尚遵義

（大連交通大學(xué)網(wǎng)絡(luò)信息中心 遼寧省大連市 116208）

面對日益嚴峻的網(wǎng)絡(luò)安全威脅，傳統(tǒng)安全防范技術(shù)強調(diào)單一產(chǎn)品的功能且不能有效劃分明確的網(wǎng)絡(luò)防御層次和安全邊界[1]，忽視統(tǒng)一安全規(guī)劃，尤其是安全邊界不清晰極易產(chǎn)生擴散性網(wǎng)絡(luò)次生災(zāi)害，使原本局部入侵轉(zhuǎn)變?yōu)閷θW(wǎng)的威脅，產(chǎn)生不必要的影響和數(shù)據(jù)損失。

因此，為了有效應(yīng)對網(wǎng)絡(luò)安全威脅，需要深入分析和歸類信息化資產(chǎn)，明確網(wǎng)絡(luò)安全邊界，建立不同安全等級資產(chǎn)的安全防護策略和縱深技術(shù)防御體系，阻止風(fēng)險在不同安全域間移動。本文提出了傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)改進的基本路線，從傳統(tǒng)的分層次的防御模式向以風(fēng)險隔離為重心的模式轉(zhuǎn)變，最大化降低網(wǎng)絡(luò)安全風(fēng)險的威脅和影響。

1 風(fēng)險安全域劃分

1.1 網(wǎng)絡(luò)邊界劃分原則和策略

網(wǎng)絡(luò)安全防御范圍包括基礎(chǔ)網(wǎng)、數(shù)據(jù)中心、業(yè)務(wù)系統(tǒng)、用戶端、移動端等多個保護區(qū)域。這些區(qū)域是在統(tǒng)一架構(gòu)下緊密聯(lián)系的整體，相互間既有垂直的直連縱向關(guān)系,又有橫向的間接協(xié)作關(guān)系，每個區(qū)域都有各自的安全等級和安全目標(biāo)，在網(wǎng)絡(luò)安全邊界劃分時，遵循以下原則：

（1）核心業(yè)務(wù)損失最小化原則。將財務(wù)、一卡通、機要政務(wù)等核心業(yè)務(wù)與其它常規(guī)業(yè)務(wù)分離，甚至單向隔離，明確其在數(shù)據(jù)中心中的訪問邊界，明確安全信任域。

（2）業(yè)務(wù)和安全等級相近原則。網(wǎng)絡(luò)安全域劃分主要以安全等級相同、業(yè)務(wù)類型或功能相似的服務(wù)器、計算機、數(shù)據(jù)庫、業(yè)務(wù)系統(tǒng)等為區(qū)分，安全域?qū)?yīng)信任域。

（3）風(fēng)險代價平衡原則。理論上安全域劃分越多越好，風(fēng)險區(qū)塊細化，可以更為精細的實施控制策略，但同時會增加策略管理的復(fù)雜性，遇到調(diào)整時響應(yīng)速度慢，因此需要在風(fēng)險控制和管理代價間平衡，盡可能科學(xué)分類，在不增加風(fēng)險的情況下減少安全域的分類數(shù)量。

1.2 風(fēng)險安全域劃分實例

圖1為以高校為例劃分的風(fēng)險安全域，分為服務(wù)域和用戶域，服務(wù)域進一步分為以基礎(chǔ)設(shè)施為主的網(wǎng)絡(luò)硬件、網(wǎng)絡(luò)公共服務(wù)和以業(yè)務(wù)系統(tǒng)為主的各大類應(yīng)用，用戶域按照權(quán)限類別分為管理、教學(xué)、服務(wù)、對象、外協(xié)等五類，利用VLAN 和ACL 靈活實現(xiàn)用戶群體與相應(yīng)權(quán)限服務(wù)的訪問，并且可以隨時調(diào)整策略以滿足不同時期的業(yè)務(wù)需要。

上述安全域的劃分，歸類相對科學(xué)，安全區(qū)域邊界清晰，便于實施有差異的安全區(qū)域策略，減小安全事件發(fā)生時的影響范圍和處理時間，每個區(qū)域可以分類部署不同的安全技術(shù)措施和安全設(shè)備，實施具有針對性的防護。

2 風(fēng)險隔離的技術(shù)路線

安全域隔離技術(shù)可分兩類，一類是物理隔離，在本實例中財務(wù)和一卡通系統(tǒng)利用網(wǎng)闡等單向傳輸裝置實現(xiàn)與公共網(wǎng)的風(fēng)險隔離，另一類是邏輯隔離，主要利用防火墻、VLAN、堡壘機、SSL 加密、VPN 隧道等技術(shù)實現(xiàn)網(wǎng)絡(luò)資源的互訪控制與隔離。本次研究重點在VLAN 技術(shù)和策略的應(yīng)用，因為對于隔離目標(biāo)而言，VLAN 是最接近物理隔離的邏輯隔離手段。傳統(tǒng)的VLAN基于端口和IP劃分，缺乏不同VLAN ID 組間差異邏輯定義，為適應(yīng)上述風(fēng)險安全域劃分的靈活策略實施，采用MUX VLAN 和Super VlAN 技術(shù)開展隔離研究，圖2、圖3描述了兩種VLAN 的結(jié)構(gòu)。

2.1 MUX VLAN

MUX VLAN 由 主VLAN（Principal VLAN）和 從VLAN（Subordinate VLAN）組成，其中從VLAN 進一步分兩類，即隔離型從VLAN（Separate VLAN）和互通型從VLAN（Group VLAN）。主VLAN 支持創(chuàng)建VLANIF 接口，接口IP 地址可以用作網(wǎng)關(guān)。主VLAN 接口可以和MUX VLAN 所有接口通信。隔離型從VLAN 接口只支持與主VLAN 接口通信?；ネㄐ蛷腣LAN 接口支持與主VLAN 接口通信，同組VLAN 用戶間亦可通信，不支持組間或與其它隔離型從VLAN 間通信。

2.2 Super VLAN

Super VLAN由多個Sub VLAN聚合而成，Super VLAN 作為邏輯聚合VLAN 可以創(chuàng)建VLANIF 但不包含物理端口，支持配置Super VLAN 接口IP 地址；SubVLAN 承載物理接入功能，Sub VLAN 間二層通信隔離，Sub VLAN 與外部的三層通信需借助Super VLAN 接口IP 地址作為網(wǎng)關(guān)才能實現(xiàn)[2]。同時，不同Sub VLAN內(nèi)主機如需通信可通過在VLANIF接口開啟Proxy ARP實現(xiàn)。

2.3 VLAN特性融合利用

在校園網(wǎng)辦公區(qū)域，利用MUX VLAN 開展安全區(qū)域劃分，借助主VLAN 接口與公共服務(wù)器通信、隔離型從VLAN 接口與外協(xié)用戶通信、互通型從VLAN 接口與教職工用戶通信，教職工用戶可劃分為多個互通型從VLAN，不同組間利用ACL 實現(xiàn)可控的互訪或完全隔離，教職員工和外協(xié)用戶可以與公共服務(wù)器通信，同組教職工內(nèi)部互通、外協(xié)用戶間隔離、教職工和外協(xié)用戶間隔離，同時，外協(xié)用戶實現(xiàn)了類似QINQ 的每端口隔離，避免了橫向訪問帶來的安全風(fēng)險。

在學(xué)生宿舍網(wǎng)區(qū)域，利用Super VLAN 將校園網(wǎng)最大的用戶群體學(xué)生以學(xué)院或位置為界限分割成多個Sub VLAN，實現(xiàn)二層隔離，分割廣播域，限制廣播風(fēng)暴，降低安全事件發(fā)生時橫向傳播的范圍，由于所有的Sub VLAN 共享Super VlAN 的網(wǎng)關(guān)IP，可以極大程度上節(jié)省有限的IPV4 地址資源。

3 風(fēng)險隔離技術(shù)架構(gòu)設(shè)計

在用戶級風(fēng)險隔離基礎(chǔ)上，將服務(wù)和行為隔離綜合納入統(tǒng)一框架，以完成整體風(fēng)險隔離架構(gòu)的設(shè)計，如圖4所示。

3.1 用戶隔離

即利用上述VLAN 技術(shù)將已劃分的安全域進行邏輯隔離，同時利用終端準(zhǔn)入、防火墻、VPN 實現(xiàn)不同層面用戶的專屬資源訪問。

3.2 服務(wù)隔離

面向全校WEB 業(yè)務(wù)系統(tǒng)和DNS/WWW/FTP/IPTV/MAIL 等公共服務(wù)，通過HTTPS 建立加密隧道隔離中間人竊取或篡改、WAF隔離80 端口的應(yīng)用層攻擊、虛擬機FW 隔離虛擬機之間的非授權(quán)訪問、SDN 隔離數(shù)據(jù)中心和虛擬化流量、網(wǎng)闡單向傳輸機制物理隔離外網(wǎng)攻擊、主機受到未知攻擊產(chǎn)生損失時可遠程一鍵斷網(wǎng)，上述服務(wù)隔離措施確保各項信息化服務(wù)安全風(fēng)險可控。

3.3 行為隔離

部署堡壘機、上網(wǎng)行為管理、網(wǎng)站防篡改、主機加固等技術(shù)措施，一方面將網(wǎng)站和信息系統(tǒng)、路由交換等設(shè)備的后臺維護界面與前臺顯示界面隔離，隔離所有未經(jīng)授權(quán)的更新行為，記錄所有管理員操作過程，可事后追溯[3]，另一方面對用戶的上網(wǎng)行為進行管控諸如P2P 限流、下載限速、關(guān)鍵字過濾、游戲等應(yīng)用時間控制等，從局端和用戶端兩方面保障運維和上網(wǎng)行為合規(guī)，降低人為操作和侵占資源風(fēng)險。

4 結(jié)語

本文從風(fēng)險隔離的角度對改進傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)防御架構(gòu)進行了研究，提出了安全邊界的劃分、風(fēng)險隔離的技術(shù)路線，并在實踐中做了有益的嘗試。目前，網(wǎng)絡(luò)安全架構(gòu)的前沿在零信任網(wǎng)絡(luò)（ZTNA），盡管目前落地案例很少，但“不應(yīng)自動信任內(nèi)部或外部的任何人/事/物，應(yīng)在授權(quán)前對任何試圖接入系統(tǒng)的人/事/物進行驗證”的思路無疑是具有前瞻性的，后續(xù)將繼續(xù)開展在零信任網(wǎng)絡(luò)領(lǐng)域的研究，不斷提升網(wǎng)絡(luò)安全技術(shù)防御水平。