信息網絡安全防御體系建設

摘 要：公司信息網絡從建設伊始，就注意把安全規劃貫穿到網絡建設的始終，形成了安全可靠和功能實現相并重的網絡建設特點。按照信息安全防護等級高于其它公共服務類企業的原則，將公司管理信息網分為信息內網和信息外網。通過信息網絡安全防御體系的建設，在各個需要互訪的區域網絡邊界之間，采用了多重手段，如強隔離設備、防火墻、路由器、入侵防御系統、交換機集成設備安全特性等，實現了嚴格而完善的安全策略，很好的在用戶的需求之間和網絡的安全方面取得了較好的平衡。

關鍵詞：信息網絡 安全 防御體系 建設

中圖分類號：TP393.08 文獻標識碼：A 文章編號：1672-3791（2012）11（b）-0003-01

公司信息網絡從建設伊始，就注意把安全規劃貫穿到網絡建設的始終，形成了安全可靠和功能實現相并重的網絡建設特點。信息網絡現分為如下幾個安全區域：外網區域，內網區域，特殊系統區域，子公司內網區域。其中外網和內網又分別劃分為服務器群子區域和用戶終端群子區域。

1 策略及實現方案

1.1 信息外網與信息內網

按照信息安全防護等級高于其它公共服務類企業的原則，將公司管理信息網分為信息內網和信息外網。信息內網部署涉及企業商業秘密的工程業務應用，信息外網部署不涉及企業商業秘密的對外業務服務，并為公司用戶提供互聯網服務。信息內網PC終端不能訪問internet。對外發布信息的服務器只提供對外網的服務，內部網絡不能訪問。信息內網服務器不能訪問Internet，信息內網服務器與信息外網服務器之間允許在設置嚴格安全策略情況下進行互通。

信息外網選用大型交換機作為外網訪問區的核心交換機。選用中型交換機作為樓層終端的接入交換機，選擇中型交換機作為外網匯聚交換機。選擇網絡千兆防火墻作為外網出口防火墻，直接連接至因特網匯聚交換機，進入因特網。交換機之間通過鏈路捆綁實現互連。在大型交換機上起用VRRP熱備網關協議，實現了用戶上網的網關熱備；在辦公區選擇一間房間作為集中上網區域，通過交換機連接至核心交換機處，接入互聯網。信息內網防火墻連接至外網防火墻，形成雙堡壘架構，在內網和外網之間通過防火墻系統實現了相當強度的邏輯隔離，對于內外服務器之間的數據交互，可以通過制定嚴格的訪問策略進行解決，如通過IP地址，端口等限制條件嚴格控制，這樣既保證了外網和內網的隔離，同時又很好的解決了內外服務器數據交互的問題。

1.2 外網和內網之間

外網和內網之間主要實現了如下策略：外網用戶終端和內網用戶終端之間完全斷開，不能互訪。外網用戶只能訪問互聯網應用，內網用戶只能訪問內部應用。外網應用系統和內網應用系統之間的數據交換，實現基于SQL層面的互通，阻斷其余協議互通。上述策略主要通過雙防火墻架構以及國網標準強隔離設備實現，同時，對于外網和內網各子區域，采用了入侵防護設備，對重點網絡區域進行應用層面的保護，有效降低了黑客攻擊和蠕蟲病毒泛濫所造成的影響。

1.3 子公司內網和母公司內網之間

子公司內網和母公司內網之間的業務互通主要通過廣域網實現，廣域網主要承載涉及大型應用系統等業務。主要實現了如下安全策略：（1）默認策略為互訪全部禁止。（2）母公司內網用戶可以根據需要訪問子公司內網相應應用系統。（3）子公司內網用戶可以根據需要訪問母公司內網相應應用系統。（4）母公司用戶和子公司用戶不能互訪。

在具體的安全實現手段上，主要采取了以下措施：首先，通過采用基于MPLS VPN技術進行廣域網組網，完成了各種業務橫向隔離，縱向貫通。其次，在子公司內網架設出口防火墻，同時在母公司內網架設入口防火墻，通過兩套防火墻的訪問控制元素（如源地址、源端口、目地址、目端口，時間段）等手段，實現了可控能控目的子公司和母本部業務互訪。最后，在遠期在子公司局網絡和母公司網絡之間部署入侵防御系統，進一步提高這兩個區域網絡之間的安全互訪水平。

1.4 數據中心網絡和子公司內網及母公司內網之間

數據中心網絡是大型應用系統建設而專設的安全區域網絡，主要實現了如下安全策略：子公司內網用戶根據需要可以訪問數據中心應用服務器區域，但不能訪問數據庫區域，母公司用戶根據需要可以訪問數據中心應用服務器區域以及個別數據庫服務器區域，應用服務器區域和數據庫區域嚴格按照IP源地址、IP目地址、源端口、目端口等實現有限互通。數據中心網絡主要設計特點如下：（1）設計了獨立的大型系統網絡安全分區，實現了統一集中的安全防御策略。

原有臨時的服務器群和母公司局域網服務器群混合在一起，而局域網服務器群和大型服務器群在制定訪問策略的需求上有諸多不同，造成了相關安全策略的不一致性，為此，專門設計建設了獨立為大型服務器群服務的系統網絡安全分區，通過細化相關的安全策略需求，形成了統一集中的安全防御策略，大大提高了系統的安全訪問級別。（2）基于網絡7層概念，利用多種層面、多種安全特性的使用，實現了深度安全防御策略。防火墻實現網絡層的安全保護、實現基于應用層的安全防護、交換機實現基于設備本身的集成安全特性。該三重安全防護手段能夠實現網絡1～7層的全面防護。在數據中心，采用硬件防火墻實現基于網絡層的安全保護、入侵防護系統實現基于應用層的安全保護、高端交換機實現基于設備本身的集成安全特性。該三重安全防護手段實現了完整的網絡1～7層的全面防護，實現了深度安全防御策略。（3）基于三層軟件設計架構，實現了應用層和數據庫層分區設計的安全防御策略。現有大型軟件系統多為B/S架構，基于這種設計架構，以及數據是企業生命的理念，對相關系統進行了應用服務器群和數據庫服務器群的劃分，在應用服務器群和數據庫服務器群前段分別配置防火墻和交換機，數據庫服務器群只能從應用服務器群發起訪問，而應用服務器群可從網絡其他地方訪問，通過這種手段，大大強化了數據庫服務器群的安全性。

2 結論

通過信息網絡安全防御體系的建設，在各個需要互訪的區域網絡邊界之間，采用了多重手段，如強隔離設備、防火墻、路由器、入侵防御系統、交換機集成設備安全特性等，實現了嚴格而完善的安全策略，很好的在用戶的需求之間和網絡的安全方面取得了較好的平衡。