計(jì)量業(yè)務(wù)網(wǎng)絡(luò)升級工程實(shí)施及安全性研究

智　峰　張　明　韓　超　錢振宇

(中國計(jì)量科學(xué)研究院，北京 100029)

0　引言

中國計(jì)量科學(xué)研究院網(wǎng)絡(luò)系統(tǒng)支撐網(wǎng)站、計(jì)量基標(biāo)準(zhǔn)資源共享平臺等重要應(yīng)用系統(tǒng)，提供電子郵件、互聯(lián)網(wǎng)訪問等重要功能，為我院科研、量傳、管理提供了基礎(chǔ)保障作用，是我院信息化工作的基礎(chǔ)核心。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展以及互聯(lián)網(wǎng)絡(luò)的應(yīng)用日益廣泛，越來越多的科研人員通過網(wǎng)絡(luò)進(jìn)行文獻(xiàn)檢索、獲取信息、開展學(xué)術(shù)交流，網(wǎng)絡(luò)在科研管理中發(fā)揮的支撐保障作用日益明顯。為了滿足科研管理工作對網(wǎng)絡(luò)的需求，中國計(jì)量科學(xué)研究院對網(wǎng)絡(luò)進(jìn)行了升級改造，尤其加強(qiáng)了網(wǎng)絡(luò)安全工作，并取得一定效果。

1　中國計(jì)量院網(wǎng)絡(luò)升級的需求分析

網(wǎng)絡(luò)升級改造，只有在充分的需求分析基礎(chǔ)上制定網(wǎng)絡(luò)升級方案，才能達(dá)到網(wǎng)絡(luò)升級的目的，否則可能造成盲目投資，進(jìn)而影響到應(yīng)用效果。中國計(jì)量科學(xué)研究院網(wǎng)絡(luò)系統(tǒng)由和平里及昌平實(shí)驗(yàn)基地兩院區(qū)網(wǎng)絡(luò)共同組成。隨著計(jì)量院網(wǎng)絡(luò)系統(tǒng)規(guī)模的擴(kuò)大和應(yīng)用的復(fù)雜化，現(xiàn)有網(wǎng)絡(luò)架構(gòu)已不能滿足實(shí)際工作需求，并且相關(guān)的信息安全風(fēng)險(xiǎn)也逐年增加，比如病毒威脅、流氓軟件攻擊和網(wǎng)頁被篡改風(fēng)險(xiǎn)等，為了保證網(wǎng)絡(luò)及應(yīng)用系統(tǒng)安全正常運(yùn)行，不因各種威脅的破壞而中斷，對網(wǎng)絡(luò)進(jìn)行整體升級并提升網(wǎng)絡(luò)安全防護(hù)水平勢在必行。

分析網(wǎng)絡(luò)現(xiàn)狀，我院網(wǎng)絡(luò)面臨以下幾方面的問題：

1)網(wǎng)絡(luò)訪問量及數(shù)據(jù)傳輸量猛增，使網(wǎng)絡(luò)中并發(fā)數(shù)據(jù)量增大，突發(fā)性操作頻繁，原有網(wǎng)絡(luò)的傳輸能力及實(shí)時(shí)性面臨挑戰(zhàn)。

2)隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大、網(wǎng)絡(luò)應(yīng)用的增加，黑客和網(wǎng)絡(luò)病毒的日益猖獗，網(wǎng)絡(luò)安全管理的重要性越來越突出。

3)網(wǎng)絡(luò)結(jié)構(gòu)不合理，沒有做清晰的界定與控制，沒有明確的安全域劃分，容易造成安全隱患。

4)非工作應(yīng)用如BT、迅雷、網(wǎng)絡(luò)電視等嚴(yán)重浪費(fèi)網(wǎng)絡(luò)帶寬，占用有限的網(wǎng)絡(luò)資源、降低辦公效率。

5)部分員工安全意識薄弱，主要表現(xiàn)在沒有升級系統(tǒng)、修補(bǔ)漏洞等意識，對于辦公用電子信箱密碼等的管理隨意化，造成信息外泄。

2　中國計(jì)量院網(wǎng)絡(luò)升級設(shè)計(jì)與實(shí)現(xiàn)

網(wǎng)絡(luò)升級前要先做好整體的規(guī)劃和設(shè)計(jì)。結(jié)合現(xiàn)狀及未來發(fā)展的需要，經(jīng)過多次論證，我們選用了以下技術(shù)方案：

1)網(wǎng)絡(luò)采用層次化設(shè)計(jì)。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示?？蓜澐譃橐韵?部分:互聯(lián)網(wǎng)接入、防火墻系統(tǒng)、VPN系統(tǒng)、局域網(wǎng)。互聯(lián)網(wǎng)接入采用核心路由器實(shí)現(xiàn)與互聯(lián)網(wǎng)接入商的互聯(lián)。防火墻上聯(lián)路由器，并與外部服務(wù)器、VPN系統(tǒng)連接，提供安全防護(hù)功能，保證院內(nèi)服務(wù)器、上網(wǎng)用戶網(wǎng)絡(luò)安全。VPN系統(tǒng)直接接入路由器，用于用戶通過VPN訪問內(nèi)部應(yīng)用系統(tǒng)。局域網(wǎng)絡(luò)根據(jù)使用性質(zhì)分為三類：外部服務(wù)器、內(nèi)部服務(wù)器和內(nèi)部用戶。外部服務(wù)器主要使用公網(wǎng)IP，對外部用戶提供服務(wù)，主要包括以下服務(wù)器：網(wǎng)站、郵件、DNS等；內(nèi)部服務(wù)器主要是通過內(nèi)網(wǎng)IP，對院內(nèi)用戶提供服務(wù)。

2)結(jié)合局域網(wǎng)調(diào)整優(yōu)化，對安全區(qū)域進(jìn)行重新劃分。調(diào)整安全邊界，設(shè)立DMZ區(qū)(隔離區(qū))，從縱深防御的角度提升企業(yè)網(wǎng)絡(luò)的安全級別。安全區(qū)域劃分是保障信息網(wǎng)絡(luò)安全的必要手段，按照業(yè)務(wù)重要等級，劃分出不同的網(wǎng)絡(luò)區(qū)域，確定出清晰的網(wǎng)絡(luò)邊界，便于進(jìn)行各種安全控制管理。部署安全區(qū)域間的訪問控制，控制安全區(qū)域間的訪問行為，只允許必要的訪問活動，發(fā)揮系統(tǒng)的管控作用。實(shí)際劃分為兩個(gè)安全域(公網(wǎng)、私網(wǎng))。通過防火墻進(jìn)行訪問控制授權(quán)與隔離。公網(wǎng)域各服務(wù)器通過2層交換機(jī)統(tǒng)一接入防火墻。私網(wǎng)域統(tǒng)一接入核心交換機(jī)，通過三層路由協(xié)議接入防火墻。內(nèi)部用戶通過NAT方式訪問互聯(lián)網(wǎng)絡(luò)，內(nèi)部服務(wù)器如需要可通過一對一NAT實(shí)現(xiàn)互聯(lián)網(wǎng)訪問。防火墻與路由器之間啟用內(nèi)部私有IP實(shí)現(xiàn)互聯(lián)，實(shí)現(xiàn)服務(wù)器對外服務(wù)及內(nèi)部用戶訪問互聯(lián)網(wǎng)。

圖1　中國計(jì)量院網(wǎng)絡(luò)架構(gòu)

3)優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)。局域網(wǎng)絡(luò)采用層次化設(shè)計(jì)模式，根據(jù)網(wǎng)絡(luò)實(shí)際規(guī)劃為三層，分別為接入層、匯聚層、核心層。這樣設(shè)計(jì)的優(yōu)點(diǎn)是結(jié)構(gòu)清晰，分層設(shè)計(jì)實(shí)現(xiàn)故障隔離，簡化管理，提高網(wǎng)絡(luò)可用性及可擴(kuò)展性。

4)重新劃分VLAN。我院曾多次發(fā)生網(wǎng)絡(luò)廣播風(fēng)暴、ARP攻擊，影響到整個(gè)網(wǎng)絡(luò)正常運(yùn)行。通過重新劃分VLAN，用戶VLAN將同一棟樓或同一單位的用戶劃分在相同的邏輯組內(nèi)，網(wǎng)絡(luò)結(jié)構(gòu)更加合理，病毒造成的影響在相對小的范圍內(nèi)，避免對整體網(wǎng)絡(luò)的沖擊，確保網(wǎng)絡(luò)安全。本次VLAN劃分的原則是：保留原有用戶VLAN，一個(gè)VLAN在同一匯聚交換機(jī)上配置和使用。其他匯聚交換機(jī)不能再進(jìn)行配置和使用，便于網(wǎng)絡(luò)配置和管理。

5)加強(qiáng)對IPV6的支持。根據(jù)我院應(yīng)用現(xiàn)狀，設(shè)計(jì)方案，使用戶終端IPV4、IPV6協(xié)議共存，根據(jù)訪問目的地址，自動選擇IP協(xié)議版本。便于科研人員與高校、科研院所通過IPV6開展工作。

3　中國計(jì)量院網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)

實(shí)現(xiàn)網(wǎng)絡(luò)安全，不但靠先進(jìn)的安全技術(shù)，而且也得靠嚴(yán)格的安全管理和安全教育。安全技術(shù)主要是針對網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)及數(shù)據(jù)庫等提出具體的安全技術(shù)措施，是網(wǎng)絡(luò)安全的基礎(chǔ)保障。所采取的安全技術(shù)是本文闡述的重點(diǎn)。

3.1　加強(qiáng)對來自互聯(lián)網(wǎng)風(fēng)險(xiǎn)的防范

主要是通過制定防火墻、VPN等安全策略，通過加強(qiáng)訪問控制，保證網(wǎng)絡(luò)資源不被非法使用。

1)防火墻控制策略是維護(hù)網(wǎng)絡(luò)安全最重要的手段。防火墻的工作原理是按照事先規(guī)定好的配置和規(guī)則，監(jiān)控所有通過防火墻的數(shù)據(jù)流，只允許授權(quán)的數(shù)據(jù)通過，同時(shí)記錄有關(guān)的聯(lián)接來源、服務(wù)器提供的通信量以及試圖闖入者的任何企圖，以方便管理員的監(jiān)測和跟蹤。

2)VPN系統(tǒng)，主要為需要移動辦公的員工服務(wù)，通過互聯(lián)網(wǎng)訪問內(nèi)網(wǎng)OA系統(tǒng)。VPN設(shè)備利用加密技術(shù)以及安全認(rèn)證機(jī)制，保護(hù)信息在網(wǎng)絡(luò)上傳輸?shù)臋C(jī)密性、真實(shí)性、完整性及可靠性。高加密強(qiáng)度的安全隧道，認(rèn)證通信雙方的身份，實(shí)現(xiàn)基于應(yīng)用的訪問控制。有詳細(xì)的日志和審計(jì)記錄，對所處理的每一次通信或服務(wù)都可以進(jìn)行詳細(xì)的記錄。與現(xiàn)有的用戶認(rèn)證系統(tǒng)實(shí)現(xiàn)了集成，提供更強(qiáng)的身份認(rèn)證和訪問控制功能。

3.2　加強(qiáng)核心交換網(wǎng)絡(luò)安全

交換機(jī)運(yùn)行正常，網(wǎng)絡(luò)才能正常運(yùn)行，用戶就不會出現(xiàn)斷網(wǎng)現(xiàn)象。為防止交換機(jī)受攻擊，在交換機(jī)上需要配置一些安全策略。不同類型的交換機(jī)考慮配置的安全策略不同，一般核心和匯聚交換機(jī)配置相同的安全策略，連接用戶的接入交換機(jī)配置相同的策略。

對于核心和匯聚交換機(jī)，要考慮防止病毒和黑客的攻擊?？刹扇《丝谙匏倏刂萍夹g(shù)，利用交換機(jī)ACL，設(shè)置IP鑒權(quán)。

1)為了防止因大流量數(shù)據(jù)傳輸引起的端口阻塞，消除惡意用戶或者中毒用戶對網(wǎng)絡(luò)的影響，可以采用流量及端口限速控制技術(shù)——配置端口流量閾值。通過配置，系統(tǒng)可以周期性地對端口的數(shù)據(jù)流量進(jìn)行監(jiān)控。當(dāng)端口的數(shù)據(jù)流量超出配置的閾值后，系統(tǒng)將根據(jù)指定的方式進(jìn)行處理：關(guān)閉端口并發(fā)送告警信息或僅發(fā)送告警信息。

2)劃分交換機(jī)的管理口地址。交換機(jī)在配置IP地址后可進(jìn)行遠(yuǎn)程管理、修改配置、升級交換機(jī)軟件等操作，便于網(wǎng)絡(luò)管理員監(jiān)控交換機(jī)。本次升級，所有交換機(jī)管理地址統(tǒng)一配置在同一個(gè)VLAN中，并配置ACL，僅允許網(wǎng)管特定的IP訪問交換機(jī)，使交換機(jī)運(yùn)行更加穩(wěn)定、安全。

3.3　加強(qiáng)接入交換網(wǎng)絡(luò)安全

對于接入交換機(jī)，主要考慮抑制廣播風(fēng)暴，防止ARP攻擊，防止路由環(huán)路，防止內(nèi)部虛假DHCP服務(wù)器?？梢栽诮粨Q機(jī)的接口上配置廣播風(fēng)暴抑制比例，限定ARP包的傳輸速率，在交換機(jī)上啟用spanning—tree功能和DHCP Snooping功能。

1)配置廣播/組播風(fēng)暴抑制，通過以下配置任務(wù)，限制端口上允許接收的廣播/組播風(fēng)暴數(shù)據(jù)包的流量大小為20％。當(dāng)流量超過20％，系統(tǒng)將對超出流量限制的報(bào)文進(jìn)行丟棄，從而使廣播/組播風(fēng)暴數(shù)據(jù)包所占的流量比例降低到合理的范圍，保證網(wǎng)絡(luò)業(yè)務(wù)的正常運(yùn)行。有效地防止環(huán)路、病毒發(fā)作、攻擊等引起的廣播風(fēng)暴，避免網(wǎng)絡(luò)擁塞。

2)啟用DHCP Snooping功能。DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表，過濾不信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息。當(dāng)交換機(jī)開啟了 DHCP-Snooping后，會對DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄相關(guān)的IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

4　結(jié)束語

綜合上述，本網(wǎng)絡(luò)經(jīng)上述措施改進(jìn)之后，便可初步形成外防內(nèi)堵，集防護(hù)、監(jiān)測、響應(yīng)等多種技術(shù)于一體的的安全網(wǎng)絡(luò)。對于外網(wǎng)，它以防火墻為網(wǎng)絡(luò)安全的第一道屏障，兼以流量控制，過濾不安全的網(wǎng)絡(luò)服務(wù)從而降低風(fēng)險(xiǎn)；對于內(nèi)網(wǎng)，通過設(shè)定IPS的安全策略，對流經(jīng)的每個(gè)報(bào)文進(jìn)行深度檢測并根據(jù)攻擊的威脅級別立即采取防御措施，同時(shí)加強(qiáng)局域網(wǎng)管理控制，使得網(wǎng)絡(luò)管理員能夠第一時(shí)間解決網(wǎng)絡(luò)當(dāng)前隱患。

隨著互聯(lián)網(wǎng)技術(shù)不斷發(fā)展和業(yè)務(wù)的不斷拓展，網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及信息系統(tǒng)的脆弱性，決定了網(wǎng)絡(luò)不能僅僅依靠網(wǎng)絡(luò)安全產(chǎn)品，還涉及到管理和技術(shù)等方方面面，需要仔細(xì)考慮系統(tǒng)的安全需求，建立相應(yīng)的管理制度，并將各種安全技術(shù)與管理手段結(jié)合在一起，才能生成一個(gè)高效、通用、安全的業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)。

[1]王斌君，景乾元，吉增瑞.信息安全技術(shù)體系研究.計(jì)算機(jī)應(yīng)用，2009，29(6):59-62

[2]邵波，王其和.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)及應(yīng)用.北京電子工業(yè)出版社，2005

[3]張玉龍，張彥珍，王大龍.計(jì)算機(jī)網(wǎng)絡(luò)的風(fēng)險(xiǎn)分析與對策.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2006，(1):87-89

[4]何繪宇.基于WIFI和QR Code的器具流轉(zhuǎn)系統(tǒng)的應(yīng)用.計(jì)量計(jì)術(shù)，2013(2):64-67

[5]史簡，郭山清，謝立.統(tǒng)一網(wǎng)絡(luò)安全管理平臺的研究與實(shí)現(xiàn)．計(jì)算機(jī)應(yīng)用研究，2006(9):92-94

[6]王謙，陳放.電子政務(wù)的信息安全保障及體系構(gòu)建．信息網(wǎng)絡(luò)安全，2008(3):52-55

[7]吳曉梅，董建設(shè).網(wǎng)絡(luò)安全策略在局域網(wǎng)中的應(yīng)用，信息系統(tǒng)與網(wǎng)絡(luò)安全，2003(3):21-25