0引言
随着技术的发展,计算机信息系统深度融入了整个社会,包括个人、组织、政府等方方面面。信息化带来便捷高效的同时也带来了新的安全问题。为了有效应对和解决这些问题,国务院在《中华人民共和国计算机信息系统安全保护条例》中明确了对于计算机信息系统将执行安全等级保护制度,此条例的颁布标志等保1.0时代正式拉开序幕。随后几年国务院陆续发布了GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》等标准,这些标准共同构成了等级保护的工作要求和依据。
近年来,随着云计算、移动互联、物联网、工业控制系统等技术的快速发展,原有的标准已经不再适用于新形势下信息系统所面对的安全风险。为了应对新的安全问题,适应新的安全形势,国务院在2019年5月正式颁布了新版标准GB/T22239-2019《信息安全技术网络安全等级保护基本要求》,新标准于2019年12月1日起正式实施。这套新标准的发布也标志着等保1.0时代的结束和等保2.0时代的到来[1]。
新版标准对等级保护对象的范围进行了详细的描述,从广义的信息系统明确为基础信息网络、云计算平台/系统、移动互联系统、大数据应用/平台、物联网和工业控制系统等。卫星信关站作为卫星移动通信系统的一部分,属于基础信息网络,也属于等保2.0标准保护对象,需满足各项安全通用要求。
本文将结合等保2.0标准的安全通用技术要求以及卫星信关站的特点,探究等保2.0标准下卫星信关站的网络安全工作。
1等保2.0标准
1.1安全通用要求基本分类
等保2.0标准包括安全通用要求与安全扩展要求两大部分,安全通用要求主要满足等级保护对象的共性保护需求,安全扩展要求主要满足等级保护对象的个性化保护需求。其中,安全通用要求由安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理以及安全运维管理十部分组成[2]。安全通用要求中前五部分属于技术要求,后五部分属于管理要求。安全通用要求整体架构如图1所示。
1.2安全技术要求
安全技术要求分类充分体现了由外而内、层层设防的纵深防御思想。五项安全技术要求中,安全物理环境主要涉及机房环境,与其他四项安全要求不属于同一维度,本文不涉及此部分。
1)安全通信网络
安全通信网络是指等级保护对象所在通信网络。此部分安全要求主要包括通信传输、可信验证。随着安全保护等级的升高,安全通信网络部分增加
等保2.0标准下的卫星信关站网络安全工作的探究
李涛,钱启璋
(中通服咨询设计研究院有限公司,江苏省南京市210019)
摘要针对卫星通信系统信关站网络架构及特点,从安全通信网络、安全区域边界、安
全计算中心等方面,依据网络安全等级保护制度2.0标准(简称等保2.0标准)的安全通
用技术要求进行分析。对等保2.0标准如何在信关站具体应用和实施进行探究,提出一个
面向卫星通信系统信关站的通用性网络安全防护方案,为相关工程建设提供借鉴。
关键词网络安全等级保护制度2.0标准;信关站;网络安全
图1安全通用要求整体架
了对网络架构等方面的要求,并提高了对网络设备、传输链路等的要求以满足高级别等级保护对象的安全需求[3]。
2)安全区域边界
安全区域边界是指等级保护对象所在网络的网络边界以及内部区域边界。此部分安全要求主要包括边界防护、访问控制、可信验证等。随着安全保护等级的升高,新增了对于入侵防范、安全审计、病毒防范等方面的安全要求,并提高了已有要求以满足高级别等级保护对象的安全需求。
3)安全计算环境
安全计算环境是指等级保护对象所在网络的内部网络安全设备、服务器操作系统、应用系统等。此部分安全要求主要包括身份鉴别、入侵防范、恶意代码防范等11项安全要求。相较于安全保护等级较低的系统,高等级系统提高强化了对身份鉴别、访问控制以及程序完整性等方面的要求。
4)安全管理中心
安全管理中心提出了等级保护对象安全管理方面的安全技术要求。最基础的安全要求包括了系统管理、审计管理等方面的要求。随着安全保护等级的升高,安全管理中心部分增加了对安全管理、集中管控等方面的要求,并对安全保护等级在三级以上的系统要求“分出特定的管理区域”,即要求整体网络架构中需单独建设安全管理域以实现集中管控。
1.3典型组网
一个完整的信息系统通常包括有互联网接入
区、核心交换区、互联网业务区、安全管理区、运维终端区、办公终端区等,本文以此为基础构建网络架构图进行分析。基础网络架构如图2所示。
按照等保2.0标准的通用技术要求,以“一个中心,三重防护”为框架,基于基础网络架构图进行网络架构设计,建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。
1)安全通信网络
路由器、交换机、防火墙等网络和安全设备采用冗余部署的方式保障系统的可用性。通过防火墙集成VPN (虚拟专有网络)功能模块在公共网络中建立隧道,保障数据的保密性。
2)安全区域边界
VLAN (虚拟局域网)或防火墙对不同网络区域
进行隔离。部署抗DDoS (分布式拒绝服务攻击)、入侵检测、APT (高级可持续威胁攻击)检测、网络审计、WAF (Web 应用防护系统)、上网行为管理、准入控制等安全设备或系统,满足不同安全保护等级下边界控制、访问控制、可信验证、入侵防范、恶意代码防范、安全审计等安全要求。
3)安全计算环境
部署备份系统、主机加固、主机防病毒、数据库审计、数据防泄漏等安全设备或系统,满足入侵防范、病毒防护、数据备份等安全要求,保障计算环境的安全可靠。
4)安全管理中心
图2基础网络架构
划分单独的安全管理区,并通过部署身份认证系统、安全运营系统、日志审计、漏洞扫描、堡垒机等设备或系统实现集中的身份鉴别、访问授权、操作审计和安全的集中管控。
基于上述内容,本文提出的网络安全架构如图
3所示。
2
信关站的具体应用
2.1
信关站概述及特点
卫星通信系统通常由空间段、地面段和用户段
三部分组成。
空间段主要是卫星本身。
地面段由地球站构成,典型的通信地球站由天线馈线设备、发射设备、接收设备、信道终端设备等设备组成。地球站一般还包括SCC (卫星控制中心)、NCC (网络控制中心)等。
用户段主要是各类用户终端,包括手持卫星终端、车载卫星终端、机载卫星终端等。
信关站作为地面段(地球站)的一类,主要负责用户与地面网络的通信服务,实现卫星通信系统与地面网络的互通,为用户提供通话、数据等业务。其特点如下。
1)高可靠性
卫星移动通信系统作为地面通信网络的一种补充,其本身属于通信网络的一部分,广泛应用于海上通讯、偏远地区通讯、应急保障等场景。卫星信关站作为卫星通信系统的关键通信节点,如遭到破坏,卫星移动通信系统将无法为用户提供服务,造成严重的损失。
2)管道化
卫星移动通信系统与地面运营商网络类似,主要为用户提供语音、数据等基础业务。信关站负责将语音、数据等业务流量落地,实现与地面通信网络的互联互通。
3)维护远程化
为避免高大障碍物遮挡和电磁干扰,卫星信关站多建设在远离市区的偏远地区,卫星信关站运行高度自动化,站上维护人员少或无人值守,维护方式主要以远程维护为主。
对于以上三个特点,需要在网络实际建设部署前加以考虑。
2.2部署建议
卫星信关站作为卫星移动通信系统的关键节
点,在卫星信关站遭到破坏且无备份站的情况下,卫
图3网络安全架构
星移动通信系统将无法对外提供服务,对社会秩序造成影响,对经济活动造成严重损害,对用户权益造成严重损失。
以《信息安全技术信息系统安全等级保护定级指南》相关条例为依据,参考一旦卫星信关站受到破坏可能造成的危害结果,建议工程建设中卫星信关站按等保2.0三级的安全要求进行建设。
结合上述卫星信关站特点及等保相关要求,卫星信关站网络安全工作须满足等保2.0中相关网络安全技术要求,其网络架构应充分考虑系统整体可靠性,通信线路、关键网络设备及计算设备的容量及规模需满足业务峰值需求。另外,须考虑足够的硬件冗余。
通信网络需要较高的网络保障级别。建议出局管道及出局光缆均采用物理双路由方式建设,传输设备与本地核心层传输设备采用双上联保护的方式组网,接入地面通信网络保障可靠性。考虑卫星信关
站远程维护场景多,部署时应充分考虑远程管理的需求,通过在防火墙上以集成或硬件的形式部署
VPN 设备,保障远程接入的安全性。
卫星信关站应充分考虑站内不同系统间及与外部网络的安全隔离。站内不同系统可通过划分单独
VLAN 或部署防火墙的方式实现安全隔离,并根据
具体业务需求严格控制访问权限。由于信关站管道化的特点,WAF 这类针对应用层攻击的安全防护设备无需进行部署。在特殊情况下,如果信关站内部署有对外提供WEB 页面等服务的,那么应结合项目建设实际情况,在信关站部署安全防护设备。
卫星信关站的核心网及接入网部分根据业务需求采用负荷分担或N+1备份方式部署,考虑核心网及接入网部分对时延敏感,部署的防病毒软件应充分考虑对系统性能的影响,选用与系统特点相匹配的防病毒软件。
在卫星信关站划分单独的安全管理区,部署安
全运营系统、堡垒机等安全设备或系统实现安全统一运维管理。其中,安全运营系统作为信关站的安全防护的“大脑”,提供了信关站内外部的风险感知能力、协同安全防护能力、攻击检测分析能力、安全事件协同响应能力和安全态势感知预警能力,实现安全运营闭环管理。
针对卫星信关站相应特点调整后,去掉了互联网服务区及办公终端区,其他部分可参考安全通用技术要求开展网络安全工作。信关站网络安全架构如图4所示。
3总体来看,等保2.0标准的推出对于网络安全
工作开展有着重要的指导意义和实践价值。其安全通用技术要求可以很好的满足各类系统共性保护需
求,作为网络安全建设的重要依据。本文在等保标准的指导下,结合卫星信关站的特点就具体应用实施进行了探究,后续将进一步研究云计算技术的引入对卫星通信领域的网络安全影响。
参考文献
web应用防护系统
1本刊综合.我国网络安全框架发展历程[J ].保密科学技术,2019(7):12-13.
2马力,祝国邦,陆磊.《网络安全等级保护基本要求》(GB/T
22239-2019)标准解读[J ].信息网络安全,2019(2):77-84.
3
赵志远.等保2.0的变化及各方职责解析[J ].网络安全和信息化,2019(6):38-39.
李涛(1995—),男,工程师,主要从事网络安
全研究方面的工作。
收稿日期:2020-11-05
图4信关站网络安全架构