傅东东

（广州市设计院集团有限公司）

1 引言

随着业务应用系统类型爆炸式增长，人们在享受网络带来资源共享的同时，网络中存在的越来越多的不安全因素也对信息安全造成了巨大的威胁。此外，业务系统对信息交换的需求日益强烈，使得网络边界逐渐模糊，若通过物理隔离手段将有网络安全保护需求的网络与不安全的网络分开，表面上解决了安全问题，但网络资源在重复建设，网络孤岛现象的存在依然不能满足信息化的发展。

2019年5月13日《信息安全技术网络安全等级保护基本要求》（以下简称等保2.0）正式发布，从保障思路看，等保2.0从被动防御的安全保障体系向事前预防、事中响应、事后审计全流程的安全可信、动态感知和全面审计的动态保障体系转变，更多体现了对抗思维，讲究一切从实战出发，逐步构建主动防御、安全可信、动态感知、全面审计、应急保障的动态安全保障体系（见图1）[1]。

图1 等级保护体系

与此同时，网络安全法相关政策体系以及等级保护标准体系的构建，形成企事业单位、国家各级机构的全面网络安全保护，从法律和国家标准层面确定网络安全综合防御体系的指导方向。

2 网络安全设计需求分析

基于本项目的网络功能、应用业务以及使用人群等各方面综合考虑，本项目信息网络系统存在以下几个主要风险。

1）信息系统采用传统的网络架构，存在以下主要的风险：

①安全边界不断扩大，传统安全架构不足以应对其带来的安全风险；

②局部分散的防护措施无法应对更加多样化的攻击手段，安全需具备体系化建设思想；

③内部、外部攻击防范需求使得对安全监测、预警及响应能力有更高要求；

④网络对抗不断升级，面临更严格的监管要求。

2）信息安全威胁主要来自以下几个方面：

①内部威胁主要来自用户和工作人员等人员的电脑终端、移动终端的非法访问和病毒攻击，电脑存在待修复的漏洞；

②外部威胁主要来自互联网的安全攻击。

3）应用安全威胁主要来自以下几个方面：

①数据在信息传输过程中极易丢失；

②在住客信息等数据传输过程中极易被非法入侵主机的黑客篡改、窃取；

③病毒、蠕虫邮件在网络中传播；

④操作系统以及IE浏览器的安全漏洞；

⑤人员管理以及制度管理的缺陷。

4）网络互联威胁主要来自以下几个方面：

①在访问网络时存在越权访问、恶意攻击、病毒入侵等安全隐患；

②业务应用系统Web服务器的页面容易被黑客非法篡改，源程序中存在BUG等；

③不能实时监控数据库系统的运行情况；

④应用系统存在后门、安全漏洞等安全风险容易被非法访问；

⑤DOS/DDOS攻击、网页篡改等会恶意攻击或非法访问系统。

3 网络安全设计目标

基于上述将面临的威胁和风险，根据《GBT22239-2019信息安全技术网络安全等级保护基本要求》及系列标准要求，信息安全总体目标是：结合当前信息安全技术的发展水平，设计一套科学合理的深层防御安全保障体系，形成有效的安全防护能力、隐患发现能力、应急反应能力和系统恢复能力，从物理、网络、服务器、应用和数据等方面保证平台安全、高效、可靠运行，保证信息的机密性、完整性、可用性和操作的不可否认性，避免各种潜在的威胁。在合理代价下将各种安全风险降低到可以接受的水平，实现动态、主动的网络安全防御策略，满足平台正常可靠运行、使用的需求。

具体的安全目标是：

①确保合法用户使用合法网络资源；

②确保平台运行环境的安全；

③及时检测出和阻断各种攻击行为，从而避免平台网络受到攻击；

④实时监控和跟踪网络连接状态；

⑤提供安全的运行环境，及时发现数据库等的安全漏洞，保证主机资源不受到非法攻击；

⑥确保平台不被病毒感染、传播和发作，阻止携带风险的Java、ActiveX小程序等攻击内部网络系统；

⑦注册机制、身份认证机制和授权管理机制等灵活、有效，能够确保操作的可控性和不可否认性；

⑧信息安全保护机制与业务系统等相适应，能够确保数据的完整性、保密性；

⑨在发生突发事件后，应急处理机制和灾难恢复机制能够确保系统快速恢复运行。

4 网络安全总体规划

构建全网双向流量检测和主动防御能力，加强对黑客攻击、病毒木马、应用层攻击的防护能力；以终端资产为核心，提升终端威胁防御能力，构建南北向、东西向流量的全流量检测的防御体系。抵御针对业务系统、数据的各种威胁和入侵，保证业务不间断正常运行。

提供严格的网络行为控制能力和高效的审核查证手段，实现更加安全的网络安全管理和审计机制[2]。实现内网人员访问行为的大数据搜集和分析，从中分析、监管潜在的关键信息。

1）构建安全通信网络保护

网络构架、通信传输以及可信验证是安全通信网络设计的重点。确保网络业务和带宽满足高峰业务的需求，划分不同的网络区域满足管理和控制，避免重要的网络区域与边界直连，提供核心设备和关键链路的冗余。采用密码技术确保通信数据的完整性和保密性。对通信设备重要的运行程序进行动态的可信验证。

大部分网络基本都能够完全满足高峰期的对带宽和性能需求，但可能由于没有做好SLA或业务优先级资源分配，会导致某些业务应用系统的需求无法保障[3]。因此规划设计网络时就需要充分考虑峰值带宽，并考虑安全域以及IP段的分配和预留。

2）构建安全网络边界

①通过网络出口处的外界隔离防护、入侵检测，减少威胁的攻击面以及漏洞暴露时间。

②通过划分网络安全域，加强安全域边界的防护，确保受感染的区域隔离。

③加强对内网风险识别与防护，避免外部攻击突破边界防御对内网所造成的安全风险。

④形成全局安全可视能力，同时实现高级威胁防护，如APT攻击、勒索病毒、0Day漏洞攻击等安全防护能力。

⑤统一安全运维实现集中简化的管理架构，通过边界安全和终端安全的联动防御，实现安全事件的集中管理、风险的集中管控、策略集中下发等。

3）构建安全计算环境

①通过部署数据库审计与防护系统，实时监控、识别、阻断外部黑客攻击以及来自内部高权限用户的数据窃取行为，帮助用户应对来自外部和内部的数据库安全威胁，满足计算环境安全审计的合规性要求。

②具有用户身份鉴别功能，包括主机身份鉴别和应用身份鉴别两个方面[4]，同时等保2.0标准中明确要求应用系统所有具备两种以上身份鉴别方式必须要包括密码技术在内。

③具有访问控制功能，服务器系统、应用业务平台能够给相应权限的用户对应功能权限，权限粒度为文件、数据库表级；删除或重命名默认账号、共享账号等，不可以使用系统默认名和默认口令，满足同时等保2.0标准的要求；支持后期海量数据的管理，通过对数据标记实现数据分级分类。

④支持入侵防范功能，在操作系统、应用平台系统上只安装需要的组件、关闭不需要的服务、默认共享、高危端口等；通过安全准入系统或者交换机配置ACL控制服务器终端接入；开启系统校验功能、打补丁修补安全漏洞；部署安全准入设备对前端感知设备、维护终端进行接入认证，防范非法用户或设备侵入内网获取信息及破坏系统。

⑤支持恶意代码防范，在区域边界通过防火墙或者其他技术手段限制高危安全端口，同时部署主机安全系统，加强主机系统的防范病毒、防垃圾邮件、防攻击能力。

⑥系统应用平台的数据在交付时通过采用数据加密和密码认证方式保证数据完整性、保密性。

5 安全域设计

在项目设计中，严格按照信息系统的重要性和网络使用的逻辑特性划分安全域，将系统内相互信任、一样的安全访问控制和边界控制的自网络划分为相同的安全域，通过设置共享安全策略满足同样级别的安全保护需求。通过划分众多的、小区域的安全防护区域，拆解复杂系统的安全问题，从而保证信息流在交换过程中的安全性。

网络安全域具体划分为互联网接入区域、DMZ服务器区域、应用服务器区域、客用区域、办公区域、智能设备接入区域等（见图2）。

图2 信息网络整体架构图

1）互联网接入区

作为整个项目统一互联网出口，满足Internet、SSLVPN等的接入；其安全域需具有统一的防护网络出口威胁的能力。本项目部署含IPS、防病毒功能的防火墙能有效防止外网对内网APT攻击的预警防御，DOS/DDOS攻击、网页篡改、下载不怀好意的Java、ActiveX小程序等，为内网提供安全保障。

2）应用服务器区

同时具有安全管理服务区的功能，是管理员进行网络运维管理所在的区域，审计类设备集中放置此区域。此区域需要对内网设备操作权限进行统一身份认证和管控，对日志统一收集分析，对内网设备、系统漏洞等进行统一管理。

3）DMZ区域

为网页、APP、信息发布等需要对外公开提供应用服务的安全缓冲区域，是受保护内网的一道重要网络安全防线。此区域的应用服务不能主动访问内网，但需要被外网访问。需要防止外网常见的web漏洞攻击等，例如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的攻击行为。

4）客用区

为用户提供有线无线网络、电话、电视等网络服务；需要禁止主动与办公区、智能设备区通信。

5）办公接入区

为管理服务人员提供有线和无线网络接入服务；需要通过专线与上一级主管部门的业务系统进行通信。

6）智能设备接入区

为各智能化各子系统提供网络接入能力，需要与办公网的业务系统进行通信。

办公接入区、智能设备接入区均需要经过客用区核心交换机接入互联网区，同时需要与应用服务器区的网管平台、安全设备进行通信。

6 安全设备部署

6.1 互联网接入区

在互联网出口边界进行隔离和访问控制，保护内部网络；对互联网出口流量进行识别并对流量进行管控，提高带宽利用率并保障用户上网体验；利用网络防病毒，主动扫描web和电子邮件流量、阻止恶意软件到达并感染网络上主机等防护功能[5]。

部署含IPS、防病毒防火墙实现网络边界2层～7层逻辑隔离，实现对入侵事件的监控、阻断，保护整体网络各个安全域免受外网恶意攻击。

基于威胁情报分析协同防御，动态实现对未知威胁、网络攻击、恶意域名等进行实时阻断、全网感知，定位。实现对服务器和客户端的漏洞攻击防护，对所有从边界流经下入侵防御系统的数据包按照严格的安全规则进行过滤，将所有不安全的或不符合安全规则的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为（见图3）。

图3 互联网接入区架构图

6.2 DMZ区域

部署WAF防火墙，防范黑客通过拖库、恶意扫描等对网站进行攻击；拦截如SQL注入、XSS跨站、获取敏感信息、利用开源组件漏洞的攻击等常见的web漏洞攻击；隐藏真实服务器后对外发布应用，同时通过策略路由的方式将流量牵引到WAF进行流量清洗，将不同的保护站点端口设置为统一对外端口，保护内网服务器安全（见图4）。

图4 防篡改模块功能图

6.3 应用服务器区

部署终端杀毒、终端准入、日志审计、网管系统设备等设备，为全网提供限制非法外联、终端安全基线自动检测与强制修复、移动存储管理、终端审计、终端准入、日志审计、网管等安全保障。

部署终端健康检查和修复系统实现办公区终端安全的集中统一管理，具有包括终端补丁的集中下载与分发、应用软件的集中分发、禁止非工作软件或有害软件的安装和运行等安全防范能力，强化终端安全策略，并对终端接入和外联进行管理。

终端准入系统支持管理客用区域终端网络可信接入和用户身份级别的管理，记录用户的网络访问行为，对接入用户实行全生命周期的数字身份管理，对终端服务器进行详细信息展示：包括网络信息、环境信息等；监听端口，可对终端服务器上端口情况进行实时监控；运行进程，可对终端服务器上进程运行情况进行实时监控；账号信息，可对终端服务器所有账号信息进行统计；软件信息，可对终端服务器上运行的软件详细信息进行统计。

6.4 区域边界

在客户区域，办公区域和智能设备访问区域之间部署了防火墙，以进行隔离。访客区的普通用户终端无法主动访问办公区和智能设备区。

在客用区域与办公区域、智能设备接入区域之间分别部署防火墙进行隔离。客用区域的普通用户终端不能主动访问办公区域和智能设备区域。

办公区域与客用区域之间通过防火墙互联，办公区域的用户终端经客用区域核心交换机访问互联网接入区域、DMZ区域、应用服务器区域等区域。

智能设备接入区域通过防火墙与客用区域互联，只允许设备网的服务器、网络设备经过客用网核心交换机与应用服务器区通信。

6.5 无线网络安全

采用基于VLAN的用户隔离减少二层广播，使得同一VLAN内的有线用户之间、有线用户和无线用户之间以及无线用户之间（无论无线用户是否使用同一SSID接入WLAN网络）的不再能互相访问，增强无线终端的安全性。

采用802.1X无线局域网认证方式，保证无线网络准入的认证安全。通过对数据报文采取加密措施，使得只有相应的设备可对通过无线网络传输的接收报文进行解密。对无线报文进行加密，确保只有特定设备才能成功解密接收到的报文。

7 结语

在网络信息化的时代，网络信息安全越来越受到重视，建设完备的安全技术和管理体系，重点做好通信网络安全、应用系统安全、数据安全建设，完善网络安全等级保护建设。此外面对网络安全的脆弱性，除在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安全管理制度建设，根据安全管理制度的基本要求制定各类管理规定、管理办法和暂行规定。