构筑中小单位网络安全多维防御体系

陈天翔

摘   要：黑客渗透与网络安全防御像矛与盾，随着技术领域的日新月异，黑客渗透的方法也层出不穷。网络安全防御就像安全链环环相扣，文章从网络区域规划、安全接入控制、网络设备安全、服务器应用安全、数据备份恢复、安全制度、容灾灾备演练等环节，分析构筑中小单位网络安全多维防御体系策略。

关键词：局域网;校园网;网络安全;边界安全;网络区域;数据安全

据查“网络黑产”规模巨大，黑客渗透与攻击行为昼夜不停，中小单位网络安全形势严峻。依照GB/T 22239—2008《信息安全技术信息系统安全等级保护基本要求》，GB17859—1999《计算机信息系统安全保护等级划分准则》，GB/T 20984—2007《信息安全技术信息安全风险评估规范》，GB/T28448—2012《信息安全技术信息系统安全等级保护测评要求》《中华人民共和国网络安全法》等法规要求，构筑环环相扣的安全链、构筑网络安全多维防御体系意义重大。

1    网络区域划分与作用

对局域网在物理与逻辑进行区域细分，可实现便捷管理或快速排故。区域划分按照拓扑或功能进行安全区域划分、VLAN划分和IP划分，作用明显。（1）安全边界清晰明确，便于按需添加安全设备。（2）便于制定合理的边界安全策略。（3）便于管理及快速排故检修定位。

局域网区域划分如图1所示，①是互联网运营商区域，局域网出入口就是接入该区域。②③④是连接互联网出口区域，由安全设备、路由器、核心交换机等组成。⑤⑥是有线网络、无线网络区域，由汇聚、接入、AP等网络设备组成，该区域中VLAN划分IP网段划分遵循最小够用为原则，要求配置严格访问控制列表（Access Control List，ACL）策略。⑦局域网内边界安全区域，在服务器与局域网内其他区域间实现内网边界安全，作用是对网络重点区域进行安全防护，确保局域网中重点区域网络安全。⑧⑨服务器区域由Web服务器、数据库服务器、存储服务器、虚拟化管理服务器等组成，是单位网络中重点保护的区域。

2    安全接入控制

安全接入控制也叫网络准入控制，作用是防止计算机等非授权的终端接入局域网。黑客攻击主要来自互联网，就是图1中通过①②③④链路来渗透，该链路部署安全设备能起到防护作用。如果黑客渗透是来自有线或无线内网时，网络则会存在重大安全隐患。

安全接入控制就是在局域网内，对有线、无线接入进行验证。方法是在各层级网络设备中配置网络安全策略，对接入设备的“接入端口，IP地址，MAC地址”进行一一对应验证，来实现内网接入控制。还要对权限很大的超级用户进行严格接入管控，要求必须全程以安全壳协议（Secure Shell，SSH）加密方式运维管理，禁用默认管理员账号，严格限定网管技术人员接入地点范围、IP数量，最终实现内网全方位接入管控。

3    服务器操作系统、应用系统与数据安全

服务器是重点保护的区域，需禁用默认超级用户账号，启用严格密码安全策略，禁用远程桌面，仅开启必须的端口，关闭不需要的服务，服务器操作系统与应用架构的补丁都要更至最新，仅安装必要的服务器组件与应用，Web应用采用安全套接层协议（Secure Sockets Layer，SSL）加密方式访问，Web应用文件夹访问权限，应配置以最小够用为原则。

数据安全历来都是重中之重，数据安全包括应用系统本身和配套数据库两个方面。数据库系统安全要求：（1）启用严格密码安全相关策略，确保数据库系统账号密码安全。（2）制定完全数据库备份策略，备份数据库容量较大时，可采用压缩软件对备份压缩保存。笔者实际验证，压缩前容量为2 480 MB，压缩后容量为367 MB，压缩后容量为原容量的14.8%，编写自动化脚本还可以实现高效异地备份。必须进行数据库备份、Web应用系统备份，同时还要进行离线备份、异机或异地备份，以确保在极端情况下有效恢复应用系统和数据库，保障业务系统连续性。服务器硬盘建议n-1块硬盘设置radi5，余下1块硬盘热备。利用先进的vCenter虚拟、存储等技术，可实现对服务器操作系统进行完全备份、增量备份、异地备份等功能。

数据库中敏感数据的加密保密也是数据安全重要组成部分。近年来，国内知名网站数据被拖库消息频出，被拖库中的数据没有加密，导致巨量敏感数据泄露。数据加密手段已经很成熟，数据加密技术手段不再展开讨论，对于中小单位而言，要重视应用系统数据库中敏感数据加密工作的推进。设备有价，数据无价，在以数据为中心的大数据时代，按照需求科学规划，确保数据万无一失，确保数据库中敏感数据不流失、不泄密，保障数据的安全性与保密性任重道远。

4    网络安全攻防容灾灾备演练

信息网络安全应急演练，也叫容灾演练、灾备演练。事先按照技术规划灾备预案来进行推演，可先沙盘级推演，按照权重从高到低有针对性推演。

（1）网络安全法强制要求相关，单位网络要符合网络安全等保的等级要求。应依法借助第三方权威安全测评机构，主动定期对整个局域网各个层面环节进行渗透与测评，对于发现的问题及时整改，以达到网络安全等级保护的要求。（2）网络设备数量相对较多，事先需要对网络安全、交换路由、无线等设备的配置文件进行备份，有计划地进行网络设备配置文件恢复性演练，对网络设备厂商提供备件相应能力进行演练。（3）在服务器层面上，对服务器、Web系统应用、数据库系统等进行灾备演练。（4）在数据安全层面上，对应用系统架构平台、应用系统程序本身和数据库备份进行容灾协同恢复演练。

按需求科学规划，进行网络安全攻防容灾灾备预案推演和实战演练，才能验证系统规划架构和容灾灾备预案是否有效，是否达到规划效果，管理人员和技术人员是否具备容灾灾备操作割接系统、业务场景恢复、廠商配套备件供给、时间响应等方面能力的验证，只有经过演练验证的安全多维防御体系是稳定可靠、值得信任的。

5    网络安全管理制度建设

制度建设是构筑网络安全多维防御体系的重要一环。只有依法成立网络安全领导小组、工作小组、技术保障小组，配套落实费用保障，才能使得构筑中小单位网络安全多维防御体系成为可能。构筑中小单位网络安全多维防御体系不仅是技术人员的工作，也涉及单位全体员工，同时建立完备的网络安全制度是网络安全法的要求。参照国家《网络安全法》，就中小单位而言，网络安全管理规章与制度包含本文列举以下人员管理、巡查制度、建设管理、资产安全、介质安全、机房安全、信息变更、密码安全、运维管理、网络安全、系统安全、设备安全、备份与恢复、安全事件、应急预案、容灾灾备、保密协议等17个方面内容。

6    结语

网络安全重要程度已经上升到国家层面。然而网络安全形势非常严峻，例如就连网络安全设备也未必安全，安全设备漏洞也时有曝出，网络安全设备都是如此，其他网络设备、服务器操作系统或应用系统也难幸免，即使规划了完备的安全防护措施，当一个高危漏洞出现，整个网络软硬件系统安全防线将面临巨大风险。单位中全员网络安全意识与运维技术人员的应急响应能力与经验水平，也同等重要。网络安全多维防御体系网络安全链的最后一环，就是网络安全链每一环必须数据备份，包括安全设备备份、核心交换与路由备份，汇聚与接入交换备份、服务器备份、应用系统备份、数据库备份，敏感数据必须加密，配合虚拟化技术及存储技术，结合完备的安全管理制度，打造一个有备无患的网络安全多维防御体系。