劉 宇

1 網(wǎng)絡(luò)安全域的定義和劃分方法

1.1 安全域基本概念

安全域劃分與邊界整合是安全工作的基礎(chǔ)。所謂安全域，是指網(wǎng)絡(luò)中具有相同的安全保護需求、相互信任并具有相同的安全訪問控制和邊界控制策略的子網(wǎng)或網(wǎng)絡(luò)，且相同的網(wǎng)絡(luò)安全域共享一樣的安全管理策略。一個安全域可劃分為若干安全子域，安全子域也可進一步劃分。

合理劃分安全域?qū)Υ笮途W(wǎng)絡(luò)的建設(shè)有著重要意義。首先，通過網(wǎng)絡(luò)安全區(qū)域的清晰定義，梳理網(wǎng)絡(luò)架構(gòu)，明確區(qū)域邊界，可以更系統(tǒng)地進行安全規(guī)劃，建立縱深防御體系；其次，可加強安全區(qū)域管理，增加處置突發(fā)威脅事件的緩沖時間；再次，根據(jù)安全目標(biāo)與需求，排列安全防護優(yōu)先次序，可以經(jīng)濟有效地合理部署的安全設(shè)備；最后，使日常運維、應(yīng)急處置在業(yè)務(wù)系統(tǒng)間的管理界面更加清晰，同時可有針對性地部署各類審計設(shè)備，提供檢查審核依據(jù)。

1.2 網(wǎng)絡(luò)安全域劃分的基本方法

按照業(yè)務(wù)系統(tǒng)劃分，依據(jù)業(yè)務(wù)系統(tǒng)的類別區(qū)分不同的網(wǎng)絡(luò)安全域。這種劃分方法對現(xiàn)有系統(tǒng)改動最小，但容易重復(fù)建設(shè)安全防護設(shè)備，增加投入成本。

按照防護等級來劃分，根據(jù)網(wǎng)絡(luò)中信息資產(chǎn)的價值或等級保護備案級別劃分不同的防護等級，相同等級構(gòu)成相同的網(wǎng)絡(luò)安全域。這種劃分有效減少重復(fù)投資，體現(xiàn)了安全縱深防御的思想。但由于網(wǎng)絡(luò)區(qū)域的安全等級與業(yè)務(wù)特性存在較大差異，對已有系統(tǒng)重新調(diào)整整合的難度較大，可能會影響業(yè)務(wù)系統(tǒng)的正常運營和性能。因此這種方法比較適合新建業(yè)務(wù)系統(tǒng)。

按照系統(tǒng)行為來劃分，按照信息系統(tǒng)的不同行為和需求來劃分相應(yīng)網(wǎng)絡(luò)安全域，并根據(jù)信息系統(tǒng)的等級和特點選擇相應(yīng)的防護手段。這種方法充分分析承載業(yè)務(wù)系統(tǒng)的信息系統(tǒng)的情況和外部威脅，對業(yè)務(wù)系統(tǒng)精準(zhǔn)調(diào)整，同時兼顧防護等級。但由于要對每一個承載業(yè)務(wù)的信息系統(tǒng)都進行系統(tǒng)行為分析，前期也需要部署流量分析、日志審計等設(shè)備以了解全網(wǎng)各系統(tǒng)的行為，對于信息系統(tǒng)繁多的大型網(wǎng)絡(luò)，劃分工作量較大，安全域太細(xì)也影響了安全投入的經(jīng)濟性。

在實際的大型網(wǎng)絡(luò)安全域的劃分中往往將以上方法結(jié)合起來使用。

2 中南空管局網(wǎng)絡(luò)安全現(xiàn)狀

圖1 中南空管局網(wǎng)絡(luò)安全架構(gòu)示意圖

當(dāng)前中南空管局沒有設(shè)置專門的安全區(qū)域，不明確各網(wǎng)絡(luò)區(qū)域、業(yè)務(wù)系統(tǒng)的安全管理目標(biāo)，缺少統(tǒng)籌分級規(guī)劃，安全設(shè)備間也缺乏橫向協(xié)作及縱向聯(lián)動。整個網(wǎng)絡(luò)系統(tǒng)規(guī)模大，業(yè)務(wù)網(wǎng)絡(luò)很多，業(yè)務(wù)主管部門也較多，網(wǎng)絡(luò)安全管理有較高的獨立性，業(yè)務(wù)數(shù)據(jù)交互日趨增多，結(jié)構(gòu)復(fù)雜。管理信息網(wǎng)核心、生產(chǎn)網(wǎng)核心、廣域三套主要防火墻各自承擔(dān)了部分系統(tǒng)間的網(wǎng)絡(luò)交換功能，另有多套業(yè)務(wù)系統(tǒng)的邊界防火墻，導(dǎo)致網(wǎng)絡(luò)區(qū)域之間邊界不清晰，互連互通沒有統(tǒng)一控制規(guī)范，沒有明確的層次和區(qū)域劃分。業(yè)務(wù)系統(tǒng)各自為政，與外部網(wǎng)絡(luò)存在多個出口，在地點A 存在互聯(lián)網(wǎng)出口，在地點A 和地點B 存在與其他單位的外聯(lián)出口，在地點C 存在與上級及分支機構(gòu)的內(nèi)聯(lián)出口，無法統(tǒng)一管理。大多數(shù)生產(chǎn)業(yè)務(wù)使用業(yè)務(wù)1 的內(nèi)部網(wǎng)絡(luò)鏈路傳輸?shù)攸cB 與C 間的數(shù)據(jù)，同時接入內(nèi)聯(lián)網(wǎng)的廣域防火墻位于業(yè)務(wù)1 與內(nèi)聯(lián)網(wǎng)間的邊界，導(dǎo)致其他生產(chǎn)網(wǎng)業(yè)務(wù)與內(nèi)聯(lián)網(wǎng)用戶進行數(shù)據(jù)交互需要穿越無關(guān)的業(yè)務(wù)1 網(wǎng)絡(luò)，存在安全隱患。各業(yè)務(wù)系統(tǒng)與等保測評的建議還存在差距。

3 基于安全域的網(wǎng)絡(luò)架構(gòu)設(shè)計方案

中南空管局在保障業(yè)務(wù)正常運行及效率的前提下，綜合考慮系統(tǒng)信息資產(chǎn)價值、等級保護的要求，確定各安全域的防護等級，部署對應(yīng)的安全防護體系。其中安全區(qū)域邊界的整合與防護是中南空管局網(wǎng)絡(luò)架構(gòu)設(shè)計關(guān)注的重點。

3.1 安全區(qū)域劃分

根據(jù)網(wǎng)絡(luò)安全域的劃分原則及基本方法，需要調(diào)整的關(guān)鍵點如下：

新的業(yè)務(wù)信息系統(tǒng)和網(wǎng)絡(luò)建設(shè)將在初期依照網(wǎng)絡(luò)安全域的規(guī)劃進行。當(dāng)前的網(wǎng)絡(luò)安全域規(guī)劃需在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上進行，受到現(xiàn)有業(yè)務(wù)和系統(tǒng)的制約。因此網(wǎng)絡(luò)安全規(guī)劃需在遵循基本原則的基礎(chǔ)上結(jié)合業(yè)務(wù)和功能的特性，如業(yè)務(wù)系統(tǒng)內(nèi)部模塊間的關(guān)聯(lián)性、與外部應(yīng)用的交互的需求等。還需要考慮業(yè)務(wù)現(xiàn)狀，如現(xiàn)有網(wǎng)絡(luò)拓?fù)?、組網(wǎng)方式、地理位置和機房環(huán)境等網(wǎng)絡(luò)結(jié)構(gòu)的狀況，以及網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)管理部門職權(quán)劃分等。由于中南空管局不同管理部門的業(yè)務(wù)系統(tǒng)本身較為獨立，與上級、分支、外部機構(gòu)或存在各自獨立的網(wǎng)絡(luò)，同時業(yè)務(wù)系統(tǒng)的運行穩(wěn)定性要求較高，因此安全子域主要以現(xiàn)有業(yè)務(wù)系統(tǒng)為基礎(chǔ)來劃分，在現(xiàn)狀的基礎(chǔ)上進行調(diào)整。

已有多個業(yè)務(wù)系統(tǒng)經(jīng)過了等保備案及測評，通過整體評估，存在大量具有共性的安全風(fēng)險和隱患，類似的需要補強的安全設(shè)備和配置規(guī)范。因此根據(jù)等保差距測評的建議將相同等級或保護需求的業(yè)務(wù)系統(tǒng)進行歸并整合，規(guī)范安全子域的邊界。同時建立安全管理中心，為全網(wǎng)的安全策略及各安全域的安全機制實施統(tǒng)一管理，并與各安全子域中的安全設(shè)備形成分級聯(lián)動機制。持續(xù)性地對于業(yè)務(wù)系統(tǒng)的流量、訪問關(guān)系、系統(tǒng)行為、威脅情況進行評估，將業(yè)務(wù)系統(tǒng)中的功能區(qū)域進行轉(zhuǎn)化拆分，按照業(yè)務(wù)特性進行安全設(shè)備的部署以及安全策略的應(yīng)用。

大流量持續(xù)性數(shù)據(jù)流盡量限制在本子域內(nèi)完成。安全域之間的存在大量的、間歇性數(shù)據(jù)交換。所以，需要把核心防火墻換為核心交換機。同時考慮到一些安全子域由于歷史原因安全防御手段較弱未知風(fēng)險較高，因此有必要在核心交換機邊界增加核心防火墻。邏輯上一個子域可能需要跨不同的物理地區(qū)。管理上，不同的安全域可能存在不同的安全管理部門，故關(guān)鍵安全子域部署獨立防火墻，以便更清晰地落實“誰使用誰負(fù)責(zé)，誰主管誰負(fù)責(zé)”的要求。

根據(jù)主管部門、管理職能、業(yè)務(wù)關(guān)聯(lián)性、安全保護需求、網(wǎng)絡(luò)安全互訪信任度、網(wǎng)絡(luò)數(shù)據(jù)流、訪問頻率等因素劃分安全區(qū)域，現(xiàn)有的中南空管局網(wǎng)絡(luò)安全架構(gòu)分為核心生產(chǎn)區(qū)、核心管理、安全核心區(qū)、安全接入、生產(chǎn)交互區(qū)、管理交互區(qū)、外部區(qū)域等七級安全區(qū)域。據(jù)此，制定縱深防御體系如圖2：

圖2 中南空管局縱深防御體系示意圖

通過該方案可有效梳理業(yè)務(wù)網(wǎng)絡(luò)的邊界，根據(jù)業(yè)務(wù)區(qū)域特性有針對性地部署邊界安全設(shè)備，強化功能區(qū)域之間的網(wǎng)絡(luò)交換，保持業(yè)務(wù)網(wǎng)絡(luò)內(nèi)部管理及應(yīng)用的獨立性，且具有良好的拓展性。

3.2 網(wǎng)絡(luò)結(jié)構(gòu)

1）安全核心區(qū)。本方案安全核心區(qū)的核心交換機和防火墻均采用了冗余節(jié)點設(shè)計，采用集群虛擬化技術(shù)，在整個虛擬架構(gòu)內(nèi)實現(xiàn)控制和數(shù)據(jù)信息的冗余備份和無間斷的三層轉(zhuǎn)發(fā)，增強了虛擬架構(gòu)的可靠性和高性能，同時消除了單點故障，避免了業(yè)務(wù)中斷，保證業(yè)務(wù)系統(tǒng)整體架構(gòu)的可靠性。業(yè)務(wù)系統(tǒng)首先接入到核心防火墻，通過核心防火墻實現(xiàn)業(yè)務(wù)系統(tǒng)的安全域隔離，并依賴防火墻進行IPS、防病毒以及狀態(tài)包過濾等安全防護。

表1

2）安全接入?yún)^(qū)。為不同業(yè)務(wù)網(wǎng)絡(luò)設(shè)立的安全域可能存在不同的安全管理部門，故各安全區(qū)域邊界增加下一代防火墻，以便更清晰地落實“誰使用誰負(fù)責(zé)，誰主管誰負(fù)責(zé)”的要求。通過訪問策略控制區(qū)域內(nèi)外數(shù)據(jù)交互，限制非法訪問。也可根據(jù)區(qū)域功能及流量流向等特性增加IPS，WAF，網(wǎng)頁防篡改，網(wǎng)閘，數(shù)據(jù)庫審計等安全設(shè)備。考慮到現(xiàn)狀，設(shè)備可以立舊，區(qū)域邊界可以共用防火墻。

3）各安全子區(qū)域內(nèi)部網(wǎng)絡(luò)。各安全子域內(nèi)部跨地區(qū)間的互聯(lián)主要通過傳輸主干網(wǎng)延伸網(wǎng)絡(luò)。傳輸主干網(wǎng)只作為地點ABC 三地之間的傳輸網(wǎng)絡(luò)，延伸單個網(wǎng)絡(luò)系統(tǒng)于異地，本身不具有網(wǎng)絡(luò)交換。因此多個安全級別不相同的子區(qū)域系統(tǒng)同時走在同一套傳輸主干網(wǎng)上并沒有數(shù)據(jù)連通交換的風(fēng)險。子區(qū)域間數(shù)據(jù)交換依然要回到該子區(qū)域邊界安全設(shè)備，通過核心網(wǎng)絡(luò)交換機進行。通過將內(nèi)聯(lián)網(wǎng)出口放置在外部互聯(lián)區(qū)，其連接的生產(chǎn)網(wǎng)DMZ 區(qū)放置在生產(chǎn)接入?yún)^(qū)，將業(yè)務(wù)1 網(wǎng)絡(luò)作為核心生產(chǎn)區(qū)的單個子區(qū)域與安全核心區(qū)的核心交換機連接，重新界定各子區(qū)域的邊界。業(yè)務(wù)1 內(nèi)部網(wǎng)絡(luò)只承載業(yè)務(wù)1 的業(yè)務(wù)，從而禁止其他子區(qū)域間的信息交互需要橫穿業(yè)務(wù)1 網(wǎng)絡(luò)。

4）各生產(chǎn)網(wǎng)新建交互區(qū)。新建各生產(chǎn)網(wǎng)交互區(qū)，以業(yè)1 為例，將與生產(chǎn)并不直接相關(guān)的業(yè)務(wù)移至新建的子區(qū)域。該區(qū)域可承載其他生產(chǎn)網(wǎng)輔助類、管理類的應(yīng)用向終端提供服務(wù)。雖然該區(qū)域目前主要與業(yè)務(wù)1 子區(qū)域進行信息交互，考慮到日后拓展，該子區(qū)域應(yīng)接入核心安全區(qū)的核心交換機，與其他子區(qū)域進行網(wǎng)絡(luò)交換。

3.3 安全等級及主管部門

如表1 所示，橫向為具有大致相同安全等級的安全區(qū)域?？v向則為不同的業(yè)務(wù)系統(tǒng)構(gòu)成的安全子域。

4 結(jié)束語

網(wǎng)絡(luò)安全域技術(shù)在中南空管局網(wǎng)絡(luò)安全架構(gòu)設(shè)計中的應(yīng)用，將使中南空管局整網(wǎng)中的各業(yè)務(wù)系統(tǒng)符合等級保護相關(guān)標(biāo)準(zhǔn)的要求，完善網(wǎng)絡(luò)安全建設(shè)的整體水平，提升全網(wǎng)安全防御能力，降低信息系統(tǒng)受攻擊的風(fēng)險。安全狀態(tài)是一個動態(tài)的過程，需要不斷完善，基于安全域技術(shù)的網(wǎng)絡(luò)安全架構(gòu)也需要在保持相對穩(wěn)定的基礎(chǔ)上，根據(jù)實際安全狀況及需求的變化進行持續(xù)地調(diào)優(yōu)和改進。最后，網(wǎng)絡(luò)安全需要在技術(shù)、管理、使用等方面多管齊下。網(wǎng)絡(luò)信息安全建設(shè)注重“三分技術(shù)，七分管理”，嚴(yán)格完善的管理制度是實現(xiàn)網(wǎng)絡(luò)安全的前提，系統(tǒng)有效的安全防護技術(shù)是保證，認(rèn)真管理落實才是關(guān)鍵。