基于安全域的省級農(nóng)業(yè)科研單位網(wǎng)絡(luò)安全建設(shè)研究

劉家玉， 荀廣連， 曹　萌， 劉家祥， 戴　秀， 施　奎， 高曉輝， 陳　磊

(江蘇省農(nóng)業(yè)科學(xué)院信息服務(wù)中心，江蘇南京 210014)

近年來，隨著互聯(lián)網(wǎng)與IT技術(shù)的發(fā)展，信息化已經(jīng)成為當(dāng)前科技、經(jīng)濟與社會發(fā)展的重要趨勢。信息技術(shù)在社會各領(lǐng)域的廣泛滲透，開創(chuàng)了經(jīng)濟發(fā)展的新時代，在推動人類社會生產(chǎn)力的同時，各種形式的網(wǎng)絡(luò)安全問題也頻頻發(fā)生，給國家安全和社會穩(wěn)定帶來了極大的威脅。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》[1]顯示，2016年，我國捕獲的移動互聯(lián)網(wǎng)惡意程序數(shù)量205萬余個，國家信息安全漏洞共享平臺(CNVD)共收錄通用軟硬件漏洞10 822個，約4萬個IP地址對我國境內(nèi)8萬余個網(wǎng)站植入后門，等等。網(wǎng)絡(luò)安全問題已經(jīng)引起了我國政府的高度重視。全國人大常委會于2016年11月發(fā)布《中華人民共和國網(wǎng)絡(luò)安全法》[2]，規(guī)定了網(wǎng)絡(luò)安全建設(shè)監(jiān)督條例，并對包括農(nóng)業(yè)科研機構(gòu)在內(nèi)的各級單位的網(wǎng)絡(luò)安全建設(shè)提出了更高的要求。如何建設(shè)安全可靠的農(nóng)業(yè)科研局域網(wǎng)，如何合理、安全、有效地管理、保護農(nóng)業(yè)科研信息資源，安全利用農(nóng)業(yè)科研大數(shù)據(jù)，已經(jīng)成為省級農(nóng)業(yè)科研單位必須面對的重要問題。

1　網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀

省級農(nóng)業(yè)科研單位組織架構(gòu)及局域網(wǎng)建設(shè)情況比較類似，以江蘇省農(nóng)業(yè)科學(xué)院為例，除管理服務(wù)部門外，還有10多個專業(yè)研究所或投資企業(yè)，在職人數(shù)超過1 000人，終端類型多、數(shù)量大。局域網(wǎng)建設(shè)之初是為了方便科研和管理人員對外聯(lián)系、與國內(nèi)外同行交流，采用與因特網(wǎng)邏輯隔離的技術(shù)架構(gòu)，網(wǎng)絡(luò)拓樸為典型的三層結(jié)構(gòu)，包括核心層、匯聚層和接入層，核心交換進行熱備冗余部署，保證網(wǎng)絡(luò)的穩(wěn)定，同時建設(shè)單位門戶網(wǎng)站，對外宣傳和展示，為三農(nóng)提供技術(shù)支持和服務(wù)。隨著IT技術(shù)應(yīng)用的發(fā)展，局域網(wǎng)逐步建設(shè)了支撐單位管理和科研業(yè)務(wù)的辦公自動化(OA)、科研項目管理、積分制績效考核、財務(wù)管理、檔案管理等多個信息管理系統(tǒng)。在與Internet連接的局域網(wǎng)出口處部署了網(wǎng)絡(luò)防火墻和上網(wǎng)行為管理系統(tǒng)，將面向互聯(lián)網(wǎng)服務(wù)的應(yīng)用集中部署到DMZ區(qū)，并前置專用的Web應(yīng)用防火墻進行多層安全防護，分支機構(gòu)和出差職工可通過VPN接入訪問內(nèi)部系統(tǒng)。

該局域網(wǎng)從安全配置上具備一定的安全防護能力，也有一定的防御外部網(wǎng)路攻擊的安全措施，但與當(dāng)前的網(wǎng)絡(luò)安全形勢及相關(guān)職能部門的要求相比，仍然存在一定的安全隱患：如科研人員更強調(diào)便利，信息安全意識不足；科研單位經(jīng)費管理分散，電腦購置經(jīng)費來源多樣，個人使用維護，難以實現(xiàn)終端統(tǒng)一安全管理；內(nèi)網(wǎng)應(yīng)用服務(wù)器與辦公區(qū)、生活區(qū)同屬1個子網(wǎng)，容易受到來自內(nèi)部終端的攻擊；網(wǎng)絡(luò)結(jié)構(gòu)邊界不清晰，不利于精細(xì)化的安全防護；投入不足，網(wǎng)絡(luò)安全設(shè)備無法滿足性能要求等。

隨著信息化建設(shè)的不斷推進，日常辦公的公文流轉(zhuǎn)、科研信息的數(shù)字化保存與未來大數(shù)據(jù)的分析利用對IT系統(tǒng)的依賴日趨升高，局域網(wǎng)信息資產(chǎn)的安全防護更趨重要，如何利用有限的資金，在保護原有投資的前提下進行網(wǎng)絡(luò)安全改造，實現(xiàn)網(wǎng)絡(luò)安全性能提升的平滑過渡，滿足信息化對管理和科研活動的支撐，是當(dāng)前工作亟待解決的問題。

2　網(wǎng)絡(luò)安全建設(shè)方案

1994年國務(wù)院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院令第147號)[3]規(guī)定了計算機信息系統(tǒng)應(yīng)實行安全等級保護。國家保密局2000年1月1日起頒布實施的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》[4]規(guī)定“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離”。農(nóng)業(yè)科研單位的網(wǎng)絡(luò)承載的多是與科研業(yè)務(wù)相關(guān)的科研、財務(wù)、管理等信息，不涉及國家秘密，因此應(yīng)按照等級保護的相關(guān)安全要求進行網(wǎng)絡(luò)建設(shè)。

2.1　安全域的劃分

大型網(wǎng)絡(luò)及信息系統(tǒng)進行等級保護，不是對整個網(wǎng)絡(luò)或系統(tǒng)進行同一等級的保護，而是針對系統(tǒng)內(nèi)部不同的業(yè)務(wù)區(qū)域或業(yè)務(wù)子網(wǎng)進行不同等級的保護，以達到安全策略統(tǒng)一、資源調(diào)配合理、業(yè)務(wù)交互便捷可靠的目標(biāo)。安全域劃分是進行信息安全等級保護的首要步驟[5-6]，安全域是指同一環(huán)境內(nèi)有相同的安全保護需求、相互信任、并具有相同的安全訪問控制和邊界控制策略的網(wǎng)絡(luò)或系統(tǒng)，將網(wǎng)絡(luò)劃分為不同的區(qū)域或邏輯子網(wǎng)，對每個區(qū)域進行層次化、有重點的保護。通過安全域的劃分，可以把復(fù)雜的大型網(wǎng)絡(luò)系統(tǒng)安全問題轉(zhuǎn)化為較小區(qū)域與業(yè)務(wù)板塊更為統(tǒng)一的安全保護問題，從而更好地控制網(wǎng)絡(luò)安全風(fēng)險，將有限的安全防控資源分配給最需要保護的資產(chǎn)，提高網(wǎng)絡(luò)整體安全性與安全防護的經(jīng)濟性。

2.2　安全域劃分原則

進行安全域的劃分時，應(yīng)考慮到網(wǎng)絡(luò)系統(tǒng)規(guī)劃設(shè)計、部署、維護管理到運營全過程中的所有因素。安全域劃分的基本原則包括以下幾條：(1)業(yè)務(wù)保障原則。安全域方法的根本目標(biāo)是能夠更好地保障網(wǎng)絡(luò)上承載的業(yè)務(wù)。在保證安全的同時，還要保障日常辦公和科研業(yè)務(wù)的正常運行和運行效率。(2)結(jié)構(gòu)簡化原則。安全域劃分的直接目的和效果是要將整個網(wǎng)絡(luò)變得更加簡單，簡單的網(wǎng)絡(luò)結(jié)構(gòu)便于設(shè)計防護體系。比如，安全域劃分并不是粒度越細(xì)越好，安全域數(shù)量過多過雜可能導(dǎo)致安全域的管理過于復(fù)雜和困難。(3)等級保護原則。安全域的劃分要做到每個安全域的信息資產(chǎn)價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。(4)生命周期原則。對于安全域的劃分和布防不僅僅要考慮靜態(tài)設(shè)計，還要考慮動態(tài)、不斷變化調(diào)整的工作。

2.3　安全域劃分方法

目前國內(nèi)比較常用的網(wǎng)絡(luò)安全域劃分有以下幾種基本方法：(1)按照業(yè)務(wù)系統(tǒng)等級劃分。這種方法依據(jù)業(yè)務(wù)系統(tǒng)的分類來區(qū)分支持不同業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)區(qū)域，從而把網(wǎng)絡(luò)劃分成不同的網(wǎng)絡(luò)安全域。(2)按照防護等級劃分。這種方法依據(jù)網(wǎng)絡(luò)中信息資產(chǎn)的價值劃分不同的防護等級，相同等級構(gòu)成相同的網(wǎng)絡(luò)安全域。不同等級的安全域采用不同的安全手段，有效地減少了重復(fù)投資，同時也體現(xiàn)了安全縱深防御的思想。(3)按照系統(tǒng)行為等級劃分。這種方法按照信息系統(tǒng)的不同行為和需求來劃分相應(yīng)網(wǎng)絡(luò)安全域，并根據(jù)信息系統(tǒng)的等級和特點選擇相應(yīng)的防護手段。

2.4　安全域劃分

由于每個單位的網(wǎng)絡(luò)情況和業(yè)務(wù)需求都有所不同，因此進行安全域劃分時必須兼顧網(wǎng)絡(luò)的管理和業(yè)務(wù)屬性，既要保證現(xiàn)有業(yè)務(wù)的正常運行，也要考慮劃分方案是否可行。遵循任何單一的安全域劃分方法都無法實現(xiàn)網(wǎng)絡(luò)安全域的合理劃分，因此，應(yīng)當(dāng)從網(wǎng)絡(luò)承載的業(yè)務(wù)和管理需求，基于安全域劃分的4個原則，綜合幾種劃分方法，有針對性地合理劃分安全域。

根據(jù)江蘇省農(nóng)業(yè)科學(xué)院的網(wǎng)絡(luò)結(jié)構(gòu)及業(yè)務(wù)信息承載，通過調(diào)研和分析，設(shè)計出基于網(wǎng)絡(luò)現(xiàn)狀的基于安全域的網(wǎng)絡(luò)安全建設(shè)方案。首先根據(jù)網(wǎng)絡(luò)的拓樸將整個網(wǎng)絡(luò)劃分為內(nèi)網(wǎng)和外網(wǎng)兩部分，其目的是保障內(nèi)網(wǎng)中的核心業(yè)務(wù)安全運行，Internet出口位于外網(wǎng)區(qū)，內(nèi)網(wǎng)和外網(wǎng)之間設(shè)置網(wǎng)絡(luò)防火墻，規(guī)避了來自外網(wǎng)和Internet的威脅，實現(xiàn)內(nèi)外網(wǎng)之間的安全隔離。其次，分別在內(nèi)網(wǎng)區(qū)和外網(wǎng)區(qū)按照業(yè)務(wù)系統(tǒng)進行安全域劃分。外網(wǎng)區(qū)為對外服務(wù)區(qū)，內(nèi)網(wǎng)則首先劃分為內(nèi)網(wǎng)數(shù)據(jù)區(qū)、網(wǎng)絡(luò)交換區(qū)和用戶接入?yún)^(qū)，根據(jù)功能重要性分為內(nèi)網(wǎng)核心業(yè)務(wù)數(shù)據(jù)服務(wù)器區(qū)、內(nèi)網(wǎng)非核心業(yè)務(wù)數(shù)據(jù)服務(wù)器區(qū)、生活小區(qū)、辦公用戶接入?yún)^(qū)和智慧園區(qū)等子區(qū)域，最終得出安全域劃分(圖1)。

對外服務(wù)區(qū)，即DMZ區(qū)，主要部署對互聯(lián)網(wǎng)開放的信息系統(tǒng)和服務(wù)，如門戶網(wǎng)站、郵件服務(wù)器等；內(nèi)網(wǎng)核心業(yè)務(wù)數(shù)據(jù)服務(wù)器區(qū)主要部署提供院內(nèi)服務(wù)的業(yè)務(wù)系統(tǒng)，安全性要求比較高，如OA、科研管理、積分考核、財務(wù)系統(tǒng)等；內(nèi)部大流量應(yīng)用服務(wù)器區(qū)面向內(nèi)部提供服務(wù)，主要為上傳下載的高流量、安全性要求不高的服務(wù)與應(yīng)用，如高性能計算、補丁服務(wù)器等；網(wǎng)絡(luò)交換區(qū)主要包含保障網(wǎng)絡(luò)暢通的各類網(wǎng)絡(luò)通信設(shè)備；生活區(qū)接入單位局域網(wǎng)的生活小區(qū)網(wǎng)絡(luò)，用戶群體類型比較豐富；辦公區(qū)，即單位辦公區(qū)域的網(wǎng)絡(luò)，用戶群體主要為單位職工；智慧園區(qū)主要包含車輛進出的道閘管理系統(tǒng)、視頻安防監(jiān)控、智慧一卡通等與日常辦公關(guān)系不密切，有一定安全需求同時沒有大量訪問需求的應(yīng)用和業(yè)務(wù)系統(tǒng)。

2.5　安全防護策略

基于安全域的安全防護策略主要通過在安全域之間邊界適當(dāng)部署安全訪問控制措施實現(xiàn)，而安全域的防護載體一般為邏輯結(jié)構(gòu)邊界上部署交換機、防火墻等防護設(shè)備[7]。

對外服務(wù)區(qū)邊界在原有防火墻、上網(wǎng)行為管理設(shè)備及訪問控制策略的基礎(chǔ)上增添部署網(wǎng)頁防篡改、IPS等設(shè)備，滿足對應(yīng)的等級保護要求，增強安全防護功能。內(nèi)網(wǎng)核心業(yè)務(wù)數(shù)據(jù)服務(wù)區(qū)邊界部署防火墻及IPS并根據(jù)業(yè)務(wù)需求設(shè)定防護策略，同時在邊界交換機上旁路接入訪問審計設(shè)備，實現(xiàn)對內(nèi)網(wǎng)應(yīng)用訪問的記錄，便于安全審查。網(wǎng)絡(luò)交換區(qū)的主要安全防護措施包括采用“https”或“ssh”等安全方式對網(wǎng)絡(luò)設(shè)備進行管理，避免管理帳號信息被非法竊取。定期對相關(guān)網(wǎng)絡(luò)設(shè)備進行周期性安全漏洞檢查和安全配置檢查和修補，防止利用漏洞的攻擊。實施冗余部署，避免單點故障。生活區(qū)邊界部署防火墻，結(jié)合VLAN劃分實施訪問控制策略，生活區(qū)對內(nèi)網(wǎng)其他邏輯區(qū)域不可訪問，最大程度地將生活區(qū)從辦公網(wǎng)絡(luò)中隔離。智慧園區(qū)邊界部署防火墻，設(shè)置此區(qū)域終端設(shè)備只可訪問內(nèi)網(wǎng)核心業(yè)務(wù)服務(wù)區(qū)與業(yè)務(wù)相關(guān)的指定服務(wù)器，拒絕外部其他接入?yún)^(qū)域的訪問，將此區(qū)域與其他區(qū)域隔離。內(nèi)部大流量應(yīng)用服務(wù)器區(qū)和生活區(qū)這2個區(qū)域，因為其業(yè)務(wù)特性和較大的用戶數(shù)量，信息敏感度不高且對網(wǎng)速和帶寬有很高的要求，高性能的安全防護設(shè)備價格昂貴，暫未考慮對此區(qū)域增加專用設(shè)備防護。通過對內(nèi)網(wǎng)其他區(qū)域安全策略的設(shè)置，自然形成這2個分區(qū)的保護，以后如果需要更高防護，只需將此區(qū)域中有特別需求的VLAN劃成單獨的安全域部署實施相關(guān)的安全防護策略即可。終端管理在內(nèi)網(wǎng)安全管理中難度最大，采用網(wǎng)絡(luò)準(zhǔn)入既需要科研人員配合，又需要所有設(shè)備都支持802.1x協(xié)議，實施推廣較難。用戶終端安全可以通過微軟的WSUS或者SCCM方案在局域網(wǎng)中部署補丁服務(wù)器，及時升級防止系統(tǒng)漏洞，或使用360安全衛(wèi)士等第三方客戶端進行補丁升級。

通過安全域劃分及安全策略部署，可以清晰地標(biāo)識出整個網(wǎng)絡(luò)的子網(wǎng)邊界，確定網(wǎng)絡(luò)防護的對象和范圍，從而將復(fù)雜的網(wǎng)絡(luò)安全問題化解為多個相對簡單的問題，便于按照縱深防護的思想進行相關(guān)部署。同時，部署運維堡壘機，采用協(xié)議代理的方式，接管終端計算機對網(wǎng)絡(luò)和服務(wù)器的訪問，通過切斷終端計算機對網(wǎng)絡(luò)和服務(wù)器資源的直接訪問，實現(xiàn)核心系統(tǒng)運維和安全審計管控的功能，既能攔截非法訪問和惡意攻擊，對不合法命令進行命令阻斷，過濾掉所有對目標(biāo)設(shè)備的非法訪問行為，又能對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，以便事后責(zé)任追蹤。

從實施結(jié)果看，防護效果顯著，一方面能實時發(fā)現(xiàn)服務(wù)器存在的配置漏洞、弱密碼漏洞、系統(tǒng)漏洞，并及時對網(wǎng)絡(luò)和服務(wù)器系統(tǒng)存在的漏洞進行防護，特別是近2年常見的Struts2高危漏洞，可以根據(jù)日志及時地制定防護策略；另一方面，發(fā)現(xiàn)用戶終端的威脅，及時給予提醒和處理。

3　總結(jié)

本文提出的基于安全域的農(nóng)業(yè)科研單位網(wǎng)絡(luò)安全建設(shè)方案，在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上進行了安全升級，改造成本低，對網(wǎng)絡(luò)和業(yè)務(wù)影響小，有效減少來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的安全威脅，整體提高了局域網(wǎng)的安全防護能力。但網(wǎng)絡(luò)安全涉及技術(shù)和管理等許多方面，技術(shù)是手段，關(guān)鍵看管理，只有制定一系列的安全管理制度，并將其切實貫徹執(zhí)行，才能確保網(wǎng)絡(luò)安全。

參考文獻：

[1]2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告[EB/OL]. [2017-11-01]. http：//www.cert.org.cn/publish/main/46/2017/2017052715122 890 8822757/ 20170527151228908822757_.html.

[2]《中華人民共和國網(wǎng)絡(luò)安全法》[EB/OL]. [2017-11-01]. http：//www.npc.gov.cn/npc/xinwen/2016-11/07/content_2001605.htm.

[3]《中華人民共和國計算機信息系統(tǒng)安全保護條例》[EB/OL]. [2017-11-01]. http：//www.gov.cn/gongbao/content/2011/content_1860849.htm.

[4]《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》[EB/OL]. [2017-11-01]. http：//cpc.people.com.cn/n/2013/0316/c359051-20812039.html.

[5]信息安全技術(shù). 信息系統(tǒng)安全等級保護體系框架：GA/T 708—2007[S]. 北京：公安部信息系統(tǒng)安全標(biāo)準(zhǔn)化技術(shù)委員會，2007.

[6]于慧龍. 如何進行大型信息系統(tǒng)的安全域劃分和等級保護建設(shè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006(6)：12-12.

[7]郭睿，陳濤. 安全域劃分在企業(yè)中的實際應(yīng)用研究[J]. 信息網(wǎng)絡(luò)安全，2016(增刊1)：158-163.