企业广域网建设中安全防护设计探究

四川九洲空管科技有限责任公司 张泽亚

在信息化技术高速发展的今天，企业的日常管理、研发生产、市场营收、信息传递等应用伴随着信息化建设日益深入。随着业务发展的需要，越来越多的企业在不同地域设立新的分支机构，“信息孤岛”的弊端越来越明显：不同的局域网之间相互隔离，分支机构无法使用本部已建设的办公、科研、财务、公文等各类企业信息化系统，单独建设又面临着费用高、重复投资的问题；数据只能靠手工搬运，各类流程效率低下；无法实现异地在线协同办公和研发；各类数据统计困难，难以实现一体化数据实时采集与分析展现支持企业的决策分析。因此，建立安全、高效的广域网以满足业务的不断发展，成为了众多企业的迫切愿望。其中，应对异地互联带来的威胁和风险是广域网建设中的重要环节，须按照“同规划、同设计、同建设、同验收”的原则同步进行安全防护建设。

本文对企业广域网的安全防护设计作了初步研究，主要从技术手段和管理手段两方面加强广域网的网络安全和数据安全。

1 网络与信息安全设计

1.1 远程联接设计

随着近年来通讯技术的发展，网络运营商异地专线的租赁费用大幅下降，可靠性、速率等指标快速增长。选择租赁网络专线来实现企业安全、快速、可靠的异地局域网的互联互通成为广域网建设的首选，且该专线须要能够支持数据、语音、图像等高质量、高可靠性的多媒体业务。

PTN骨干网环网技术是基于PTN（分组传送网，Packet Transport Network）技术网络构建的一种骨干网成环保护网络技术。

PTN（分组传送网，Packet Transport Network）是指这样一种光传送网络架构和具体技术：在IP业务和底层光传输媒质之间设置了一个层面，它针对分组业务流量的突发性和统计复用传送的要求而设计，以分组业务为核心并支持多业务提供，具有更低的总体使用成本（TCO），同时秉承光传输的传统优势，包括高可用性和可靠性、高效的带宽管理机制和流量工程、便捷的OAM和网管、可扩展、较高的安全性等。

PTN支持多种基于分组交换业务的双向点对点连接通道，具有适合各种粗细颗粒业务、端到端的组网能力，提供了更加适合于IP业务特性的“柔性”传输管道；具备丰富的保护方式，遇到网络故障时能够实现基于50ms的电信级业务保护倒换，实现传输级别的业务保护和恢复。

广泛应用于政企专线、银行、证券等需要作高速业务传送的行业，适用于任何局域网之间的高速互联、以及会议电视等图像业务的传输，为客户提供高速透明的数据传输通路。

1.2 边界安全和访问控制设计

不同安全级别的网络进行互联的时候，一定会产生网络边界，只有有效解决网络边界的各类问题，加强网络边界的安全设计，才能为企业广域网提供有力的边界屏障。在互联的不同局域网各自连接专线边界入口处上分别部署边界防火墙，并设置细粒度的访问控制策略，对系统边界进行有效管控，保障出入不同局域网数据流量的安全性。

在管理和策略设置上，由企业本部和分支机构对本地的边界防火墙进行管理维护，原则上禁止本部用户访问分支机构内部资源，按照最小化原则授权分支机构用户访问本部内网中相应应用系统和软件资源，其余访问行为及数据流量一律禁止。

对于存在不同敏感级别信息的网络进行互联时，还需考虑信息的安全隔离和交换。在高敏感网络边界处部署安全隔离与信息交换系统（网闸），通过安全隔离与信息交换技术应用于高敏感网络和低敏感网络之间，拦截TCP/IP数据流，过滤丢弃TCP/IP协议格式，还原上层应用数据，并经过安全处理后，以数据摆渡的方式实现不同敏感级别网络之间的应用数据安全交换。数据摆渡的方式类似实际生活中的渡船载客，能保证内外网络在任何时候没有联通的电气连接情况下，实现应用数据的往返传输。

1.3 网络接入设计

企业分支机构的办公环境往往较为复杂，存在外部人员、外部设备等不可控因素，因此需加强网络和计算机设备的物理安全管控和接入控制。

将网络设备锁入楼层机柜中，系统中暂不使用的网络接口均不进行接线，保持物理断开。通过802.1x协议对交换机端口进行控制，并绑定用户IP、MAC地址等信息，对系统内终端用户接入非涉密局域网的端口进行安全控制。在用户接入网络前，强制检查终端用户的IP、MAC等信息，强制实施用户接入控制策略，拒绝非法用户（IP、MAC）接入网络，在保证终端用户安全接入的前提下，合理控制用户的网络行为，提升整网的安全防御能力。

1.4 终端安全防护设计

广域网中分支机构网络往往安全级别较低、安全管理松散，终端端口不受控，易引入病毒、木马、蠕虫等威胁，需在进行广域网建设时同步设计终端安全防护。

用户终端部署网络版防病毒软件，统一按本部的防护策略进行病毒与恶意代码防护。通过终端端口控制系统或带有该项功能的防病毒系统，对终端用户的USB类设备、光驱等输入输出接口进行监控和控制，防止违规导入未经敏感信息检查和病毒查杀的数据、导出未经审批确认的内部数据。用户终端和应用系统通过用户名+用户口令的方式进行身份鉴别和认证，对于办公环境复杂的分支机构网络还可通过配置USBKEY、写入身份证书的方式加强身份鉴别力度。

1.5 数据管理防护设计

（1）数据监控

高敏感度的本部网络，可以部署数据防泄漏系统，通过对动态网络数据、静态存储数据、终端数据进行分析和识别，对各种违规行为执行监控、阻断等措施，实现对公司核心机密数据的保护和管理。

凭借数据防泄漏系统，运维人员能够看到异地互联后的广域网内哪些数据库、服务器和台式机存在敏感数据，能够定位到个人通过网络违规发送敏感信息，或复制数据到存储介质中；运维人员还可以通过拦截包含敏感数据的网络传输执行策略，并且自动化执行信息确认、放行或报警。

（2）数据输入输出

在分支机构网络终端部署网络版打印复印和光盘刻录安全监控与审计系统，并安装网络打印机和刻录机，对网络内所有信息的打印、刻录输出进行全过程管控，实现网络化的审批流程和刷卡输出，并实现信息输出审计。授权专人对输出内容进行审核审批，控制数据出口。

在导入点部署扫描机和导入机，采用导入前单机隔离检查模式，通过数据检查工具和杀毒软件检查，保障导入广域网的数据安全可控。

（3）数据内部流转

通过OA或文件传输系统，实现广域网内数据的内部流转。由发起人提出申请，经授权人员审批同意后方可网络传输，运维人员可通过定期审计的方式对文件受控情况进行检查。

2 网络与信息安全管理设计

2.1 安全策略和制度文件

广域网存在诸多因素的潜在威胁，在网络建设初期，就要提前进行现状分析和预测分析，对网络安全威胁和可能产生的后果进行预测，从而制定出应对安全漏洞和威胁的安全策略、操作规程和制度文件，对原有的管理体系进行扩展补充。

2.2 安全计划

对各类风险进行分析，制定应急响应预案并提前进行演练。

2.3 定期审计

运维管理人员须对网络设备、服务器、应用系统、安全产品和用户终端定期进行检查、审计和评估，发现问题隐患并及时整改。

结语：综上所述，企业广域网的安全运行面临的威胁日益复杂，须同步进行安全防护技术和管理建设。广域网的安全防御是一个动态提升的过程，需要定期审计和评估，分析系统脆弱性和新的风险，调整安全策略，及时引入新的安全防护技术。