烟草公司网络防护研究

本文作者：杨波作者单位：安徽中烟工业有限公司

安全域划分方式

1安全域划分模型。根据安徽中烟网络和业务现状，安徽中烟提出了如下安全域划分模型，将整个网络划分为互联网接口区、内部网络接口区，核心交换区，核心生产区四部分：核心生产区本区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络，包括与国家局，商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接，主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。

2安全域边界整合。1）整合原则。边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想，这自然不必多说，同类安全域合并原则在落实时应以一下思想为指导：集中化：在具备条件的情况下，同一业务系统应归并为一个大的安全域；次之，在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合：不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合，以减小边界和进行防护。最小化：应将与外部、内部互联的接口数量最小化，以便于集中、重点防护。2）整合方法。为了指导边界整合，安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合，侧重于数据业务系统与互联网、外部系统间的接口的整合。（1）单一传输出口的边界整合此种整个方法适用于：具备传输条件和网络容灾能力，将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。（2）多个传输出口的边界整合此种整个方法适用于：数据业务系统和互联网之间有多个物理位置不同的接口，并且尚不具备传输条件整合各接口。

安全防护策略

1安全防护原则

集中防护。通过安全域划分及边界整合后，可以形成所谓的“大院”，减少了边界，进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段，集中部署基础安全服务设施，对不同业务系统、不同的安全子域进行防护，共享其提供的安全服务。分等级防护。根据烟草行业信息安全等级保护要求，对不同的数据业务系统、不同的安全子域，按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护。从外部网络到核心生产域，以及沿用户（或其他系统）访问（或入侵）系统的数据流形成纵深的安全防护体系，对关键的信息资产进行有效保护。

2系统安全防护

为适应安全防护需求，统一、规范和提升网络和业务的安全防护水平，安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中，安全域划分和边界整合是防护体系架构的基础。

1）设备自身安全功能和配置。一旦确定了设备所在的安全域，就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置，安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。

2）基础安全技术防护手段。业务系统的安全防护应以安全域划分和边界整合为基础，通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上，还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段，如网页防篡改、垃圾邮件过滤手段等。防火墙部署防火墙要部署在各种互联边界之处：在互联网接口区和互联网的边界必须部署防火墙；在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界；在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低，内部互联接口区防火墙可复用核心交换区部署的防火墙。另外，对于同一安全域内的不同安全子域，可采用路由或交换设备进行隔离和部署访问控制策略，或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头，并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下，也可在核心交换区部署入侵检测探头，实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端，并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时，为了提高可用性和便于防护，可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备，防范和过滤来自互联网的各类异常流量。网络安全管控平台网络安全管控平台应部署在网管网侧，但为了简化边界和便于防护，建议：在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。在内部互联接口区必须部署日志采集设备，采集业务系统各设备的操作日志。

3）应用层安全防护。数据业务系统应用安全防护主要是防范因业务流程、协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构、业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考IAARC模型，提出鉴别和认证、授权与访问控制、内容安全、审计、代码安全五个防护方面。

4）安全域的管理。除了实施必要的安全保障措施控制外，加强安全管理也是不可缺少的一个重要环节。安全域管理主要包括：从安全域边界的角度考虑，应提高维护、加强对边界的监控，对业务系统进行定期或不定期的风险评估及实施安全加固；从系统的角度考虑，应规范帐号口令的分配，对服务器应严格帐号口令管理，加强补丁的管理等；人员安全培训。