陳龍剛

(山西大同大學(xué)網(wǎng)絡(luò)信息中心，山西大同 037009)

隨著網(wǎng)絡(luò)安全法的正式實(shí)施以及新版等保條例（等保2.0）的發(fā)布，開啟了網(wǎng)絡(luò)安全工作有法可依的2.0時(shí)代，“等級(jí)保護(hù)制度”實(shí)施有了法律的支持，規(guī)定了等保工作是網(wǎng)絡(luò)運(yùn)營(yíng)者都需要執(zhí)行的一項(xiàng)安全責(zé)任和義務(wù)。針對(duì)高校信息化建設(shè)而言，大多由業(yè)務(wù)需求驅(qū)動(dòng)，而因其不同的業(yè)務(wù)特性、使用對(duì)象，在其安全需求以及面對(duì)的威脅和風(fēng)險(xiǎn)方面也不盡相同。高校因?yàn)榧缲?fù)著國(guó)家創(chuàng)新驅(qū)動(dòng)發(fā)展的重任，在加上所擁有的海量科研學(xué)術(shù)資料和個(gè)人信息，在網(wǎng)絡(luò)安全方面理應(yīng)高度重視。所以，在推進(jìn)教育信息化建設(shè)的同時(shí)，依據(jù)網(wǎng)絡(luò)安全法開展等級(jí)保護(hù)工作已經(jīng)刻不容緩。結(jié)合高校信息化建設(shè)的實(shí)際情況，通過對(duì)《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》的研究，幫忙我們?nèi)媪私饩W(wǎng)絡(luò)安全風(fēng)險(xiǎn)，有針對(duì)性的、合規(guī)的制定全方位的建設(shè)方案，梳理基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)方面存在的不足和短板，建立組織內(nèi)部有效的整體的網(wǎng)絡(luò)安全管理體系，明確自身的網(wǎng)絡(luò)安全管理水平，順利完成等保測(cè)評(píng)以及整改工作，并可參照確定后續(xù)等級(jí)保護(hù)工作和網(wǎng)絡(luò)安全建設(shè)的方向。通過等級(jí)保護(hù)的方式，結(jié)合其自身網(wǎng)絡(luò)安全體系進(jìn)行設(shè)計(jì)，建設(shè)符合高校網(wǎng)絡(luò)安全特定需求的保障體系，是解決高校網(wǎng)絡(luò)安全問題的必要途徑。

1 安全架構(gòu)設(shè)計(jì)基礎(chǔ)研究

高校應(yīng)基于等保2.0 的要求，對(duì)其要求項(xiàng)、控制點(diǎn)進(jìn)行研究，綜合學(xué)校信息網(wǎng)絡(luò)、信息系統(tǒng)業(yè)務(wù)現(xiàn)狀以及未來發(fā)展方向，理清安全需求，內(nèi)部保護(hù)和邊界保護(hù)策略，確定安全域劃分方案、數(shù)據(jù)中心安全策略架構(gòu)與設(shè)計(jì)。首先應(yīng)根據(jù)法律法規(guī)自主保護(hù)，在信息化建設(shè)、擴(kuò)建過程中同步進(jìn)行安全建設(shè)，并根據(jù)信息變化情況動(dòng)態(tài)調(diào)整建設(shè)方案，特別對(duì)重難點(diǎn)系統(tǒng)進(jìn)行重點(diǎn)保護(hù)[1]。然后，結(jié)合學(xué)校網(wǎng)絡(luò)和信息系統(tǒng)的實(shí)際需求，通過符合最小化、分權(quán)制衡、安全隔離原則的安全域劃分，對(duì)數(shù)據(jù)中心、計(jì)算中心、網(wǎng)管中心等不同區(qū)域的安全策略進(jìn)行針對(duì)性的體系架構(gòu)與功能設(shè)計(jì)，進(jìn)行基礎(chǔ)架構(gòu)和網(wǎng)絡(luò)優(yōu)化[2]。實(shí)現(xiàn)符合等保要求的、面向服務(wù)的校園信息安全技術(shù)架構(gòu)以及組織管理機(jī)制，構(gòu)建保密、完整、可用、可控、可審查的高校信息安全技術(shù)保障和組織管理體系，為高校安全的進(jìn)行信息化建設(shè)提供思路，為順利完成等級(jí)保護(hù)工作奠定基礎(chǔ)。

2 安全域設(shè)計(jì)

2.1 需求分析

基于等保2.0 要求，進(jìn)行網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)優(yōu)化，根據(jù)安全需求，通過劃分合理的安全域是提供校園網(wǎng)信息安全數(shù)據(jù)安全的基礎(chǔ)保障。從業(yè)務(wù)出發(fā)的安全需要，依據(jù)業(yè)務(wù)需要制定的防護(hù)策略以及等保要求是安全域劃分的基礎(chǔ)[3]?；A(chǔ)的安全需求主要來源于相關(guān)國(guó)標(biāo)及法律法規(guī)，不同業(yè)務(wù)系統(tǒng)的需要和安全風(fēng)險(xiǎn)評(píng)估等方面，且服從于網(wǎng)絡(luò)安全保護(hù)目的和目標(biāo)。各方面的安全需求會(huì)因其在學(xué)校中所承擔(dān)的業(yè)務(wù)功能、需求、作用以及在學(xué)校安全體系架構(gòu)中的位置的不同而有所區(qū)別。學(xué)校對(duì)于安全風(fēng)險(xiǎn)的控制包括多個(gè)方面，包括但不僅限于物理和網(wǎng)絡(luò)訪問，系統(tǒng)的開發(fā)、測(cè)試、管理、監(jiān)控、審計(jì)等等。同屬于一個(gè)安全域的不同組織要素，應(yīng)當(dāng)具有高度相近或相同的安全需求和策略。從安全域的角度考慮，保護(hù)策略還應(yīng)按照內(nèi)部保護(hù)策略和邊界保護(hù)策略來進(jìn)行劃分。從高校的基礎(chǔ)網(wǎng)絡(luò)、各業(yè)務(wù)系統(tǒng)（含移動(dòng)端系統(tǒng)）、計(jì)算中心、數(shù)據(jù)中心、網(wǎng)管中心的普遍實(shí)際情況出發(fā)，通過安全域的合理劃分，規(guī)范和優(yōu)化系統(tǒng)結(jié)構(gòu)，建立適用的安全模型，進(jìn)行安全防護(hù)策略的合理設(shè)計(jì)、精準(zhǔn)實(shí)現(xiàn)和迅速部署，在保證業(yè)務(wù)安全的前提下，使相關(guān)資源可提供高可用、高效率的服務(wù)，并有效控制和抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，符合等保要求，實(shí)現(xiàn)對(duì)教育信息化整體的有效保障。

2.2 安全域劃分

安全域劃分首先遵循縱深防御的思想，并結(jié)合從網(wǎng)絡(luò)的角度看安全，從安全的角度看網(wǎng)絡(luò)，根據(jù)學(xué)校實(shí)際情況，面向服務(wù)，最終基于等保2.0 要求，劃分安全域?yàn)檫吔缃尤?、基礎(chǔ)設(shè)施、計(jì)算環(huán)境、支撐設(shè)施四個(gè)部分。四個(gè)域相互之間不單單是交叉、隔離關(guān)系，在分布和管理上具有層次關(guān)系。使得其基于系統(tǒng)結(jié)構(gòu)但又不局限于系統(tǒng)結(jié)構(gòu)合理劃分，在不影響各業(yè)務(wù)系統(tǒng)的功能、性能的基礎(chǔ)上進(jìn)行必要地安全防護(hù)和隔離，又可以實(shí)現(xiàn)整體、簡(jiǎn)潔、高效而規(guī)范[4]。網(wǎng)絡(luò)基礎(chǔ)設(shè)施域是整個(gè)網(wǎng)絡(luò)的基礎(chǔ)，劃分為主干部分、匯集部分和接入部分，包括所有的網(wǎng)絡(luò)設(shè)備和通訊支撐設(shè)施。支撐設(shè)施域主要包括：安全部分、網(wǎng)管部分和其它支撐部分等。這兩個(gè)域是各類邊界、服務(wù)、計(jì)算等上層部分公共使用的。計(jì)算環(huán)境域主要是各類服務(wù)器、數(shù)據(jù)庫(kù)等，按照重要程度分為核心區(qū)、重點(diǎn)保障區(qū)、一般區(qū)域。邊界接入域是學(xué)校業(yè)務(wù)邊界以及各類接入的終端設(shè)備，分為互聯(lián)網(wǎng)部分，外部、內(nèi)部和內(nèi)網(wǎng)部分,如圖1。

圖1 安全域劃分

2.3 安全域管理

從接入角度考慮安全域的劃分，主要分為物理和邏輯兩種接入類型。物理接入：接入一個(gè)交換機(jī)；邏輯接入：劃分到同一個(gè)VLAN。不同安全域的邊界防護(hù)通過三層ACL 包過濾來實(shí)現(xiàn)，并通過NAT 轉(zhuǎn)換隱藏內(nèi)部主機(jī)地址。另外，核心交換和分布交換實(shí)施包過濾，授權(quán)只有合法的用戶IP 才能訪問服務(wù)，限制訪問關(guān)鍵應(yīng)用的流量[5]。對(duì)于可能存在的密級(jí)程度較高的安全域，使用NF 或NIPS 設(shè)備進(jìn)行訪問控制，實(shí)現(xiàn)其邊界保護(hù)，較大程度對(duì)不同安全域進(jìn)行安全性管控。對(duì)于不同安全等級(jí)的域間通信，禁止高密級(jí)信息由高向低流動(dòng)。不同的安全域分析其使用人員、業(yè)務(wù)類型、流量走向、服務(wù)對(duì)象，對(duì)于保密要求比較高的安全域，在終端上安裝內(nèi)網(wǎng)管理軟件，對(duì)病毒庫(kù)、系統(tǒng)安全補(bǔ)丁實(shí)行統(tǒng)一同步管理，集中監(jiān)控各類違規(guī)外聯(lián)、端口開啟，控制或禁止其外設(shè)端口使用等，開啟主機(jī)防火墻、防ARP 欺騙、入侵防護(hù)等，加強(qiáng)域內(nèi)的安全保護(hù)，保障安全。

2.4 設(shè)計(jì)特點(diǎn)

根據(jù)本項(xiàng)目研究設(shè)計(jì)的辦法，可以避免傳統(tǒng)安全域劃分所具有的四個(gè)方面局限性：（1）以網(wǎng)絡(luò)結(jié)構(gòu)分析為基礎(chǔ)，與業(yè)務(wù)關(guān)系較少；（2）以信息資產(chǎn)的重要度為核心，使網(wǎng)絡(luò)結(jié)構(gòu)過于復(fù)雜；（3）以信任關(guān)系分析為依據(jù)，使問題復(fù)雜化；（4）以防護(hù)等級(jí)劃分和控制時(shí)，在復(fù)雜系統(tǒng)中存在較多難題。

3 數(shù)據(jù)中心策略體系架構(gòu)和功能設(shè)計(jì)

3.1 體系架構(gòu)

數(shù)據(jù)中心安全策略應(yīng)確?；A(chǔ)網(wǎng)絡(luò)和信息系統(tǒng)的可靠、可用、可審查、真實(shí)、可追溯等，內(nèi)容涉及到數(shù)據(jù)中心、計(jì)算中心、網(wǎng)管中心、安全中心相關(guān)軟硬件的方方面面。當(dāng)前，因數(shù)據(jù)的高價(jià)值特性越來越凸顯，包括個(gè)人信息、財(cái)務(wù)信息、科研成果、知識(shí)產(chǎn)權(quán)等，所以大多數(shù)網(wǎng)絡(luò)犯罪活動(dòng)都以數(shù)據(jù)為攻擊目標(biāo)，故而設(shè)計(jì)合理的安全策略體系架構(gòu)和功能，是確保數(shù)據(jù)安全和完成等保工作的必要條件。

數(shù)據(jù)中心安全策略特色用八個(gè)字概括就是：四層保護(hù)、多層防御。四層保護(hù)的同時(shí)為數(shù)據(jù)中心提供了從數(shù)據(jù)鏈路層到應(yīng)用層的抗DDOS、負(fù)載均衡、訪問控制、數(shù)據(jù)備份、發(fā)現(xiàn)攻擊、檢查審查操作環(huán)境和活動(dòng)、隱患隔離等多層防御體系，全方位的架構(gòu)服務(wù)器、存儲(chǔ)、信息網(wǎng)絡(luò)、信息系統(tǒng)、安全設(shè)備體系，分析其使用人員、業(yè)務(wù)類型、流量走向、服務(wù)對(duì)象等，通過層層攔截信息攻擊，提高數(shù)據(jù)中心整個(gè)信息防御體系的效率[6]。

3.2 功能設(shè)計(jì)

基于等保2.0 要求，數(shù)據(jù)中心體系架構(gòu)和功能設(shè)計(jì)應(yīng)按安全防護(hù)、安全檢測(cè)、隔離恢復(fù)和安全備份等四個(gè)層級(jí)部署，解決負(fù)載平衡（LBS）、防火墻（NF）、應(yīng)用防火墻（WAF）、入侵檢測(cè)（IDS）、入侵防護(hù)（IPS）、審計(jì)、安全網(wǎng)關(guān)、運(yùn)營(yíng)中心等軟硬件的架構(gòu)問題，進(jìn)行有效的數(shù)據(jù)備份，并使隱患數(shù)據(jù)和操作進(jìn)不來以及隱患數(shù)據(jù)和操作查得出，對(duì)面臨的風(fēng)險(xiǎn)進(jìn)行有效防控，保證數(shù)據(jù)中心的合規(guī)、穩(wěn)定、高效運(yùn)行，確保安全。

硬件安全防護(hù)層部署防火墻和負(fù)載均衡。防火墻策略是只開放需要的服務(wù)和訪問，嚴(yán)格控制所有高危端口的使用。負(fù)載均衡是提高性能和保證高可用性的關(guān)鍵設(shè)施，可對(duì)HTTP（WEB 應(yīng)用）、TCP（數(shù)據(jù)庫(kù)集群）、UDP（DNS）等各類型流量進(jìn)行處理，然后進(jìn)行多個(gè)服務(wù)器的分發(fā)，避免單點(diǎn)故障。數(shù)據(jù)安全檢測(cè)層部署IDS 進(jìn)行非法預(yù)警，部署安全審計(jì)，明確控制目標(biāo)，根據(jù)學(xué)校具體的應(yīng)用，結(jié)合實(shí)際制訂安全控制要求，監(jiān)控系統(tǒng)薄弱環(huán)節(jié)，比較其一致性，對(duì)安全配置、安全控制技術(shù)、管理制度不斷完善，檢查安全策略的存在和執(zhí)行情況，防范手段的有效性，評(píng)估可依賴程度。數(shù)據(jù)隔離恢復(fù)層部署IPS 和防篡改來保護(hù)服務(wù)器隔離隱患數(shù)據(jù)，自動(dòng)修復(fù)數(shù)據(jù)以及數(shù)據(jù)安全備份層實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)同步和數(shù)據(jù)庫(kù)備份，最后建立分級(jí)、分層、立體的策略體系，提高數(shù)據(jù)中心整個(gè)信息防御體系的效率。

圖2 數(shù)據(jù)中心功能設(shè)計(jì)

4 結(jié)語(yǔ)

通過研究等保2.0 要求，結(jié)合學(xué)校信息網(wǎng)絡(luò)、業(yè)務(wù)信息系統(tǒng)的實(shí)際需求滿足情況，對(duì)校園網(wǎng)等級(jí)保護(hù)安全架構(gòu)設(shè)計(jì)，并不斷對(duì)安全域劃分和數(shù)據(jù)中心安全策略體系架構(gòu)與功能設(shè)計(jì)實(shí)施情況進(jìn)行監(jiān)控、測(cè)試，對(duì)不達(dá)標(biāo)的檢查點(diǎn)進(jìn)行必要的調(diào)整，滿足標(biāo)準(zhǔn)規(guī)范要求和使用需求，真正做好校園網(wǎng)絡(luò)安全。