陳天翔

摘 ? 要：黑客滲透與網(wǎng)絡(luò)安全防御像矛與盾，隨著技術(shù)領(lǐng)域的日新月異，黑客滲透的方法也層出不窮。網(wǎng)絡(luò)安全防御就像安全鏈環(huán)環(huán)相扣，文章從網(wǎng)絡(luò)區(qū)域規(guī)劃、安全接入控制、網(wǎng)絡(luò)設(shè)備安全、服務(wù)器應(yīng)用安全、數(shù)據(jù)備份恢復(fù)、安全制度、容災(zāi)災(zāi)備演練等環(huán)節(jié)，分析構(gòu)筑中小單位網(wǎng)絡(luò)安全多維防御體系策略。

關(guān)鍵詞：局域網(wǎng);校園網(wǎng);網(wǎng)絡(luò)安全;邊界安全;網(wǎng)絡(luò)區(qū)域;數(shù)據(jù)安全

據(jù)查“網(wǎng)絡(luò)黑產(chǎn)”規(guī)模巨大，黑客滲透與攻擊行為晝夜不停，中小單位網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻。依照GB/T 22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，GB17859—1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，GB/T 20984—2007《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》，GB/T28448—2012《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等法規(guī)要求，構(gòu)筑環(huán)環(huán)相扣的安全鏈、構(gòu)筑網(wǎng)絡(luò)安全多維防御體系意義重大。

1 ? ?網(wǎng)絡(luò)區(qū)域劃分與作用

對(duì)局域網(wǎng)在物理與邏輯進(jìn)行區(qū)域細(xì)分，可實(shí)現(xiàn)便捷管理或快速排故。區(qū)域劃分按照拓?fù)浠蚬δ苓M(jìn)行安全區(qū)域劃分、VLAN劃分和IP劃分，作用明顯。（1）安全邊界清晰明確，便于按需添加安全設(shè)備。（2）便于制定合理的邊界安全策略。（3）便于管理及快速排故檢修定位。

局域網(wǎng)區(qū)域劃分如圖1所示，①是互聯(lián)網(wǎng)運(yùn)營(yíng)商區(qū)域，局域網(wǎng)出入口就是接入該區(qū)域。②③④是連接互聯(lián)網(wǎng)出口區(qū)域，由安全設(shè)備、路由器、核心交換機(jī)等組成。⑤⑥是有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)區(qū)域，由匯聚、接入、AP等網(wǎng)絡(luò)設(shè)備組成，該區(qū)域中VLAN劃分IP網(wǎng)段劃分遵循最小夠用為原則，要求配置嚴(yán)格訪問(wèn)控制列表（Access Control List，ACL）策略。⑦局域網(wǎng)內(nèi)邊界安全區(qū)域，在服務(wù)器與局域網(wǎng)內(nèi)其他區(qū)域間實(shí)現(xiàn)內(nèi)網(wǎng)邊界安全，作用是對(duì)網(wǎng)絡(luò)重點(diǎn)區(qū)域進(jìn)行安全防護(hù)，確保局域網(wǎng)中重點(diǎn)區(qū)域網(wǎng)絡(luò)安全。⑧⑨服務(wù)器區(qū)域由Web服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、存儲(chǔ)服務(wù)器、虛擬化管理服務(wù)器等組成，是單位網(wǎng)絡(luò)中重點(diǎn)保護(hù)的區(qū)域。

2 ? ?安全接入控制

安全接入控制也叫網(wǎng)絡(luò)準(zhǔn)入控制，作用是防止計(jì)算機(jī)等非授權(quán)的終端接入局域網(wǎng)。黑客攻擊主要來(lái)自互聯(lián)網(wǎng)，就是圖1中通過(guò)①②③④鏈路來(lái)滲透，該鏈路部署安全設(shè)備能起到防護(hù)作用。如果黑客滲透是來(lái)自有線或無(wú)線內(nèi)網(wǎng)時(shí)，網(wǎng)絡(luò)則會(huì)存在重大安全隱患。

安全接入控制就是在局域網(wǎng)內(nèi)，對(duì)有線、無(wú)線接入進(jìn)行驗(yàn)證。方法是在各層級(jí)網(wǎng)絡(luò)設(shè)備中配置網(wǎng)絡(luò)安全策略，對(duì)接入設(shè)備的“接入端口，IP地址，MAC地址”進(jìn)行一一對(duì)應(yīng)驗(yàn)證，來(lái)實(shí)現(xiàn)內(nèi)網(wǎng)接入控制。還要對(duì)權(quán)限很大的超級(jí)用戶進(jìn)行嚴(yán)格接入管控，要求必須全程以安全殼協(xié)議（Secure Shell，SSH）加密方式運(yùn)維管理，禁用默認(rèn)管理員賬號(hào)，嚴(yán)格限定網(wǎng)管技術(shù)人員接入地點(diǎn)范圍、IP數(shù)量，最終實(shí)現(xiàn)內(nèi)網(wǎng)全方位接入管控。

3 ? ?服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)與數(shù)據(jù)安全

服務(wù)器是重點(diǎn)保護(hù)的區(qū)域，需禁用默認(rèn)超級(jí)用戶賬號(hào)，啟用嚴(yán)格密碼安全策略，禁用遠(yuǎn)程桌面，僅開啟必須的端口，關(guān)閉不需要的服務(wù)，服務(wù)器操作系統(tǒng)與應(yīng)用架構(gòu)的補(bǔ)丁都要更至最新，僅安裝必要的服務(wù)器組件與應(yīng)用，Web應(yīng)用采用安全套接層協(xié)議（Secure Sockets Layer，SSL）加密方式訪問(wèn)，Web應(yīng)用文件夾訪問(wèn)權(quán)限，應(yīng)配置以最小夠用為原則。

數(shù)據(jù)安全歷來(lái)都是重中之重，數(shù)據(jù)安全包括應(yīng)用系統(tǒng)本身和配套數(shù)據(jù)庫(kù)兩個(gè)方面。數(shù)據(jù)庫(kù)系統(tǒng)安全要求：（1）啟用嚴(yán)格密碼安全相關(guān)策略，確保數(shù)據(jù)庫(kù)系統(tǒng)賬號(hào)密碼安全。（2）制定完全數(shù)據(jù)庫(kù)備份策略，備份數(shù)據(jù)庫(kù)容量較大時(shí)，可采用壓縮軟件對(duì)備份壓縮保存。筆者實(shí)際驗(yàn)證，壓縮前容量為2 480 MB，壓縮后容量為367 MB，壓縮后容量為原容量的14.8%，編寫自動(dòng)化腳本還可以實(shí)現(xiàn)高效異地備份。必須進(jìn)行數(shù)據(jù)庫(kù)備份、Web應(yīng)用系統(tǒng)備份，同時(shí)還要進(jìn)行離線備份、異機(jī)或異地備份，以確保在極端情況下有效恢復(fù)應(yīng)用系統(tǒng)和數(shù)據(jù)庫(kù)，保障業(yè)務(wù)系統(tǒng)連續(xù)性。服務(wù)器硬盤建議n-1塊硬盤設(shè)置radi5，余下1塊硬盤熱備。利用先進(jìn)的vCenter虛擬、存儲(chǔ)等技術(shù)，可實(shí)現(xiàn)對(duì)服務(wù)器操作系統(tǒng)進(jìn)行完全備份、增量備份、異地備份等功能。

數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)的加密保密也是數(shù)據(jù)安全重要組成部分。近年來(lái)，國(guó)內(nèi)知名網(wǎng)站數(shù)據(jù)被拖庫(kù)消息頻出，被拖庫(kù)中的數(shù)據(jù)沒(méi)有加密，導(dǎo)致巨量敏感數(shù)據(jù)泄露。數(shù)據(jù)加密手段已經(jīng)很成熟，數(shù)據(jù)加密技術(shù)手段不再展開討論，對(duì)于中小單位而言，要重視應(yīng)用系統(tǒng)數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)加密工作的推進(jìn)。設(shè)備有價(jià)，數(shù)據(jù)無(wú)價(jià)，在以數(shù)據(jù)為中心的大數(shù)據(jù)時(shí)代，按照需求科學(xué)規(guī)劃，確保數(shù)據(jù)萬(wàn)無(wú)一失，確保數(shù)據(jù)庫(kù)中敏感數(shù)據(jù)不流失、不泄密，保障數(shù)據(jù)的安全性與保密性任重道遠(yuǎn)。

4 ? ?網(wǎng)絡(luò)安全攻防容災(zāi)災(zāi)備演練

信息網(wǎng)絡(luò)安全應(yīng)急演練，也叫容災(zāi)演練、災(zāi)備演練。事先按照技術(shù)規(guī)劃災(zāi)備預(yù)案來(lái)進(jìn)行推演，可先沙盤級(jí)推演，按照權(quán)重從高到低有針對(duì)性推演。

（1）網(wǎng)絡(luò)安全法強(qiáng)制要求相關(guān)，單位網(wǎng)絡(luò)要符合網(wǎng)絡(luò)安全等保的等級(jí)要求。應(yīng)依法借助第三方權(quán)威安全測(cè)評(píng)機(jī)構(gòu)，主動(dòng)定期對(duì)整個(gè)局域網(wǎng)各個(gè)層面環(huán)節(jié)進(jìn)行滲透與測(cè)評(píng)，對(duì)于發(fā)現(xiàn)的問(wèn)題及時(shí)整改，以達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求。（2）網(wǎng)絡(luò)設(shè)備數(shù)量相對(duì)較多，事先需要對(duì)網(wǎng)絡(luò)安全、交換路由、無(wú)線等設(shè)備的配置文件進(jìn)行備份，有計(jì)劃地進(jìn)行網(wǎng)絡(luò)設(shè)備配置文件恢復(fù)性演練，對(duì)網(wǎng)絡(luò)設(shè)備廠商提供備件相應(yīng)能力進(jìn)行演練。（3）在服務(wù)器層面上，對(duì)服務(wù)器、Web系統(tǒng)應(yīng)用、數(shù)據(jù)庫(kù)系統(tǒng)等進(jìn)行災(zāi)備演練。（4）在數(shù)據(jù)安全層面上，對(duì)應(yīng)用系統(tǒng)架構(gòu)平臺(tái)、應(yīng)用系統(tǒng)程序本身和數(shù)據(jù)庫(kù)備份進(jìn)行容災(zāi)協(xié)同恢復(fù)演練。

按需求科學(xué)規(guī)劃，進(jìn)行網(wǎng)絡(luò)安全攻防容災(zāi)災(zāi)備預(yù)案推演和實(shí)戰(zhàn)演練，才能驗(yàn)證系統(tǒng)規(guī)劃架構(gòu)和容災(zāi)災(zāi)備預(yù)案是否有效，是否達(dá)到規(guī)劃效果，管理人員和技術(shù)人員是否具備容災(zāi)災(zāi)備操作割接系統(tǒng)、業(yè)務(wù)場(chǎng)景恢復(fù)、廠商配套備件供給、時(shí)間響應(yīng)等方面能力的驗(yàn)證，只有經(jīng)過(guò)演練驗(yàn)證的安全多維防御體系是穩(wěn)定可靠、值得信任的。

5 ? ?網(wǎng)絡(luò)安全管理制度建設(shè)

制度建設(shè)是構(gòu)筑網(wǎng)絡(luò)安全多維防御體系的重要一環(huán)。只有依法成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組、工作小組、技術(shù)保障小組，配套落實(shí)費(fèi)用保障，才能使得構(gòu)筑中小單位網(wǎng)絡(luò)安全多維防御體系成為可能。構(gòu)筑中小單位網(wǎng)絡(luò)安全多維防御體系不僅是技術(shù)人員的工作，也涉及單位全體員工，同時(shí)建立完備的網(wǎng)絡(luò)安全制度是網(wǎng)絡(luò)安全法的要求。參照國(guó)家《網(wǎng)絡(luò)安全法》，就中小單位而言，網(wǎng)絡(luò)安全管理規(guī)章與制度包含本文列舉以下人員管理、巡查制度、建設(shè)管理、資產(chǎn)安全、介質(zhì)安全、機(jī)房安全、信息變更、密碼安全、運(yùn)維管理、網(wǎng)絡(luò)安全、系統(tǒng)安全、設(shè)備安全、備份與恢復(fù)、安全事件、應(yīng)急預(yù)案、容災(zāi)災(zāi)備、保密協(xié)議等17個(gè)方面內(nèi)容。

6 ? ?結(jié)語(yǔ)

網(wǎng)絡(luò)安全重要程度已經(jīng)上升到國(guó)家層面。然而網(wǎng)絡(luò)安全形勢(shì)非常嚴(yán)峻，例如就連網(wǎng)絡(luò)安全設(shè)備也未必安全，安全設(shè)備漏洞也時(shí)有曝出，網(wǎng)絡(luò)安全設(shè)備都是如此，其他網(wǎng)絡(luò)設(shè)備、服務(wù)器操作系統(tǒng)或應(yīng)用系統(tǒng)也難幸免，即使規(guī)劃了完備的安全防護(hù)措施，當(dāng)一個(gè)高危漏洞出現(xiàn)，整個(gè)網(wǎng)絡(luò)軟硬件系統(tǒng)安全防線將面臨巨大風(fēng)險(xiǎn)。單位中全員網(wǎng)絡(luò)安全意識(shí)與運(yùn)維技術(shù)人員的應(yīng)急響應(yīng)能力與經(jīng)驗(yàn)水平，也同等重要。網(wǎng)絡(luò)安全多維防御體系網(wǎng)絡(luò)安全鏈的最后一環(huán)，就是網(wǎng)絡(luò)安全鏈每一環(huán)必須數(shù)據(jù)備份，包括安全設(shè)備備份、核心交換與路由備份，匯聚與接入交換備份、服務(wù)器備份、應(yīng)用系統(tǒng)備份、數(shù)據(jù)庫(kù)備份，敏感數(shù)據(jù)必須加密，配合虛擬化技術(shù)及存儲(chǔ)技術(shù)，結(jié)合完備的安全管理制度，打造一個(gè)有備無(wú)患的網(wǎng)絡(luò)安全多維防御體系。