李鈺婷

當(dāng)今世界，隨著數(shù)據(jù)通信與計算機網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，全球信息化已成為人類發(fā)展的大趨勢。因此國內(nèi)外企業(yè)的生產(chǎn)經(jīng)營管理方式也都隨著網(wǎng)絡(luò)技術(shù)的發(fā)展而朝著信息化、網(wǎng)絡(luò)化方向發(fā)展。企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的建立，極大地提高了對外以及內(nèi)部各部門之間的溝通效率。但近年來網(wǎng)絡(luò)安全威脅日趨嚴(yán)重，不斷演化的網(wǎng)絡(luò)攻擊對企業(yè)造成了極大地?fù)p失（如勒索病毒等）。另外，由于陜西省水務(wù)集團的業(yè)務(wù)涉及關(guān)鍵基礎(chǔ)設(shè)施（如自來水廠等），并且在智慧水務(wù)建設(shè)過程中將采用越來越多的物聯(lián)網(wǎng)設(shè)備，這使得企業(yè)在網(wǎng)絡(luò)安全方面將面臨更為嚴(yán)峻的挑戰(zhàn)。

本文的研究內(nèi)容正是基于此種大背景下提出來的，通過分析陜西省水務(wù)集團的網(wǎng)絡(luò)安全需求，以企業(yè)網(wǎng)絡(luò)架構(gòu)的設(shè)計及安全部署為重點展開研究，并提出相應(yīng)的網(wǎng)絡(luò)安全設(shè)計方案[1]。

1 企業(yè)網(wǎng)絡(luò)安全

從陜西省水務(wù)集團的網(wǎng)絡(luò)結(jié)構(gòu)分析，企業(yè)網(wǎng)絡(luò)層的安全主要涉及Internet連接安全、廣域網(wǎng)連接安全和內(nèi)網(wǎng)系統(tǒng)安全。

1.1 Internet連接安全防護

陜西省水務(wù)集團需通過門戶網(wǎng)站向大眾提供業(yè)務(wù)服務(wù)并對企業(yè)進行宣傳，公司內(nèi)部用戶辦公也需通過互聯(lián)網(wǎng)與外界進行電子郵件往來。因此，企業(yè)的Internet出入口連接點，存在遭受來自外部惡意攻擊、病毒傳播的可能性，必須采取措施進行保護，如部署防火墻系統(tǒng)。

1.2 廣域網(wǎng)連接安全防護

陜西省水務(wù)集團下屬分公司及三級子公司位于省內(nèi)各市縣，需通過數(shù)字電路專線組成的廣域網(wǎng)與集團總部進行連接。這種在物理上分布廣泛的網(wǎng)絡(luò)系統(tǒng)，每一個在地理上屬異地的分支機構(gòu)或部門，其網(wǎng)絡(luò)應(yīng)用和管理都有相對的獨立性，因此在網(wǎng)絡(luò)安全管理實施和執(zhí)行上就很容易產(chǎn)生差異，從而出現(xiàn)網(wǎng)絡(luò)安全漏洞。

1.3 內(nèi)網(wǎng)系統(tǒng)安全防護

陜西省水務(wù)集團內(nèi)網(wǎng)中的信息系統(tǒng)中存放了大量的企業(yè)數(shù)據(jù)和信息，不同的信息系統(tǒng)開放的用戶范圍及權(quán)限是不同的，因此需要有比較好的手段對內(nèi)部用戶進行信息資源訪問的控制。同時，企業(yè)網(wǎng)環(huán)境比較復(fù)雜，設(shè)備眾多，網(wǎng)絡(luò)管理人員查找和修補網(wǎng)絡(luò)中的安全隱患有相當(dāng)大的難度。因此，利用先進的技術(shù)、工具進行網(wǎng)絡(luò)系統(tǒng)自身的脆弱性檢查，先于入侵者發(fā)現(xiàn)漏洞并及時彌補，是十分必要的安全防護措施。

員工進入信息系統(tǒng)時需要輸入用戶名稱和密碼，而單一靜態(tài)密碼容易泄露，很容易被網(wǎng)絡(luò)入侵者猜測或破解。因此在原有用戶名密碼登錄驗證的基礎(chǔ)上，需增加更強大的認(rèn)證手段[2-4]。

2 網(wǎng)絡(luò)安全方案設(shè)計

根據(jù)陜西省水務(wù)集團網(wǎng)絡(luò)安全防護的實際需求，制定了相應(yīng)方案解決水務(wù)網(wǎng)絡(luò)安全問題。

2.1 劃分安全區(qū)域

根據(jù)企業(yè)業(yè)務(wù)需要，以及網(wǎng)絡(luò)應(yīng)用對安全性的不同級別的要求，可劃分出以下不同的安全區(qū)域：

（1）DMZ區(qū),包括門戶網(wǎng)站服務(wù)器、郵箱服務(wù)器等需要對外提供服務(wù)的服務(wù)器群。

（2）廣域網(wǎng)分區(qū)，異地的集團分公司、三級公司通過數(shù)字電路專線連接到集團總部網(wǎng)絡(luò)，分公司、三級公司的業(yè)務(wù)系統(tǒng)數(shù)據(jù)將通過該分區(qū)進入總部數(shù)據(jù)中心。

（3）數(shù)據(jù)中心區(qū)，該區(qū)域由集團的智慧水務(wù)大數(shù)據(jù)平臺、數(shù)據(jù)備份服務(wù)器等服務(wù)器集群構(gòu)成，承載集團一切業(yè)務(wù)的核心數(shù)據(jù)，因此該區(qū)域?qū)Π踩砸笞罡?，對業(yè)務(wù)穩(wěn)定不間斷運行要求也最高。

（4）內(nèi)部辦公區(qū)，該區(qū)域是集團總部內(nèi)部員工辦公計算機所在區(qū)域，該區(qū)域?qū)W(wǎng)絡(luò)運行穩(wěn)定性要求較高。

2.2 采用防火墻

采用防火墻解決Internet連接及廣域網(wǎng)連接的安全隱患，隔離各安全區(qū)域。防火墻通常部署在內(nèi)部網(wǎng)與外部網(wǎng)之間，用于控制通過的流量以及對外部網(wǎng)絡(luò)攻擊進行防護，是目前網(wǎng)絡(luò)安全解決方案中應(yīng)用最多的技術(shù)手段。防火墻能夠?qū)?shù)據(jù)包進行過濾，阻斷不符合策略的連接，還可以關(guān)閉不使用的端口以免被攻擊者利用，并且具備非常強的抗攻擊能力。

2.3 采用入侵檢測（IDS）

采用入侵檢測設(shè)備，實現(xiàn)對攻擊行為的識別，與防火墻進行配合，可加強對應(yīng)用層的安全防護。入侵檢測技術(shù)能夠識別出對計算機和網(wǎng)絡(luò)資源的惡意使用行為，并對惡意使用行為做出相應(yīng)的處理。入侵檢測的第一步是信息收集，內(nèi)容包括系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為。收集到的信息將被送到檢測引擎，進行模式匹配、統(tǒng)計分析、完整性分析。當(dāng)檢測到惡意使用行為時，將會產(chǎn)生告警，并根據(jù)策略可聯(lián)動防火墻對攻擊行為進行阻斷。

2.4 病毒防護（Anti Virus）

病毒防護應(yīng)采用預(yù)防為主，軟件查殺為輔的防治策略。首先要加強網(wǎng)絡(luò)的管理，制定嚴(yán)格的管理制度，對管理員和用戶加強培訓(xùn)，提高防毒意識。同時給計算機安裝殺毒軟件，并定期進行病毒庫升級。服務(wù)器可采用裝載防病毒模塊，或者安裝防毒卡的防護方式。

2.5 采用認(rèn)證服務(wù)器

可考慮采用RADIUS或TACACS+認(rèn)證方法，兩種認(rèn)證方法都可實現(xiàn)用戶在訪問業(yè)務(wù)系統(tǒng)前，必須通過認(rèn)證服務(wù)器的認(rèn)證與授權(quán)。區(qū)別在于RADIUS采用UDP協(xié)議傳輸，只對客戶端請求包中的密碼加密，而TACACS+采用TCP協(xié)議傳輸，對除了頭部外的整個分組加密。

2.6 采用安全審計

為實現(xiàn)攻擊行為及網(wǎng)絡(luò)日常管理的事中跟蹤，事后分析，可采用安全審計技術(shù)。根據(jù)GB/T 20945-2013國標(biāo)定義，“安全審計”指對網(wǎng)絡(luò)或信息系統(tǒng)的事件進行記錄和分析，并針對特定事件采取相應(yīng)比較的動作。安全審計分為監(jiān)測審計和日志審計兩種，前者是監(jiān)測實時數(shù)據(jù)，后者是事后審計方式。安全審計的范圍包括了所有與安全相關(guān)的設(shè)備和系統(tǒng)。

2.7 采用漏洞掃描

借助漏洞掃描技術(shù)提升內(nèi)網(wǎng)系統(tǒng)安全性。漏洞掃描是一種主動的防范措施，通過對網(wǎng)絡(luò)中的服務(wù)器、路由器、交換機、數(shù)據(jù)庫等設(shè)備進行逐項規(guī)則檢測，或模擬網(wǎng)絡(luò)攻擊，來判定網(wǎng)絡(luò)系統(tǒng)中是否存在安全漏洞。網(wǎng)絡(luò)管理員因此能及時發(fā)現(xiàn)安全漏洞，客觀評估網(wǎng)絡(luò)風(fēng)險等級，根據(jù)掃描結(jié)果修補相關(guān)安全漏洞，做到防患于未然[5-7]。

3 網(wǎng)絡(luò)安全方案確定

結(jié)合陜西省水務(wù)集團的網(wǎng)絡(luò)架構(gòu)，劃分安全域，在安全域邊界部署防火墻對Internet連接和廣域網(wǎng)連接進行管控，配合IDS進一步解決應(yīng)用層的安全威脅，采用Radius認(rèn)證、漏洞掃描、病毒防護等技術(shù)共同加強內(nèi)網(wǎng)的安全防護。具體方案見圖1。

圖1 網(wǎng)絡(luò)安全方案示意圖

根據(jù)網(wǎng)絡(luò)安全方案設(shè)計，將集團網(wǎng)絡(luò)劃分為數(shù)據(jù)中心區(qū)、內(nèi)部辦公區(qū)、DMZ區(qū)、廣域網(wǎng)區(qū)共四個安全區(qū)域，部署兩臺防火墻對安全區(qū)域進行隔離。防火墻上關(guān)于安全區(qū)域的訪問控制策略應(yīng)配置為：

<1＞內(nèi)部辦公區(qū)可以訪問Internet,廣域網(wǎng)區(qū)，DMZ區(qū)。

<2＞Internet不能訪問內(nèi)部辦公區(qū)、數(shù)據(jù)中心區(qū)，廣域網(wǎng)區(qū)，可以訪問DMZ區(qū)。

<3＞DMZ區(qū)可以訪問Internet，不能訪問內(nèi)部辦公區(qū)，數(shù)據(jù)中心區(qū)，廣域網(wǎng)區(qū)。

內(nèi)部辦公區(qū)網(wǎng)絡(luò)，應(yīng)按各部門劃分VLAN,起到邏輯隔離作用，避免廣播風(fēng)暴。

內(nèi)部辦公區(qū)、數(shù)據(jù)中心區(qū)、DMZ區(qū)各部署一臺IDS設(shè)備（配置與防火墻聯(lián)動），對各安全區(qū)域的網(wǎng)絡(luò)信息進行檢測分析，發(fā)現(xiàn)攻擊行為則聯(lián)動防火墻，由防火墻阻斷相關(guān)連接。防火墻、IDS均開啟審計日志。

在防火墻上配置啟用Radius認(rèn)證服務(wù)器，用戶訪問各業(yè)務(wù)系統(tǒng)時，需先輸入用戶名、密碼，Radius認(rèn)證服務(wù)器認(rèn)證通過后，則授權(quán)用戶繼續(xù)訪問。

定期對內(nèi)網(wǎng)進行安全性檢測時，可將漏洞掃描設(shè)備以旁路方式接入各安全區(qū)域內(nèi)的交換機上，依次對各網(wǎng)段開展漏洞掃描分析。

所有新采購的服務(wù)器要求必須安裝防病毒模塊、軟件防火墻，已有的服務(wù)器由系統(tǒng)管理負(fù)責(zé)安裝防病毒模塊、軟件防火墻。集團所有辦公電腦統(tǒng)一安裝企業(yè)版殺毒軟件，由系統(tǒng)管理員負(fù)責(zé)病毒庫更新等日常管理。

4 結(jié)語

通過DMZ區(qū)劃分、網(wǎng)絡(luò)邊界防火墻、入侵檢測、漏洞掃描、網(wǎng)絡(luò)審計、病毒防護等網(wǎng)絡(luò)安全技術(shù)的設(shè)計、部署，將建立起全方位的企業(yè)網(wǎng)安全防護體系，有效阻擋來自外網(wǎng)以及內(nèi)網(wǎng)的攻擊。后續(xù)根據(jù)集團業(yè)務(wù)需求，還可建設(shè)VPN虛擬專用網(wǎng)絡(luò)，為遠(yuǎn)程用戶提供到集團內(nèi)網(wǎng)的安全傳輸方式。

[1]wjessie.企業(yè)網(wǎng)絡(luò)系統(tǒng)安全需求分析與設(shè)計方案.[OL].2017-03-19.https://max.book118.com/html/2017/0319/96078529.shtm

[2]江超.面向應(yīng)用層的網(wǎng)絡(luò)安全方案的設(shè)計與實施[D].北京郵電大學(xué),2013.

[3]趙玉田.某信息技術(shù)企業(yè)計算機網(wǎng)絡(luò)安全系統(tǒng)的設(shè)計與實現(xiàn) [D].山東大學(xué),2015.

[4]鄧林.網(wǎng)絡(luò)信息安全防護理論與方法的研究[D].合肥工業(yè)大學(xué),2009.

[5]曹勝華.集團企業(yè)網(wǎng)絡(luò)架構(gòu)及安全部署的設(shè)計與實現(xiàn)[D].中南大學(xué),2010.

[6]曹晶秀.企業(yè)網(wǎng)安全架構(gòu)模型的研究與驗證[D].吉林大學(xué),2008.

[7]徐波濤.校園網(wǎng)網(wǎng)絡(luò)安全方案設(shè)計與工程實踐 [D].北京郵電大學(xué),2012.