安全防护论文:烟草公司网络安全防护系统研讨

作者：杨波单位：安徽中烟工业有限公司

在大型的企业网络中不同的子网各有特点，对于网络安全防护有不同的等级要求和侧重点。因此，网络安全域的“同构性简化”思路就显得非常适合安徽中烟网络安全防护的需求，下面将具体介绍安徽中烟基于安全域的网络安全防护体系建设思路。

网络安全域是使网络满足等级保护要求的关键技术，每一个逻辑区域有相同的安全保护需求，具有相同的安全访问控制和边界控制策略，区域间具有相互信任关系，而且相同的网络安全域共享同样的安全防护手段。通过建设基于安全域的网络安全防护体系，我们可以实现以下的目标：通过对系统进行分区域划分和防护，构建起有效的纵深防护体系；明确各区域的防护重点，有效抵御潜在威胁，降低风险；保证系统的顺畅运行，保证业务服务的持续、有效提供。

1安全域划分

由于安徽中烟网络在网络的不同层次和区域所关注的角度不同，因此进行安全域划分时，必须兼顾网络的管理和业务属性，既保证现有业务的正常运行，又要考虑划分方案是否可行。在这样的情况下，独立应用任何一种安全域划分方式都不能实现网络安全域的合理划分，需要多种方式综合应用，互相取长补短，根据网络承载的业务和企业的管理需求，有针对性地选择合理的安全域划分方式。

1.1安全域划分原则

业务保障原则安全域划分应结合烟草业务系统的现状，建立持续保障机制，能够更好的保障网络上承载的业务。在保证安全的同时，还要保障业务的正常运行和运行效率。结构化原则安全域划分的粒度可以从系统、设备到服务、进程、会话等不断细化，在进行安全域划分时应合理把握划分粒度，只要利于使用、利于防护、利于管理即可，不可过繁或过简。等级保护原则属于同一安全域内的系统应互相信任，即保护需求相同。建立评估与监控机制，设计防护机制的强度和保护等级。要做到每个安全域的信息资产价值相近，具有相同或相近的安全等级、安全环境、安全策略等。生命周期原则安全域的划分不应只考虑到静态设计，还要考虑因需求、环境不断变化而产生的安全域的变化，所以需考虑到工程化管理。

1.2安全域划分方式

1.2.1安全域划分模型根据安徽中烟网络和业务现状，安徽中烟提出了如下安全域划分模型，将整个网络划分为互联网接口区、内部网络接口区，核心交换区，核心生产区四部分：核心生产区本区域仅和该业务系统其它安全子域直接互联，不与任何外部网络直接互联。该业务系统中资产价值最高的设备位于本区域，如服务器群、数据库以及重要存储设备，外部不能通过互联网直接访问该区域内设备。内部互联接口区本区域放置的设备和公司内部网络，包括与国家局，商烟以及分支烟草连接的网络。互联网接口区本区域和互联网直接连接，主要放置互联网直接访问的设备。该区域的设备具备实现互联网与内部核心生产区数据的转接作用。核心交换区负责连接核心生产区、内部互联接口区和外部互联接口区等安全域。

1.2.2安全域边界整合1）整合原则边界整合原则是主要依据分等级保护的原则和同类安全域合并。分等级防护是安全域方法的基本思想，这自然不必多说，同类安全域合并原则在落实时应以一下思想为指导：集中化：在具备条件的情况下，同一业务系统应归并为一个大的安全域；次之，在每个机房的属于同一数据业务系统的节点应归并为一个大的安全域。跨系统整合：不同的数据业务系统之间的同类安全域应在保证域间互联安全要求的情况下进行整合，以减小边界和进行防护。最小化：应将与外部、内部互联的接口数量最小化，以便于集中、重点防护。2）整合方法为了指导边界整合，安徽中烟提出了两种边界整合方法、适用场景。这些边界整合方法都侧重于跨系统或同一系统不同节点间的边界整合，侧重于数据业务系统与互联网、外部系统间的接口的整合。（1）单一传输出口的边界整合此种整个方法适用于：具备传输条件和网络容灾能力，将现有数据业务系统和互联网的传输接口整合至单一或几个互备接口。（2）多个传输出口的边界整合此种整个方法适用于：数据业务系统和互联网之间有多个物理位置不同的接口，并且尚不具备传输条件整合各接口。

2安全防护策略

2.1安全防护原则

集中防护通过安全域划分及边界整合后，可以形成所谓的“大院”，减少了边界，进而可以在安全域的边界和内部部署防火墙、入侵检测系统的网络探头、异常流量检测和过滤设备、网络安全管控平台的采集设备、防病毒系统的客户端等基础安全技术防护手段，集中部署基础安全服务设施，对不同业务系统、不同的安全子域进行防护，共享其提供的安全服务。分等级防护根据烟草行业信息安全等级保护要求，对不同的数据业务系统、不同的安全子域，按照其保护等级进行相应的防护。对于各系统共享的边界按“就高不就低”的原则进行防护。纵深防护从外部网络到核心生产域，以及沿用户（或其他系统）访问（或入侵）系统的数据流形成纵深的安全防护体系，对关键的信息资产进行有效保护。

2.2系统安全防护

为适应安全防护需求，统一、规范和提升网络和业务的安全防护水平，安徽中烟制定了由安全域划分和边界整合、设备自身安全、基础安全技术防护手段、安全运行管理平台四层构成的安全技术防护体系架构。其中，安全域划分和边界整合是防护体系架构的基础。

2.2.1设备自身安全功能和配置一旦确定了设备所在的安全域，就可以根据其落入的安全域防护策略对设备进行安全功能设置和策略部署。针对设备的安全配置，安徽中烟后期会制定《安徽中烟设备安全功能和配置系列规范》提供指导。

2.2.2基础安全技术防护手段业务系统的安全防护应以安全域划分和边界整合为基础，通过部署防火墙、入侵检测、防病毒、异常流量检测和过滤、网络安全管控平台等5类通用的基础安全技术防护手段进行防护。在通用手段的基础上，还可根据业务系统面临的威胁种类和特点部署专用的基础安全技术防护手段，如网页防篡改、垃圾邮件过滤手段等。

防火墙部署防火墙要部署在各种互联边界之处：

–在互联网接口区和互联网的边界必须部署防火墙；

–在核心交换区部署防火墙防护互联网接口区、内部互联接口区和核心生产区的边界；

–在内部互联接口区和内部网络的边界也需部署防火墙。考虑到内部互联风险较互联网低，内部互联接口区防火墙可复用核心交换区部署的防火墙。另外，对于同一安全域内的不同安全子域，可采用路由或交换设备进行隔离和部署访问控制策略，或者采用防火墙进行隔离并设置访问控制策略。入侵检测设备的部署应在互联网接口区、内部互联接口区必须部署入侵检测探头，并统一接受网管网集中部署的入侵检测中央服务器的控制。在经济许可或相应合理要求下，也可在核心交换区部署入侵检测探头，实现对系统间互访的监控。防病毒系统的部署运行Windows操作系统的设备必须安装防病毒客户端，并统一接受网管网集中部署的防病毒中央控制服务器的统一管理。同时，为了提高可用性和便于防护，可在内部互联接口区部署二级防病毒服务器。异常流量检测和过滤可在数据业务系统互联网接口子域的互联网边界防火墙外侧部署异常流量检测和过滤设备，防范和过滤来自互联网的各类异常流量。

网络安全管控平台网络安全管控平台应部署在网管网侧，但为了简化边界和便于防护，建议：

–在内部互联接口区部署帐号口令采集设备以实现帐号同步等功能。

–在内部互联接口区必须部署日志采集设备，采集业务系统各设备的操作日志。

2.2.3应用层安全防护数据业务系统应用安全防护主要是防范因业务流程、协议在设计或实现方面存在的漏洞而发生安全事件。其安全防护与系统架构、业务逻辑及其实现等系统自身的特点密切相关。安徽中烟通过参考IAARC模型，提出鉴别和认证、授权与访问控制、内容安全、审计、代码安全五个防护方面。

2.2.4安全域的管理除了实施必要的安全保障措施控制外，加强安全管理也是不可缺少的一个重要环节。安全域管理主要包括：从安全域边界的角度考虑，应提高维护、加强对边界的监控，对业务系统进行定期或不定期的风险评估及实施安全加固；从系统的角度考虑，应规范帐号口令的分配，对服务器应严格帐号口令管理，加强补丁的管理等；人员安全培训。

小结

本文提出的基于安全域的企业网络安全防护体系方案包括两部分：网络安全域的划分和安全防护策略。结合业务系统、系统行为和等级保护等多种划分方式，我们首先将整个安徽中烟网络划分为若干个安全子域，将复杂问题分解为若干个相对简单的问题；然后综合应用分层纵深策略和基于入侵检测的动态防护策略，使网络的安全性和主动防御能力得到提升。当然，需要特别指出的是，网络安全是一个综合性的课题，涉及技术、管理、使用等许多方面，安全防护技术只是手段，关键在于管理，只有严格的管理制度、明晰的安全策略以及高素质的信息系统管理人才，才能完好、实时地保证信息的完整性、准确性、可用性，为信息系统提供强大的安全服务。