企业内网安全与边界防护技术的应用
2008-04-21   

FBI和CSI对484家公司进行了网络安全专项调查，调查结果显示：超过85%的安全威胁来自公司内部。在损失金额上，由于内部人员泄密导致了6056.5万美元的损失，是黑客造成损失的16倍，是病毒造成损失的12倍。这组数据充分说明了内部人员泄密的严重危害，同时也提醒国内组织应加强网络内部安全建设。

    一、数据丢失的渠道

    1．传输渠道

    现有的安全系统对桌面终端的日常操作及攻击缺乏有效的监控、防护手段，由于网络可以方便地进行资源共享，信息在网络上传输不受监控，对涉密信息没有采取传输范围和传输前密码授权控制，使得一些涉密信息极有可能通过网络从一些开放的终端传出去，而不留痕迹。

    2．流转渠道

    科技高度发展的今天，电子产品日新月异，小巧易带的软盘、光盘、U盘、移动硬盘、笔记本电脑甚至MP3等可移动存储的磁介质越来越小，装载的信息量越来越多。

    在使用中，为防范信息泄露，要求员工用完设备后，即时将信息或数据删除掉再借出，原以为这样他人就无法取得信息，殊不知磁介质有可以被提取还原的特性，他人一样可以取走信息。

    3．失控出口

    对涉密信息没有进行加密处理或者保护处理，将涉密信息通过各种出口，如USB口、串口等方式拷贝出去，出口缺乏必要的监控和审计。

    对于打印文件的管理，很多企业主要是靠管理员督促，员工打印时进行登记，但员工若打印了涉密信息不进行登记，便无从追查，更无法提供违规操作的证据，这方面安全隐患较大。

    4．制度漏洞

    有的企业没有配备专门的计算机维护管理人员，或者机房管理不严格，无关人员可以随意进出机房。当机器发生故障时，随意叫自己的朋友或者外面非专业公司的人员进入机房维修，甚至将发生故障的计算机送修前不做消磁处理，或不安排专人监督维修过程，都会丢失涉密数据。

    二、如何保证内网安全

    针对各种泄密途径，要防止内网涉密信息外泄，应着重从加强内网安全防范措施入手。那么，应在内网中构筑一个怎样的内控安全体系或系统呢？

    边界不可小觑！内网安全的威胁不同于公用网络的威胁。公用网络安全技术防范来自Internet上的攻击，主要是防范来自公共的网络服务器，如HTTP或SMTP的攻击。网络边界防范减小了资深黑客仅需接入互联网、写程序就可访问企业网的几率。

    内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台Server，然后以此为基地，对Internet上其他主机发起恶性攻击。因此，应在边界展开黑客防护措施，同时建立并加强内网防范策略。

    三、边界防护技术的应用

    面对一个庞大、复杂的企业内网及相关的信息系统，单独对每项信息资产确定保护方法是非常复杂的工作，常由于疏忽或错误导致安全漏洞。但是将整个内网系统当成一个安全等级来防护，也难免造成没有防范层次和防范重点，对风险尤其是内部风险的控制能力不足。

    较好的处理方式是进行安全域的划分，制订资产划分的规则，将信息资产归入不同安全域中，每个安全域内部都有着基本相同的安全特性，如安全级别、安全威胁、安全弱点及风险等。在此安全域的基础上确定该区域的信息系统安全保护等级和防护手段，同一安全域内的资产实施统一的保护。

    1．安全域的定义

    安全域是由一组具有相同安全保护需求、并相互信任的系统组成的逻辑区域。同一安全域的系统共享相同的安全策略，安全域划分的目的是把一个大规模复杂系统的安全问题，化解为更小区域的安全保护问题，是实现大规模复杂信息系统安全等级保护的有效方法。

    2．安全域的分类

    以电信运营企业内部网络为例，安全域可以分为安全计算域、安全用户域、安全网络域和安全服务域。其中，安全计算域的安全等级是确定一个内部网络安全保护和等级划分的基础，如图1所示。

    安全网络域：支撑安全域的网络设备和网络拓扑，是安全域的承载子域，防护重点是保障网络性能和进行各子域的安全隔离与边界防护。

    业务计算域：安全域的核心业务服务器、数据库，是安全域的核心子域，防护重点是防病毒攻击、防黑客篡改和防误操作导致数据丢失。

    公共服务域：为安全域提供统一的安全服务，是安全域的公共子域，包括统一的外部网络接口、安全认证、事件管理、策略管理、补丁管理等服务。

    业务终端域：需要访问安全计算域的各类客户端和维护终端，是安全域的风险子域，防护重点是加强认证和审计、限制权限，严格遵守配置标准。

    3．边界整合和防护设计

    划分安全域后，同一安全域拥有相同的安全等级，可以认为在统一安全域之内是相互信任的，而安全风险主要是不同的安全域之间相互访问所带来的，因此对于安全域的防护主要是对安全域边界的安全防护。边界的种类主要分为三种：同级别安全域之间的边界；不同级别安全域之间的边界，实际设计实施时又分为高等级安全域和低等级安全域的边界和防护；远程连接的用户，通常会通过公共网络，除了边界的防护，数据传送过程中也必须保障保密性和完整性。

    4．同级别安全域之间的边界

    同级别安全域之间的安全防护主要是安全隔离和可信互访。因为同级别安全域之间的安全等级相同，主要从业务需要出发划分不同的安全域，如在运营商支撑网络中将OA系统、计费系统、网管系统划分为不同的安全域。为了防止单点的安全事件扩散到整个网络，影响其他的业务系统，需要保证同级别安全域之间的安全隔离，如图2所示。

    根据以上的需求，通过MPLS-VPN解决方案可以很好地满足同级别安全域之间安全隔离的需求。

    通过MPLS-VPN解决方案，可以实现各个节点和业务之间的互访和隔离需求，能够做到在增加新的节点或业务时，对其他节点的配置进行很小的改动，而且对网络上承载的业务没有影响，这可以使各个业务使用同一个核心网络，而在地市节点再按照业务与不同的网络设备相连。通过MPLS-VPN解决方案，可以使整个网络结构简化，减轻维护压力。

    5．不同级别安全域之间的边界

    不同级别安全域之间的相互访问带来较大的安全风险，是网络安全防护的重点。在划分的安全域中，安全用户域是风险子域，用户域对于计算域的访问是网络中面临的主要风险。

    采用安全接入认证网关和防火墙对不同级别安全域之间的边界进行防护如图3所示。

    安全接入认证网关通常部署在用户域接入网络的边缘，用于不同安全等级的安全域间的数据交换。通过认证授权和安全策略的检查，对终端的网络访问权限进行控制，只有通过认证和安全策略检测的终端才拥有访问网络的权限，没有通过的终端无法访问网络，从而将安全风险阻挡在网络接入的边缘，最大限度的保护了计算域中核心业务系统的安全。

    防火墙通常部署在计算域的前端，用于提供多层次的纵深安全防护。

    6．远程接入的实现

    随着业务的发展，远程接入的需求越来越多，远程用户通常通过Internet远程接入到企业的数据网络之中，如图4所示，其安全风险很大。

    对于远程接入用户通常采用VPN结合用户认证授权的方式进行边界防护。用户通过在远端和总部之间建立VPN隧道的方式，并采用数据加密的方法，保证通信的安全。同时结合双因素认证的方式，对接入用户采用高强度的认证、授权和审计，控制远程接入的风险。

    四、应用实例

    某运营商为满足网络安全需求，对其DCN网络进行了全面的安全加固，以下仅以边界防护为例进行说明。

    1．某运营商骨干网络建设现状

    DCN网络形成覆盖全国31个省、直辖市的骨干网络。整个骨干DCN网络采用两级结构，由核心层和汇聚层两个层次组成。

    DCN网络存在以下安全问题。首先，DCN网作为多业务的承载平台，需要针对应用进行有效隔离措施。但目前由于各业务之间没有实现很好的隔离，缺少统一的安全域划分和安全域管理，从客户端、交换机到路由器，部分地市存在不同类型业务设备混用的情况，给业务的安全带来了较大隐患。其次，DCN网上诸多外联网接口、互联网入口和出口没有统一管制，各省接口设置缺少统一规划。第三，各省发展程度不一，作为DCN网“心脏”的EDC缺少严格的安全管理。最后，由于缺少对IP地址的有效监控和管理，部分地区IP地址使用不符合集团统一规划，给网络安全带来隐患。

    2．边界防护的实施目标

    根据DCN网安全状况，为保护DCN网不同区域的安全性，防范未授权的访问，杜绝非法的数据包在不同安全区域之间的传递，将攻击阻挡在安全区域环境之外，在DCN骨干网边界部署安全防护，保证网络安全状况的可知和可控，确保DCN骨干网的安全，同时将省DCN网内部的不安全因素控制在较小的范围内。

    3．边界防护选用的技术

    （1）防火墙

    防火墙是常规的网络边界防护设备，便于对网络边界进行安全控制，但防火墙无法对病毒、蠕虫等引起的恶意流量进行检测。

    （2）IDS/IPS

    IDS/IPS是防火墙之后的第二道安全防线，在攻击检测、安全审计和监控等方面都发挥了重要的作用。

    从检测方法上看，IPS与IDS都是基于模式匹配、协议分析以及异常流量统计等技术。这些检测技术的特点是主要针对已知的攻击类型，进行基于攻击特征串的匹配。但对于应用层的攻击，通常是利用特定的应用程序的漏洞，无论是IDS还是IPS都无法通过现有的检测技术进行防范。

    （3）IDS/IPS的部署管理模式

    在DCN全网中部署入侵检测产品有两种部署管理模式可供选择：集群部署管理模式和分布部署管理模式。采用集群部署管理模式可以保证网络中部署的所有入侵检测产品实时保持策略的同步，整体的安全策略能得到实时的部署，实时控制蠕虫等恶意流量的蔓延和扩散，抵御各种威胁对网络的影响。采用分布部署管理模式方便对各入侵检测系统的策略进行配置，由于各入侵检测系统是单独设置管理，可以只针对特定的事件进行记录上报，降低了对网络资源的依赖性。

    4．实施方案

    如图5所示，该方案解决了各省网络与骨干网络之间的边界防护问题，在技术上选用IDS和IPS系统来实现。

    针对设备的部署管理模式，在DCN全国骨干网中设立两到三个Cluster，管理员可以通过Cluster主结点的设备管理其余的从结点设备。各省的入侵检测系统设备只需向集团的安全管理系统提供统计信息（如严重的安全威胁、最近X天的统计报告）等，由集团根据实际情况分析DCN全网的安全状况，运行状况参见图6。

    小结

    信息系统和网络系统应用初期，信息系统运行的稳定性和可靠性是首先面临的问题，除了系统本身的因素外，其最大的一类威胁就是来自网络的入侵威胁。针对这类攻击，防火墙、入侵检测和防病毒产品的应用已取得了明显的效果。网络边界防护体系在技术上和应用上都已经相对成熟，并已经形成了建立统一的边界防护系统的趋势。

    相对于网络边界防护体系的成熟，统一的身份认证体系、统一的信息安全管理体系和规范的信息安全保密体系的建设却显得相对滞后。

    完整的信息安全保障体系建设是信息安全走向成熟的标志。信息安全保障体系的建设，必须进行科学的规划，以用户身份认证为基础，信息安全保密为核心，网络边界防护和信息安全管理为辅助，建立全面有机的安全整体，从而建立真正有效的、能够为信息化建设提供安全保障的平台。