王 皓（中國(guó)農(nóng)業(yè)銀行數(shù)據(jù)中心（北京），北京100194）

0 前言

隨著企業(yè)市場(chǎng)規(guī)模的不斷擴(kuò)大和發(fā)展，大量企業(yè)開始拓展海外市場(chǎng)，設(shè)立境外分公司、加工廠、業(yè)務(wù)分理處、科研中心等機(jī)構(gòu)。

而現(xiàn)代企業(yè)的管理和運(yùn)營(yíng)，需要信息系統(tǒng)支持，建立起完善的企業(yè)網(wǎng)絡(luò)，覆蓋企業(yè)的各個(gè)機(jī)構(gòu)。龐大的企業(yè)網(wǎng)絡(luò)需要完備的安全體系進(jìn)行支撐保障，對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的信息資源進(jìn)行防護(hù)，保障信息系統(tǒng)的穩(wěn)定運(yùn)行?！毒W(wǎng)絡(luò)安全法》的頒布加強(qiáng)了對(duì)企業(yè)網(wǎng)絡(luò)運(yùn)維的要求，各企業(yè)需遵守網(wǎng)絡(luò)安全方面的國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，滿足監(jiān)管機(jī)構(gòu)的各項(xiàng)要求。

跨境企業(yè)因其關(guān)聯(lián)方和地理位置的復(fù)雜性，面臨更復(fù)雜的企業(yè)網(wǎng)絡(luò)安全問(wèn)題。如何防止境外機(jī)構(gòu)遭入侵，如何阻止通過(guò)內(nèi)網(wǎng)連接破壞國(guó)內(nèi)網(wǎng)絡(luò)系統(tǒng)是跨境企業(yè)內(nèi)網(wǎng)建設(shè)必須考慮的內(nèi)容。

1 普通跨地區(qū)企業(yè)網(wǎng)絡(luò)情況分析

1.1 普通跨地區(qū)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)

大中型企業(yè)網(wǎng)絡(luò)，為保障網(wǎng)絡(luò)結(jié)構(gòu)的穩(wěn)定性和可擴(kuò)展性，便于管理維護(hù)，普遍采用層級(jí)化網(wǎng)絡(luò)的模型，由2或3層的結(jié)構(gòu)構(gòu)成。其中網(wǎng)絡(luò)的核心層由位于數(shù)據(jù)中心的核心交換機(jī)構(gòu)成，負(fù)責(zé)全企業(yè)網(wǎng)內(nèi)部數(shù)據(jù)的高速交換轉(zhuǎn)發(fā)，是全企業(yè)網(wǎng)絡(luò)架構(gòu)的中心，通常為雙機(jī)互為主備互聯(lián)的冗余設(shè)計(jì)，對(duì)穩(wěn)定性要求敏感；核心交換機(jī)下聯(lián)各個(gè)功能分區(qū)的匯聚層交換機(jī)，在匯聚層交換機(jī)上配置訪問(wèn)控制策略，確保各分區(qū)安全，針對(duì)重要分區(qū)部署防火墻對(duì)分區(qū)內(nèi)部資源進(jìn)行防護(hù)；匯聚層交換機(jī)下聯(lián)接入層交換機(jī)，與具體用戶、服務(wù)器等設(shè)備相連接，實(shí)現(xiàn)用戶和服務(wù)器的安全接入。

圖1為普通跨地區(qū)企業(yè)（下稱普通企業(yè)）網(wǎng)絡(luò)概況。

1.2 數(shù)據(jù)中心的基本安全措施

數(shù)據(jù)中心作為企業(yè)信息系統(tǒng)資源的核心，匯集了企業(yè)最重要的計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備和配套系統(tǒng)。數(shù)據(jù)中心內(nèi)部根據(jù)功能劃分為多個(gè)不同服務(wù)器區(qū)對(duì)企業(yè)提供信息系統(tǒng)運(yùn)維、資料信息存儲(chǔ)、業(yè)務(wù)數(shù)據(jù)處理、系統(tǒng)應(yīng)用開發(fā)測(cè)試、門戶網(wǎng)站、郵件系統(tǒng)等服務(wù)。企業(yè)內(nèi)網(wǎng)與外網(wǎng)連接的外聯(lián)區(qū)也位于數(shù)據(jù)中心，通過(guò)配置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)隔離，外網(wǎng)應(yīng)用由DMZ區(qū)提供。外聯(lián)區(qū)采用與互聯(lián)網(wǎng)連接和與第三方外聯(lián)等形式。

數(shù)據(jù)中心內(nèi)部的網(wǎng)絡(luò)和服務(wù)器設(shè)備應(yīng)嚴(yán)格遵守安全配置規(guī)范，嚴(yán)格訪問(wèn)控制，嚴(yán)格賬戶權(quán)限控制，嚴(yán)格執(zhí)行賬號(hào)密碼管理，配置AAA認(rèn)證登陸；應(yīng)部署配置核查和漏洞掃描系統(tǒng)定期對(duì)網(wǎng)絡(luò)設(shè)備及服務(wù)設(shè)備進(jìn)行安全排查，篩查不合規(guī)配置、安全漏洞、弱密碼、非必要服務(wù)及端口；部署資產(chǎn)清查系統(tǒng)，及時(shí)掌握資產(chǎn)增減情況，便于及時(shí)定位解決問(wèn)題；部署服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用防護(hù)系統(tǒng)，防止外部入侵行為破壞篡改；配置審計(jì)系統(tǒng)，記錄對(duì)服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)的配置行為，便于被惡意破壞篡改發(fā)生后及時(shí)進(jìn)行回退處理；各分區(qū)配置防火墻，對(duì)出入分區(qū)行為實(shí)行訪問(wèn)控制；針對(duì)各分區(qū)配置IDS系統(tǒng)，分析記錄出入分區(qū)的疑似攻擊行為，及時(shí)調(diào)整防火墻配置；針對(duì)重要系統(tǒng)服務(wù)器區(qū)配置全流量記錄和回溯系統(tǒng)，分析進(jìn)出分區(qū)的流量異常，調(diào)整服務(wù)器防護(hù)策略；定期進(jìn)行全數(shù)據(jù)中心的漏洞排查，及時(shí)修補(bǔ)漏洞，避免被攻擊利用，并定期對(duì)全中心進(jìn)行病毒排查，及時(shí)清除病毒、木馬等攻擊行為。

針對(duì)互聯(lián)網(wǎng)區(qū)等外網(wǎng)連接區(qū)，面對(duì)外部非可信網(wǎng)絡(luò)，在DMZ區(qū)前應(yīng)配置防火墻、WAF、IDS、IPS，對(duì)出入內(nèi)外網(wǎng)數(shù)據(jù)深度防護(hù)；配置防DDOS攻擊系統(tǒng)，防止來(lái)自互聯(lián)網(wǎng)的DDOS攻擊造成對(duì)外服務(wù)癱瘓；配置全流量記錄回溯系統(tǒng)，分析來(lái)自外部的攻擊流量識(shí)別已知攻擊，并分析未知攻擊，及時(shí)調(diào)整防護(hù)策略，阻斷攻擊行為。

1.3 分支機(jī)構(gòu)的安全措施

圖1 普通企業(yè)網(wǎng)絡(luò)概況

圖1 中分支機(jī)構(gòu)A和分支機(jī)構(gòu)B，與數(shù)據(jù)中心處于同一國(guó)家。分支機(jī)構(gòu)上層的匯聚層交換機(jī)，通過(guò)專線上聯(lián)數(shù)據(jù)中心的2臺(tái)核心交換機(jī)；匯聚層交換機(jī)下聯(lián)的本機(jī)構(gòu)內(nèi)的接入層交換機(jī)，分別連接位于機(jī)構(gòu)內(nèi)不同地點(diǎn)或不同業(yè)務(wù)需求的本地用戶和本地服務(wù)器。

分支機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)為匯聚層和接入層，采用以下措施實(shí)現(xiàn)對(duì)分支機(jī)構(gòu)網(wǎng)絡(luò)的安全防護(hù)：通過(guò)在接入交換機(jī)上配置端口接入控制，阻斷未授權(quán)設(shè)備接入企業(yè)內(nèi)網(wǎng)；通過(guò)對(duì)接入交換機(jī)下的網(wǎng)段進(jìn)行訪問(wèn)控制，確保授權(quán)用戶可訪問(wèn)指定區(qū)域；通過(guò)對(duì)聯(lián)網(wǎng)設(shè)備進(jìn)行終端安全管理，保證聯(lián)網(wǎng)設(shè)備的主機(jī)完整安全和防止信息泄露；通過(guò)部署防病毒系統(tǒng)，阻斷病毒感染及在網(wǎng)內(nèi)的傳播；通過(guò)部署用戶行為管理，限制用戶進(jìn)行非法操作，實(shí)現(xiàn)對(duì)用戶行為審計(jì)；通過(guò)定期安全漏洞檢測(cè)，及時(shí)排查漏洞風(fēng)險(xiǎn)，修復(fù)漏洞。

上述措施中的終端安全管理服務(wù)器、防病毒系統(tǒng)服務(wù)器、用戶行為審計(jì)系統(tǒng)、安全漏洞檢測(cè)系統(tǒng)均可部署在數(shù)據(jù)中心的服務(wù)器區(qū)，企業(yè)內(nèi)各分支機(jī)構(gòu)通過(guò)開通訪問(wèn)權(quán)限和所需端口實(shí)現(xiàn)功能。

2 跨境企業(yè)與普通企業(yè)的網(wǎng)絡(luò)區(qū)別

跨境企業(yè)與普通企業(yè)相比較因機(jī)構(gòu)設(shè)置不同，部署形式不同，所面臨的監(jiān)管機(jī)構(gòu)、當(dāng)?shù)貒?guó)家或地區(qū)法律規(guī)定不同，在內(nèi)網(wǎng)部署方面有較大差異，表1是普通企業(yè)與跨境企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)的區(qū)別。

表1 普通企業(yè)與跨境企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)部分區(qū)別

表1中列舉了部分跨境企業(yè)內(nèi)網(wǎng)搭建與普通企業(yè)的區(qū)別，跨境企業(yè)搭建內(nèi)網(wǎng)面臨以下困難。

a）地理位置跨度大。與普通企業(yè)相比，跨境企業(yè)分支機(jī)構(gòu)與總部地理位置跨度較大，甚至跨大洋，給機(jī)構(gòu)間網(wǎng)絡(luò)部署帶來(lái)較大困難。

b）監(jiān)管要求不同。與普通企業(yè)相比，跨境企業(yè)機(jī)構(gòu)間數(shù)據(jù)傳輸將面臨所跨越兩國(guó)的法律約束，如我國(guó)《網(wǎng)絡(luò)安全法》第三十七條、第六十六條都明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者在因業(yè)務(wù)需要提供跨境數(shù)據(jù)傳輸所要遵守的相關(guān)規(guī)定，而其他各國(guó)法律也均有對(duì)應(yīng)要求。

c）網(wǎng)絡(luò)運(yùn)營(yíng)商情況不同。普通企業(yè)在建設(shè)跨地區(qū)內(nèi)網(wǎng)時(shí)普遍選擇1到2家網(wǎng)絡(luò)運(yùn)營(yíng)商租用專線實(shí)現(xiàn)跨地區(qū)的數(shù)據(jù)傳輸，網(wǎng)絡(luò)傳輸質(zhì)量較穩(wěn)定。跨境企業(yè)機(jī)構(gòu)間建立內(nèi)網(wǎng)則需在不同國(guó)家選擇網(wǎng)絡(luò)運(yùn)營(yíng)商，實(shí)現(xiàn)跨境數(shù)據(jù)傳輸，網(wǎng)絡(luò)傳輸質(zhì)量低于國(guó)內(nèi)專線互聯(lián)。

d）分支機(jī)構(gòu)可信度不同。與普通企業(yè)相比，跨境企業(yè)因環(huán)境背景復(fù)雜，其網(wǎng)絡(luò)被滲透被攻擊可能性加大，因此需對(duì)境外機(jī)構(gòu)連接企業(yè)內(nèi)網(wǎng)設(shè)置專用的DMZ區(qū)進(jìn)行隔離。

e）設(shè)備供應(yīng)情況不同。普通企業(yè)設(shè)備資產(chǎn)和服務(wù)采購(gòu)，同類別產(chǎn)品可采購(gòu)統(tǒng)一供應(yīng)商，全部分支機(jī)構(gòu)設(shè)備統(tǒng)一配備，減輕后期運(yùn)維壓力。且根據(jù)監(jiān)管規(guī)定，出于安全需要，可全部選擇或重要敏感部分選擇自主可控品牌搭建企業(yè)網(wǎng)絡(luò)?？缇称髽I(yè)因供應(yīng)商服務(wù)能力和經(jīng)營(yíng)國(guó)家地區(qū)范圍，在境外可能無(wú)法選擇與國(guó)內(nèi)相同的品牌，且部分國(guó)家也要求信息系統(tǒng)需選擇當(dāng)?shù)毓?yīng)商或監(jiān)管機(jī)構(gòu)批準(zhǔn)使用品牌，給組網(wǎng)帶來(lái)一定的不便。

f）被監(jiān)聽風(fēng)險(xiǎn)不同。與普通企業(yè)相比較，跨境企業(yè)因其商業(yè)價(jià)值受到境外國(guó)家政府、監(jiān)管、企業(yè)的層層關(guān)注，傳輸線路數(shù)據(jù)存在被監(jiān)聽風(fēng)險(xiǎn)，且因設(shè)備資產(chǎn)采購(gòu)于境外供應(yīng)商，存在被后門監(jiān)聽的可能。

g）時(shí)差、文化等其他差別?？缇称髽I(yè)國(guó)內(nèi)總部與境外分支機(jī)構(gòu)普遍存在時(shí)差，對(duì)網(wǎng)絡(luò)聯(lián)合調(diào)配造成不便；境外所在國(guó)家與國(guó)內(nèi)存在文化差異，且因人員配備需要有部分外籍雇員，外籍雇員與國(guó)內(nèi)技術(shù)人員的溝通理解有一定不便。

3 終端安全認(rèn)證和蜜網(wǎng)的境外機(jī)構(gòu)內(nèi)網(wǎng)防護(hù)

分析境外分支機(jī)構(gòu)面臨的安全問(wèn)題，部署終端安全防護(hù)系統(tǒng)和蜜網(wǎng)服務(wù)器在終端接入層設(shè)置防護(hù)，保護(hù)內(nèi)網(wǎng)真實(shí)環(huán)境。

3.1 系統(tǒng)架構(gòu)

本系統(tǒng)在境外分支機(jī)構(gòu)接入層交換機(jī)部署終端安全服務(wù)器、radius認(rèn)證服務(wù)器以及入侵檢測(cè)系統(tǒng)IDS，在接入層交換機(jī)與匯聚層交換機(jī)間部署深度檢測(cè)防火墻，并部署honeynet蜜網(wǎng)服務(wù)器群。

圖2為基于終端安全與蜜網(wǎng)的境外機(jī)構(gòu)內(nèi)網(wǎng)架構(gòu)。

數(shù)據(jù)中心部分單獨(dú)設(shè)立境外連接區(qū)，通過(guò)境外DMZ區(qū)隔離境外與內(nèi)網(wǎng)的連接，在邊界路由器通過(guò)境內(nèi)境外專線連接至境外分支機(jī)構(gòu)邊界路由器。

圖2 基于終端安全與蜜網(wǎng)的境外機(jī)構(gòu)內(nèi)網(wǎng)架構(gòu)

境外分支機(jī)構(gòu)設(shè)置與數(shù)據(jù)中心境外連接區(qū)對(duì)稱的匯聚層結(jié)構(gòu)，邊界路由器下聯(lián)防火墻，防火墻向下連接匯聚層交換機(jī)。

匯聚層交換機(jī)與接入層交換機(jī)間設(shè)置防火墻，并配置honeynet服務(wù)器區(qū)。honeynet服務(wù)器區(qū)內(nèi)部配置多層虛擬網(wǎng)絡(luò)結(jié)構(gòu)和多分區(qū)，設(shè)置honeypot迷惑攻擊者，分支機(jī)構(gòu)接入層交換機(jī)連接終端安全服務(wù)器、radius認(rèn)證服務(wù)器和IDS，保障接入層可控。

3.2 接入層控制策略

所有內(nèi)網(wǎng)合規(guī)用戶均須在終端上安裝終端安全系統(tǒng)，配置強(qiáng)制合規(guī)策略，檢查被管理終端是否存在漏洞，是否安裝防病毒系統(tǒng)，是否安裝黑名單軟件。

a）當(dāng)有終端連接至接入層交換機(jī)其上聯(lián)端口并不允許傳輸數(shù)據(jù)，終端需將終端安全系統(tǒng)檢測(cè)的強(qiáng)制合規(guī)信息上傳至終端安全服務(wù)器，并將其認(rèn)證信息發(fā)送至radius服務(wù)器，在通過(guò)終端安全強(qiáng)制合規(guī)檢測(cè)和認(rèn)證通過(guò)后，放行向內(nèi)網(wǎng)傳輸數(shù)據(jù)，在傳輸過(guò)程中，如無(wú)異常行為，則保持與內(nèi)網(wǎng)連接。

b）當(dāng)可疑終端連接至接入層交換機(jī)，未能滿足強(qiáng)制合規(guī)或radius認(rèn)證時(shí)，接入層交換機(jī)將不允許終端接入內(nèi)網(wǎng)，而將可疑終端連接至honeynet服務(wù)器群的“仿真”內(nèi)網(wǎng)環(huán)境，并監(jiān)測(cè)可疑終端是否在honeynet開展攻擊行為，如檢測(cè)到攻擊行為則中斷連接。

c）當(dāng)設(shè)備通過(guò)強(qiáng)制合規(guī)監(jiān)測(cè)和radius認(rèn)證，而在連接過(guò)程中經(jīng)IDS或深度檢測(cè)防火墻發(fā)現(xiàn)可疑行為時(shí)中斷其訪問(wèn)內(nèi)網(wǎng)，并將其引入honeynet服務(wù)器群，當(dāng)可疑行為繼續(xù)進(jìn)行時(shí)，將標(biāo)記該設(shè)備為疑似受控設(shè)備，并與終端安全服務(wù)器聯(lián)動(dòng)否定其強(qiáng)制合規(guī)監(jiān)測(cè)，下次連接將不再讓其連接內(nèi)網(wǎng)。

通過(guò)引入接入層控制策略，將防止黑客直接接入境外內(nèi)網(wǎng)或控制合規(guī)終端進(jìn)入內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)資源進(jìn)行破壞。

4 結(jié)束語(yǔ)

綜上所述，在境外機(jī)構(gòu)內(nèi)網(wǎng)接入層進(jìn)行終端安全認(rèn)證和蜜網(wǎng)策略部署可有效防護(hù)黑客直接接入境外內(nèi)網(wǎng)或控制內(nèi)網(wǎng)合規(guī)終端，對(duì)內(nèi)網(wǎng)資源安全防護(hù)有重要意義。在網(wǎng)絡(luò)系統(tǒng)建設(shè)中面臨的諸如傳輸過(guò)程中網(wǎng)絡(luò)監(jiān)聽、人為物理破壞等攻擊行為仍需要通過(guò)技術(shù)和管理體制的完善去不斷克服解決。