區域與客用區域之間通過防火墻互聯，辦公區域的用戶終端經客用區域核心交換機訪問互聯網接入區域、DMZ區域、應用服務器區域等區域。

智能設備接入區域通過防火墻與客用區域互聯，只允許設備網的服務器、網絡設備經過客用網核心交換機與應用服務器區通信。

6.5 無線網絡安全

采用基于VLAN的用戶隔離減少二層廣播，使得同一VLAN內的有線用戶之間、有線用戶和無線用戶之間以及無線用戶之間（無論無線用戶是否使用同一SSID接入WLAN網絡）的不再能互相訪問，增強無線終端的安全性。

采用802.1X無線局域網認證方式，保證無線網絡準入的認證安全。通過對數據報文采取加密措施，使得只有相應的設備可對通過無線網絡傳輸的接收報文進行解密。對無線報文進行加密，確保只有特定設備才能成功解密接收到的報文。

7 結語

在網絡信息化的時代，網絡信息安全越來越受到重視，建設完備的安全技術和管理體系，重點做好通信網絡安全、應用系統安全、數據安全建設，完善網絡安全等級保護建設。此外面對網絡安全的脆弱性，除在網絡設計上增加安全服務功能，完善系統的安全保密措施外，還必須花大力氣加強網絡的安全管理制度建設，根據安全管理制度的基本要求制定各類管理規定、管理辦法和暫行規定。