■ 上海 范劭林

编者按：随着企业对网络安全的重视以及合规的要求，越来越多的企业加大了对网络安全的投入力度，但投入未必能换来安全，很多企业对网络安全并没有全面而深入的了解，尚存在一定误区。

很多企业在网络安全建设中，对网络安全防护体系的搭建和对政策的理解有一些常见的误区。笔者将根据自身的测评经历与项目经验，对测评过程中的网络安全层面出现的常见问题进行汇总并给出一些解决方案，希望能有助于企业更健全搭建网络安全体系，并对网络安全有更多的了解。

高投入不等于绝对安全

笔者在实际测评过程中也听到过网络负责人的询问，我们公司今年为了这个系统购买了几十万的安全设备，这个系统应该很安全吧？在很多时候，企业在购买安全防护设备，例如防火墙、网络应用防护设备、态势感知、审计设备等硬件设备，往往是投入重金进行购置。

对于网络安全防护来说，工欲善其事，必先利其器，这个道理大家都很清楚，但是网络安全真的只是一些安全工具，再派几个负责人去监测设备的工作情况就好了么？

其实不是的，设备的投入只是安全防护的第一步，正如等保测评中要求的所有设备日志需要定期进行报表制作并分析一样，有很多企业忽视了这个工作的重要性，随着几个月安全事件不发生，就降低了要求，放松了警惕，把前几次的月报或者周报改改日期继续上交，结论一直都是安全，而等到安全事故发生后，再重新检查的时候，甚至出现设备密码太久没登录都忘记了。等找到了密码登录之后，才发现早在两个月前，日志中就已经看到了异常情况。

这个案例就是今年实际发生的安全事故，也希望大家以此为戒。

所以，绝对安全是不存在的，只有相对安全，更为重要的是，安全责任人对网络安全保持警惕，保持对网络环境保持实时的关注，并根据已爆发的安全事件为例对现有的网络环境进行不断加固，这样才至少保证相对安全。

合理的边界安全搭建

越来越多的企业在网络边界处会建立防火墙和DMZ区域来保证边界的安全性，但笔者在检查过程中，发现过一些很不合理的情况，在这里把常见的几个情况在这里做一下汇总。

1.VPN的不合理配置

VPN在企业网络中也是个常见的配置，用于对公司内移动办公的用户提供接入。一般来说可以在防火墙上进行配置，但也有企业购买了独立的VPN设备，这时VPN在网络中的位置就很重要了。

有一些企业把VPN放置在了边界防火墙内，直接互通服务器区域，这种情况是很危险且被允许的。

同样还有一种情况，就是远程操作员在远程使用中不使用默认网关。简单来说，就是在连接内网的同时还可以访问互联网，这种情况也是不被允许的。

但其实很多企业对该类情况疏于防范，解决的方法也很简单，强制要求使用默认网关即可。

2.防火墙策略不合理

策略不合理这个问题很常见，基本在每次测评中都能发现，比如有一些例子是未及时关闭的临时策略，也有一些是过期策略，并未及时进行更新。特别是进行过管理人员更换的企业，这种情况就更常见了，有很多策略未加描述并开放了所有的端口。

在这里笔者建议全管理员根据最小化原则，仅开放对外需要的应用端口如80或者8080等，在策略新建的时候，加上描述性的备注，定期对防火墙上的策略进行检查，对流量较小的策略和临时策略进行重点排查，一定要尽快禁用。

3.DMZ区域的外网互通策略

DMZ(Demilitarized Zone)是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区。很多企业在网络构建的时候都往这个小网络区域内放置一些如企业Web服务器、论坛等。

另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。但是如果在DMZ区域放置的是一些文件传输的FTP服务器，这里不推荐其全天与外网保持互通状态，推荐设置在一定的时间段进行传输，其余时间保持断开的状态。

其实在这里笔者还想说明一个情况，边界防护中涉及到政务网和互联网的话，边界是不可以使用防火墙的，根据《国家电子政务外网跨网数据安全交换技术要求和实施指南》（GW0205-2014）中的要求，跨网数据交换必须使用网闸，这一点也请注意。因为笔者在测评工作中也遇到过用防火墙连接的违规行为，这些情况都是需要整改的。

所以也建议安全管理员在设计之初考虑到这一点，以免给后期的网络安全体系建设带来不便。

不同系统之间的访问控制隔离

在很多时候，企业觉得所有系统都放在服务器区域中被保护，一直加强外部对内部的访问控制策略，这样就高枕无忧了么？

其实并非如此，来自内部破坏的防护也同样重要，虽然都在一个服务器区域，但也是需要系统根据服务器的类型及重要性程度来划分VLAN，并按照应用需求最小化原则来进行VLAN间的访问控制设置。如果出现一台服务器被恶意攻击并被感染，而在没有访问控制策略的控制下，有可能会影响到其他系统的服务器的正常运作，这样存在交叉感染的风险。

特别在这里要补充的是，如果企业对内部区域的访问控制不严谨，VPN或者堡垒机的访问权限未进行控制，将造成非授权登录的情况发生，这种情况将对企业的数据安全，特别是敏感数据造成严重威胁。

正如2018年上半年发生的多起安全事件，内网大规模爆发的勒索病毒感染，就是个警钟。在这里建议安全管理员对内网的不同系统之间设置访问控制策略，将不同系统之间进行隔离，并严格控制管理员的访问控制权限。

安全管理中心的建立和完善

对于安全管理中心的建立与完善是很重要的，在多次的测评过程中都出现没有安全管理中心而造成的系统管理透明和不可管控性的问题。因此，笔者建议安全管理中心至少包含以下两方面：

统一日志审计，系统所有的网络设备、安全设备的安全日志的统一监控；安全日志的统一存储、查询、分析、过滤和报表生成等功能、安全日志的统一告警平台和统一的自动通知等。

目前很多企业在网络的搭建都是逐步实现的，节点处往往都部署了许多安全产品，并每年或者几年为周期进行更新。

从安全管理员的角度来说，就是在一个统一的界面中可以监视到网络中每个安全产品的运行情况，并对其产生的日志和报警信息进行统一分析和汇总，从而解决网络安全管理中的透明性问题和可管控问题。

统一安全管理，系统所有网络设备、安全设备的安全配置文件的集中管理，实现各网络产品配置文件和安全产品安全策略的统一分发，修正和更新；配置文件的统一在（离）线管理，定期进行采集和审核，对安全产品的各种属性和安全策略进行集中的存储、查询；定期更新端口信息，特别对于新添设备和离线设备的信息进行标识处理。

不过从目前国内的情况来说，对安全设备的发现和信息读取主要建立在SNMP协议基础之上，各不同厂商的网络产品和安全产品进行统一安全管理的难度较大，统一监控更是难以实现，最好的方法还是都选择同一个安全厂商提供，这就要求安全管理员在系统设计之初进行提前规划。

结语

随着等级保护2.0时代的即将到来，等级保护工作的侧重点将发生一些细微的改变，新的标准也将会比以前更加严格和全面。在这里也希望网络安全工作者能及时调整工作重点，以新的标准为基础，继续加固已有的网络环境。