民辦高校網(wǎng)絡安全等保2.0架構(gòu)設(shè)計的思考

熊 龍 馮井榮

（云南師范大學文理學院 云南·昆明 650221）

1 總體規(guī)劃目標

根據(jù)等保2.0的要求，結(jié)合我校的實際情況，此次網(wǎng)絡安全防護體系升級改造的總體規(guī)劃目標確定為：建立覆蓋我校多個校區(qū)的“可信、可控、可管”的統(tǒng)一完備的網(wǎng)絡安全防護體系。該防護體系將覆蓋網(wǎng)絡安全相關(guān)的信息化軟硬件設(shè)施的物理環(huán)境安全、網(wǎng)絡與通信安全、網(wǎng)站與信息系統(tǒng)安全、智能化系統(tǒng)安全、物聯(lián)網(wǎng)系統(tǒng)安全、各類計算機及移動終端安全、攝像頭及顯示系統(tǒng)安全、移動互聯(lián)網(wǎng)應用安全、云計算與云服務安全、新媒體應用安全、數(shù)據(jù)安全及個人隱私信息安全等各個方面，并充分考慮這些系統(tǒng)相關(guān)的安全通用要求和安全擴展要求。

2 網(wǎng)絡安全等保2.0建設(shè)的主要內(nèi)容

最新等保2.0要求“一個中心，三重防護”，即：一個中心是指安全管理中心，三重防護是指通信網(wǎng)絡防護、區(qū)域邊界防護、計算環(huán)境防護。因此網(wǎng)絡安全規(guī)劃和設(shè)計也將圍繞這四個要點來展開。

2.1 安全中心規(guī)劃設(shè)計

安全中心建設(shè)的重點是對安全統(tǒng)一管理與把控，集中分析與審計，定期識別漏洞與隱患。安全管理中心設(shè)計，要求做好：安全管理中心、安全建設(shè)管理、安全運維管理。安全管理中心主要包括系統(tǒng)管理、審計管理、安全管理、集中管理；安全建設(shè)管理主要是指導測試和驗收；而運維管理主要是及時發(fā)現(xiàn)漏洞和風險管理。具體有以下技術(shù)或手段可供參考：

（1）依照“三權(quán)（管理員、審核員、審計員）”分離的原則，劃分不同管理角色，并提供集中的身份鑒別、訪問授權(quán)和操作審計；

（2）通過網(wǎng)絡軟件、運維系統(tǒng)等對網(wǎng)絡和信息基礎(chǔ)設(shè)施的運行狀況進行集中監(jiān)控；

（3）通過日志審計系統(tǒng)，把分散在網(wǎng)絡中的審計數(shù)據(jù)進行收集匯總，然后進行集中分析，對網(wǎng)絡中存在的安全隱患進行事前、事中、事后處理；

（4）對安全策略、惡意代碼、補丁升級等進行集中管理；

（5）部署態(tài)勢感知和安全運營平臺，支撐安全監(jiān)測、分析、預警、響應、處置、追溯等安全管理和運維工作。

圖1：安全管理中心規(guī)劃示意圖

2.2 網(wǎng)絡區(qū)域劃分與設(shè)計

網(wǎng)絡區(qū)域劃分高校平常也在使用，最常見的就是基于VLAN技術(shù)劃分，少部分有能力的高校采用的是防火墻技術(shù)劃分。網(wǎng)絡區(qū)域劃分可以從以下幾個方面來劃分：

（1）基于防護等級：把安全等級要求相同或相近的業(yè)務或重點，劃分到一個區(qū)域，比如典型的內(nèi)網(wǎng)服務器、DMZ服務器等；

（2）基于業(yè)務類型：比如Web應用、DB數(shù)據(jù)庫應用、App應用，可以劃分在不同區(qū)域；

（3）基于網(wǎng)絡功能：比如辦公樓、教學樓等可以劃分到不同區(qū)域；

（4）基于應用群體：可以劃分為教師、學生和領(lǐng)導，分別劃在不同的區(qū)域。

無論如何來劃分不同的網(wǎng)絡區(qū)域，重要的還是要做好不同區(qū)域間的邊界劃分，在核心區(qū)域與其他區(qū)域可以使用網(wǎng)閘或者防火墻做好隔離。

圖2：網(wǎng)絡區(qū)域規(guī)劃示意圖

2.3 安全通信網(wǎng)絡設(shè)計

安全網(wǎng)絡可以理解為可信賴的網(wǎng)絡環(huán)境或者說傳輸過程中安全的網(wǎng)絡，主要可以從兩個層面來理解，一是網(wǎng)絡系統(tǒng)的安全，即硬件和軟件的安全；二是網(wǎng)絡中傳輸?shù)母黝愋畔踩？梢詮囊韵聨讉€方面來對計算機網(wǎng)絡安全進行考慮，即網(wǎng)絡的可靠性、網(wǎng)絡的可用性、網(wǎng)絡的保密性和網(wǎng)絡的完整性。在設(shè)計時候需要考慮以下幾個方面的問題：

（1）滿足業(yè)務發(fā)展需求。路由器、交換機、防火墻等網(wǎng)絡和安全設(shè)備業(yè)務處理能力滿足業(yè)務高峰期需要。在設(shè)備選型時，既要考慮當前應用的實際，也要考慮未來業(yè)務擴展。

（2）網(wǎng)絡的可用和可靠性。在通信線路、關(guān)鍵網(wǎng)絡設(shè)備和關(guān)鍵計算設(shè)備的規(guī)劃設(shè)計上，可以采用雙鏈接雙核心、雙電源雙引等冗余設(shè)計，確保網(wǎng)絡關(guān)鍵點不存在單點故障風險（待斟酌）。

（3）區(qū)域安全性。重要網(wǎng)絡區(qū)域與其他網(wǎng)絡區(qū)域之間采取可靠的技術(shù)如：VLAN、防火墻等技術(shù)進行隔離。

（4）充分考慮網(wǎng)絡的完整性和保密性。在網(wǎng)絡設(shè)計中，使用加密技術(shù)和手段來保證數(shù)據(jù)不被截取和修改。

圖3：安全通信網(wǎng)絡設(shè)計示意圖

2.4 安全區(qū)域邊界設(shè)計

擬定級的系統(tǒng)的安全計算環(huán)境邊界，即本文所述的安全區(qū)域邊界，是安全的計算機環(huán)境與通信網(wǎng)絡之間的分界，其主要功能是實現(xiàn)連接，并對安全計算環(huán)境和通信網(wǎng)絡間實現(xiàn)連接的相關(guān)部件。在邊界設(shè)計時需要考慮的問題較多，具體建議如下：

（1）各區(qū)域間邊界的訪問及其控制。在邊界設(shè)置時，要考慮設(shè)置自主和強制訪問控制機制，通過定制與訪問要求相適應的控制策略，從而控制安全區(qū)域進出邊界的數(shù)據(jù)，對非授權(quán)訪問進行必要的控制。

（2）區(qū)域邊界過濾。通過對數(shù)據(jù)包的源地址、目的地址、傳輸層協(xié)議以及請求的服務等定制控制策略，對上述信息進行檢查，從而確定是否對該數(shù)據(jù)包放行或者丟棄。

（3）區(qū)域邊界安全審計。由安全管理中心集中對安全區(qū)域邊界日志進行審計，以便檢查和發(fā)現(xiàn)違規(guī)行為，并對違反相關(guān)審計規(guī)則的情況進行相應的處理。

（4）區(qū)域邊界完整性保護。通過在區(qū)域邊界設(shè)計如外接探測軟件一類的探測器，對非法連接到外部或非授權(quán)訪問進行探測，并在第一時間向安全管理中心報告。

具體來說，要做好以下幾個事項：

（1）通過認證系統(tǒng)來避免（杜絕）非授權(quán)設(shè)備私自連接到內(nèi)部網(wǎng)絡，確保只有合法授權(quán)的設(shè)備能夠訪問內(nèi)部網(wǎng)絡；

（2）通過上網(wǎng)行為審計，對可能存在的外部設(shè)備非法訪問內(nèi)部網(wǎng)絡或內(nèi)部用戶非法訪問外部網(wǎng)絡等行為進行偵測，對進出網(wǎng)絡的數(shù)據(jù)流實現(xiàn)基于應用協(xié)議和應用內(nèi)容的訪問控制；

（3）在關(guān)鍵網(wǎng)絡節(jié)點處安裝和部署入侵檢測系統(tǒng)，檢測和防御各種網(wǎng)絡攻擊行為；

（4）對于 APT攻擊，可以關(guān)鍵網(wǎng)絡節(jié)點處安裝和部署APT，對各種惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱秘通道檢測等多類型未知漏洞（0-day）利用行為的檢測，對網(wǎng)絡攻擊尤其是新型網(wǎng)絡攻擊行為進行檢測分析；

（5）對于郵件病毒、內(nèi)部或外部垃圾郵件的防治，可以在郵件服務器上部署安全郵件網(wǎng)關(guān)；

（6）事后追溯。需要安裝和部署日志審計系統(tǒng)，對用戶的網(wǎng)絡訪問行為進行收集、審計和分析。

2.5 安全計算環(huán)境設(shè)計

安全計算環(huán)境包括以下內(nèi)容：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護和個人信息保護等方面的內(nèi)容。通常采取以下措施來提高計算環(huán)境的安全性：

（1）身份鑒別可以采用口令或生物技術(shù)結(jié)合密碼技術(shù)對用戶進行身份鑒別，（單因子或多因子身份認證）；

（2）采用基于角色/屬性或安全標記的訪問控制技術(shù)對操作系統(tǒng)、數(shù)據(jù)庫、應用用戶進行權(quán)限管理（用戶權(quán)限訪問控制可用認證系統(tǒng)或者堡壘機實現(xiàn)）；

（3）對可能產(chǎn)生重大影響的用戶行為和安全事件進行集中審計（主機或服務器端的行為審計，常見的是堡壘機/終端安全管理系統(tǒng)）；

（4）采用漏洞檢測、終端管理結(jié)合補丁管理、終端威脅防御、主動免疫可信驗證和主機加固等技術(shù)保障終端及服務器等計算資源的安全（漏掃、終端安全管理系統(tǒng)、主機加固軟件等）；

（5）采用密碼技術(shù)和容災備份技術(shù)等保障重要數(shù)據(jù)的完整性、保密性和可用性（數(shù)據(jù)加密和容災備份）；

（6）網(wǎng)頁防篡改（常用WAF來保障）；

（7）敏感數(shù)據(jù)和個人信息保護（等保2.0把個人信息安全也納入其中，常見實現(xiàn)方式為認證和加密）。

3 網(wǎng)絡安全設(shè)備配置建議

序號 等保所需要產(chǎn)品與服務 等保二級 等保三級1 防火墻 是 是2 入侵檢測 是 是3 日志審計 是 是4 漏洞掃描 是 是5 上網(wǎng)行為管理 是 是6 WFA應用防火墻 否 是7 堡壘機 否 是8 數(shù)據(jù)庫審計 否 是9 網(wǎng)站防篡改 否 是10 運維管理系統(tǒng) 否 是11 網(wǎng)絡版殺毒軟件 是 是12 未知威脅防御 否 是13 安全流量分析 否 是14 等保一體機 否 是15 垃圾郵件網(wǎng)關(guān) 否 是16 沙箱系統(tǒng) 否 是17 態(tài)勢感知 否 是18 終端準入系統(tǒng) 否 是19 VPN網(wǎng)關(guān) 否 是20 虛擬化安全系統(tǒng) 否 是21 網(wǎng)閘 否 是22 動態(tài)防御系統(tǒng) 否 是23 網(wǎng)站監(jiān)測預警系統(tǒng) 否 是24 備份與恢復系統(tǒng) 否 是

4 最終網(wǎng)絡拓撲設(shè)計

圖4：最終網(wǎng)絡拓撲圖

5 總結(jié)及展望

實踐表明，基于網(wǎng)絡安全等級保護2.0標準的多校區(qū)高校網(wǎng)絡安全防護體系的規(guī)劃、設(shè)計及在我校的成功實施，提高了我校的網(wǎng)絡安全防護能力，促進了我校網(wǎng)絡安全穩(wěn)定運行，取得了良好的社會效益和經(jīng)濟效益。隨著整個網(wǎng)絡安全防護體系的持續(xù)運行和不斷完善，將繼續(xù)推進等保2.0在我校網(wǎng)絡安全領(lǐng)域的落地實施，為我校網(wǎng)絡安全奠定更加堅實的基礎(chǔ)。