单位整体网络安全提升方案

■ 江苏 钱海年

编者按： 随着企业网络架构复杂度的提升，这给网络安全防护带来很大难题，企业如何针对具体网络应用场景下进行有效防护，本文进行了一系列探讨，其中包括在传统园区网络、数据中心、云计算、工控网络等网络架构下，整体提升单位网络安全能力。

随着单位网络架构的不断演变，出现了传统园区网络、数据中心、云计算、工控网络等网络架构并存的局面，架构类别的复杂性也给网络安全防护带来难题。

传统园区网

在传统园区网架构下，每个终端接入的位置都是固定的，企业对网络外部的防御只需使用如防火墙、IDS、IPS等传统的边界安全设备即可构建出企业的马其诺防线。移动设备连接的多样性和方便性很容易将企业整体网络的边界进行连接广度上的扩展和连接深度上的延伸，网络安全威胁源在传统的互联网出口区域，内部有线PC的基础上，增加了WiFi接入点、移动终端、远程接入等多个点，原来网络的安全边界被打破。

网络安全的无边界使得传统基于物理位置的单点防御、边界防护思想越来越难以奏效。同时，近年来由于用户对关键业务的安全防护措施不断完善，黑客攻击目标趋向于从传统直接攻击服务器转向攻击安全较薄弱的内网客户端，以客户端为跳板再向服务器渗透。接入端安全逐渐成为内部网络安全的关键点。

传统数据中心网络

在传统的数据中心中，安全防护通常是通过在安全域入口部署专用的安全设备来实现。在云计算模式下，传统一劳永逸的防护方案就不那么奏效了。

一方面，各租户的业务和流量存在很大的差异，如果单纯的在入口进行安全防护，既难做到租户之间的区分，同时也会在一定程度上加大安全设备的负载，增大网络故障的风险。另一方面，云环境使得网络边界变得不像物理数据中心那么清晰，很难进行固定安全域的划分，同时东西向流量又占据了很大比重，因此机房内部的流量攻击是传统入口部署方式防护不了的。

传统工控网络

工业控制系统（ICS）在传统上凭借封闭的专有协议，以及与外部其他网络环境相独立，系统在最初的设计时，并没有把自身的安全性作为主要的考虑目标，与之配套的安全控制机制普遍设计不足，其安全保障并未得到应有的足够重视。

伴随着工业化与信息化的融合，信息技术已经成为工业系统的重要支撑力量，随着工业互联网应用的推进，企业智能制造的实现要求将工业生产数据以及工业设备自身运行数据上传至云平台进行大数据分析，以进一步指导企业生产智造。工控网络越来越来的与外部网络建立了数据通道，而随之而来的，安全威胁和安全风险显著提高。

通过外联安全、内连安全、数据中心安全、工控网络接入和互联安全以及全网安全协防，构建点面结合、内外结合、重点与全网结合、预防与处理结合的网络安全体系，实现在无边界网络环境下的全网整体安全，如图1所示。

1.内连安全，攘外必先安内，消除城堡内部漏洞

2.外联安全，协同作战，消除各类安全问题来源

3.数据中心安全，利用云安全（针对云数据中心）和下一代防火墙（针对传统数据中心）防护体系，实现动态、集成的防护，保证核心资源安全

4.工控网络安全，根据《工业控制系统信息安全防护指南》在网络层面的指导，利用工控防火墙、工控入侵检测和防御及漏扫系统、工控安全审计系统进行安全区域划分和隔离以及数据分析和处理。

图1 无边界网络环境下的全网整体安全

内连安全

为有效应对无边界网络和移动终端带来的安全问题，同时解决传统PC存在的各类问题（病毒、漏洞、无权限管控），实现接入端的安全，设计利用网络准入系统和企业网络版防毒系统以实现统一的、一体化的管理方法。具体的规划设计在以下几个方面进行重点考虑：

1.实现的功能

（1）应对访问的终端设备进行管理。由于目前终端设备的种类纷繁复杂，必须能够清晰的识别出访问资源的是什么设备，它的安全状况如何。同时还需要对设备进行标识，防止设备的伪造。

（2）对访问人员进行身份识别。人是信息资源访问的主体，必须要能够确定访问资源的是何人，避免非法用户擅自访问信息资源。

（3）对访问者进行授权管理。通过授权可以控制对资源的访问。良好的授权管理能最大限度的保护企业网络信息资源，避免非授权访问和敏感信息泄露。

（4）对访问行为进行监控。细致的访问监控可以及时发现异常情况，在出现安全事件后还可以进行事后追溯。

（5）移动终端和传统PC终端安全管理手段集成，实现移动终端和传统终端的一体化管理。如图2所示。

2.规划设计

（1）全网的透视和终端的发现

在传统的网络中，网络结构都是由网络管理员进行规划的，当出现变动时，管理员一定是第一个知道的。

然而随无边界网络的出现，如笔者单位内部网络中存在大量无线路由器、WiFi、双网卡，将网络随意的就扩展到了围墙之外，内部网络被打出了无数个缺口。

利用网络准入系统，可实现第一时间直观、快速、准确的获知当前网络延展的情况，以及每个网络边缘连接的终端，而不论这个终端是PC还是移动终端。一旦发现有非授权的网络延展和终端就可以快速定位并进行隔离处理。

（2）根据终端设备的类型自动区分并进行设备标定

随着“everything over IP”、“IP over everything”的进一步应用加深，单位内部网络中形成了多种终端的混合应用。对于千变万化的IP终端，如果不能自动区分类型，不能进行有效的设备标定，那么就无法阻止非法的各种终端的接入，安全也就无从谈起了。

图2 实现统一的、一体化的管理方法

由于MAC地址极易被伪造，因此在进行设备识别和标定时，不能单纯采取MAC地址的记录和比对。利用网络准入系统，对各种IP设备进行外部“非介入”的扫描，获取到该设备的指纹特征信息，并与准入系统强大的设备指纹特性库进行比对，实现自动发现该设备的类型，进行归类记录。

（3）各类终端的安全接入，将安全隐患杜绝在网络之外

利用网络准入系统，对所有接入终端在病毒控制、补丁更新、权限控制、软件控制、安全设置等方面进行入网前的规范管理，实现不安全不入网，入网即安全。

（4）集成化的管理方案

不论是传统终端设备，还是移动终端，需要提供的管理方式方法都不一样，所针对的侧重点也不同。但是由于都是连接到同一个网络中，彼此又存在千丝万缕的联系。利用网络准入系统，提供一个整体、集成的方案进行管理。遵循“透视网络”-“发现设备”-“授权标定”-“分而治之”-“统一统计查询”的过程。

外联安全

设立园区网外联区域，在外联区部署安全系统，主要包括下一代防火墙系统、上网行为管理系统、病毒过滤系统和入侵防御及DDoS防护系统、IP地址转换系统，通过纵深防御，为单位内部网络与外部网络之间设置一道有效的安全屏障，以充分保护企业内部网络不受外部侵袭，同时规范内部网络用户上网行为，符合国家法律法规要求。

1.下一代防火墙

专注于威胁防御，将多种功能完全集于一身，采用统一管理，可在攻击前、攻击中和攻击后提供有效的高级威胁防护。主要功能包括应用可视性与可控性、IPS、面向网络的高级恶意软件防护以及URL过滤功能。同时具备传统防火墙的功能，包括VPN功能和访问控制，通过安全区域划分，将网络划分为多个安全区域，包括内部区域、互联网区域、DMZ区域等，通过设置各个区域的安全级别以及各区域间的访问控制策略，实现各区域之间的安全访问。

2.上网行为管理

主要用作应用控制、带宽限制、带宽保证和上网行为审计。利用动态流控功能动态调节流控策略，智能分配空闲时带宽资源。

该系统对所有流经该设备的下行和上行流量进行管控，对各个内部子网进行带宽和优先级的设置，可保证最低带宽、限制最高带宽、设置单个IP地址最大带宽值并丢弃BT等，保证内部员工正常访问互联网。

通过应用、内容的识别和控制，可精确实现对外网访问的控制；通过审计功能，可详细记录内部员工的外网访问行为并保存，以符合国家相关法律法规的要求。

3.病毒过滤系统和入侵防御及DDoS防护系统

对进入和离开内部网络的流量进行检测和清洗，阻断潜在的各类病毒和恶意攻击。

集成沙箱功能，可以有效抵御分布式拒绝服务攻击(DDoS)、未知的蠕虫、流氓流量和其他零日攻击，有效应对日益增加的APT攻击，发现0day漏洞攻击和未知恶意软件，实现对已知攻击和未知攻击检测并防御的融合。

利用流式病毒扫描技术，实时跟踪热点病毒，实现小时级别的热点病毒更新服务。区别于传统的基于文件型的防病毒技术，流式扫描技术对网关的性能几乎无任何损耗。

通过基于实时的信誉机制，结合企业级和全球信誉库，可有效检测恶意URL、僵尸网络，保护用户在访问被植入木马等恶意代码的网站地址时不受侵害，第一时间有效拦截Web威胁，并能及时发现网络中可能出现的僵尸网络主机和C&C连接。

4.IP地址转换系统

该设备用作Internet接口的NAT（地址转换），使单位内部网用户使用私有IP地址访问外部网络。对外界网络用户来说，访问全部是来自于负载均衡设备转换后的地址，并不知道是来自内部网的某个地址，能够有效的隐藏内部网络的拓扑结构等信息。

数据中心安全

1.传统数据中心架构环境

在数据中心核心交换机与园区网核心交换机之间部署下一代防火墙系统，在提供传统防火墙、身份认证、Anti-DDoS等基础防御功能外，同时支持IPS、反垃圾邮件、Web安全、应用控制等专业安全功能，利用多方位的安全特性对数据中心提供全方位的安全防护。

2.云数据中心环境

从传统数据中心的安全防护来看，通常安全设备所提供的防护能力，包括扫描类（比如系统漏扫、Web漏扫、配置核查等）的安全服务和网关类（比如防火墙、入侵防御、入侵检测等）的安全服务。

基于云计算的虚拟化安全防护，业务对于安全防护的需求，在本质上并没有发生变化，安全防护的手段也没有发生实质性的变化。其不同之处在于虚拟化环境下，业务的流量更复杂，防护的方式更加的多元化、复杂化。

业务部署云化之后，其流量主要包括三个方面：公网访问云平台内部业务的流量（南北向流量）；同一个租户不同子网之间的访问流量；租户同一个子网不同虚拟主机之间的访问流量（东西向流量）。

针对上述3种流量的安全防护，设计采用独立于云平台的安全资源池技术（可称之为弹性的安全云）来实现，通过部署安全云（所有安全资源池化，可以是传统的硬件安全设备，也可以是虚拟化的安全设备）并利用SDN技术，可以动态的将待防护流量牵引到安全云，安全云对其进行清洗完毕后，会将流量再送回至SDN网络，保证业务的正常运行。

安全云分布式的部署在用户云平台所在的每一个数据中心内部，实现安全防护的就近选择。这种弹性的安全云主要功能包括：

图3 工控网络安全防护逻辑关系

流量处理灵活。既可以实现南北向流量的安全防护，又可以实现东西向流量的防护。

与云平台解耦。安全设备的形态既可以是传统的硬件盒子，也可以是虚拟化的安全设备实例。设备部署不依赖于云平台，并且可以集成众多厂商设备，共同组成这朵安全云。

弹性扩充和收缩。由于安全云内部拥有众多的虚拟化安全设备实例，因此，可以根据用户防护任务的压力大小，动态的实现安全云朵的扩张与收缩。既满足的防护需求，同时又可以做到绿色环保。

负载均衡与高可用。弹性的安全云根据各安全设备负载大小，动态的对安全防护任务分布进行负载均衡，保证每一项防护任务的防护性能和防护效果。同时还可以据此实现防护服务的高可用。

安全服务编排。由于用户流量的安全防护均在安全云内进行，因此可以针对不同的流量特性，对其进行自动化的服务编排，实现多种安全防护的智能组合，使得防护更加精准与安全。

工控网络安全

《工业控制系统信息安全防护指南》中所提出要求包含安全软件选择与管理、配置和补丁管理、边界安全防护、物理和环境安全防护、身份认证、远程访问安全、安全监测和应急预案演练、资产安全、数据安全、供应链管理、落实责任共十一小节，共三十一条内容，逻辑关系如图3所示。

解读《工业控制系统信息安全防护指南》，总结在网络连接和数据监测层面的指导措施主要包括了以下几点：

（1）涉及企业信息网络(生产管理层、信息管理层)和企业生产网络 (过程监督层、过程控制层)的数据交互明确了防护措施。除了指出禁止没有防护的工业控制网络与互联网连接，还提供了具体的边界安全防护手段，例如规定将工业控制系统的开发、测试和生产环境进行分离，通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护，通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

（2）涉及企业信息网络向企业生产网络的远程访问安全，防护指南参考了电力等相对发展成熟行业中已经采用并得到检验的技术手段，如严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务；确需远程访问的，采用数据单向访问控制等策略进行安全加固，对访问时限进行控制，并采用加标锁定策略。

（3）规定了需要在工业控制网络部署网络安全监测设备，报告并处理网络攻击或异常行为；在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备，限制违法操作；定期对工业控制系统的应急响应预案进行演练。另外，防护指南还特别指出需要保留工业控制系统的相关访问日志，并对操作过程进行安全审计。

通过对指南的解读和总结，结合企业实际情况，可通过下述方案对工控网络进行安全防护：

在企业工业控制网络区域中部署工业防火墙，通过工业防火墙对安全区域之间进行逻辑隔离安全防护，包括对重要工业控制设备的安全防护。工业防火墙应能提供针对工业协议的数据级深度过滤，实现对Modbus、OPC等主流工业协议和规约的细粒度检查和过滤，阻断来自网络的病毒传播、黑客攻击等行为，限制违法操作，避免其对控制网络的影响和对生产流程的破坏。

在企业工业控制网络区域与企业网或互联网区域之间部署工业防火墙或网闸设备，解决控制网络如何安全接入信息网络的问题，解决控制网络内部不同安全区域之间安全防护的问题。

对于确需远程维护的工作站，可通过工业防火墙自带的VPN等安全接入方式进行连接。

在确需使用USB、光驱、无线等接口的情况下，通过工控终端管控系统对外设进行严格的访问控制，工控终端管控系统还可兼具防病毒及应用程序白名单功能，只允许经过工业企业自身授权和安全评估的软件运行。

在工业控制网络区域部署网络安全监测设备，例如工控入侵检测系统、工控安全审计系统，从而及时发现、报告并处理网络攻击或异常行为。安全监测设备应能识别多种工控协议，适应攻防的最新发展，准确监测网络异常流量，自动应对各层面安全隐患，通过对相关工控协议进行解析，发现潜在异常行为，并在第一时间进行告警。