基于縱深防御的網絡安全防護體系

宋金金 朱啟凡 顧國武

摘要：伴隨著信息化深入人們的日常生活，網絡安全變得尤為重要，網絡安全事件給政企單位帶來了巨大的壓力和損失，網絡安全對運維人員的要求也越來越高，傳統的非體系化網絡安全防護已經很難應對日益變化的網絡攻擊方式。文章針對當下嚴峻的網絡安全現狀及網絡安全工作存在的不足，構建出基于物理、網絡、主機、應用、數據、人員管理6個層面的縱深防御體系，提升政企網絡安全防護能力，為網絡安全建設提供參考。

關鍵詞：縱深防御；網絡安全；預警；防護

中圖分類號：TP399? 文獻標志碼：A

1 基于縱深防御的網絡安全防護體系研究背景及目的

隨著日益嚴峻的網絡安全形勢的發展，《網絡安全法》《數據安全法》《個人信息保護法》陸續出臺，保障網絡安全上升到了國家安全戰略。震網病毒破壞離心機、烏克蘭電網事件、2022年中國西北工業大學遭到網絡攻擊等事件的發生均給被攻擊當事方帶來了巨大的損失。道高一丈，魔高一丈，傳統的以網絡安全邊界為重點的防御已經顯得捉襟見肘，現有的防護體系已經很難防御日益變化的攻擊手段，網絡安全變得越來越重要，這時基于縱深防御的網絡安全防護體系對網絡安全顯得尤為重要。

2 網絡安全防護問題及分析

2.1 物理層面安全問題及分析

物理安全是最基礎的安全，主要是做好防火、防水、供電、防雷、防盜等方面的安全，這是保證機房服務器、網絡設備、安全設備、電線、通信線纜等支撐信息化系統資產安全的基礎，在基于縱深防御的網絡安全防護體系中，只有做好物理安全，其他層面的安全才可以得到保障。當前物理安全主要存在以下問題。

2.1.1 供電安全隱患

機房未配置UPS或未采用兩路市電，造成業務中斷或業務癱瘓；UPS質量不合格導致火災；未配置穩壓器，電壓過高或過低、打雷導致斷電或電壓不穩導致設備損壞。

2.1.2 消防安全問題

未部署消防系統，導致發生火災無法滅火；氣體滅火器未定期檢測，以致產品過期導致滅火效果不佳；異物堆積、消防疏通管道占用等導致火災，損失嚴重。

2.1.3 被盜竊和破壞的安全問題

機房未設置電子門禁措施，任何人均可進入，導致機房設備被盜竊甚至被不法分子破壞。

2.1.4 防水、防潮、靜電、溫濕度安全問題

雨水通過機房窗戶、屋頂和墻壁滲透，導致設備損壞；機房內水蒸氣結露和地下積水的轉移與滲透，導致設備損壞；未采取措施防止靜電的產生，導致設備損壞；機房溫濕度過高或過低，導致設備損壞。

2.1.5 物理訪問控制安全問題

未做好機房進出管理、未設置專人值守，導致陌生人進入，產生安全隱患；未設置監控，發生安全事件時，無法溯源問題。

2.2 網絡層面安全問題及分析

在基于縱深防御的網絡安全防護體系中，網絡層面是重中之重，網絡安全從名字就可以看出網絡的重要性，網絡是信息化的高速公路，一旦網絡高速公路出問題，信息化系統重則癱瘓，輕則網絡阻塞，不管出現哪種問題，都是比較嚴重的事故。當前網絡安全主要存在以下問題。

2.2.1 網絡架構問題

網絡架構不合理，導致網絡收斂速度慢、可用性差；網絡中的區域劃分不合理，導致管理工作增加；內網中業務區域未做隔離，導致遭受網絡攻擊時影響范圍增加。

2.2.2 網絡邊界問題

對于網絡邊界，通常認為只有一個互聯網邊界，這是錯誤的想法。網絡邊界不僅有互聯網邊界，也有內部的邊界，比如常見的辦公區域與各服務器區域之間的邊界、其他區域與服務器區域之間的邊界，這些邊界在平時最容易被忽視；還存在關鍵信息系統直接部署在網絡邊界的問題，最終導致被攻擊。

2.2.3 訪問控制問題

互聯網存在不必要開放服務導致系統被攻擊；訪問控制策略做得不合理導致不該訪問區域網絡人員能訪問網絡；內網服務器可以訪問網絡導致服務器風險增加。

2.2.4 入侵防護問題

缺乏應用層面防護或者均部署了WAF，IPS等防護設備，但策略卻未開啟，導致無法對應用系統進行安全防護；同一路徑部署同等品牌設備，導致部分漏洞未被攔截；無法對用戶訪問互聯網的行為進行審計，無法管控無線網絡私接等行為。

2.2.5 監測預警問題

當網絡發生攻擊事件或者網頁被掛馬、網頁被篡改時，大多數單位無法及時了解，只能被動地等待，最終造成系統不可用，經過被動排查才發現已被攻擊，此時已經造成實質的網絡安全損失；還有可能在溯源時，發現日志數據缺失無法溯源。

2.3 主機層面安全問題及分析

主機安全包含服務器安全和終端安全，在基于縱深防御的網絡安全防護體系中，主機層面的安全對于應用安全、數據安全尤為重要。主機安全主要存在以下問題：漏洞未及時修復、主機存在高危端口，導致被攻擊；主機被攻擊時無法預警和及時處理。

2.4 應用層面安全問題及分析

在基于縱深防御的網絡安全防護體系中，應用安全是網絡安全需要重點關注的地方，大多數攻擊來自應用層面的攻擊。當今社會發展日新月異，各種應用層面攻擊手段層出不窮，最新常見的如OWASP Top 10，除此之外，還有各種應用組件、應用開發框架漏洞也易受到攻擊，往往這些漏洞會造成很嚴重的危害，最嚴重的就是造成數據泄露，這對于網絡安全來說是致命的。當前應用安全主要存在以下問題。

2.4.1 應用系統防護、監測不足問題

應用系統需要Web層面防護，一般情況下很多單位僅有一個普通防火墻，直接將應用系統映射到互聯網上，僅有網絡層防護，卻忽視了應用層面防護，導致受到Web層面攻擊而無法防護；還存在應用系統發生攻擊時卻不知道，更有甚者發生嚴重問題，如網頁被掛馬、被篡改等惡性安全事件，卻無法第一時間得知，最終造成嚴重損失。

2.4.2 應用系統漏洞未及時發現、修復問題

大多數單位上線應用系統，尤其是小單位，很容易忽視應用系統的安全測試，如滲透測試、代碼審計等，最終導致漏洞未被及時發現并修復，造成嚴重損失。

2.4.3 應用系統開發層面問題

應用開發人員的技術水平、開發公司的管理水平均會影響到系統開發是否規范，開發不規范導致系統存在后門或漏洞，一旦被攻擊將出現嚴重的安全事件。

2.5 數據層面安全問題及分析

在基于縱深防御的網絡安全防護體系中，數據安全是核心，是最重要的。一切信息系統最后落地的就是數據，這好比一臺計算機，硬盤（數據）沒了，其他都是空談，只要硬盤（數據）還在，哪怕其他設備都被破壞了，系統還是可以重建。隨著《數據安全法》的出臺，我國在網絡與信息安全領域的法律法規體系得到了進一步完善。這也對數據管理人員的要求越來越高，當前數據安全主要存在以下問題。

2.5.1 數據存儲介質安全問題

數據存儲介質可能存在質量問題導致數據丟失，造成嚴重數據丟失事件；數據庫存在安全漏洞，被不法分子攻擊，造成數據被竊取。

2.5.2 數據傳輸、存儲過程未加密

數據在處理和傳輸、存儲的過程中，未進行加密或加密算法不滿足保密要求造成數據在傳輸過程中被竊取。

2.5.3 數據管理不規范

大多數數據庫使用者的權限均為超管賬戶，數據庫權限過大會導致數據權限控制存在問題，將出現非授權人員訪問、修改、篡改以及破壞系統資源，數據將遭到惡意破壞；數據管理人員有時會忽視數據備份，往往為了方便不備份數據，或者只進行本地備份，一但數據丟失，將導致系統數據無法恢復。

2.5.4 缺乏數據安全監測措施

當企業內部人員竊取數據、違規使用數據時，常常無法監測到數據泄露以及違規使用數據的行為。

2.6 人員管理層面問題及分析

在縱深防御體系中，人往往是最重要的環節，也是最薄弱的環節。在人這一環節，需要諸多網絡安全管理制度來制約，按流程辦事、按規則辦事，通過制度、規則來制約人的行為，按照最小化、分權制衡的原則來分配權限，避免因為某個人的失誤而造成網絡安全事件。當前人員管理主要存在以下問題：用戶或運維人員缺乏安全意識、不遵守網絡安全管理制度、不規范使用系統設備、缺乏專業工作技能，最終導致網絡安全工作失敗，使不法分子有機可乘，發生安全事件。

3 做好安全防護措施

3.1 做好物理層面安全防護措施

3.1.1 針對供電安全問題

機房要配置UPS或未采用兩路市電，以免造成業務中斷或業務癱瘓；選擇經過國家認證過的UPS產品，避免選擇三無產品；機房供電配備穩壓器，以免電壓過高或過低、打雷造成斷電或電壓不穩導致設備損壞。

3.1.2 針對消防安全問題

部署消防系統，以免導致發生火災無法滅火；定期檢測氣體滅火器，以免產品過期導致滅火效果不佳；避免異物堆積、消防疏通管道占用等情況。

3.1.3 針對被盜竊和破壞的安全問題

機房需要設置電子門禁措施，訪問鑒別人員，避免出現任何人均可進入的情況。

3.1.4 針對防水、防潮、靜電、溫濕度安全問題

做好機房窗戶、屋頂和墻壁的防滲維護，以免導致設備損壞；做好機房內水蒸氣結露和地下積水轉移與滲透的防護措施，以免導致設備損壞；采取措施防止靜電的產生，以免導致設備損壞；配備機房空調，以免機房溫濕度過高或過低導致設備損壞。

3.1.5 針對物理訪問控制安全隱患

做好機房進出管理、設置專人值守，以免陌生人進入，產生安全隱患；設置監控，發生安全事件時，可以溯源問題。

3.2 做好網絡層面安全防護措施

3.2.1 針對網絡架構問題

網絡結構應該使用扁平化設計來提升網絡的收斂性，滿足業務的可用性就要求提升網絡的收斂性，同時網絡設備必須滿足業務高峰期需要，資源在高峰期不得超過設備的70%，從而滿足設備的可用性。除了滿足可用性，還要使得網絡中的設備或服務器便于管理，這就要求網絡中劃分若干個區域。在服務器網絡劃分方面，通過服務器主機的角色劃分，并根據應用系統類別、用戶訪問特性、服務組件類型劃分合理的區域；除了服務器、安全設備、網絡設備劃分區域外，安全支撐系統、網絡管理系統、安全運維終端等，也需要獨立劃分一個區域，一般稱為安全管理中心（安全運維區域）；一般政企單位還會遇到專線、VPN與其他單位連接的情況，也需要劃分獨立的區域用于這些特殊網絡鏈路的接入；獨立的辦公區域也尤為重要，除了外部威脅，來自內部的威脅也同樣要重視，為了便于管理，也需要將辦公網絡劃分為獨立的區域。最后，對于以上區域，為了便于管理，還需要分配不同的IP地址段。

3.2.2 針對網絡邊界問題

對于網絡邊界。網絡中劃分的安全區域應該采取相應的邊界隔離措施；重要區域，如互聯網邊界，需要采取縱深防御的網絡防護，應該避免將重要網絡區域的服務直接映射到外部邊界處。

3.2.3 針對訪問控制問題

訪問控制是網絡安全防護的重中之重，網絡安全的精髓就是網絡安全訪問控制，要遵循最小化訪問原則來進行網絡安全訪問控制。需要做到以下幾點：只開啟必要服務的端口的訪問控制策略，策略按就近部署原則作用在就近的服務側邊界處；應禁止服務器訪問互聯網，對于必須訪問互聯網的請求，應在區域邊界處采用白名單方式明確目的地址、端口和源地址的訪問控制規則；對于網絡設備、安全設備等設備必須訪問互聯網的情況，應在網絡邊界處采用白名單方式明確目的地址、端口和源地址的訪問控制規則；最重要的一點，采用最小授權訪問原則設置訪問控制規則，非業務所必須的訪問一律應被禁止［1］。

3.2.4 針對入侵防護問題

針對入侵防護的具體措施，分為以下幾點：在部署Web應用的網絡區域邊界部署應用防火墻，并設置合理的防護策略，確保目標系統http，https不同協議訪問均得到有效防護；在外聯區域邊界部署防火墻、防入侵等措施，并設置合理的防護策略；在用戶訪問互聯網的出口處部署上網行為審計系統，對用戶的互聯網訪問進行審計；若存在通過無線接入的情況，應確保其通過受控的邊界防護設備接入內部網絡，并應明確限定其訪問的目標范圍；應確保各安全防御設備攻擊特征庫同步兼容相關權威組織的漏洞特征庫，與其他安全設備及主機防護系統具有一定的差異性，并保證特征庫能得到及時更新。

3.2.5 針對監測預警問題

監測預警是在網絡發生攻擊事件時能夠及時預警，這尤為重要，監測預警就是網絡安全的眼睛，需要做到以下幾點：在網絡中部署網絡流量監測系統，并設置合理的預警策略，一旦發現異常及時預警；對于向互聯網提供服務的應用或重要系統，應采取相應的技術措施對內容安全、網頁篡改、網頁掛馬進行監測和防護；部署日志集中審計系統，對網絡中各類運行日志進行集中留存及關聯分析。

3.3 做好主機層面安全防護措施

針對漏洞未及時修復、主機存在高危端口，需要定期對主機安全進行漏洞評估并及時修補漏洞，及時做好主機安全基線關閉高危端口以減輕被攻擊的風險；針對主機被攻擊時無法預計和及時處理，需要部署終端監測系統，在發生安全攻擊時能夠及時預警并處置。

3.4 做好應用層面安全防護措施

3.4.1 針對應用系統防護、監測不足問題

應用系統訪問路徑需要部署Web應用防火墻或IPS，并設置合理的應用防護策略對Web層面攻擊進行有效防護；針對監測不足，需要部署防網頁篡改、防網頁掛馬、態勢感知設備進行監測預警。

3.4.2 針對應用系統漏洞未及時發現、修復問題

應用系統上線前必須做安全測試，如模擬黑客攻擊滲透測試，做代碼審計，發現代碼層面安全漏洞。通過滲透測試發現應用系統漏洞以及代碼層面漏洞，應及時修復系統漏洞。最后，需要做驗證測試，確認系統沒有安全漏洞方可上線，且需要定期對系統做安全漏洞檢測，保證系統的長期安全性。

3.4.3 針對應用系統開發層面問題

應用開發人員的技術水平、開發公司的管理水平均會影響到系統開發是否規范，所以，需要定期對開發人員進行相關開發規范知識培訓，開發公司需要不斷提升管理水平，嚴格按照相關開發標準開發系統，單位還要通過相關開發能力驗證。

3.5 做好數據層面安全防護措施

3.5.1 針對數據存儲介質安全問題

選擇通過相關認證的數據存儲介質產品，保證數據存儲介質安全；對于數據庫漏洞需要及時評估，并及時修補。

3.5.2 針對數據傳輸、存儲過程未加密

數據在傳輸和存儲過程中需要采用密碼算法、加密算法處理，方可保證數據在傳輸和存儲過程中不被竊取。加密技術可以有效確保網絡傳輸中的數據流處于非明文狀態，縱使被黑客攔截，也可以有效保障數據安全，防止非授權用戶的搭線竊聽和入網，以及數據傳輸過程中被竊取和篡改［2］。

3.5.3 針對數據管理不規范問題

針對數據管理不規范問題，需要建立好數據庫賬號權限，避免超級管理權限的存在；并制定合理的數據備份策略，保證數據管理的安全。

3.5.4 針對缺乏數據安全監測措施

數據安全監測需要部署上網行為管理，對訪問者進行記錄和準入，對于運維人員需要部署數據安全堡壘機進行運維操作監測，對于數據泄露的風險，需要在邊界部署數據泄露防護設備DLP進行監測。

3.6 做好人員管理措施

人員要及時接受網絡安全意識培訓、專業技能培訓，單位及時制定合理的安全管理制度，并且要求工作人員時刻保持網絡安全意識、不斷學習專業技能、嚴格遵守網絡安全制度，規范使用系統設備，讓不法分子無機可乘。

4 結語

以上物理、網絡、主機、應用、數據、人員管理6個層次構建了基于縱深防御的網絡安全體系，每一個層面缺一不可，一道道防線共同構建了堅實可靠的政企網絡安全防護，實現了網絡安全的縱深防御；每一道防線都要讓攻擊者付出巨大的代價。當然，網絡安全工作是常態化的，縱深防御的措施還是要依靠日常扎實的安全運營工作［3］，方可保證網絡安全縱深防御體系的穩定且有效落實。

參考文獻

［1］ 張敬，李江濤，張振峰.企業網絡安全建設最佳實踐［M］.北京： 電子工業出版社，2021.

［2］ 工業和信息化部網絡安全產業發展中心編寫組.數據傳輸安全白皮書［M］.北京：清華大學出版社，2021.

［3］ 楊東曉，張鋒，瑪濤，等.網絡安全運營［M］.北京：清華大學出版社，2020.

（編輯 沈 強）

Network security protection system based on defense in depth

Song? Jinjin， Zhu? Qifan， Gu? Guowu

（Jiangsu Golden Shield detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： With the deepening of information technology in our daily life， network security has become particularly important. Network security threats have brought huge pressure and losses to government and enterprise units. Network security has become increasingly demanding for operation and maintenance personnel. The traditional non-systematic network security protection has been difficult to meet the ever-changing network attack methods. This paper aims at the current severe network security situation and the shortcomings of network security work， Build a defense-in-depth system based on six levels of physics， network， host， application， data and personnel management， improve the network security protection ability of government and enterprises， and provide reference for network security construction.

Key words： defense in depth; network security; early warning; protection