摘要:在数字化浪潮下,工业互联网、云计算、大数据、物联网、人工智能等新技术新业务在企业中得到广泛应用。传统网络安全是以防火墙、杀毒软件和入侵检测为代表的网络安全防护体系,侧重于边界防护,安全产品之间缺乏信息共享和防护协同。然而,在新形势下传统边界安全的基础存在空间已经荡然无存。针对这一问题,文章设计了一款统一的网络安全平台,以数据为核心,在数据全生命周期中根据数据的不同场景提出防护解决方案,构建零信任架构,形成体系化的防御,让风险可视可控。
关键词:数字化;网络安全;等保2.0;数据保护;企业网络安全平台
中图分类号:TP393.08 文献标识码:A
文章编号:1009-3044(2022)05-0047-03
1 引言
随着网络规模的不断扩大,网络安全挑战愈发严峻。数据泄露、勒索病毒、挖矿木马等高危风险频发。特别是企业在推进数字化转型过程中,工业互联网、云计算、大数据、物联网、人工智能等新技术新业务的应用,网络安全防护边界模糊化[1],由此对网络安全提出了新要求。
传统网络安全防护平台保护的目标是关键基础设施,比如网络、服务器、存储设备等,采用的网络安全技术有防火墙技术、身份认证、访问控制和入侵检测等。在物理边界上部署防火墙,通过防火墙对进出内网和外网之间的数据进行检查。利用身份认证和访问控制用户访问。在这种分立的防护体系下,主要存在以下5个问题:1)安全产品之间缺乏信息共享和防护协同;2)默认边界内部都是安全的,防护主要针对外部;3)默认用户是合法的,经常出现信息化部门全员超级权限,缺少有效权限控制机制;4)以入侵行为特征为中心,缺乏对未知的威胁感知;5)缺少对数据泄露、权限滥用等行为的追溯及治理,企业迫切需要实现全面安全核查[2]。
在新形势下一些新安全思想出现,比如加强边界安全产品,重新构造边界面向资产保护和引入零信任体系等等[3]。这些思想侧重点不同,缺乏统一协调。根据企业网络面临的新问题,满足监管合规要求,更全面地预防风险、发现风险、更快速地处置风险。本文提出一套以数据保护为中心的网络安全平台体系,落实等保2.0对信息系统的安全保护要求,通过网络安全平台的整体设计对企业的核心业务进行重点保障,对重要数据进行有效管理,建设信息安全等级保护纵深防御体系。关键基础设施之所以成为关键基础设施不在于设备,而在于运行在基础设施上的业务和数据。数据保护是终极目标,有了这个认识,通过零信任架构让数据可视可控,最终使得数据保护成为确定性。
2 设计思路
顺应数字化潮流、推进数字化转型是许多中小型企业在时代趋势下的变革需求。数字化轉型的核心目标是“提高效率、优化资源、降低风险”,它的本质是以数字化技术为基础、以数据为核心、打通数据之间的互联互通,建立智能生产、科学管理的生态圈。因此实施基于数据的安全战略,分析各种数据场景的特点,明确网络安全防护的关键任务是网络安全管理的核心要素。
数据场景包含“数据存储、数据传输、数据使用、数据保护”,将核心目标与数据场景相结合,可明确网络安全平台的关键设计为“超融合数据中心、智能传输网络、安全云桌面、规范内部治理、纵深防御体系”。对应的框架如图1所示。
网络安全是一个动态的、不断完善的过程,没有一劳永逸的解决方案。企业可进一步结合自身的发展情况,关注网络安全需求的变化,一步步建设适合的网络安全平台。
3 解决方案
分析数据的不同场景,提出了不同的网络安全解决方案。
3.1 数据存储
传统企业数据存储的方式有DAS、NAS和SAN。DAS(Direct Attached Storage,直接外挂存储),是个人电脑中的存储,将外存储设备直接连到应用服务器上。NAS(Network Attached Storage:网络附属存储),应用服务器和存储服务器在同一个局域网内,直接通过以太网网络存取数据。SAN采用FC技术建立专用于数据存储的区域网络,将计算和存储分离,增强存储扩张的弹性。这三种技术都存在大量的资源孤岛,资源利用率低,导致业务承载成本高。同时基础资源扩展性差,无法提供快捷灵活的业务服务,缺乏弹性、运维工作量大。
随着云计算应用的推广,许多企业把数据搬到云上。业务上云后,安全边界模糊,企业缺少对应的安全解决方案。
在数字化转型的过程中,企业对数据中心业务系统的稳定性和连续性提出了更高要求。而传统架构下单机部署,硬件设备无冗余,业务连续性以及数据可靠性得不到保障,服务器或存储宕机时,都会导致业务长时间访问中断。
超融合解决方案基于“软件定义数据中心”的思想,通过虚拟化技术整合计算、存储、网络、安全等资源,替代传统的云数据中心基础设施,形成统一的资源池,实现计算和存储完全的资源整合、统一管理、调配和统一存储功能。超融合架构解决方案如图2所示。
数据中心只需部署超融合一体机和交换机即可快速搭建业务所需要的一切IT资源,新业务上线无须复杂冗长的设备采购流程,只需进行虚拟资源的分配即可实现新业务的快速上线,大幅度缩短了业务上线时间,使得业务更加灵活,最终提高资源利用率。超融合架构通过负载均衡、弹性IP、虚IP实现业务高可用。服务器虚拟化实现主机高可靠,主机宕机可漂移。Ceph分布式存储实现三副本,保障数据不丢失。在减少投资成本的同时,实现承载业务丰富、性能优良、可视化运维、数据安全可靠等功能。
3.2 数据传输
传统企业组网主要有VPN组网和MPLS专线组网。
VPN一般指虚拟专用网络。它的功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用,将企业的总部、分支机构、上下游合作伙伴、移动办公人员等连接起来的一项技术。这种组网方式的显著优势有:1)投入成本较低,VPN利用的是公共网络而建立的虚拟专网,企业无须花费高额的硬件设备、线路租赁、维护等费用;2)部署时间较快,VPN一般是由防火墙或者VPN网关等硬件设备来实现的,路由设备到位后,进行网络配置即可完成;3)可实现远程访问,无论是在外地出差还是在家中办公的用户,通过互联网连接VPN,即可访问企业的内网资源,为远程办公、移动办公提供技术基础。VPN的缺点也非常明显,由于VPN需要在互联网环境中创建加密虚拟隧道,因此其网络质量和稳定性不可控;同时也由于其穿越了互联网,因此存在被旁路监听的风险。随着企业应用场景的变化,尤其是疫情的原因,远程办公的场景爆发式增长,VPN业务体验不好、安全有隐患等弊端也逐渐凸显出来。
多协议标签交换(MPLS),是一种在开放的通信网上利用标签引导数据高速、高效传输的新技术。MPLS专线是运营商提供的一种基于MPLS技术的广域网服务专用线路,该线路为企业的专用通道,帮助企业总部和各分支之间互联,组建企业内部的数据传送网络。它的优点有:1)分支节点就近接入,节约本地专线费用,避免因跨地区、跨运营商造成的多网络连接的网络问题;2)具有很高的安全性,对用户透明,防止不同用户的数据被混在一起;3)组网简单,只要将客户的CE设备连接到运营商的网络边缘设备即可;4)可扩展性更高,但因价格高昂、部署周期长、运维复杂、难以规模化应用于云计算及SaaS等原因,在现代企业多样性的场景需求面前已捉襟见肘。上述两种组网模式的可视化和智能化程度不足,缺乏统一集中管理手段,导致总部及分支运维工作量巨大,分支组网安全薄弱,缺少专门的安全设备技术人员,难以满足监管合规要求。
以业务为核心,以IT为载体,要做到网络信息化水平升级。不仅要做到技术升级,还要做到管理升级、可靠性升级及安全合规,而SD-WAN具备灵活组网、快速部署、高性价比等诸多优势。在新形势新要求下,越来越多的企业选择了SD-WAN组网方案来实现智能化组网。SD-WAN,即软件定义广域网,利用SDN技术将网络的控制权集中管理起来,解决MPLS一系列问题而出现的一种新兴WAN广域网技术。它的主要优点有:1)提升访问体验,SD-WAN可以根据网络情况,实现链路无感知切换,保证访问质量;还可根据管理员的配置策略,实现流量的负载均衡,保证关键应用(如视频会议、OA系统等)或关键用户的链路质量和访问速率,实现业务高可用;2)部署简单,快速接入,SD-WAN支持硬件、软件、客户端等多种部署方式,可实现“零接触部署”;3)能够通过SD-WAN集中管理平台实现全网设备、链路、应用流量可视化管理,为用户打造智能、可靠的多线路广域网网络;4)“零信任”产品安全接入,集身份认证、风险感知、权限管控、传输加速等功能为一体,打造更加安全、简单的企业级远程办公环境。
3.3 数据使用
企业数字化转型速度逐渐加快,如何保护和管理企业的关键信息资产变得至关重要。由于传统PC模式采用分散化部署,数据存储于本地,企业敏感数据难以有效管控,存在严重法人数据泄密风险。同时难以匹配移动办公场景,运维效率低下,需要维护每一台设备的硬件、软件和数据,导致大幅影响工作效率。运营成本高,用户设备到达替换周期需全部换新,资源利用率低。
云桌面是基于服务器虚拟化和桌面虚拟化技术基础上的软硬件一体的私有云解决方案,是一种使用云终端设备通过网络去运行远端桌面的方法。安全云桌面向用户提供包含虚拟化管理平台、虚拟桌面控制平台以及受众端在内的整体解决方案,从而帮助用户降低投资和运维成本,更快速地实现虚拟桌面的部署,具有如下优点:1)保障数据安全,数据全部保存在服务器,普通用户无法接触核心数据;2)集中管控,保证性能和管控两不误;3)集中部署,减少维护,提升桌面服务水平;4)环保节能,使用方便。
3.4 数据保护
数据是企业最重要的资产,数据在带来巨大价值的同时,也引入了大量的安全风险与挑战。数据安全不仅关系到国家主权、安全和发展利益,而且关系到公民、组织的合法权益。“十四五”规划中,将“加快數字化发展建设数字中国”作为独立篇章,数据安全成为国家安全战略的一部分。为了规范数据处理活动,保障数据安全,建立数据分类分级管理制度,《中华人民共和国数据安全法》于2021年9月1日正式施行,这是我国首部数据安全领域的基础性法律[4]。
企业面临的主要数据安全威胁有数据泄露、数据破坏、隐私泄露、数据失控、数据滥用和数据丢失或损坏。依据业务战略、合规要求,明确数据安全保护的方针战略、治理的主题、制度,进行体系建设,围绕数据全生命周期,全面提升数据安全防护、数据安全治理和数据安全威慑能力。
不容忽视的一个事实是:越来越多网络攻击的源头来自机构内部。人员身份与资产信息难以梳理,权限管理工作量大,员工访问及上网权限难以精细化,存在内部泄密、账号共用等违规访问行为,公司缺乏合规审计手段。采用规范化的内部治理解决方案有:1)引入上网行为管理,实现上网行为管控和审计、内网统一接入认证及内网业务访问审计;2)部署终端检测响应平台EDR,通过预防、防御、检测、响应赋予终端更为细致的隔离策略、更为精准的查杀能力、更为持续的检测能力、更为快速的处置能力;3)引入云端运维管控,实时监测、深度分析数据泄密风险和内部业务违规风险,并及时预警;4)引入零信任、细粒度访问控制系统,加强对系统安全以及运维的控制力。对账号、授权、认证、访问、审计进行管理,聚焦人的身份、权限、行为,实现身份合法、权限合理、行为合规。
数据泄露、勒索病毒、挖矿木马等高危风险频频发生,外部高级威胁多而复杂,其攻击手法不断进化,为网络安全带来极大挑战。企业在安全建设中普遍缺乏对风险统一分析、定位、展示及快速处置的手段。针对这些问题,应引入体系化的纵深防御,通过体系的力量扭转攻防不对称,从而有效保障系统核心业务的安全。采用的措施有:1)在联网出口部署下一代防火墙AF+入侵防御系统IPS+网站应用防火墙WAF,保障内部PC和服务器安全防护。下一代防火墙提出了以业务资产保护为核心构建威胁抵抗边界的威胁分层治理模型,对已知、未知和高级威胁进行抵抗,持续升级威胁抵抗能力,以可进化的智能边界为用户提供更简单、更有效的安全保护。IPS(Intrusion Prevention System)入侵防御系统,是一种安全机制,能根据用户事先设置好的安全策略对流过的每一个报文进行分析,在发现威胁后立即进行响应,保护企业业务和数据不受损害。Web应用防火墙(Web Application Firewall,简称 WAF)为网站提供一站式安全防护,可以有效识别Web业务流量的恶意特征,在对流量进行清洗和过滤后,将正常、安全的流量返回给服务器,避免网站服务器被恶意入侵导致服务器性能异常等问题,保障网站的业务安全和数据安全;2)在所有服务器和终端安装终端检测响应平台EDR,实现病毒查杀终端微隔离,保障终端安全;3)云端基于SaaS方式提供集中运营管理平台,统一管理并实时更新安全设备,同时补充外部威胁情报,保障企业信息安全;4)基于流量分析的态势感知,基于整个会话进行关键元素、关键行为的动态关联分析,快速定位业务风险。
4 结论
数字化给企业带来前所未有的机遇,同时我们也应该清楚地认识到企业所面临的日益复杂严峻的网络安全形势。数据是企业最重要的资产,数据安全不仅关系到国家主权、安全和发展利益,而且关系到公民、组织的合法权益。将数据场景与核心目标“提高效率、优化资源、降低风险”相结合,以等级保护2.0标准建设基础安全防护体系,对安全防护薄弱系统进行整改,完善防御体系基础建设[5]。一个可行的网络安全平台的设计应为超融合数据中心、智能传输网络、安全云桌面、规范化内部治理、纵深防御体系的综合运用。
参考文献:
[1] 安恒信息.提高韧性、助力智慧企业网络安全建设振翼高飞[EB/OL]. [2021-08-20].https://www.dbappsecurity.com.cn/content/details792_2738.html.
[2] 深信服.运维安全管理系统白皮书[EB/OL]. [2021-08-20].https://www.sangfor.com.cn/info-center/document-center/document-list/002020200202002.
[3] 美创科技. 传统网络安全(边界)和新安全的思辨[EB/OL]. [2021-08-20].https://zhuanlan.zhihu.com/p/136730062.
[4] 全国人民代表大会. 中华人民共和国数据安全法[EB/OL]. [2021-08-20].http://ww.npc.gov.cn/npc/c30834/202106/7c9af1 2f51334a73b56d7938f99a788a.shtml.
[5] 王娇婷.辽宁广电行业网络安全态势感知平台研究与设计[J].电子世界,2021(24):67-68.
【通联编辑:代影】
收稿日期:2021-12-20
基金项目:2020年度高校国内访问工程师“校企合作项目”(FG2020328)
作者简介:郑文光(1975—),男,浙江衢州人,高级工程师,硕士,主要从事网络数据通信应用研究。