基于等级保护2.0的中小型企业网络安全建设研究

陈 勋，张德栋，赵英明，冯凯亮

（中国铁道科学研究院集团有限公司 电子计算技术研究所，北京 100081）

近年来，国内外的网络安全形势较为严峻，网络攻击的组织性和目的性愈加凸显。高级持续性威胁（APT,Advanced Persistant Threat）攻击逐步向重要行业渗透[1]，安全漏洞更加频繁地被利用[2]，勒索攻击威胁突破历史最高点[3]。中国于2020年首次超过美国、韩国、中东等国家和地区，成为全球APT攻击的首要地区性目标[4]，网络安全早已成为关系国家安全的重要领域。

我国在国家层面已开始提高对网络空间安全的重视，并陆续发布了《中华人民共和国网络安全法》《中华人民共和国密码法》《信息安全技术网络安全等级保护基本要求》（简称：等级保护2.0）等法律法规。国内的各行各业陆续开展网信自主创新产业，围绕核心芯片、基础硬件、操作系统、中间件、数据服务器等基础信息技术（IT,Information Technology）底层架构，逐步进行国产化设备替代。加强网络安全建设，优先采用国产化软硬件设备来实现网信安全可靠，已成为企业信息化建设的首要任务。

许多企业按照《信息安全技术信息系统安全等级保护基本要求》（简称：等级保护1.0）的要求，建成了网络安全防护体系。如今，满足等级保护1.0要求的网络安全防护体系已经不满足等级保护2.0的要求，且设备老旧，这使其无法满足日益增长的信息化安全和性能要求，因此，不少企业已经陆续启动网络安全改造工程的计划。目前，已有企业进行网络安全的相关学术研究，大部分是以等级保护1.0为标准，通过优化网络结构和部署各类网络安全设备来提升企业网络安全水平[5-6]；也有使用数据融合算法和云存储策略等方式强化云安全防护的研究[7]。但以等级保护2.0为建设目标，侧重未知威胁感知预警，满足企业园区网络环境、云平台、移动设备等企业全方位安全的研究成果较少。本文以此为目标，围绕通信网络、区域边界、计算环境、管理中心、云安全、移动安全等方面，提出满足当前与未来几年网络安全防护需求的建设方案。

1 网络安全现状与风险分析

各中小企业的网络架构与网络安全现状不尽相同。在网络架构方面，企业一般采用包含外网和内网的典型网络架构，其中，外网与互联网相连；内网包含企业重要的敏感信息，与互联网不相连。内网和外网之间通过网闸或物理方式进行隔离。在信息系统方面，企业一般在内外网都部署了信息系统，等级保护级别通常被定级为第二级或第三级，因此，本文按照等级保护2.0第三级的要求对企业所面临的网络安全风险进行分析。

1.1 安全通信网络

安全通信网络的风险主要包括以下方面。

（1）安全域划分：现有的安全域规划无法满足网络安全需求，主要体现在缺少集中的安全管理区域和开发测试区域。

（2）安全通信网络：部分关键节点缺少硬件冗余，存在单点故障的风险。

（3）网络性能：网络链路存在部分设备没有部署双机的情况。

（4）设备国产化：关键链路存在采用国外网络设备的情况。

1.2 安全区域边界

安全区域边界的风险主要包括以下方面。

（1）在安全区域之间的边界防护方面，没有确保每个区域之间设置访问控制手段。现有防火墙的访问控制列表无法保证控制规则最优化和规则数量最小化。

（2）终端接入区攻击行为的检测与报警手段缺失，整个网络缺少对未知威胁攻击的检测与分析手段。

（3）网络的关键节点缺少重要的安全事件审计手段。

（4）有线网络与无线网络的边界之间缺少无线接入网关，使有线流量与无线流量混在一起无法区分。

（5）无线网络的边界缺少非授权接入及攻击检测手段。

（6）部分边界防护系统存在采用国外安全设备的情况。

1.3 安全计算环境

安全计算环境的风险主要包括以下方面。

（1）身份认证：虽然能够为部分系统提供双因子身份认证，但是缺少为整个网络提供双因子认证的身份鉴别措施。

（2）脆弱性检查：缺少对关键节点的网络设备、安全设备、服务器的安全基线检查和漏洞检查手段。

（3）数据安全：缺少对数据库的安全审计措施。

（4）应用安全：缺少网页防篡改的自动恢复手段。

1.4 安全管理中心

安全管理中心的风险主要包括以下方面。

（1）审计：缺少能够对系统管理员、审计管理员和安全管理员进行身份鉴别和运维操作的审计措施。

（2）集中管理：缺少对网络链路、安全设备、网络设备、服务器等运行状况进行集中监测和管理的技术手段。

1.5 云安全防护

云安全防护存在防护能力不足的问题，缺少对云服务客户发起的网络攻击行为、虚拟网络节点发起的网络攻击行为的检测与审计能力，缺少对虚拟机与宿主机之间、虚拟机与虚拟机之间异常流量的检测能力。

1.6 移动应用安全防护

移动应用安全防护在移动终端的接入安全、移动环境安全方面缺少相应的安全防护手段。

2 总体设计原则

中小型企业园区网络安全的设计应遵循以下设计原则。

2.1 强化边界监管

中小型企业通过细化边界防护系统的访问控制粒度来强化边界防护，坚决不允许不符合安全策略的流量通过。

2.2 严控终端安全

多份调研报告表明，由于防护不当，终端设备极易成为攻击者渗透进入企业网络的跳板。中小型企业通过严格防护终端设备的安全，保障终端设备合规入网，以减少网络攻击的渗透点。

2.3 定期检查漏洞，做好基线核查

网络攻击往往针对系统的脆弱点，因此，中小型企业可以通过定期检查并修复漏洞，堵住系统存在的各类安全隐患。同时，中小型企业也要做好基线配置核查，修复系统的脆弱点。

2.4 紧盯异常流量

当发生攻击时，攻击行为将会体现在流量的异常变化上。中小型企业可以通过监测并发现异常流量，及时采取措施，以防范恶意攻击。

2.5 态势集中研判

中小型企业可以通过建立集中安全管理平台，结合外部安全情报，对安全威胁实时分析，实现安全态势的集中研判。

3 建设方案设计

3.1 建设目标

通过对网络进行改造，以达到满足网络安全相关法律法规的基本要求为目标，根据国内外网络安全威胁的发展趋势，提出适用于中小型企业网络安全建设的方案。所提方案能够优化网络结构与配置，强化网络边界，构建基于计算环境安全、应用安全、网络边界安全、集中管控为一体的“一个中心，三重防护”安全防御体系。中小型企业通过本文所提方案建设符合等级保护2.0第三级要求的网络安全架构，建成网络安全威胁自动分析、安全漏洞实时检测、威胁情报通报共享、安全策略集中管控、防护措施协同联动、安全事件预警及时的安全防御机制。

3.2 总体架构

中小型企业的网络安全设计思路应遵循我国网络安全的相关法律法规，依据等级保护2.0的建设规范，建立以计算环境安全为基础，以区域边界安全、通信网络安全为保障，以安全管理中心为核心的网络安全整体保障体系，建立态势感知平台和集中管理平台，实现从事后分析向主动防御、动态防护、整体防控、精准防护推进。网络安全整体设计框架如图1所示，本文基于该框架提出可改进安全防护能力的网络安全建设方案。

图1 网络安全整体设计框架

3.3 建设方案

3.3.1 安全通信网络

（1）安全域改造

假设原网络区域包括边界接入区、服务器区和终端接入区。在此基础上，将内外网服务器区的开发测试环境划分为独立的开发测试区，以便使生产环境与开发测试环境相互隔离，避免开发测试行为影响生产环境。通过测试的数据才能迁移到生产环境，以保障生产环境数据的安全性。同时，规划安全管理区、核心交换区和带外管理区，其中，安全管理区集中部署用于网络安全管理的设备或系统；核心交换区是各个安全区域的网络数据汇聚区域，以便进行安全监测；带外管理区用于收集可能产生大流量的监控数据，以及用于网络安全运维管理，运维流量单独隔离可减少对业务流量的影响。在各个安全区域边界均部署防火墙，通过安全策略进行访问控制。

（2）关键设备冗余设计

对汇聚交换机、区域边界防火墙、核心交换机、入侵防御系统（IPS，Intrusion Prevention System）、网站应用级防护系统（WAF，Web Application Firewall）等各区域核心节点均采用硬件冗余设计，保障高可用性。

（3）性能保障

对于年代久远、性能不足的设备，将它们替换成高性能、支持高带宽的设备。在品牌选择上，以成熟度较高的国产品牌为主，确保自主安全可控。

（4）VPN流量防护

中小型企业的虚拟专用网络（VPN，Virtual Private Network）设备在部署上可以进行优化，将VPN加密机旁路部署在边界接入区的防火墙，并在防火墙后端串联部署IPS，确保VPN流量经过解密后，由IPS进行攻击流量检测。

3.3.2 安全区域边界

（1）入侵检测与入侵防御

除在上述边界接入区部署IPS用来抵御来自互联网的网络攻击外，还分别在内网和外网服务器区的边界部署IPS，用以抵御来自内部的网络攻击。同时，在外网终端接入区的无线网络边界部署IPS作为安全防护网关，使无线网络的流量与有线网络的流量区分开，以抵御无线网络攻击。

（2）网络流量审计

分别在外网的核心交换区、服务器区、终端接入区和内网的核心交换区、服务器区部署网络流量分析器（也称流量探针），对已知和未知威胁进行检测和分析，为态势感知平台和威胁分析平台提供数据来源。

（3）应用边界防护

传统VPN提供粗粒度的访问控制，一般只提供身份鉴别信息的保护，一旦通过验证，整个内部网络将被暴露给访问者。身份鉴别信息若因保管不善落入攻击者手中，企业的整个网络相当于开放给了攻击者。因此，在边界接入区部署软件定义边界（SDP，Software Defined Perimeter）系统，为园区外的员工提供远程访问应用系统服务。SDP系统可以实现基于用户、设备、应用的细粒度访问控制[8]，达到最小化特权的目的，对所有的远程访问以零信任的态度进行不间断、持续强化地身份验证，并监控其访问行为。

（4）违规接入检测

在内网的安全管理区部署“一机两网”检测设备，通过主动探测技术进行边界安全检测，保障网络边界的完整性，实现专网专用，杜绝“一机两网”现象的发生。

（5）终端准入控制

在内外网的安全管理区部署网络准入控制系统，并且在全网接入层交换机配置准入控制策略，使所有入网的设备经过网络准入的控制，实现对非授权设备私自联到企业网络的行为进行检查和限制，并且实现对已授权入网的设备、关联人员和安全事件的绑定。

3.3.3 安全计算环境

（1）身份鉴别

在外网部署动态口令（OTP，One Time Password）认证引擎，通过为每个用户分配不同的身份种子，实现服务器端与客户端在同一时刻计算出用于验证的动态口令，也为各系统认证模块提供基于密码运算的第二因子身份认证服务。同时，建设统一认证与授权系统，实现各信息系统的认证与双因子认证的集成，并对用户访问信息系统的授权进行统一管理。

（2）应用安全

在内外网的服务器区部署WAF，通过对应用层的攻击进行拦截，实现信息系统的防护。同时，在外网的安全管理区部署网页防篡改系统，实现网页的完整性检测与自动恢复；部署安全基线核查系统，对操作系统、网络设备、数据库、中间件等多类设备及系统的不合理或不安全配置进行核查并汇总报告与加固建议；并在内外网的安全管理区部署漏洞扫描系统，定期对服务器进行漏洞扫描，使漏洞得到及时检测、跟踪、修复。

（3）数据库审计

在内外网的服务器区旁路部署数据库审计系统，对数据库的操作行为进行审计与分析，防止内部人员违规访问数据库。

3.3.4 安全管理中心

（1）防火墙集中管理

通过部署防火墙集中管理平台，对全网防火墙的访问控制策略进行静态和动态分析，使访问控制策略最小化与最优化，并实现对防火墙的统一管理[9]。

（2）集中安全管理

在内外网的安全管理区部署网络运维管理系统，对网络链路、安全设备、网络设备、服务器等设备的运行状况进行集中监测和配置管理；在带外管理区部署安全威胁分析系统[10]，通过带外管理链路收集各个网络区域的流量探针所采集的流量审计数据，并进行分析处理，实现对网络中已知和未知威胁的检测。同时，在内网的安全管理区部署安全态势感知平台[11]，收集安全威胁分析系统的数据，以及各个安全设备、网络设备、服务器等系统采集的审计数据，全面掌握中小型企业网络安全态势的威胁、风险和隐患，及时预警重大网络安全威胁。

（3）运维审计

通过在内外网的安全管理区部署堡垒机，对运维人员进行身份鉴别、账号授权，以及对运维操作的审计，实现事中监控、事后取证。

（4）日志审计存储

为了达到《中华人民共和国网络安全法》关于日志记录需留存不少于6个月的要求，增加日志审计的存储设备，用以存储网络运行状态、网络安全事件等数据。

3.3.5 云安全防护

在内外网的服务器区部署云安全平台，通过提供云WAF、云IPS、云防火墙、云审计等功能，对云计算环境中南北向（数据中心内外网之间的方向）、东西向（数据中心内部之间的方向）的流量进行检查、审计和防护，提升面向云环境的综合安全防护能力。

3.3.6 移动应用安全防护

通过在外网的安全管理区部署移动安全管理平台，实现对安装客户端的移动设备进行安全管理。移动安全管理平台能够为关键应用提供安全且隔离的运行环境，同时，通过用户无感知的加密隧道，实现互联网环境下移动应用安全接入企业内网，防止数据泄露，为企业员工提供一个安全的移动办公环境。

4 关键技术

4.1 网络准入控制

目前的网络准入控制从技术层面包括基于802.1x标准、动态主机配置协议（DHCP，Dynamic Host Configuration Protocol）、策略路由器、虚拟网关、地址解析协议（ARP，Address Resolution Protocol）、TCP重置报文技术（TCP RST）等[12]，这些准入控制技术各有利弊[13]。信息系统与数据存储系统存储着大量的重要数据，因此，企业希望网络准入控制技术在保护好重要数据的同时，能够方便员工和来访人员使用互联网。本文所提方案将有线网络与无线网络分开，其中，无线网络直接由专线提供互联网访问，并禁止访问企业的内部网络；有线网络则通过强绑定与强认证的准入控制实现安全准入。基于802.1x标准的网络准入控制技术是较为合适的选择，通过交换机等网络基础设施支持基于802.1x标准认证服务。常用的桌面型操作系统也支持的802.1x标准认证服务，可以实现员工账号、终端设备的多媒体接入控制（MAC，Media Access Control）地址、员工身份绑定等功能。这些技术都可以实现网络的准入控制，并且不影响网络使用的便携性。

4.2 安全态势感知

安全态势感知平台主要由网络流量分析器和态势处理系统组成。部署在网络核心结点的流量探针采集来自流量监测、各类安全系统、信息系统监测等多源数据，通过数据过滤、数据格式标准化、数据关联信息补齐等处理，将采集的数据汇集到可检索型数据库进行数据存储。数据分析系统对统一格式后的数据进行分类、关联、聚类、回归等大数据处理，并通过多维态势可视化技术给予安全态势展示，实现安全态势感知、资产安全评估、安全状况预警等功能。

本文部署的安全态势感知平台，能够帮助企业及时发现各类已知与未知威胁，抵御逐年增加的漏洞利用、勒索威胁、APT等攻击，及时发现并修复潜在的安全风险。该平台可以为企业提供全面的安全评估，以及攻击发生时提供及时预警。

4.3 防火墙策略优化

防火墙策略优化是安全管理中心的重要功能之一，本文通过策略审计技术来实现防火墙策略的优化。策略审计技术的静态分析和动态分析技术可以优化已配置的防火墙策略，其中，静态分析可检测策略中屏蔽异常、冗余异常、交叉异常等未知问题[14]；动态分析则通过一定时长的流量监测分析出过宽策略、频次为零的策略。防火墙策略审计技术可以优化企业各个防火墙的安全策略，既能满足等级保护2.0中关于访问控制规则数量最小化的要求，又能提高防火墙的边界防护性能，同时，还能减少大量的运维成本，降低因安全策略配置不当造成的损失。

5 结束语

在企业从等级保护1.0向等级保护2.0升级所进行的网络升级改造背景下，本文分析总结中小型企业网络所面临的共性问题，根据等级保护2.0第三级的要求，提出可供中小型企业参考的网络安全建设方案。该方案不仅可以满足国家法律法规的合规性要求，还能为企业信息化打造一个高可靠的纵深防御体系，减少来自外部和内部的网络安全威胁，降低因网络安全事件所带来的经济损失风险。