基于縱深防御的網(wǎng)絡安全防護體系

宋金金 朱啟凡 顧國武

摘要：伴隨著信息化深入人們的日常生活，網(wǎng)絡安全變得尤為重要，網(wǎng)絡安全事件給政企單位帶來了巨大的壓力和損失，網(wǎng)絡安全對運維人員的要求也越來越高，傳統(tǒng)的非體系化網(wǎng)絡安全防護已經(jīng)很難應對日益變化的網(wǎng)絡攻擊方式。文章針對當下嚴峻的網(wǎng)絡安全現(xiàn)狀及網(wǎng)絡安全工作存在的不足，構建出基于物理、網(wǎng)絡、主機、應用、數(shù)據(jù)、人員管理6個層面的縱深防御體系，提升政企網(wǎng)絡安全防護能力，為網(wǎng)絡安全建設提供參考。

關鍵詞：縱深防御；網(wǎng)絡安全；預警；防護

中圖分類號：TP399? 文獻標志碼：A

1 基于縱深防御的網(wǎng)絡安全防護體系研究背景及目的

隨著日益嚴峻的網(wǎng)絡安全形勢的發(fā)展，《網(wǎng)絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》陸續(xù)出臺，保障網(wǎng)絡安全上升到了國家安全戰(zhàn)略。震網(wǎng)病毒破壞離心機、烏克蘭電網(wǎng)事件、2022年中國西北工業(yè)大學遭到網(wǎng)絡攻擊等事件的發(fā)生均給被攻擊當事方帶來了巨大的損失。道高一丈，魔高一丈，傳統(tǒng)的以網(wǎng)絡安全邊界為重點的防御已經(jīng)顯得捉襟見肘，現(xiàn)有的防護體系已經(jīng)很難防御日益變化的攻擊手段，網(wǎng)絡安全變得越來越重要，這時基于縱深防御的網(wǎng)絡安全防護體系對網(wǎng)絡安全顯得尤為重要。

2 網(wǎng)絡安全防護問題及分析

2.1 物理層面安全問題及分析

物理安全是最基礎的安全，主要是做好防火、防水、供電、防雷、防盜等方面的安全，這是保證機房服務器、網(wǎng)絡設備、安全設備、電線、通信線纜等支撐信息化系統(tǒng)資產(chǎn)安全的基礎，在基于縱深防御的網(wǎng)絡安全防護體系中，只有做好物理安全，其他層面的安全才可以得到保障。當前物理安全主要存在以下問題。

2.1.1 供電安全隱患

機房未配置UPS或未采用兩路市電，造成業(yè)務中斷或業(yè)務癱瘓；UPS質量不合格導致火災；未配置穩(wěn)壓器，電壓過高或過低、打雷導致斷電或電壓不穩(wěn)導致設備損壞。

2.1.2 消防安全問題

未部署消防系統(tǒng)，導致發(fā)生火災無法滅火；氣體滅火器未定期檢測，以致產(chǎn)品過期導致滅火效果不佳；異物堆積、消防疏通管道占用等導致火災，損失嚴重。

2.1.3 被盜竊和破壞的安全問題

機房未設置電子門禁措施，任何人均可進入，導致機房設備被盜竊甚至被不法分子破壞。

2.1.4 防水、防潮、靜電、溫濕度安全問題

雨水通過機房窗戶、屋頂和墻壁滲透，導致設備損壞；機房內水蒸氣結露和地下積水的轉移與滲透，導致設備損壞；未采取措施防止靜電的產(chǎn)生，導致設備損壞；機房溫濕度過高或過低，導致設備損壞。

2.1.5 物理訪問控制安全問題

未做好機房進出管理、未設置專人值守，導致陌生人進入，產(chǎn)生安全隱患；未設置監(jiān)控，發(fā)生安全事件時，無法溯源問題。

2.2 網(wǎng)絡層面安全問題及分析

在基于縱深防御的網(wǎng)絡安全防護體系中，網(wǎng)絡層面是重中之重，網(wǎng)絡安全從名字就可以看出網(wǎng)絡的重要性，網(wǎng)絡是信息化的高速公路，一旦網(wǎng)絡高速公路出問題，信息化系統(tǒng)重則癱瘓，輕則網(wǎng)絡阻塞，不管出現(xiàn)哪種問題，都是比較嚴重的事故。當前網(wǎng)絡安全主要存在以下問題。

2.2.1 網(wǎng)絡架構問題

網(wǎng)絡架構不合理，導致網(wǎng)絡收斂速度慢、可用性差；網(wǎng)絡中的區(qū)域劃分不合理，導致管理工作增加；內網(wǎng)中業(yè)務區(qū)域未做隔離，導致遭受網(wǎng)絡攻擊時影響范圍增加。

2.2.2 網(wǎng)絡邊界問題

對于網(wǎng)絡邊界，通常認為只有一個互聯(lián)網(wǎng)邊界，這是錯誤的想法。網(wǎng)絡邊界不僅有互聯(lián)網(wǎng)邊界，也有內部的邊界，比如常見的辦公區(qū)域與各服務器區(qū)域之間的邊界、其他區(qū)域與服務器區(qū)域之間的邊界，這些邊界在平時最容易被忽視；還存在關鍵信息系統(tǒng)直接部署在網(wǎng)絡邊界的問題，最終導致被攻擊。

2.2.3 訪問控制問題

互聯(lián)網(wǎng)存在不必要開放服務導致系統(tǒng)被攻擊；訪問控制策略做得不合理導致不該訪問區(qū)域網(wǎng)絡人員能訪問網(wǎng)絡；內網(wǎng)服務器可以訪問網(wǎng)絡導致服務器風險增加。

2.2.4 入侵防護問題

缺乏應用層面防護或者均部署了WAF，IPS等防護設備，但策略卻未開啟，導致無法對應用系統(tǒng)進行安全防護；同一路徑部署同等品牌設備，導致部分漏洞未被攔截；無法對用戶訪問互聯(lián)網(wǎng)的行為進行審計，無法管控無線網(wǎng)絡私接等行為。

2.2.5 監(jiān)測預警問題

當網(wǎng)絡發(fā)生攻擊事件或者網(wǎng)頁被掛馬、網(wǎng)頁被篡改時，大多數(shù)單位無法及時了解，只能被動地等待，最終造成系統(tǒng)不可用，經(jīng)過被動排查才發(fā)現(xiàn)已被攻擊，此時已經(jīng)造成實質的網(wǎng)絡安全損失；還有可能在溯源時，發(fā)現(xiàn)日志數(shù)據(jù)缺失無法溯源。

2.3 主機層面安全問題及分析

主機安全包含服務器安全和終端安全，在基于縱深防御的網(wǎng)絡安全防護體系中，主機層面的安全對于應用安全、數(shù)據(jù)安全尤為重要。主機安全主要存在以下問題：漏洞未及時修復、主機存在高危端口，導致被攻擊；主機被攻擊時無法預警和及時處理。

2.4 應用層面安全問題及分析

在基于縱深防御的網(wǎng)絡安全防護體系中，應用安全是網(wǎng)絡安全需要重點關注的地方，大多數(shù)攻擊來自應用層面的攻擊。當今社會發(fā)展日新月異，各種應用層面攻擊手段層出不窮，最新常見的如OWASP Top 10，除此之外，還有各種應用組件、應用開發(fā)框架漏洞也易受到攻擊，往往這些漏洞會造成很嚴重的危害，最嚴重的就是造成數(shù)據(jù)泄露，這對于網(wǎng)絡安全來說是致命的。當前應用安全主要存在以下問題。

2.4.1 應用系統(tǒng)防護、監(jiān)測不足問題

應用系統(tǒng)需要Web層面防護，一般情況下很多單位僅有一個普通防火墻，直接將應用系統(tǒng)映射到互聯(lián)網(wǎng)上，僅有網(wǎng)絡層防護，卻忽視了應用層面防護，導致受到Web層面攻擊而無法防護；還存在應用系統(tǒng)發(fā)生攻擊時卻不知道，更有甚者發(fā)生嚴重問題，如網(wǎng)頁被掛馬、被篡改等惡性安全事件，卻無法第一時間得知，最終造成嚴重損失。

2.4.2 應用系統(tǒng)漏洞未及時發(fā)現(xiàn)、修復問題

大多數(shù)單位上線應用系統(tǒng)，尤其是小單位，很容易忽視應用系統(tǒng)的安全測試，如滲透測試、代碼審計等，最終導致漏洞未被及時發(fā)現(xiàn)并修復，造成嚴重損失。

2.4.3 應用系統(tǒng)開發(fā)層面問題

應用開發(fā)人員的技術水平、開發(fā)公司的管理水平均會影響到系統(tǒng)開發(fā)是否規(guī)范，開發(fā)不規(guī)范導致系統(tǒng)存在后門或漏洞，一旦被攻擊將出現(xiàn)嚴重的安全事件。

2.5 數(shù)據(jù)層面安全問題及分析

在基于縱深防御的網(wǎng)絡安全防護體系中，數(shù)據(jù)安全是核心，是最重要的。一切信息系統(tǒng)最后落地的就是數(shù)據(jù)，這好比一臺計算機，硬盤（數(shù)據(jù)）沒了，其他都是空談，只要硬盤（數(shù)據(jù)）還在，哪怕其他設備都被破壞了，系統(tǒng)還是可以重建。隨著《數(shù)據(jù)安全法》的出臺，我國在網(wǎng)絡與信息安全領域的法律法規(guī)體系得到了進一步完善。這也對數(shù)據(jù)管理人員的要求越來越高，當前數(shù)據(jù)安全主要存在以下問題。

2.5.1 數(shù)據(jù)存儲介質安全問題

數(shù)據(jù)存儲介質可能存在質量問題導致數(shù)據(jù)丟失，造成嚴重數(shù)據(jù)丟失事件；數(shù)據(jù)庫存在安全漏洞，被不法分子攻擊，造成數(shù)據(jù)被竊取。

2.5.2 數(shù)據(jù)傳輸、存儲過程未加密

數(shù)據(jù)在處理和傳輸、存儲的過程中，未進行加密或加密算法不滿足保密要求造成數(shù)據(jù)在傳輸過程中被竊取。

2.5.3 數(shù)據(jù)管理不規(guī)范

大多數(shù)數(shù)據(jù)庫使用者的權限均為超管賬戶，數(shù)據(jù)庫權限過大會導致數(shù)據(jù)權限控制存在問題，將出現(xiàn)非授權人員訪問、修改、篡改以及破壞系統(tǒng)資源，數(shù)據(jù)將遭到惡意破壞；數(shù)據(jù)管理人員有時會忽視數(shù)據(jù)備份，往往為了方便不備份數(shù)據(jù)，或者只進行本地備份，一但數(shù)據(jù)丟失，將導致系統(tǒng)數(shù)據(jù)無法恢復。

2.5.4 缺乏數(shù)據(jù)安全監(jiān)測措施

當企業(yè)內部人員竊取數(shù)據(jù)、違規(guī)使用數(shù)據(jù)時，常常無法監(jiān)測到數(shù)據(jù)泄露以及違規(guī)使用數(shù)據(jù)的行為。

2.6 人員管理層面問題及分析

在縱深防御體系中，人往往是最重要的環(huán)節(jié)，也是最薄弱的環(huán)節(jié)。在人這一環(huán)節(jié)，需要諸多網(wǎng)絡安全管理制度來制約，按流程辦事、按規(guī)則辦事，通過制度、規(guī)則來制約人的行為，按照最小化、分權制衡的原則來分配權限，避免因為某個人的失誤而造成網(wǎng)絡安全事件。當前人員管理主要存在以下問題：用戶或運維人員缺乏安全意識、不遵守網(wǎng)絡安全管理制度、不規(guī)范使用系統(tǒng)設備、缺乏專業(yè)工作技能，最終導致網(wǎng)絡安全工作失敗，使不法分子有機可乘，發(fā)生安全事件。

3 做好安全防護措施

3.1 做好物理層面安全防護措施

3.1.1 針對供電安全問題

機房要配置UPS或未采用兩路市電，以免造成業(yè)務中斷或業(yè)務癱瘓；選擇經(jīng)過國家認證過的UPS產(chǎn)品，避免選擇三無產(chǎn)品；機房供電配備穩(wěn)壓器，以免電壓過高或過低、打雷造成斷電或電壓不穩(wěn)導致設備損壞。

3.1.2 針對消防安全問題

部署消防系統(tǒng)，以免導致發(fā)生火災無法滅火；定期檢測氣體滅火器，以免產(chǎn)品過期導致滅火效果不佳；避免異物堆積、消防疏通管道占用等情況。

3.1.3 針對被盜竊和破壞的安全問題

機房需要設置電子門禁措施，訪問鑒別人員，避免出現(xiàn)任何人均可進入的情況。

3.1.4 針對防水、防潮、靜電、溫濕度安全問題

做好機房窗戶、屋頂和墻壁的防滲維護，以免導致設備損壞；做好機房內水蒸氣結露和地下積水轉移與滲透的防護措施，以免導致設備損壞；采取措施防止靜電的產(chǎn)生，以免導致設備損壞；配備機房空調，以免機房溫濕度過高或過低導致設備損壞。

3.1.5 針對物理訪問控制安全隱患

做好機房進出管理、設置專人值守，以免陌生人進入，產(chǎn)生安全隱患；設置監(jiān)控，發(fā)生安全事件時，可以溯源問題。

3.2 做好網(wǎng)絡層面安全防護措施

3.2.1 針對網(wǎng)絡架構問題

網(wǎng)絡結構應該使用扁平化設計來提升網(wǎng)絡的收斂性，滿足業(yè)務的可用性就要求提升網(wǎng)絡的收斂性，同時網(wǎng)絡設備必須滿足業(yè)務高峰期需要，資源在高峰期不得超過設備的70%，從而滿足設備的可用性。除了滿足可用性，還要使得網(wǎng)絡中的設備或服務器便于管理，這就要求網(wǎng)絡中劃分若干個區(qū)域。在服務器網(wǎng)絡劃分方面，通過服務器主機的角色劃分，并根據(jù)應用系統(tǒng)類別、用戶訪問特性、服務組件類型劃分合理的區(qū)域；除了服務器、安全設備、網(wǎng)絡設備劃分區(qū)域外，安全支撐系統(tǒng)、網(wǎng)絡管理系統(tǒng)、安全運維終端等，也需要獨立劃分一個區(qū)域，一般稱為安全管理中心（安全運維區(qū)域）；一般政企單位還會遇到專線、VPN與其他單位連接的情況，也需要劃分獨立的區(qū)域用于這些特殊網(wǎng)絡鏈路的接入；獨立的辦公區(qū)域也尤為重要，除了外部威脅，來自內部的威脅也同樣要重視，為了便于管理，也需要將辦公網(wǎng)絡劃分為獨立的區(qū)域。最后，對于以上區(qū)域，為了便于管理，還需要分配不同的IP地址段。

3.2.2 針對網(wǎng)絡邊界問題

對于網(wǎng)絡邊界。網(wǎng)絡中劃分的安全區(qū)域應該采取相應的邊界隔離措施；重要區(qū)域，如互聯(lián)網(wǎng)邊界，需要采取縱深防御的網(wǎng)絡防護，應該避免將重要網(wǎng)絡區(qū)域的服務直接映射到外部邊界處。

3.2.3 針對訪問控制問題

訪問控制是網(wǎng)絡安全防護的重中之重，網(wǎng)絡安全的精髓就是網(wǎng)絡安全訪問控制，要遵循最小化訪問原則來進行網(wǎng)絡安全訪問控制。需要做到以下幾點：只開啟必要服務的端口的訪問控制策略，策略按就近部署原則作用在就近的服務側邊界處；應禁止服務器訪問互聯(lián)網(wǎng)，對于必須訪問互聯(lián)網(wǎng)的請求，應在區(qū)域邊界處采用白名單方式明確目的地址、端口和源地址的訪問控制規(guī)則；對于網(wǎng)絡設備、安全設備等設備必須訪問互聯(lián)網(wǎng)的情況，應在網(wǎng)絡邊界處采用白名單方式明確目的地址、端口和源地址的訪問控制規(guī)則；最重要的一點，采用最小授權訪問原則設置訪問控制規(guī)則，非業(yè)務所必須的訪問一律應被禁止［1］。

3.2.4 針對入侵防護問題

針對入侵防護的具體措施，分為以下幾點：在部署Web應用的網(wǎng)絡區(qū)域邊界部署應用防火墻，并設置合理的防護策略，確保目標系統(tǒng)http，https不同協(xié)議訪問均得到有效防護；在外聯(lián)區(qū)域邊界部署防火墻、防入侵等措施，并設置合理的防護策略；在用戶訪問互聯(lián)網(wǎng)的出口處部署上網(wǎng)行為審計系統(tǒng)，對用戶的互聯(lián)網(wǎng)訪問進行審計；若存在通過無線接入的情況，應確保其通過受控的邊界防護設備接入內部網(wǎng)絡，并應明確限定其訪問的目標范圍；應確保各安全防御設備攻擊特征庫同步兼容相關權威組織的漏洞特征庫，與其他安全設備及主機防護系統(tǒng)具有一定的差異性，并保證特征庫能得到及時更新。

3.2.5 針對監(jiān)測預警問題

監(jiān)測預警是在網(wǎng)絡發(fā)生攻擊事件時能夠及時預警，這尤為重要，監(jiān)測預警就是網(wǎng)絡安全的眼睛，需要做到以下幾點：在網(wǎng)絡中部署網(wǎng)絡流量監(jiān)測系統(tǒng)，并設置合理的預警策略，一旦發(fā)現(xiàn)異常及時預警；對于向互聯(lián)網(wǎng)提供服務的應用或重要系統(tǒng)，應采取相應的技術措施對內容安全、網(wǎng)頁篡改、網(wǎng)頁掛馬進行監(jiān)測和防護；部署日志集中審計系統(tǒng)，對網(wǎng)絡中各類運行日志進行集中留存及關聯(lián)分析。

3.3 做好主機層面安全防護措施

針對漏洞未及時修復、主機存在高危端口，需要定期對主機安全進行漏洞評估并及時修補漏洞，及時做好主機安全基線關閉高危端口以減輕被攻擊的風險；針對主機被攻擊時無法預計和及時處理，需要部署終端監(jiān)測系統(tǒng)，在發(fā)生安全攻擊時能夠及時預警并處置。

3.4 做好應用層面安全防護措施

3.4.1 針對應用系統(tǒng)防護、監(jiān)測不足問題

應用系統(tǒng)訪問路徑需要部署Web應用防火墻或IPS，并設置合理的應用防護策略對Web層面攻擊進行有效防護；針對監(jiān)測不足，需要部署防網(wǎng)頁篡改、防網(wǎng)頁掛馬、態(tài)勢感知設備進行監(jiān)測預警。

3.4.2 針對應用系統(tǒng)漏洞未及時發(fā)現(xiàn)、修復問題

應用系統(tǒng)上線前必須做安全測試，如模擬黑客攻擊滲透測試，做代碼審計，發(fā)現(xiàn)代碼層面安全漏洞。通過滲透測試發(fā)現(xiàn)應用系統(tǒng)漏洞以及代碼層面漏洞，應及時修復系統(tǒng)漏洞。最后，需要做驗證測試，確認系統(tǒng)沒有安全漏洞方可上線，且需要定期對系統(tǒng)做安全漏洞檢測，保證系統(tǒng)的長期安全性。

3.4.3 針對應用系統(tǒng)開發(fā)層面問題

應用開發(fā)人員的技術水平、開發(fā)公司的管理水平均會影響到系統(tǒng)開發(fā)是否規(guī)范，所以，需要定期對開發(fā)人員進行相關開發(fā)規(guī)范知識培訓，開發(fā)公司需要不斷提升管理水平，嚴格按照相關開發(fā)標準開發(fā)系統(tǒng)，單位還要通過相關開發(fā)能力驗證。

3.5 做好數(shù)據(jù)層面安全防護措施

3.5.1 針對數(shù)據(jù)存儲介質安全問題

選擇通過相關認證的數(shù)據(jù)存儲介質產(chǎn)品，保證數(shù)據(jù)存儲介質安全；對于數(shù)據(jù)庫漏洞需要及時評估，并及時修補。

3.5.2 針對數(shù)據(jù)傳輸、存儲過程未加密

數(shù)據(jù)在傳輸和存儲過程中需要采用密碼算法、加密算法處理，方可保證數(shù)據(jù)在傳輸和存儲過程中不被竊取。加密技術可以有效確保網(wǎng)絡傳輸中的數(shù)據(jù)流處于非明文狀態(tài)，縱使被黑客攔截，也可以有效保障數(shù)據(jù)安全，防止非授權用戶的搭線竊聽和入網(wǎng)，以及數(shù)據(jù)傳輸過程中被竊取和篡改［2］。

3.5.3 針對數(shù)據(jù)管理不規(guī)范問題

針對數(shù)據(jù)管理不規(guī)范問題，需要建立好數(shù)據(jù)庫賬號權限，避免超級管理權限的存在；并制定合理的數(shù)據(jù)備份策略，保證數(shù)據(jù)管理的安全。

3.5.4 針對缺乏數(shù)據(jù)安全監(jiān)測措施

數(shù)據(jù)安全監(jiān)測需要部署上網(wǎng)行為管理，對訪問者進行記錄和準入，對于運維人員需要部署數(shù)據(jù)安全堡壘機進行運維操作監(jiān)測，對于數(shù)據(jù)泄露的風險，需要在邊界部署數(shù)據(jù)泄露防護設備DLP進行監(jiān)測。

3.6 做好人員管理措施

人員要及時接受網(wǎng)絡安全意識培訓、專業(yè)技能培訓，單位及時制定合理的安全管理制度，并且要求工作人員時刻保持網(wǎng)絡安全意識、不斷學習專業(yè)技能、嚴格遵守網(wǎng)絡安全制度，規(guī)范使用系統(tǒng)設備，讓不法分子無機可乘。

4 結語

以上物理、網(wǎng)絡、主機、應用、數(shù)據(jù)、人員管理6個層次構建了基于縱深防御的網(wǎng)絡安全體系，每一個層面缺一不可，一道道防線共同構建了堅實可靠的政企網(wǎng)絡安全防護，實現(xiàn)了網(wǎng)絡安全的縱深防御；每一道防線都要讓攻擊者付出巨大的代價。當然，網(wǎng)絡安全工作是常態(tài)化的，縱深防御的措施還是要依靠日常扎實的安全運營工作［3］，方可保證網(wǎng)絡安全縱深防御體系的穩(wěn)定且有效落實。

參考文獻

［1］ 張敬，李江濤，張振峰.企業(yè)網(wǎng)絡安全建設最佳實踐［M］.北京： 電子工業(yè)出版社，2021.

［2］ 工業(yè)和信息化部網(wǎng)絡安全產(chǎn)業(yè)發(fā)展中心編寫組.數(shù)據(jù)傳輸安全白皮書［M］.北京：清華大學出版社，2021.

［3］ 楊東曉，張鋒，瑪濤，等.網(wǎng)絡安全運營［M］.北京：清華大學出版社，2020.

（編輯 沈 強）

Network security protection system based on defense in depth

Song? Jinjin， Zhu? Qifan， Gu? Guowu

（Jiangsu Golden Shield detection Technology Co.， Ltd.， Nanjing 210042， China）

Abstract： With the deepening of information technology in our daily life， network security has become particularly important. Network security threats have brought huge pressure and losses to government and enterprise units. Network security has become increasingly demanding for operation and maintenance personnel. The traditional non-systematic network security protection has been difficult to meet the ever-changing network attack methods. This paper aims at the current severe network security situation and the shortcomings of network security work， Build a defense-in-depth system based on six levels of physics， network， host， application， data and personnel management， improve the network security protection ability of government and enterprises， and provide reference for network security construction.

Key words： defense in depth; network security; early warning; protection