熊 龙 冯井荣
(云南师范大学文理学院 云南·昆明 650221)
根据等保2.0的要求,结合我校的实际情况,此次网络安全防护体系升级改造的总体规划目标确定为:建立覆盖我校多个校区的“可信、可控、可管”的统一完备的网络安全防护体系。该防护体系将覆盖网络安全相关的信息化软硬件设施的物理环境安全、网络与通信安全、网站与信息系统安全、智能化系统安全、物联网系统安全、各类计算机及移动终端安全、摄像头及显示系统安全、移动互联网应用安全、云计算与云服务安全、新媒体应用安全、数据安全及个人隐私信息安全等各个方面,并充分考虑这些系统相关的安全通用要求和安全扩展要求。
最新等保2.0要求“一个中心,三重防护”,即:一个中心是指安全管理中心,三重防护是指通信网络防护、区域边界防护、计算环境防护。因此网络安全规划和设计也将围绕这四个要点来展开。
安全中心建设的重点是对安全统一管理与把控,集中分析与审计,定期识别漏洞与隐患。安全管理中心设计,要求做好:安全管理中心、安全建设管理、安全运维管理。安全管理中心主要包括系统管理、审计管理、安全管理、集中管理;安全建设管理主要是指导测试和验收;而运维管理主要是及时发现漏洞和风险管理。具体有以下技术或手段可供参考:
(1)依照“三权(管理员、审核员、审计员)”分离的原则,划分不同管理角色,并提供集中的身份鉴别、访问授权和操作审计;
(2)通过网络软件、运维系统等对网络和信息基础设施的运行状况进行集中监控;
(3)通过日志审计系统,把分散在网络中的审计数据进行收集汇总,然后进行集中分析,对网络中存在的安全隐患进行事前、事中、事后处理;
(4)对安全策略、恶意代码、补丁升级等进行集中管理;
(5)部署态势感知和安全运营平台,支撑安全监测、分析、预警、响应、处置、追溯等安全管理和运维工作。
图1:安全管理中心规划示意图
网络区域划分高校平常也在使用,最常见的就是基于VLAN技术划分,少部分有能力的高校采用的是防火墙技术划分。网络区域划分可以从以下几个方面来划分:
(1)基于防护等级:把安全等级要求相同或相近的业务或重点,划分到一个区域,比如典型的内网服务器、DMZ服务器等;
(2)基于业务类型:比如Web应用、DB数据库应用、App应用,可以划分在不同区域;
(3)基于网络功能:比如办公楼、教学楼等可以划分到不同区域;
(4)基于应用群体:可以划分为教师、学生和领导,分别划在不同的区域。
无论如何来划分不同的网络区域,重要的还是要做好不同区域间的边界划分,在核心区域与其他区域可以使用网闸或者防火墙做好隔离。
图2:网络区域规划示意图
安全网络可以理解为可信赖的网络环境或者说传输过程中安全的网络,主要可以从两个层面来理解,一是网络系统的安全,即硬件和软件的安全;二是网络中传输的各类信息安全。可以从以下几个方面来对计算机网络安全进行考虑,即网络的可靠性、网络的可用性、网络的保密性和网络的完整性。在设计时候需要考虑以下几个方面的问题:
(1)满足业务发展需求。路由器、交换机、防火墙等网络和安全设备业务处理能力满足业务高峰期需要。在设备选型时,既要考虑当前应用的实际,也要考虑未来业务扩展。
(2)网络的可用和可靠性。在通信线路、关键网络设备和关键计算设备的规划设计上,可以采用双链接双核心、双电源双引等冗余设计,确保网络关键点不存在单点故障风险(待斟酌)。
(3)区域安全性。重要网络区域与其他网络区域之间采取可靠的技术如:VLAN、防火墙等技术进行隔离。
(4)充分考虑网络的完整性和保密性。在网络设计中,使用加密技术和手段来保证数据不被截取和修改。
图3:安全通信网络设计示意图
拟定级的系统的安全计算环境边界,即本文所述的安全区域边界,是安全的计算机环境与通信网络之间的分界,其主要功能是实现连接,并对安全计算环境和通信网络间实现连接的相关部件。在边界设计时需要考虑的问题较多,具体建议如下:
(1)各区域间边界的访问及其控制。在边界设置时,要考虑设置自主和强制访问控制机制,通过定制与访问要求相适应的控制策略,从而控制安全区域进出边界的数据,对非授权访问进行必要的控制。
(2)区域边界过滤。通过对数据包的源地址、目的地址、传输层协议以及请求的服务等定制控制策略,对上述信息进行检查,从而确定是否对该数据包放行或者丢弃。
(3)区域边界安全审计。由安全管理中心集中对安全区域边界日志进行审计,以便检查和发现违规行为,并对违反相关审计规则的情况进行相应的处理。
(4)区域边界完整性保护。通过在区域边界设计如外接探测软件一类的探测器,对非法连接到外部或非授权访问进行探测,并在第一时间向安全管理中心报告。
具体来说,要做好以下几个事项:
(1)通过认证系统来避免(杜绝)非授权设备私自连接到内部网络,确保只有合法授权的设备能够访问内部网络;
(2)通过上网行为审计,对可能存在的外部设备非法访问内部网络或内部用户非法访问外部网络等行为进行侦测,对进出网络的数据流实现基于应用协议和应用内容的访问控制;
(3)在关键网络节点处安装和部署入侵检测系统,检测和防御各种网络攻击行为;
(4)对于 APT攻击,可以关键网络节点处安装和部署APT,对各种恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞(0-day)利用行为的检测,对网络攻击尤其是新型网络攻击行为进行检测分析;
(5)对于邮件病毒、内部或外部垃圾邮件的防治,可以在邮件服务器上部署安全邮件网关;
(6)事后追溯。需要安装和部署日志审计系统,对用户的网络访问行为进行收集、审计和分析。
安全计算环境包括以下内容:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护和个人信息保护等方面的内容。通常采取以下措施来提高计算环境的安全性:
(1)身份鉴别可以采用口令或生物技术结合密码技术对用户进行身份鉴别,(单因子或多因子身份认证);
(2)采用基于角色/属性或安全标记的访问控制技术对操作系统、数据库、应用用户进行权限管理(用户权限访问控制可用认证系统或者堡垒机实现);
(3)对可能产生重大影响的用户行为和安全事件进行集中审计(主机或服务器端的行为审计,常见的是堡垒机/终端安全管理系统);
(4)采用漏洞检测、终端管理结合补丁管理、终端威胁防御、主动免疫可信验证和主机加固等技术保障终端及服务器等计算资源的安全(漏扫、终端安全管理系统、主机加固软件等);
(5)采用密码技术和容灾备份技术等保障重要数据的完整性、保密性和可用性(数据加密和容灾备份);
(6)网页防篡改(常用WAF来保障);
(7)敏感数据和个人信息保护(等保2.0把个人信息安全也纳入其中,常见实现方式为认证和加密)。
序号 等保所需要产品与服务 等保二级 等保三级1 防火墙 是 是2 入侵检测 是 是3 日志审计 是 是4 漏洞扫描 是 是5 上网行为管理 是 是6 WFA应用防火墙 否 是7 堡垒机 否 是8 数据库审计 否 是9 网站防篡改 否 是10 运维管理系统 否 是11 网络版杀毒软件 是 是12 未知威胁防御 否 是13 安全流量分析 否 是14 等保一体机 否 是15 垃圾邮件网关 否 是16 沙箱系统 否 是17 态势感知 否 是18 终端准入系统 否 是19 VPN网关 否 是20 虚拟化安全系统 否 是21 网闸 否 是22 动态防御系统 否 是23 网站监测预警系统 否 是24 备份与恢复系统 否 是
图4:最终网络拓扑图
实践表明,基于网络安全等级保护2.0标准的多校区高校网络安全防护体系的规划、设计及在我校的成功实施,提高了我校的网络安全防护能力,促进了我校网络安全稳定运行,取得了良好的社会效益和经济效益。随着整个网络安全防护体系的持续运行和不断完善,将继续推进等保2.0在我校网络安全领域的落地实施,为我校网络安全奠定更加坚实的基础。