劉璀
(中央財(cái)經(jīng)大學(xué)網(wǎng)絡(luò)信息中心,北京 100081)
我國《網(wǎng)絡(luò)安全法》于2017年6月1日正式施行,這是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律,是我國網(wǎng)絡(luò)空間法治建設(shè)的重要里程碑?!毒W(wǎng)絡(luò)安全法》的發(fā)布也同時(shí)標(biāo)志著網(wǎng)絡(luò)安全等級(jí)保護(hù)工作正式進(jìn)入2.0時(shí)代。《網(wǎng)絡(luò)安全法》第二十一條對網(wǎng)絡(luò)運(yùn)營者的安全義務(wù)作出了說明:網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。
等保2.0為了和《網(wǎng)絡(luò)安全法》相對應(yīng),將原來的標(biāo)準(zhǔn)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》改為《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》,對于網(wǎng)絡(luò)運(yùn)營者必須履行的安全義務(wù)做了進(jìn)一步解讀。
高校校園網(wǎng)管理者在滿足校內(nèi)外用戶網(wǎng)絡(luò)訪問需求的同時(shí),應(yīng)該把履行網(wǎng)絡(luò)安全義務(wù)放在運(yùn)營工作的首位。
在等保2.0中,保護(hù)的對象從信息系統(tǒng)上升到了網(wǎng)絡(luò)空間安全,對象也從信息系統(tǒng)擴(kuò)展到涵蓋網(wǎng)絡(luò)基礎(chǔ)設(shè)施、云、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等。網(wǎng)絡(luò)安全這一控制項(xiàng)上除原有的控制點(diǎn)“訪問控制外”,還新增了“網(wǎng)絡(luò)架構(gòu)”和“邊界防護(hù)”等。
其中,對局域網(wǎng)出口的具體要求包括:
(1)應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要;
(2)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要;
(3)應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域,重要網(wǎng)絡(luò)區(qū)域不能部署在網(wǎng)絡(luò)邊界處,且局域網(wǎng)邊界應(yīng)該具有防護(hù)措施;
(4)應(yīng)能夠?qū)ν饩W(wǎng)設(shè)備未經(jīng)授權(quán)連接到內(nèi)部網(wǎng)絡(luò)設(shè)備的行為進(jìn)行檢查,定位和阻斷;
(5)應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查;
(6)應(yīng)在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備,并要求控制到端口;
(7)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)隊(duì)用戶行為進(jìn)行安全審計(jì),審計(jì)日志要留存6個(gè)月以上。
校園網(wǎng)管理者應(yīng)針對這些要求,做好校園網(wǎng)出口的管理和配置工作。
隨著高校的發(fā)展,網(wǎng)絡(luò)規(guī)模和用戶人數(shù)不斷增加,用戶訪問需求、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)資源種類日益多樣。為滿足師生需求,校園網(wǎng)出口除了接入中國教育科研網(wǎng)之外,還會(huì)接入其他基礎(chǔ)運(yùn)營商鏈路,如電信、移動(dòng)、聯(lián)通等,以解決出口帶寬問題。多鏈路帶寬接入能夠很好地解決網(wǎng)速和資源的問題,但這種多ISP(Internet Service Provider)互聯(lián)網(wǎng)服務(wù)提供商的接入方式在提高網(wǎng)絡(luò)訪問速度的同時(shí),也增加了網(wǎng)絡(luò)的復(fù)雜性,為管理帶來了一定難度。
當(dāng)前,校園網(wǎng)出口設(shè)備不僅要做好多條鏈路的負(fù)載均衡和效率,滿足業(yè)務(wù)高峰需要,還要做好訪問控制、邊界防護(hù)以及日志審計(jì)等安全管理工作,以滿足等保要求。在出口設(shè)備上,多鏈路出口訪問技術(shù)的部署可以解決絕大部分以上提出的問題。
負(fù)載均衡(Load Balance,簡稱LB)是一種基于服務(wù)器資源或網(wǎng)絡(luò)資源的集群技術(shù)和調(diào)度分配算法,根據(jù)業(yè)務(wù)流量傳輸方向可以分為Outbound和Inbound兩種。內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí),通過Outbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)內(nèi)網(wǎng)用戶訪問外網(wǎng)服務(wù)器的流量。負(fù)載均衡設(shè)備在收到內(nèi)網(wǎng)用戶請求時(shí),依次根據(jù)策略和調(diào)度算法選擇最佳的鏈路,并將流量分發(fā)到該鏈路,如圖1所示。
內(nèi)網(wǎng)和外網(wǎng)之間存在多條鏈路時(shí),通過Inbound鏈路負(fù)載均衡可以實(shí)現(xiàn)在多條鏈路上分擔(dān)外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的流量,如圖2所示。
圖1 Outbound鏈路負(fù)載均衡
NAT(Network Address Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)位于網(wǎng)絡(luò)邊界,將內(nèi)網(wǎng)IP地址與公網(wǎng)IP地址之間進(jìn)行轉(zhuǎn)換。一般用于解決局域網(wǎng)公網(wǎng)IP不足的情況,由于安全性良好,目前用于大部分校園網(wǎng)出口配置。
NAT的實(shí)現(xiàn)方式有三種,即靜態(tài)轉(zhuǎn)換一對一NAT、目的NAT以及動(dòng)態(tài)轉(zhuǎn)換源NAT。
一對一NAT是指將內(nèi)網(wǎng)的私有IP地址轉(zhuǎn)換為公網(wǎng)IP地址時(shí),上下行用到的IP地址是一對一不變的,用于實(shí)現(xiàn)外網(wǎng)對校內(nèi)服務(wù)器的一對一訪問,一般用于與上級(jí)單位有業(yè)務(wù)往來的校內(nèi)視頻和公文服務(wù)器。
目的NAT是指外網(wǎng)訪問校內(nèi)服務(wù)器時(shí),服務(wù)器公網(wǎng)IP地址轉(zhuǎn)換為內(nèi)網(wǎng)的私有IP地址是固定的,而校內(nèi)服務(wù)器或電腦訪問外網(wǎng)時(shí),轉(zhuǎn)換的公網(wǎng)地址并不固定,校內(nèi)大部分Web服務(wù)器和信息系統(tǒng)均采用這種技術(shù)。
源NAT是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí),IP地址是不固定的,是隨機(jī)從地址池中分配的。當(dāng)帶寬服務(wù)商提供的公網(wǎng)IP較少時(shí),采用這種方式,使得所有被授權(quán)內(nèi)網(wǎng)IP地址可隨機(jī)轉(zhuǎn)換為公網(wǎng)IP地址,進(jìn)行互聯(lián)網(wǎng)訪問。目前校內(nèi)用戶訪問互聯(lián)網(wǎng),大部分采用這種技術(shù)。
圖2 Inbound鏈路負(fù)載均衡
訪問控制技術(shù),指防止對任何資源進(jìn)行未授權(quán)的訪問,從而使計(jì)算機(jī)系統(tǒng)在合法的范圍內(nèi)使用。訪問控制保證合法用戶訪問受權(quán)保護(hù)的網(wǎng)絡(luò)資源,防止非法的主體進(jìn)入受保護(hù)的網(wǎng)絡(luò)資源,或防止合法用戶對受保護(hù)的網(wǎng)絡(luò)資源進(jìn)行非授權(quán)的訪問。為了保證內(nèi)網(wǎng)的安全性,需要通過安全策略來保障非授權(quán)用戶只能訪問特定的網(wǎng)絡(luò)資源,從而達(dá)到對訪問進(jìn)行控制的目的。訪問控制列表(Access Control List,ACL)可以用來控制進(jìn)出的IPv4或者IPv6 數(shù)據(jù)包,從而過濾網(wǎng)絡(luò)中的非授權(quán)訪問,是目前比較常用的控制訪問技術(shù)手段。
用戶行為審計(jì)分析技術(shù)通過日志采集和日志審計(jì)功能,收集用戶上網(wǎng)數(shù)據(jù),分析用戶上網(wǎng)行為,掌握網(wǎng)絡(luò)運(yùn)行的狀態(tài),為網(wǎng)絡(luò)管理人員追查相關(guān)行為的責(zé)任人提供依據(jù)。目前針對不同的日志類型,管理員可以獲得如源IP地址、源端口、目的IP地址、目的端口、開始/結(jié)束時(shí)間、協(xié)議類型、協(xié)議摘要(目前支持HTTP、SMTP、FTP協(xié)議)等信息。通過對這些信息的審計(jì)分析,可以實(shí)現(xiàn)統(tǒng)計(jì)網(wǎng)絡(luò)應(yīng)用;對非法訪問進(jìn)行識(shí)別和攔截;防范敏感信息外泄;防范拒絕服務(wù)攻擊,病毒攻擊、ARP欺騙, 保護(hù)內(nèi)網(wǎng)安全。
針對校園網(wǎng)出口存在的問題,在進(jìn)行了大量的調(diào)研分析和設(shè)備測試實(shí)踐基礎(chǔ)上,最終對中央財(cái)經(jīng)大學(xué)校園網(wǎng)出口進(jìn)行了全面改造。改造后的出口部分網(wǎng)絡(luò)拓?fù)淙鐖D3所示。
圖3 校園網(wǎng)出口拓?fù)鋱D
通過出口改造,從幾個(gè)方面對校園網(wǎng)安全進(jìn)行了管理和控制,確保校園網(wǎng)出口滿足等級(jí)保護(hù)2.0對網(wǎng)絡(luò)架構(gòu)、邊界防護(hù)以及訪問控制的要求。
(1)增加多條運(yùn)營商鏈路,增加校園網(wǎng)出口帶寬,極大提高校內(nèi)用戶訪問互聯(lián)網(wǎng)的速度。在校內(nèi)大力推廣IPv6的應(yīng)用,鼓勵(lì)師生使用IPv6資源。
(2)啟用高性能鏈路負(fù)載均衡設(shè)備,根據(jù)帶寬、所屬運(yùn)營商、鏈路狀態(tài)和質(zhì)量(丟包和延時(shí)等)等幾個(gè)屬性,通過全局調(diào)度算法選擇合適的站點(diǎn),從而提高用戶的網(wǎng)絡(luò)應(yīng)用體驗(yàn)。
(3)啟用鏈路調(diào)度策略控制流量走向,使得鏈路合理利用率最大化。設(shè)備還應(yīng)該支持通過運(yùn)營商、鏈路過載保護(hù)、指定源地址、指定入接口和指定應(yīng)用類型等多種方式控制流量走向,使得各種類型的鏈路能夠得到充分利用,優(yōu)化整體流量質(zhì)量。優(yōu)化DNS配置,根據(jù)流量分析結(jié)果,將校內(nèi)訪問流量大的應(yīng)用,分布到不同鏈路的站點(diǎn)上。
(4)啟用鏈路健康檢查功,通過指定鏈路對遠(yuǎn)端設(shè)備或者服務(wù)器進(jìn)行探測。依據(jù)不同的探測方法(TCP、ICMP等)判斷當(dāng)前鏈路是否可用,如果當(dāng)前鏈路出現(xiàn)故障,則會(huì)將流量切換到其它正常的鏈路上。
(5)通過出口高性能防火墻設(shè)備,將校園網(wǎng)以及外網(wǎng)區(qū)分為 Trust區(qū)和Untrust 區(qū),啟用安全隔離以及訪問控制,保護(hù)校內(nèi)用戶計(jì)算機(jī)安全。在防火墻上對IP報(bào)文包進(jìn)行過濾,對不合法的訪問采用丟包操作。
(6)在出口防火墻上啟用地址轉(zhuǎn)換技術(shù),對校內(nèi)服務(wù)器使用目的NAT及一對一NAT技術(shù),校內(nèi)用戶使用源NAT技術(shù)訪問互聯(lián)網(wǎng)資源,在每條出口鏈路上設(shè)置NAT地址池,用戶通過不同鏈路訪問互聯(lián)網(wǎng)時(shí),從對應(yīng)的地址池中取得公網(wǎng)地址。以中央財(cái)經(jīng)大學(xué)使用的迪普DPX8000設(shè)備為例,校園網(wǎng)出口部署多鏈路啟用ADX板卡的 NAT 功能實(shí)現(xiàn)內(nèi)部私網(wǎng)訪問Internet 資源與外網(wǎng)訪問內(nèi)網(wǎng)主機(jī)的服務(wù)
(7)部署出口日志服務(wù)器, 記錄保存用戶的網(wǎng)絡(luò)行為,日志保存最少6個(gè)月以上。
(8)啟用流量控制設(shè)備,合理利用網(wǎng)絡(luò)帶寬、提升網(wǎng)絡(luò)使用效率。
(9)啟用上網(wǎng)行為審計(jì)功能,全面管控和過濾校內(nèi)用戶上網(wǎng)行為,如網(wǎng)絡(luò)連接、Web訪問、FTP、收發(fā)電子郵件、文件共享、BBS論壇訪問/留言等,并能妥善有效記錄和審計(jì)各類行為日志,以供校園網(wǎng)管理人員按需查看。還可通過專業(yè)病毒特征庫向用戶提供防病毒服務(wù),能夠檢測通過 HTTP、FTP、SMTP、POP3、IMAP、SMB、TFTP 等協(xié)議傳輸?shù)牟《?。防病毒模塊通過采用實(shí)時(shí)分析的方式,自動(dòng)檢測、阻斷、隔離或重定向攜帶病毒的流量。中央財(cái)經(jīng)大學(xué)上網(wǎng)行為審計(jì)統(tǒng)計(jì)數(shù)據(jù)截圖如圖4所示。
圖4 統(tǒng)計(jì)數(shù)據(jù)圖
根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以及網(wǎng)信辦《網(wǎng)絡(luò)安全事件應(yīng)急演練指南》要求,為健全完善高校網(wǎng)絡(luò)安全事件應(yīng)急工作機(jī)制,規(guī)范網(wǎng)絡(luò)安全事件工作流程,加強(qiáng)網(wǎng)站網(wǎng)絡(luò)信息安全保障工作,形成科學(xué)、有效、反應(yīng)迅速的應(yīng)急工作機(jī)制,確保重要計(jì)算機(jī)信息系統(tǒng)的實(shí)體安全、運(yùn)行安全和數(shù)據(jù)安全,預(yù)防和減少網(wǎng)絡(luò)安全事件造成的損失和危害,維護(hù)正常校內(nèi)秩序,還應(yīng)該根據(jù)內(nèi)網(wǎng)實(shí)際情況,制定網(wǎng)絡(luò)安全演練方案。通過對出口設(shè)備NAT規(guī)則以及訪問控制策略的操作,可以實(shí)現(xiàn)一鍵斷網(wǎng)等安全演練,特殊時(shí)期對校內(nèi)關(guān)鍵信息設(shè)施采取保護(hù)措施。
《網(wǎng)絡(luò)安全法》的施行,特別是量刑的設(shè)立使高校校園網(wǎng)管理者承擔(dān)的責(zé)任更重了,高校網(wǎng)絡(luò)安全管理工作上升到了新的高度。在校園網(wǎng)安全管理工作中,不僅要加強(qiáng)安全理論學(xué)習(xí),合理規(guī)劃建設(shè)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施,還要注重提高應(yīng)急處置預(yù)案的能力和關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù),按照“預(yù)防為主,積極防護(hù)”的原則,進(jìn)一步完善應(yīng)急處置機(jī)制,提升校園網(wǎng)抵抗網(wǎng)絡(luò)風(fēng)險(xiǎn)的能力。