李 鑫
(山西大同大学网络信息中心,山西大同 037009)
2019 年5 月13 日,网络安全等级保护技术2.0版本(简称等保2.0)正式公开发布,等保2.0覆盖工业控制系统、云计算、大数据、物联网等新技术新应用,为落实信息系统安全工作提供了方向和依据[1]。高校校园网在推进信息化建设时必须遵循等保2.0 的相关标准和要求。然而,在没有网络安全等级保护相关要求之前,大多数高校因为资金短缺和管理制度落后等原因在网络设计规划[2]和网络安全防护方面做得远远不够。主要以某高校为例探讨一下如何在等保2.0 的背景下优化网络安全,希望对有类似网络优化需求的企事业单位有所启示。
某高校为普通本科院校,由于信息化建设资金投入少,以及所在省份对于网络安全的相关要求不高等原因,信息化建设水平较低。目前,该高校信息化主要以数字化校园建设为主,主要内容包括校园信息管理系统、数据中心、统一信息门户、统一身份认证、校园一卡通、网络安全体系等;在考察和对比国内一流高校的信息化建设的基础上,总结和吸收了信息化建设的经验和优缺点,提出了本校的数字化校园总体解决方案,确定数字化校园建设的体系结构,制定了数字化校园的信息标准[3],以及各系统之间的接口标准,然后分阶段完成具体实施。相信这种建设思路和做法在许多企事业单位都比较通行,但是这种做法存在很大的问题,就是数字化校园网的总体方案往往在信息化部门提出需求的基础上,参考相关校园数字化平台公司的技术人员提出的方案,这些方案的侧重点大多集中在各应用系统平台的数据标准的制定和公共数据平台的建设。对于网络业务类型的分类设计,网络安全域的划分,网络安全策略的制定缺乏专业的分析和制定。因此,按照这样的方案建设下来的高校校园网必然不能符合等保2.0的相关要求。
对于某高校的网络安全调整,要梳理清楚校园网的现状,首先搞清楚从核心层到汇聚层再到接入层的网络结构和出口接入状况,然后要搞清楚数据中心虚拟化平台、其他独立服务器和应用系统的部署情况,最后要搞清楚当前安全设备的部署配置情况。在此基础上,根据业务需求和等级保护的要求作出网络安全优化调整的方案。
根据网络用途、业务管理、安全需求将整个校园网络划分为三个网络安全层级。分别为:网络层级、安全区级和安全域级。其中,网络层级主要是根据网络认证方式、网络用途划分的。对于高校校园网来说,一般可划分为:教学办公区网络、学生宿舍区网络、物联网(视频监控、一卡通等)和数据中心网络等。安全区层级主要是根据业务类型、业务数据的重要性和管理运维的需求来划分的。一般划分为:运维管理区、应用服务区和数据库存储区等。安全域层级主要是在安全区的基础上,细化安全业务,保证重要业务数据的保护和审计。
不同网络层级的安全部署,对于不同类型和相对独立的子网,在每个网络边界部署防火墙、网闸等网络安全设备进行物理隔离,控制其通信;同时,还要部署入侵防御系统,防止网络攻击的安全设备,筑牢网络间的安全防护屏障。不同安全区的安全部署,则主要通过在各安全区关联的防火墙内进行逻辑链路策略设置,做好安全区之间的隔离和保护,另外安全级的运维管理区可以部署堡垒机,保证核心设备的运维管理连接安全,维护日志记录清晰。不同安全域级的安全部署,安全域内部应部署应用攻击专业防护措施如:WEB应用防火墙,横向安全资源池[4];对于数据库和存储等重要业务系统则应部署流量审计、数据库审计等系统,加强接入审计确保接入用户的合法性和可靠性。
某高校校园网采用核心、汇聚、接入三层网络架构,骨干链路区采用两台RG-N18010 作为核心交换机承载高速数据交换,采用一台RGRSR7708-X作为出口路由器,互联网出口采用不同运营商的冗余链路,出口带宽移动10G、联通2G。学生上网采用802.1X 上网认证系统进行认证、计费。
数据中心区部署各类业务系统,部署防篡改系统防止篡改安全事件的发生。数据中心核心交换机采用两台H3C S12508,边界部署一台WAF检测、阻断Web攻击,部署一台H3C M9010防火墙进行边界防护。互联网出口采用一台RG-RSR7708-X,出口链路为联通300M、教育网300M。
根据某高校网络安全调整优化的思路,对照网络、安全区和安全域三个安全层级,梳理出某高校校园网存在的问题,主要问题如下:互联网出口区、数据中心区等重要网络区域边界防护不到位。数据中心区仅有入侵检测设备,无法阻断入侵攻击;互联网出口区缺少抗DDos攻击、防入侵攻击的安全设备。安全区域划分不合理,托管区服务器、应用服务器、现有云平台服务器等均处于同一安全域内,未根据业务重要程度和管理需求进行安全域划分,安全防护策略需求不明确。未单独划分运维管理区域并进行合理保护,网络攻击可轻易瘫痪运维管理体系。缺少边界恶意代码防范措施。骨干链路区重要设备存在单点故障,例如Web安全应用网关、M9010 防火墙、出口路由器、托管区汇聚交换机等。网站等互联网应用没有安全事件的监测手段。缺少针对数据库敏感操作和入侵攻击的安全审计措施。学生上网缺少上网行为审计措施。安全配置不足,例如防火墙全通安全策略;服务器直接配置公网IP 地址,缺少NAT;不安全的Telnet管理等。缺乏对整体安全状态的全局感知能力。业务系统上线前缺少安全性方面的测试验收,未能全面掌握系统的安全隐患。安全运维能力不足,已部署安全设备未持续有效发挥安全防护作用。
网络安全的建设是一个系统性工程,不是单一网络安全产品能够完成的,传统的网络安全建设需要覆盖终端、网络、应用、系统、数据和管理等多个方面[5]。因此,对于某高校校园网安全优化工作,同样需要遵循体系化建设,即从信息安全组织、技术部署两个方面有机结合地建立统一的安全保障体系。
对于某高校的网络安全组织体系的建立最重要的是要遵循国家及教育部的相关文件,确定岗位设置、机构建立、职责授权、人员任用以及绩效考核等;岗位设置要根据等保2.0 的要求,设置专职网络安全员至少2名以上;同时建立校内“一把手”类似网络安全领导小组的机构,确保网络安全相关措施能够顺利实施,确保网络安全事件能够及时处理。而对于职责的授权划分要做到明确、清晰,比如关于网络意识形态工作的具体职责要与各媒体平台的管理部门一致,要将互联网的新媒体与校内媒体平台区别对待,并制定合适的负责部门。最后,为突出网络安全工作的重要性和严肃性,对于人员任用和绩效考核,要做到专业的人做专业的事,技术人员必须通过相关资格认证,并根据工作情况建立奖惩制度。
4.2.1 网络边界隔离部署
在网络层级,将多个独立的物理子网隔离,即校园网与数据中心网络隔离,数据中心与物联网隔离。校园网核心交换机RG-N18000 和数据中心核心交换机H3CS12508 之间部署华三防火墙M9000,所有核心设备采用万兆互联。为保证广大师生正常使用网络,校园网基本配置不变。为了后期安全隔离及安全区域规划,将数据中心到网络核心的路由从新规划,由原来直接路由到出口核心交换机,改为路由到边界防火墙M9000。边界防火墙M9000划分逻辑安全区,分为内部可信区、外部可信区、外部不可信区和互联网服务区,各安全区之间启动访问控制策略,采用白名单机制,严格限制外部网络的访问。数据中心核心交换机H3C S12508 划分服务器专用内网IP,在边界防火墙M9000对应配置NAT 策略,实现外部对校园网服务器的正常访问,同时,隐藏真实IP信息,实现IP安全隔离。
4.2.2 互联网服务区的技术部署
互联网服务区负责提供二级部门的独立服务器的接入服务,为了提高网络传输效率,部署1 台高性能三层汇聚交换机,与防火墙M9000采用大二层互联模式,提高网络传输效率。所有提供Web互联网Web 业务的服务器通过专业WAF 串接,提高网站的防病毒,防攻击,防篡改和防漏洞扫描的能力。通过这样的部署,可以有效发挥边界防火墙M9000的作用:将不同业务类型的服务器归类划分到不同安全域,不同的安全域使用不同的Vlan、IP子网,内部不同安全域之间通信必须通过防火墙,匹配访问控制策略。
4.2.3 运维管理区的技术部署
运维管理区负责对云平台服务器、存储服务器、数据库服务器和核心网络设备的运维管理控制,通过部署堡垒机配置管理控制策略[6],可以实现对上述设备的安全连接,并记录和备份运维操作日志。因此,运维管理区的部署应该相对独立,同样采用独立汇聚交换机大二层连接核心交换机的模式,并且在汇聚交换机的边界要部署高性能防火墙。针对某高校的实际情况,考虑到节约资金,华为USG9560,配置严格的访问控制策略。
4.2.4 其他非可信区的技术部署
除了采用独立组网的模式外,主要部署华为USG9560来配置严格的访问控制策略。
通过某高校的网络安全优化研究,认识到了许多高校在数字化建设方案设计和实施过程的不足,通过遵循等保2.0体系化建设相关规范和网络安全设计理论,发现网络安全漏洞,分析网络安全需求,从网络层级、安全区层级和安全域层级实施网络安全优化,不仅消除校园网络安全风险,更为校园网下一步扩展、实施打下良好的基础。