中国民用航空温州空中交通管理站 林海敏

在“十四五”规划中频繁提到“网络安全”，涉及到多个领域。网络安全已确定成为未来国家发展建设工作的重点之一。这样的指导方针也对运维人员提出了新的要求：掌握必要的等级保护建设知识，熟悉一定架构的等级保护建设模式；进一步地，能提出优化等级保护建设的具体方案，以应对不同场景下的网络安全能力建设需要。

1 等级保护建设

目前网络安全等级保护建设基于《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）文件要求，也称等保2.0。建设要求分为技术要求和管理要求两部分，其中技术要求有五大项：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。除安全物理环境依赖前期机房、机柜建设规划外，其余安全能力都较为依赖安全设备或安全厂商提供的一体化解决方案。

2 厂商解决方案

安全通信网络、安全区域边界、安全计算环境、安全管理中心等要求项存在一定需求重合。从技术角度划分，可以分为网络架构、可信验证、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、身份鉴别、数据完整性和保密性、数据备份与恢复、剩余信息保护、个人信息保护、系统管理、安全管理和集中管控等业务面。

目前安全厂商较为通用的做法是将身份鉴别、访问控制、安全审计等各项安全能力按一定逻辑分类，并集成为不同的安全模块。这些安全模块通常包含防火墙、SSL VPN网关、堡垒机组件、日志审计模块、数据库审计模块、终端防护模块等。部署安全能力的方法通常有两种：依赖各种具备部分安全模块功能的单体物理设备，组建具备整体防护能力的安全系统；主要硬件采取一体机安装方案，在一体机上部署具备不同的安全模块软件，其余根据建设需要采用单体安全设备，称为等保一体机方案。就造价而言，分体设备通常较一体机来说更贵高昂，甚至可以达到两倍。

以等保一体机为例，在部署并完成如日志审计、数据库审计、登录验证、可信验证等“规定动作”后，如何规划“自选动作”以引导建设方向，进行高效的安全防护，成为了等保建设工作中需要安全建设人员考虑的内容。

3 网络渗透和防御

站在攻击者角度来看，要完全渗透一套系统，首先要找到合适的攻击链。常见的渗透案例中，外网在线的资产由于长期暴露在外网环境下，被收集的信息多，被攻击的可能性更大，通过外网环境向本地资产投送的流量相较内部流量来说更具威胁性。因此，对外网流量往往要采取最严格的审计手段。

无论是内网渗透还是外网渗透，它们都依赖于向某一些开放端口投放有威胁的流量，并利用可以被访问到的一些资产漏洞来攻陷资产主机。审计流量，可以在不同协议层协同组合进行，比如可以利用目标IP过滤、目标端口过滤、应用协议过滤、应用程序特征流量过滤等。

4 基于流量分类的建设方案

在笔者的建议方案中，采取的措施是基于流量分类采取不同的流量审计手段，在合理基础上提高系统吞吐效率，优化安全设备资源配置。

在建议方案中，系统通过部署等保一体机、SSL VPN、高性能防火墙等防护设备，组建多层次、高效率的防护网络。审计业务流量的特点，对不同的业务流量作分级处理，在获得足够安全性的同时，提高系统效率。

具体方案为：利用高性能防火墙，基于五元组，对业务南北向流量作特征过滤；在核心交换机单臂部署串接防火墙及深度运维设备，对敏感流量作深度清洗；在核心交换机上旁挂一台SSL VPN接入设备，为高风险访问提供可控端口；在核心业务域的虚拟系统上部署终端防护软件；同时在该核心交换机安全运维域内部署一台态势感知平台，通过威胁潜伏探针映射牵引业务流量。如图1所示。

图1 系统安全区域划分及设备部署方案

对进入系统的业务流量作三级分类。

对于结构单一的南向大流量，如音视频数据、生产系统外送接口数据等。考虑到业务流量大且结构单一，为减轻深度运维域的运行负载，增加稳定性和清洗效率，利用高性能防火墙作五元组特征过滤，限制流量访问的目标地址为特定服务器地址，限制访问端口为非敏感的自定义端口。如图2所示。

图2 大流量业务数据流向

对于内部终端常态的业务访问流量，如内部客户端访问服务器的web流量等。先利用现有防火墙先作五元组过滤，限制访问流量的目标地址和端口；再将流量牵引至深度运维域，利用下一代防火墙及等保一体机作深度流量清洗；最后将处理完成的清洁流量送至目标服务器。如图3所示。

图3 复杂的内部业务流量流向

对于敏感的外部流量，如远程运维服务的临时流量，提供SSL VPN跳板接入。先利用防火墙先作五元组过滤，限制访问流量的目标地址和端口为SSL VPN跳板机设备；再在SSL VPN跳板机上完成多重身份验证（基于短信、人脸识别等二次校验技术）；后将SSL VPN访问流量牵引至深度运维域，利用下一代防火墙及等保一体机作深度流量清洗；最后将处理完成的清洁流量送至目标服务器。如图4所示。

图4 敏感的外部业务流量流向

结语：网络安全等级保护建设是一个复杂且灵活的整体工程，在考虑安全能力的同时要兼顾设备建设投资的经济效益。合理的网络安全建设架构有利于提高业务效率，减少网络安全运维人员的压力，同时能充分发挥设备的安全能力。在整体建设的视角下，不同系统也可以依据业务流量的分类特点来共用部分安全设备，以提高安全建设效率。