■ 上海 范劭林

編者按：隨著企業(yè)對網(wǎng)絡安全的重視以及合規(guī)的要求，越來越多的企業(yè)加大了對網(wǎng)絡安全的投入力度，但投入未必能換來安全，很多企業(yè)對網(wǎng)絡安全并沒有全面而深入的了解，尚存在一定誤區(qū)。

很多企業(yè)在網(wǎng)絡安全建設中，對網(wǎng)絡安全防護體系的搭建和對政策的理解有一些常見的誤區(qū)。筆者將根據(jù)自身的測評經(jīng)歷與項目經(jīng)驗，對測評過程中的網(wǎng)絡安全層面出現(xiàn)的常見問題進行匯總并給出一些解決方案，希望能有助于企業(yè)更健全搭建網(wǎng)絡安全體系，并對網(wǎng)絡安全有更多的了解。

高投入不等于絕對安全

筆者在實際測評過程中也聽到過網(wǎng)絡負責人的詢問，我們公司今年為了這個系統(tǒng)購買了幾十萬的安全設備，這個系統(tǒng)應該很安全吧？在很多時候，企業(yè)在購買安全防護設備，例如防火墻、網(wǎng)絡應用防護設備、態(tài)勢感知、審計設備等硬件設備，往往是投入重金進行購置。

對于網(wǎng)絡安全防護來說，工欲善其事，必先利其器，這個道理大家都很清楚，但是網(wǎng)絡安全真的只是一些安全工具，再派幾個負責人去監(jiān)測設備的工作情況就好了么？

其實不是的，設備的投入只是安全防護的第一步，正如等保測評中要求的所有設備日志需要定期進行報表制作并分析一樣，有很多企業(yè)忽視了這個工作的重要性，隨著幾個月安全事件不發(fā)生，就降低了要求，放松了警惕，把前幾次的月報或者周報改改日期繼續(xù)上交，結論一直都是安全，而等到安全事故發(fā)生后，再重新檢查的時候，甚至出現(xiàn)設備密碼太久沒登錄都忘記了。等找到了密碼登錄之后，才發(fā)現(xiàn)早在兩個月前，日志中就已經(jīng)看到了異常情況。

這個案例就是今年實際發(fā)生的安全事故，也希望大家以此為戒。

所以，絕對安全是不存在的，只有相對安全，更為重要的是，安全責任人對網(wǎng)絡安全保持警惕，保持對網(wǎng)絡環(huán)境保持實時的關注，并根據(jù)已爆發(fā)的安全事件為例對現(xiàn)有的網(wǎng)絡環(huán)境進行不斷加固，這樣才至少保證相對安全。

合理的邊界安全搭建

越來越多的企業(yè)在網(wǎng)絡邊界處會建立防火墻和DMZ區(qū)域來保證邊界的安全性，但筆者在檢查過程中，發(fā)現(xiàn)過一些很不合理的情況，在這里把常見的幾個情況在這里做一下匯總。

1.VPN的不合理配置

VPN在企業(yè)網(wǎng)絡中也是個常見的配置，用于對公司內(nèi)移動辦公的用戶提供接入。一般來說可以在防火墻上進行配置，但也有企業(yè)購買了獨立的VPN設備，這時VPN在網(wǎng)絡中的位置就很重要了。

有一些企業(yè)把VPN放置在了邊界防火墻內(nèi)，直接互通服務器區(qū)域，這種情況是很危險且被允許的。

同樣還有一種情況，就是遠程操作員在遠程使用中不使用默認網(wǎng)關。簡單來說，就是在連接內(nèi)網(wǎng)的同時還可以訪問互聯(lián)網(wǎng)，這種情況也是不被允許的。

但其實很多企業(yè)對該類情況疏于防范，解決的方法也很簡單，強制要求使用默認網(wǎng)關即可。

2.防火墻策略不合理

策略不合理這個問題很常見，基本在每次測評中都能發(fā)現(xiàn)，比如有一些例子是未及時關閉的臨時策略，也有一些是過期策略，并未及時進行更新。特別是進行過管理人員更換的企業(yè)，這種情況就更常見了，有很多策略未加描述并開放了所有的端口。

在這里筆者建議全管理員根據(jù)最小化原則，僅開放對外需要的應用端口如80或者8080等，在策略新建的時候，加上描述性的備注，定期對防火墻上的策略進行檢查，對流量較小的策略和臨時策略進行重點排查，一定要盡快禁用。

3.DMZ區(qū)域的外網(wǎng)互通策略

DMZ(Demilitarized Zone)是為了解決安裝防火墻后外部網(wǎng)絡的訪問用戶不能訪問內(nèi)部網(wǎng)絡服務器的問題而設立的一個非安全系統(tǒng)與安全系統(tǒng)之間的緩沖區(qū)。很多企業(yè)在網(wǎng)絡構建的時候都往這個小網(wǎng)絡區(qū)域內(nèi)放置一些如企業(yè)Web服務器、論壇等。

另一方面，通過這樣一個DMZ區(qū)域，更加有效地保護了內(nèi)部網(wǎng)絡。但是如果在DMZ區(qū)域放置的是一些文件傳輸?shù)腇TP服務器，這里不推薦其全天與外網(wǎng)保持互通狀態(tài)，推薦設置在一定的時間段進行傳輸，其余時間保持斷開的狀態(tài)。

其實在這里筆者還想說明一個情況，邊界防護中涉及到政務網(wǎng)和互聯(lián)網(wǎng)的話，邊界是不可以使用防火墻的，根據(jù)《國家電子政務外網(wǎng)跨網(wǎng)數(shù)據(jù)安全交換技術要求和實施指南》（GW0205-2014）中的要求，跨網(wǎng)數(shù)據(jù)交換必須使用網(wǎng)閘，這一點也請注意。因為筆者在測評工作中也遇到過用防火墻連接的違規(guī)行為，這些情況都是需要整改的。

所以也建議安全管理員在設計之初考慮到這一點，以免給后期的網(wǎng)絡安全體系建設帶來不便。

不同系統(tǒng)之間的訪問控制隔離

在很多時候，企業(yè)覺得所有系統(tǒng)都放在服務器區(qū)域中被保護，一直加強外部對內(nèi)部的訪問控制策略，這樣就高枕無憂了么？

其實并非如此，來自內(nèi)部破壞的防護也同樣重要，雖然都在一個服務器區(qū)域，但也是需要系統(tǒng)根據(jù)服務器的類型及重要性程度來劃分VLAN，并按照應用需求最小化原則來進行VLAN間的訪問控制設置。如果出現(xiàn)一臺服務器被惡意攻擊并被感染，而在沒有訪問控制策略的控制下，有可能會影響到其他系統(tǒng)的服務器的正常運作，這樣存在交叉感染的風險。

特別在這里要補充的是，如果企業(yè)對內(nèi)部區(qū)域的訪問控制不嚴謹，VPN或者堡壘機的訪問權限未進行控制，將造成非授權登錄的情況發(fā)生，這種情況將對企業(yè)的數(shù)據(jù)安全，特別是敏感數(shù)據(jù)造成嚴重威脅。

正如2018年上半年發(fā)生的多起安全事件，內(nèi)網(wǎng)大規(guī)模爆發(fā)的勒索病毒感染，就是個警鐘。在這里建議安全管理員對內(nèi)網(wǎng)的不同系統(tǒng)之間設置訪問控制策略，將不同系統(tǒng)之間進行隔離，并嚴格控制管理員的訪問控制權限。

安全管理中心的建立和完善

對于安全管理中心的建立與完善是很重要的，在多次的測評過程中都出現(xiàn)沒有安全管理中心而造成的系統(tǒng)管理透明和不可管控性的問題。因此，筆者建議安全管理中心至少包含以下兩方面：

統(tǒng)一日志審計，系統(tǒng)所有的網(wǎng)絡設備、安全設備的安全日志的統(tǒng)一監(jiān)控；安全日志的統(tǒng)一存儲、查詢、分析、過濾和報表生成等功能、安全日志的統(tǒng)一告警平臺和統(tǒng)一的自動通知等。

目前很多企業(yè)在網(wǎng)絡的搭建都是逐步實現(xiàn)的，節(jié)點處往往都部署了許多安全產(chǎn)品，并每年或者幾年為周期進行更新。

從安全管理員的角度來說，就是在一個統(tǒng)一的界面中可以監(jiān)視到網(wǎng)絡中每個安全產(chǎn)品的運行情況，并對其產(chǎn)生的日志和報警信息進行統(tǒng)一分析和匯總，從而解決網(wǎng)絡安全管理中的透明性問題和可管控問題。

統(tǒng)一安全管理，系統(tǒng)所有網(wǎng)絡設備、安全設備的安全配置文件的集中管理，實現(xiàn)各網(wǎng)絡產(chǎn)品配置文件和安全產(chǎn)品安全策略的統(tǒng)一分發(fā)，修正和更新；配置文件的統(tǒng)一在（離）線管理，定期進行采集和審核，對安全產(chǎn)品的各種屬性和安全策略進行集中的存儲、查詢；定期更新端口信息，特別對于新添設備和離線設備的信息進行標識處理。

不過從目前國內(nèi)的情況來說，對安全設備的發(fā)現(xiàn)和信息讀取主要建立在SNMP協(xié)議基礎之上，各不同廠商的網(wǎng)絡產(chǎn)品和安全產(chǎn)品進行統(tǒng)一安全管理的難度較大，統(tǒng)一監(jiān)控更是難以實現(xiàn)，最好的方法還是都選擇同一個安全廠商提供，這就要求安全管理員在系統(tǒng)設計之初進行提前規(guī)劃。

結語

隨著等級保護2.0時代的即將到來，等級保護工作的側重點將發(fā)生一些細微的改變，新的標準也將會比以前更加嚴格和全面。在這里也希望網(wǎng)絡安全工作者能及時調(diào)整工作重點，以新的標準為基礎，繼續(xù)加固已有的網(wǎng)絡環(huán)境。