前言：本站為你精心整理了安全防護論文:煙草公司網絡安全防護系統(tǒng)研討范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

作者：楊波單位：安徽中煙工業(yè)有限公司

在大型的企業(yè)網絡中不同的子網各有特點，對于網絡安全防護有不同的等級要求和側重點。因此，網絡安全域的“同構性簡化”思路就顯得非常適合安徽中煙網絡安全防護的需求，下面將具體介紹安徽中煙基于安全域的網絡安全防護體系建設思路。

網絡安全域是使網絡滿足等級保護要求的關鍵技術，每一個邏輯區(qū)域有相同的安全保護需求，具有相同的安全訪問控制和邊界控制策略，區(qū)域間具有相互信任關系，而且相同的網絡安全域共享同樣的安全防護手段。通過建設基于安全域的網絡安全防護體系，我們可以實現(xiàn)以下的目標：通過對系統(tǒng)進行分區(qū)域劃分和防護，構建起有效的縱深防護體系；明確各區(qū)域的防護重點，有效抵御潛在威脅，降低風險；保證系統(tǒng)的順暢運行，保證業(yè)務服務的持續(xù)、有效提供。

1安全域劃分

由于安徽中煙網絡在網絡的不同層次和區(qū)域所關注的角度不同，因此進行安全域劃分時，必須兼顧網絡的管理和業(yè)務屬性，既保證現(xiàn)有業(yè)務的正常運行，又要考慮劃分方案是否可行。在這樣的情況下，獨立應用任何一種安全域劃分方式都不能實現(xiàn)網絡安全域的合理劃分，需要多種方式綜合應用，互相取長補短，根據網絡承載的業(yè)務和企業(yè)的管理需求，有針對性地選擇合理的安全域劃分方式。

1.1安全域劃分原則

業(yè)務保障原則安全域劃分應結合煙草業(yè)務系統(tǒng)的現(xiàn)狀，建立持續(xù)保障機制，能夠更好的保障網絡上承載的業(yè)務。在保證安全的同時，還要保障業(yè)務的正常運行和運行效率。結構化原則安全域劃分的粒度可以從系統(tǒng)、設備到服務、進程、會話等不斷細化，在進行安全域劃分時應合理把握劃分粒度，只要利于使用、利于防護、利于管理即可，不可過繁或過簡。等級保護原則屬于同一安全域內的系統(tǒng)應互相信任，即保護需求相同。建立評估與監(jiān)控機制，設計防護機制的強度和保護等級。要做到每個安全域的信息資產價值相近，具有相同或相近的安全等級、安全環(huán)境、安全策略等。生命周期原則安全域的劃分不應只考慮到靜態(tài)設計，還要考慮因需求、環(huán)境不斷變化而產生的安全域的變化，所以需考慮到工程化管理。

1.2安全域劃分方式

1.2.1安全域劃分模型根據安徽中煙網絡和業(yè)務現(xiàn)狀，安徽中煙提出了如下安全域劃分模型，將整個網絡劃分為互聯(lián)網接口區(qū)、內部網絡接口區(qū)，核心交換區(qū)，核心生產區(qū)四部分：核心生產區(qū)本區(qū)域僅和該業(yè)務系統(tǒng)其它安全子域直接互聯(lián)，不與任何外部網絡直接互聯(lián)。該業(yè)務系統(tǒng)中資產價值最高的設備位于本區(qū)域，如服務器群、數(shù)據庫以及重要存儲設備，外部不能通過互聯(lián)網直接訪問該區(qū)域內設備。內部互聯(lián)接口區(qū)本區(qū)域放置的設備和公司內部網絡，包括與國家局，商煙以及分支煙草連接的網絡?；ヂ?lián)網接口區(qū)本區(qū)域和互聯(lián)網直接連接，主要放置互聯(lián)網直接訪問的設備。該區(qū)域的設備具備實現(xiàn)互聯(lián)網與內部核心生產區(qū)數(shù)據的轉接作用。核心交換區(qū)負責連接核心生產區(qū)、內部互聯(lián)接口區(qū)和外部互聯(lián)接口區(qū)等安全域。

1.2.2安全域邊界整合1）整合原則邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想，這自然不必多說，同類安全域合并原則在落實時應以一下思想為指導：集中化：在具備條件的情況下，同一業(yè)務系統(tǒng)應歸并為一個大的安全域；次之，在每個機房的屬于同一數(shù)據業(yè)務系統(tǒng)的節(jié)點應歸并為一個大的安全域?？缦到y(tǒng)整合：不同的數(shù)據業(yè)務系統(tǒng)之間的同類安全域應在保證域間互聯(lián)安全要求的情況下進行整合，以減小邊界和進行防護。最小化：應將與外部、內部互聯(lián)的接口數(shù)量最小化，以便于集中、重點防護。2）整合方法為了指導邊界整合，安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統(tǒng)或同一系統(tǒng)不同節(jié)點間的邊界整合，側重于數(shù)據業(yè)務系統(tǒng)與互聯(lián)網、外部系統(tǒng)間的接口的整合。（1）單一傳輸出口的邊界整合此種整個方法適用于：具備傳輸條件和網絡容災能力，將現(xiàn)有數(shù)據業(yè)務系統(tǒng)和互聯(lián)網的傳輸接口整合至單一或幾個互備接口。（2）多個傳輸出口的邊界整合此種整個方法適用于：數(shù)據業(yè)務系統(tǒng)和互聯(lián)網之間有多個物理位置不同的接口，并且尚不具備傳輸條件整合各接口。

2安全防護策略

2.1安全防護原則

集中防護通過安全域劃分及邊界整合后，可以形成所謂的“大院”，減少了邊界，進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統(tǒng)的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統(tǒng)的客戶端等基礎安全技術防護手段，集中部署基礎安全服務設施，對不同業(yè)務系統(tǒng)、不同的安全子域進行防護，共享其提供的安全服務。分等級防護根據煙草行業(yè)信息安全等級保護要求，對不同的數(shù)據業(yè)務系統(tǒng)、不同的安全子域，按照其保護等級進行相應的防護。對于各系統(tǒng)共享的邊界按“就高不就低”的原則進行防護?？v深防護從外部網絡到核心生產域，以及沿用戶（或其他系統(tǒng)）訪問（或入侵）系統(tǒng)的數(shù)據流形成縱深的安全防護體系，對關鍵的信息資產進行有效保護。

2.2系統(tǒng)安全防護

為適應安全防護需求，統(tǒng)一、規(guī)范和提升網絡和業(yè)務的安全防護水平，安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中，安全域劃分和邊界整合是防護體系架構的基礎。

2.2.1設備自身安全功能和配置一旦確定了設備所在的安全域，就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置，安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規(guī)范》提供指導。

2.2.2基礎安全技術防護手段業(yè)務系統(tǒng)的安全防護應以安全域劃分和邊界整合為基礎，通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上，還可根據業(yè)務系統(tǒng)面臨的威脅種類和特點部署專用的基礎安全技術防護手段，如網頁防篡改、垃圾郵件過濾手段等。

防火墻部署防火墻要部署在各種互聯(lián)邊界之處：

–在互聯(lián)網接口區(qū)和互聯(lián)網的邊界必須部署防火墻；

–在核心交換區(qū)部署防火墻防護互聯(lián)網接口區(qū)、內部互聯(lián)接口區(qū)和核心生產區(qū)的邊界；

–在內部互聯(lián)接口區(qū)和內部網絡的邊界也需部署防火墻?？紤]到內部互聯(lián)風險較互聯(lián)網低，內部互聯(lián)接口區(qū)防火墻可復用核心交換區(qū)部署的防火墻。另外，對于同一安全域內的不同安全子域，可采用路由或交換設備進行隔離和部署訪問控制策略，或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯(lián)網接口區(qū)、內部互聯(lián)接口區(qū)必須部署入侵檢測探頭，并統(tǒng)一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下，也可在核心交換區(qū)部署入侵檢測探頭，實現(xiàn)對系統(tǒng)間互訪的監(jiān)控。防病毒系統(tǒng)的部署運行Windows操作系統(tǒng)的設備必須安裝防病毒客戶端，并統(tǒng)一接受網管網集中部署的防病毒中央控制服務器的統(tǒng)一管理。同時，為了提高可用性和便于防護，可在內部互聯(lián)接口區(qū)部署二級防病毒服務器。異常流量檢測和過濾可在數(shù)據業(yè)務系統(tǒng)互聯(lián)網接口子域的互聯(lián)網邊界防火墻外側部署異常流量檢測和過濾設備，防范和過濾來自互聯(lián)網的各類異常流量。

網絡安全管控平臺網絡安全管控平臺應部署在網管網側，但為了簡化邊界和便于防護，建議：

–在內部互聯(lián)接口區(qū)部署帳號口令采集設備以實現(xiàn)帳號同步等功能。

–在內部互聯(lián)接口區(qū)必須部署日志采集設備，采集業(yè)務系統(tǒng)各設備的操作日志。

2.2.3應用層安全防護數(shù)據業(yè)務系統(tǒng)應用安全防護主要是防范因業(yè)務流程、協(xié)議在設計或實現(xiàn)方面存在的漏洞而發(fā)生安全事件。其安全防護與系統(tǒng)架構、業(yè)務邏輯及其實現(xiàn)等系統(tǒng)自身的特點密切相關。安徽中煙通過參考IAARC模型，提出鑒別和認證、授權與訪問控制、內容安全、審計、代碼安全五個防護方面。

2.2.4安全域的管理除了實施必要的安全保障措施控制外，加強安全管理也是不可缺少的一個重要環(huán)節(jié)。安全域管理主要包括：從安全域邊界的角度考慮，應提高維護、加強對邊界的監(jiān)控，對業(yè)務系統(tǒng)進行定期或不定期的風險評估及實施安全加固；從系統(tǒng)的角度考慮，應規(guī)范帳號口令的分配，對服務器應嚴格帳號口令管理，加強補丁的管理等；人員安全培訓。

小結

本文提出的基于安全域的企業(yè)網絡安全防護體系方案包括兩部分：網絡安全域的劃分和安全防護策略。結合業(yè)務系統(tǒng)、系統(tǒng)行為和等級保護等多種劃分方式，我們首先將整個安徽中煙網絡劃分為若干個安全子域，將復雜問題分解為若干個相對簡單的問題；然后綜合應用分層縱深策略和基于入侵檢測的動態(tài)防護策略，使網絡的安全性和主動防御能力得到提升。當然，需要特別指出的是，網絡安全是一個綜合性的課題，涉及技術、管理、使用等許多方面，安全防護技術只是手段，關鍵在于管理，只有嚴格的管理制度、明晰的安全策略以及高素質的信息系統(tǒng)管理人才，才能完好、實時地保證信息的完整性、準確性、可用性，為信息系統(tǒng)提供強大的安全服務。