李 鑫

（山西大同大學(xué)網(wǎng)絡(luò)信息中心,山西大同 037009）

2019 年5 月13 日，網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)2.0版本（簡(jiǎn)稱(chēng)等保2.0）正式公開(kāi)發(fā)布，等保2.0覆蓋工業(yè)控制系統(tǒng)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)新應(yīng)用，為落實(shí)信息系統(tǒng)安全工作提供了方向和依據(jù)[1]。高校校園網(wǎng)在推進(jìn)信息化建設(shè)時(shí)必須遵循等保2.0 的相關(guān)標(biāo)準(zhǔn)和要求。然而，在沒(méi)有網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求之前，大多數(shù)高校因?yàn)橘Y金短缺和管理制度落后等原因在網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃[2]和網(wǎng)絡(luò)安全防護(hù)方面做得遠(yuǎn)遠(yuǎn)不夠。主要以某高校為例探討一下如何在等保2.0 的背景下優(yōu)化網(wǎng)絡(luò)安全，希望對(duì)有類(lèi)似網(wǎng)絡(luò)優(yōu)化需求的企事業(yè)單位有所啟示。

1 某高校信息化現(xiàn)狀

某高校為普通本科院校，由于信息化建設(shè)資金投入少，以及所在省份對(duì)于網(wǎng)絡(luò)安全的相關(guān)要求不高等原因，信息化建設(shè)水平較低。目前，該高校信息化主要以數(shù)字化校園建設(shè)為主，主要內(nèi)容包括校園信息管理系統(tǒng)、數(shù)據(jù)中心、統(tǒng)一信息門(mén)戶、統(tǒng)一身份認(rèn)證、校園一卡通、網(wǎng)絡(luò)安全體系等；在考察和對(duì)比國(guó)內(nèi)一流高校的信息化建設(shè)的基礎(chǔ)上，總結(jié)和吸收了信息化建設(shè)的經(jīng)驗(yàn)和優(yōu)缺點(diǎn)，提出了本校的數(shù)字化校園總體解決方案，確定數(shù)字化校園建設(shè)的體系結(jié)構(gòu)，制定了數(shù)字化校園的信息標(biāo)準(zhǔn)[3]，以及各系統(tǒng)之間的接口標(biāo)準(zhǔn)，然后分階段完成具體實(shí)施。相信這種建設(shè)思路和做法在許多企事業(yè)單位都比較通行，但是這種做法存在很大的問(wèn)題，就是數(shù)字化校園網(wǎng)的總體方案往往在信息化部門(mén)提出需求的基礎(chǔ)上，參考相關(guān)校園數(shù)字化平臺(tái)公司的技術(shù)人員提出的方案，這些方案的側(cè)重點(diǎn)大多集中在各應(yīng)用系統(tǒng)平臺(tái)的數(shù)據(jù)標(biāo)準(zhǔn)的制定和公共數(shù)據(jù)平臺(tái)的建設(shè)。對(duì)于網(wǎng)絡(luò)業(yè)務(wù)類(lèi)型的分類(lèi)設(shè)計(jì)，網(wǎng)絡(luò)安全域的劃分，網(wǎng)絡(luò)安全策略的制定缺乏專(zhuān)業(yè)的分析和制定。因此，按照這樣的方案建設(shè)下來(lái)的高校校園網(wǎng)必然不能符合等保2.0的相關(guān)要求。

2 某高校網(wǎng)絡(luò)安全調(diào)整思路

對(duì)于某高校的網(wǎng)絡(luò)安全調(diào)整，要梳理清楚校園網(wǎng)的現(xiàn)狀，首先搞清楚從核心層到匯聚層再到接入層的網(wǎng)絡(luò)結(jié)構(gòu)和出口接入狀況，然后要搞清楚數(shù)據(jù)中心虛擬化平臺(tái)、其他獨(dú)立服務(wù)器和應(yīng)用系統(tǒng)的部署情況，最后要搞清楚當(dāng)前安全設(shè)備的部署配置情況。在此基礎(chǔ)上，根據(jù)業(yè)務(wù)需求和等級(jí)保護(hù)的要求作出網(wǎng)絡(luò)安全優(yōu)化調(diào)整的方案。

2.1 劃分網(wǎng)絡(luò)安全層級(jí)

根據(jù)網(wǎng)絡(luò)用途、業(yè)務(wù)管理、安全需求將整個(gè)校園網(wǎng)絡(luò)劃分為三個(gè)網(wǎng)絡(luò)安全層級(jí)。分別為：網(wǎng)絡(luò)層級(jí)、安全區(qū)級(jí)和安全域級(jí)。其中，網(wǎng)絡(luò)層級(jí)主要是根據(jù)網(wǎng)絡(luò)認(rèn)證方式、網(wǎng)絡(luò)用途劃分的。對(duì)于高校校園網(wǎng)來(lái)說(shuō)，一般可劃分為：教學(xué)辦公區(qū)網(wǎng)絡(luò)、學(xué)生宿舍區(qū)網(wǎng)絡(luò)、物聯(lián)網(wǎng)（視頻監(jiān)控、一卡通等）和數(shù)據(jù)中心網(wǎng)絡(luò)等。安全區(qū)層級(jí)主要是根據(jù)業(yè)務(wù)類(lèi)型、業(yè)務(wù)數(shù)據(jù)的重要性和管理運(yùn)維的需求來(lái)劃分的。一般劃分為：運(yùn)維管理區(qū)、應(yīng)用服務(wù)區(qū)和數(shù)據(jù)庫(kù)存儲(chǔ)區(qū)等。安全域?qū)蛹?jí)主要是在安全區(qū)的基礎(chǔ)上，細(xì)化安全業(yè)務(wù)，保證重要業(yè)務(wù)數(shù)據(jù)的保護(hù)和審計(jì)。

2.2 初步制定各層級(jí)的安全部署

不同網(wǎng)絡(luò)層級(jí)的安全部署，對(duì)于不同類(lèi)型和相對(duì)獨(dú)立的子網(wǎng)，在每個(gè)網(wǎng)絡(luò)邊界部署防火墻、網(wǎng)閘等網(wǎng)絡(luò)安全設(shè)備進(jìn)行物理隔離，控制其通信；同時(shí)，還要部署入侵防御系統(tǒng)，防止網(wǎng)絡(luò)攻擊的安全設(shè)備，筑牢網(wǎng)絡(luò)間的安全防護(hù)屏障。不同安全區(qū)的安全部署，則主要通過(guò)在各安全區(qū)關(guān)聯(lián)的防火墻內(nèi)進(jìn)行邏輯鏈路策略設(shè)置，做好安全區(qū)之間的隔離和保護(hù)，另外安全級(jí)的運(yùn)維管理區(qū)可以部署堡壘機(jī)，保證核心設(shè)備的運(yùn)維管理連接安全，維護(hù)日志記錄清晰。不同安全域級(jí)的安全部署，安全域內(nèi)部應(yīng)部署應(yīng)用攻擊專(zhuān)業(yè)防護(hù)措施如：WEB應(yīng)用防火墻，橫向安全資源池[4]；對(duì)于數(shù)據(jù)庫(kù)和存儲(chǔ)等重要業(yè)務(wù)系統(tǒng)則應(yīng)部署流量審計(jì)、數(shù)據(jù)庫(kù)審計(jì)等系統(tǒng)，加強(qiáng)接入審計(jì)確保接入用戶的合法性和可靠性。

3 某高校的網(wǎng)絡(luò)分析

3.1 某高校的網(wǎng)絡(luò)結(jié)構(gòu)分析

某高校校園網(wǎng)采用核心、匯聚、接入三層網(wǎng)絡(luò)架構(gòu)，骨干鏈路區(qū)采用兩臺(tái)RG-N18010 作為核心交換機(jī)承載高速數(shù)據(jù)交換，采用一臺(tái)RGRSR7708-X作為出口路由器，互聯(lián)網(wǎng)出口采用不同運(yùn)營(yíng)商的冗余鏈路，出口帶寬移動(dòng)10G、聯(lián)通2G。學(xué)生上網(wǎng)采用802.1X 上網(wǎng)認(rèn)證系統(tǒng)進(jìn)行認(rèn)證、計(jì)費(fèi)。

數(shù)據(jù)中心區(qū)部署各類(lèi)業(yè)務(wù)系統(tǒng)，部署防篡改系統(tǒng)防止篡改安全事件的發(fā)生。數(shù)據(jù)中心核心交換機(jī)采用兩臺(tái)H3C S12508，邊界部署一臺(tái)WAF檢測(cè)、阻斷Web攻擊，部署一臺(tái)H3C M9010防火墻進(jìn)行邊界防護(hù)?；ヂ?lián)網(wǎng)出口采用一臺(tái)RG-RSR7708-X，出口鏈路為聯(lián)通300M、教育網(wǎng)300M。

3.2 某高校的校園網(wǎng)絡(luò)安全分析

根據(jù)某高校網(wǎng)絡(luò)安全調(diào)整優(yōu)化的思路，對(duì)照網(wǎng)絡(luò)、安全區(qū)和安全域三個(gè)安全層級(jí)，梳理出某高校校園網(wǎng)存在的問(wèn)題，主要問(wèn)題如下：互聯(lián)網(wǎng)出口區(qū)、數(shù)據(jù)中心區(qū)等重要網(wǎng)絡(luò)區(qū)域邊界防護(hù)不到位。數(shù)據(jù)中心區(qū)僅有入侵檢測(cè)設(shè)備，無(wú)法阻斷入侵攻擊；互聯(lián)網(wǎng)出口區(qū)缺少抗DDos攻擊、防入侵攻擊的安全設(shè)備。安全區(qū)域劃分不合理，托管區(qū)服務(wù)器、應(yīng)用服務(wù)器、現(xiàn)有云平臺(tái)服務(wù)器等均處于同一安全域內(nèi)，未根據(jù)業(yè)務(wù)重要程度和管理需求進(jìn)行安全域劃分，安全防護(hù)策略需求不明確。未單獨(dú)劃分運(yùn)維管理區(qū)域并進(jìn)行合理保護(hù)，網(wǎng)絡(luò)攻擊可輕易癱瘓運(yùn)維管理體系。缺少邊界惡意代碼防范措施。骨干鏈路區(qū)重要設(shè)備存在單點(diǎn)故障，例如Web安全應(yīng)用網(wǎng)關(guān)、M9010 防火墻、出口路由器、托管區(qū)匯聚交換機(jī)等。網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用沒(méi)有安全事件的監(jiān)測(cè)手段。缺少針對(duì)數(shù)據(jù)庫(kù)敏感操作和入侵攻擊的安全審計(jì)措施。學(xué)生上網(wǎng)缺少上網(wǎng)行為審計(jì)措施。安全配置不足，例如防火墻全通安全策略；服務(wù)器直接配置公網(wǎng)IP 地址，缺少NAT；不安全的Telnet管理等。缺乏對(duì)整體安全狀態(tài)的全局感知能力。業(yè)務(wù)系統(tǒng)上線前缺少安全性方面的測(cè)試驗(yàn)收，未能全面掌握系統(tǒng)的安全隱患。安全運(yùn)維能力不足，已部署安全設(shè)備未持續(xù)有效發(fā)揮安全防護(hù)作用。

4 某高校校園網(wǎng)絡(luò)安全優(yōu)化實(shí)施

網(wǎng)絡(luò)安全的建設(shè)是一個(gè)系統(tǒng)性工程，不是單一網(wǎng)絡(luò)安全產(chǎn)品能夠完成的，傳統(tǒng)的網(wǎng)絡(luò)安全建設(shè)需要覆蓋終端、網(wǎng)絡(luò)、應(yīng)用、系統(tǒng)、數(shù)據(jù)和管理等多個(gè)方面[5]。因此，對(duì)于某高校校園網(wǎng)安全優(yōu)化工作，同樣需要遵循體系化建設(shè)，即從信息安全組織、技術(shù)部署兩個(gè)方面有機(jī)結(jié)合地建立統(tǒng)一的安全保障體系。

4.1 建立某高校的網(wǎng)絡(luò)安全組織

對(duì)于某高校的網(wǎng)絡(luò)安全組織體系的建立最重要的是要遵循國(guó)家及教育部的相關(guān)文件，確定崗位設(shè)置、機(jī)構(gòu)建立、職責(zé)授權(quán)、人員任用以及績(jī)效考核等；崗位設(shè)置要根據(jù)等保2.0 的要求，設(shè)置專(zhuān)職網(wǎng)絡(luò)安全員至少2名以上；同時(shí)建立校內(nèi)“一把手”類(lèi)似網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組的機(jī)構(gòu)，確保網(wǎng)絡(luò)安全相關(guān)措施能夠順利實(shí)施，確保網(wǎng)絡(luò)安全事件能夠及時(shí)處理。而對(duì)于職責(zé)的授權(quán)劃分要做到明確、清晰，比如關(guān)于網(wǎng)絡(luò)意識(shí)形態(tài)工作的具體職責(zé)要與各媒體平臺(tái)的管理部門(mén)一致，要將互聯(lián)網(wǎng)的新媒體與校內(nèi)媒體平臺(tái)區(qū)別對(duì)待，并制定合適的負(fù)責(zé)部門(mén)。最后，為突出網(wǎng)絡(luò)安全工作的重要性和嚴(yán)肅性，對(duì)于人員任用和績(jī)效考核，要做到專(zhuān)業(yè)的人做專(zhuān)業(yè)的事，技術(shù)人員必須通過(guò)相關(guān)資格認(rèn)證，并根據(jù)工作情況建立獎(jiǎng)懲制度。

4.2 建立某高校的技術(shù)部署

4.2.1 網(wǎng)絡(luò)邊界隔離部署

在網(wǎng)絡(luò)層級(jí)，將多個(gè)獨(dú)立的物理子網(wǎng)隔離，即校園網(wǎng)與數(shù)據(jù)中心網(wǎng)絡(luò)隔離，數(shù)據(jù)中心與物聯(lián)網(wǎng)隔離。校園網(wǎng)核心交換機(jī)RG-N18000 和數(shù)據(jù)中心核心交換機(jī)H3CS12508 之間部署華三防火墻M9000，所有核心設(shè)備采用萬(wàn)兆互聯(lián)。為保證廣大師生正常使用網(wǎng)絡(luò)，校園網(wǎng)基本配置不變。為了后期安全隔離及安全區(qū)域規(guī)劃，將數(shù)據(jù)中心到網(wǎng)絡(luò)核心的路由從新規(guī)劃，由原來(lái)直接路由到出口核心交換機(jī)，改為路由到邊界防火墻M9000。邊界防火墻M9000劃分邏輯安全區(qū)，分為內(nèi)部可信區(qū)、外部可信區(qū)、外部不可信區(qū)和互聯(lián)網(wǎng)服務(wù)區(qū)，各安全區(qū)之間啟動(dòng)訪問(wèn)控制策略，采用白名單機(jī)制，嚴(yán)格限制外部網(wǎng)絡(luò)的訪問(wèn)。數(shù)據(jù)中心核心交換機(jī)H3C S12508 劃分服務(wù)器專(zhuān)用內(nèi)網(wǎng)IP，在邊界防火墻M9000對(duì)應(yīng)配置NAT 策略，實(shí)現(xiàn)外部對(duì)校園網(wǎng)服務(wù)器的正常訪問(wèn)，同時(shí)，隱藏真實(shí)IP信息，實(shí)現(xiàn)IP安全隔離。

4.2.2 互聯(lián)網(wǎng)服務(wù)區(qū)的技術(shù)部署

互聯(lián)網(wǎng)服務(wù)區(qū)負(fù)責(zé)提供二級(jí)部門(mén)的獨(dú)立服務(wù)器的接入服務(wù)，為了提高網(wǎng)絡(luò)傳輸效率，部署1 臺(tái)高性能三層匯聚交換機(jī)，與防火墻M9000采用大二層互聯(lián)模式，提高網(wǎng)絡(luò)傳輸效率。所有提供Web互聯(lián)網(wǎng)Web 業(yè)務(wù)的服務(wù)器通過(guò)專(zhuān)業(yè)WAF 串接，提高網(wǎng)站的防病毒，防攻擊，防篡改和防漏洞掃描的能力。通過(guò)這樣的部署，可以有效發(fā)揮邊界防火墻M9000的作用：將不同業(yè)務(wù)類(lèi)型的服務(wù)器歸類(lèi)劃分到不同安全域，不同的安全域使用不同的Vlan、IP子網(wǎng)，內(nèi)部不同安全域之間通信必須通過(guò)防火墻，匹配訪問(wèn)控制策略。

4.2.3 運(yùn)維管理區(qū)的技術(shù)部署

運(yùn)維管理區(qū)負(fù)責(zé)對(duì)云平臺(tái)服務(wù)器、存儲(chǔ)服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器和核心網(wǎng)絡(luò)設(shè)備的運(yùn)維管理控制，通過(guò)部署堡壘機(jī)配置管理控制策略[6]，可以實(shí)現(xiàn)對(duì)上述設(shè)備的安全連接，并記錄和備份運(yùn)維操作日志。因此，運(yùn)維管理區(qū)的部署應(yīng)該相對(duì)獨(dú)立，同樣采用獨(dú)立匯聚交換機(jī)大二層連接核心交換機(jī)的模式，并且在匯聚交換機(jī)的邊界要部署高性能防火墻。針對(duì)某高校的實(shí)際情況，考慮到節(jié)約資金，華為USG9560，配置嚴(yán)格的訪問(wèn)控制策略。

4.2.4 其他非可信區(qū)的技術(shù)部署

除了采用獨(dú)立組網(wǎng)的模式外，主要部署華為USG9560來(lái)配置嚴(yán)格的訪問(wèn)控制策略。

5 結(jié)語(yǔ)

通過(guò)某高校的網(wǎng)絡(luò)安全優(yōu)化研究，認(rèn)識(shí)到了許多高校在數(shù)字化建設(shè)方案設(shè)計(jì)和實(shí)施過(guò)程的不足，通過(guò)遵循等保2.0體系化建設(shè)相關(guān)規(guī)范和網(wǎng)絡(luò)安全設(shè)計(jì)理論，發(fā)現(xiàn)網(wǎng)絡(luò)安全漏洞，分析網(wǎng)絡(luò)安全需求，從網(wǎng)絡(luò)層級(jí)、安全區(qū)層級(jí)和安全域?qū)蛹?jí)實(shí)施網(wǎng)絡(luò)安全優(yōu)化，不僅消除校園網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，更為校園網(wǎng)下一步擴(kuò)展、實(shí)施打下良好的基礎(chǔ)。