以风险隔离为核心的网络安全技术架构研究

尚遵义

（大连交通大学网络信息中心 辽宁省大连市 116208）

面对日益严峻的网络安全威胁，传统安全防范技术强调单一产品的功能且不能有效划分明确的网络防御层次和安全边界[1]，忽视统一安全规划，尤其是安全边界不清晰极易产生扩散性网络次生灾害，使原本局部入侵转变为对全网的威胁，产生不必要的影响和数据损失。

因此，为了有效应对网络安全威胁，需要深入分析和归类信息化资产，明确网络安全边界，建立不同安全等级资产的安全防护策略和纵深技术防御体系，阻止风险在不同安全域间移动。本文提出了传统网络安全架构改进的基本路线，从传统的分层次的防御模式向以风险隔离为重心的模式转变，最大化降低网络安全风险的威胁和影响。

1 风险安全域划分

1.1 网络边界划分原则和策略

网络安全防御范围包括基础网、数据中心、业务系统、用户端、移动端等多个保护区域。这些区域是在统一架构下紧密联系的整体，相互间既有垂直的直连纵向关系,又有横向的间接协作关系，每个区域都有各自的安全等级和安全目标，在网络安全边界划分时，遵循以下原则：

（1）核心业务损失最小化原则。将财务、一卡通、机要政务等核心业务与其它常规业务分离，甚至单向隔离，明确其在数据中心中的访问边界，明确安全信任域。

（2）业务和安全等级相近原则。网络安全域划分主要以安全等级相同、业务类型或功能相似的服务器、计算机、数据库、业务系统等为区分，安全域对应信任域。

（3）风险代价平衡原则。理论上安全域划分越多越好，风险区块细化，可以更为精细的实施控制策略，但同时会增加策略管理的复杂性，遇到调整时响应速度慢，因此需要在风险控制和管理代价间平衡，尽可能科学分类，在不增加风险的情况下减少安全域的分类数量。

1.2 风险安全域划分实例

图1为以高校为例划分的风险安全域，分为服务域和用户域，服务域进一步分为以基础设施为主的网络硬件、网络公共服务和以业务系统为主的各大类应用，用户域按照权限类别分为管理、教学、服务、对象、外协等五类，利用VLAN 和ACL 灵活实现用户群体与相应权限服务的访问，并且可以随时调整策略以满足不同时期的业务需要。

上述安全域的划分，归类相对科学，安全区域边界清晰，便于实施有差异的安全区域策略，减小安全事件发生时的影响范围和处理时间，每个区域可以分类部署不同的安全技术措施和安全设备，实施具有针对性的防护。

2 风险隔离的技术路线

安全域隔离技术可分两类，一类是物理隔离，在本实例中财务和一卡通系统利用网阐等单向传输装置实现与公共网的风险隔离，另一类是逻辑隔离，主要利用防火墙、VLAN、堡垒机、SSL 加密、VPN 隧道等技术实现网络资源的互访控制与隔离。本次研究重点在VLAN 技术和策略的应用，因为对于隔离目标而言，VLAN 是最接近物理隔离的逻辑隔离手段。传统的VLAN基于端口和IP划分，缺乏不同VLAN ID 组间差异逻辑定义，为适应上述风险安全域划分的灵活策略实施，采用MUX VLAN 和Super VlAN 技术开展隔离研究，图2、图3描述了两种VLAN 的结构。

2.1 MUX VLAN

MUX VLAN 由 主VLAN（Principal VLAN）和 从VLAN（Subordinate VLAN）组成，其中从VLAN 进一步分两类，即隔离型从VLAN（Separate VLAN）和互通型从VLAN（Group VLAN）。主VLAN 支持创建VLANIF 接口，接口IP 地址可以用作网关。主VLAN 接口可以和MUX VLAN 所有接口通信。隔离型从VLAN 接口只支持与主VLAN 接口通信。互通型从VLAN 接口支持与主VLAN 接口通信，同组VLAN 用户间亦可通信，不支持组间或与其它隔离型从VLAN 间通信。

2.2 Super VLAN

Super VLAN由多个Sub VLAN聚合而成，Super VLAN 作为逻辑聚合VLAN 可以创建VLANIF 但不包含物理端口，支持配置Super VLAN 接口IP 地址；SubVLAN 承载物理接入功能，Sub VLAN 间二层通信隔离，Sub VLAN 与外部的三层通信需借助Super VLAN 接口IP 地址作为网关才能实现[2]。同时，不同Sub VLAN内主机如需通信可通过在VLANIF接口开启Proxy ARP实现。

2.3 VLAN特性融合利用

在校园网办公区域，利用MUX VLAN 开展安全区域划分，借助主VLAN 接口与公共服务器通信、隔离型从VLAN 接口与外协用户通信、互通型从VLAN 接口与教职工用户通信，教职工用户可划分为多个互通型从VLAN，不同组间利用ACL 实现可控的互访或完全隔离，教职员工和外协用户可以与公共服务器通信，同组教职工内部互通、外协用户间隔离、教职工和外协用户间隔离，同时，外协用户实现了类似QINQ 的每端口隔离，避免了横向访问带来的安全风险。

在学生宿舍网区域，利用Super VLAN 将校园网最大的用户群体学生以学院或位置为界限分割成多个Sub VLAN，实现二层隔离，分割广播域，限制广播风暴，降低安全事件发生时横向传播的范围，由于所有的Sub VLAN 共享Super VlAN 的网关IP，可以极大程度上节省有限的IPV4 地址资源。

3 风险隔离技术架构设计

在用户级风险隔离基础上，将服务和行为隔离综合纳入统一框架，以完成整体风险隔离架构的设计，如图4所示。

3.1 用户隔离

即利用上述VLAN 技术将已划分的安全域进行逻辑隔离，同时利用终端准入、防火墙、VPN 实现不同层面用户的专属资源访问。

3.2 服务隔离

面向全校WEB 业务系统和DNS/WWW/FTP/IPTV/MAIL 等公共服务，通过HTTPS 建立加密隧道隔离中间人窃取或篡改、WAF隔离80 端口的应用层攻击、虚拟机FW 隔离虚拟机之间的非授权访问、SDN 隔离数据中心和虚拟化流量、网阐单向传输机制物理隔离外网攻击、主机受到未知攻击产生损失时可远程一键断网，上述服务隔离措施确保各项信息化服务安全风险可控。

3.3 行为隔离

部署堡垒机、上网行为管理、网站防篡改、主机加固等技术措施，一方面将网站和信息系统、路由交换等设备的后台维护界面与前台显示界面隔离，隔离所有未经授权的更新行为，记录所有管理员操作过程，可事后追溯[3]，另一方面对用户的上网行为进行管控诸如P2P 限流、下载限速、关键字过滤、游戏等应用时间控制等，从局端和用户端两方面保障运维和上网行为合规，降低人为操作和侵占资源风险。

4 结语

本文从风险隔离的角度对改进传统网络安全技术防御架构进行了研究，提出了安全边界的划分、风险隔离的技术路线，并在实践中做了有益的尝试。目前，网络安全架构的前沿在零信任网络（ZTNA），尽管目前落地案例很少，但“不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入系统的人/事/物进行验证”的思路无疑是具有前瞻性的，后续将继续开展在零信任网络领域的研究，不断提升网络安全技术防御水平。