• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们
docurl=/cn/Solution/IndustrySolution/Manufacturing/Solutions/201111/731884_30004_0.htm

烟草智能立体安全网络

【发布时间:2011-11-14】

信息化在推动烟草企业实现更好更快的发展上起到了不可替代的作用,但同时烟草企业在信息化建设中也面临着许多的信息安全威胁,如以黑客攻击、非法访问、垃圾流量为主的边界安全风险;以终端病毒、窃听泄密、上网娱乐为主的内网安全风险;以Web服务器、主机系统漏洞、服务配置不当为主的应用安全风险。所以,对烟草企业来说,重视和加强信息化安全建设刻不容缓。

烟草智能立体安全网络

1.    概述

目前,烟草企业信息化建设都已联网,从省级企业到地市级企业到县级企业连接的非常紧密,并且业务逐渐集中到数据中心,数据集中带来的一个主要问题就是安全风险的集中,如果在某一个节点上出现安全问题,不仅将影响局部网络的正常运行,甚至会影响到全省业务系统,导致业务数据丢失和系统不能正常运行。所以,对烟草企业来说,重视和加强信息化安全建设刻不容缓。

由于烟草企业信息管理涉及很多环节,比如,信息数据的采集、整理、录入,以及信息平台的管理、信息软件的开发、信息的传输等等。信息的准确性、及时性、科学性直接影响到烟草信息化建设,而信息的安全又直接关系到整个烟草企业的安全,如果没有一套完善的网络安全保障体系,可能导致每个人的作业方法、效率差别很大,甚至在操作过程中出现严重的误差和漏洞,造成信息数据错误或者商业秘密泄漏等严重问题的出现。

2.    烟草网络安全设计方案

2.1.  总体规划

网络安全的基本策略是进行安全区域划分,通过安全区域划分,可以在网络中部署不同安全等级的区域,实现对安全风险进行有效的隔离。根据安全风险隔离的需求,安全区域的划分通过不同层次技术模式实现,主流的隔离模式包括VLANVPN、防火墙、IPS等多种方式。

烟草企业安全域的层次划分如下图所示:

通过分区分域进行安全部署实现对重要资源的保护,主要安全策略描述如下:

l  烟草网络功能区域明显,每个区域都会受到安全威胁,但是每个区域的安全威胁类型又不尽相同,所以要针对不同的区域设计不同的安全方案和策略

l  由于各区域安全策略不同,所以安全部署不应集中到核心层,应该分散到各区域里,集中部署在各区域边界上。核心层部署过多的安全策略一方面大大降低了核心层的转发速度,一方面不便于维护和扩展,比如任何一个区域安全策略调整,那么其它区域都会受到影响,从而引发许多潜在安全漏洞

l  按照多重保护原则,通过两个层次(安全域边界1、安全域边界2)的边界防护实现对数据中心重要资源的保护。这里安全域边界1边界防护主要包括安全域边界1-1,安全域边界1-2和安全域边界1-3;安全域边界2边界防护主要包括安全域边界2-1,安全域边界2-2,安全域边界2-3

l  在安全域边界1与安全域边界2上部署安全设备,以便实现各区域独立的防御体系,只有区域的独立安全才能保证全局的统一安全。。

l  在数据中心的网络安全控制管理区部署安全管理中心(H3C SecCenter),实现一体化安全管理。其监管范围见图所示的烟草安全监管域。与H3C iMC配合,通过NDP协议实现对攻击源查找定位并向用户展示。进而可实现交换机SNMP方式的接口down操作。

l  对登录网络设备的用户进行身份鉴别或管理员登录地址进行限制的,实现对网络设备防护。

根据上述基本安全策略,下面各节详细介绍各区域的安全部署和区域安全策略。

2.2.  互联网边界区域防护

烟草两大业务电子政务、电子商务都需要借助门户网站这个平台,而WEB网站直接暴漏在公众之下,非常容易受到攻击,网页篡改攻击会影响企业形象,网站瘫痪攻击会影响到电子政务和商务的正常运行,木马、钓鱼攻击会造成泄密、欺诈、交易数据篡改等,最终造成直接的经济损失。所以对于电子政务和电子商务系统安全防护需要采用多层次的防御手段,不但能对服务器的访问进行控制,而且还能实时抵御来自应用层的攻击。

电子政务、电子商务的应用服务器部署中,通常采用三层结构:WEB层、APP层和DB层,WEB直接面对外部用户,会被部署在DMZ区,而APPDB层则会部署在内网数据中心。一旦WEB被攻击,攻击者很容易再以WEB服务器为跳板,渗透到系统内部,获得核心的数据,所以WEB层、APP层之间必须要有安全防护措施。

电子政务、电子商务都是面对公众、客户等提供服务,那么响应一定要及时,所以,互联网链路带宽要保证,链路要优化。

为了减少内部员工访问互联网对电子商务和电子政务系统造成不良影响,所以将互联网用户“网上订货”数据流与烟草用户访问互联网数据流分别开来,电子商务和电子政务的互联网连接承载在内部办公网上,而内部员工访问互联网的需求承载在外部办公网上,内网和外网采用物理隔离,是两张通过网闸互通的网络:

l  内部办公网互联网区:实现“网上订货、网上配货、电子结算、现代物流”为特征的电子商务。

l  外部办公网互联网区:为烟草内部员工提供Internet接入服务。

网络架构采用双链路双设备冗余的方式搭建高可靠网络架构,然后再部署安全产品进行防护和优化:

l  多链路负载均衡设备:采用“双臂”方式分别连接到两台交换机上,通过启用VRRP实现冗余备份,两台多链路负载均衡设备配置为路由模式;

l  第一道防火墙:通过安全区域划分、MACIP绑定、访问控制列表(ACL)和攻击防范等基本手段。实现第一道防火墙安全策略:即仅允许INTERNET用户访问对外服务层中的服务器(协议,端口)。同时能够防御ARP欺骗、TCP报文标志位不合法、Large ICMP报文、CCSYN flood、地址扫描和端口扫描等多种恶意攻击。

l  应用层攻击防御——IPS防护SQL注入、跨站脚本、目录遍历漏洞利用以及非法脚本执行等Web攻击;对黑客扫描和攻击的防护(包括蠕虫等对HTTPHTTPS的攻击,支持网页盗链防护);提供针对Syn FloodACK FloodUDP FloodICMP Flood以及CCDDoS攻击防护;提供针对SQL注入、跨站脚本等Web应用漏洞进行扫描;提供基于IP、端口、协议、时间以及域名的访问控制。

l  第二道防火墙:第二道防火墙安全策略如下:仅允许对外服务层中的服务器访问数据中心的服务器(IP地址,协议,端口)。

l  统一安全管理:收集内网互联网区的安全事件,实现安全统一管理。

为了保证电子政务、商务系统的安全稳定运行,烟草内部员工访问互联网部署在外网互联网区,与电子政务、电子商务的互联网出口物理隔离。外网互联网区主要功能是为烟草用户提供Internet接入服务,外网互联网区逻辑设计见下图所示:

外网互联网边界区域的安全部署和策略如下:

l  防火墙作为互联网区的边界防护设备和NAT设备。

l  IPS主要完成对攻击、病毒的阻断和隔离。

l  流量监管设备(ACG)实现对链路的带宽管理和流量控制,可以有效限制垃圾流量占用带宽,记录和管理用户上网行为,以便后期进行优化改造

2.3.  广域网边界区域防护

广域网的安全关系到全省的业务安全,不能忽视。烟草广域网虽然是内部网络,但也面临来自许多安全威胁,如下:

l  烟草每级网络都由各级单位自己维护,所以网络之间不能完全信任。

l  由于下级单位多,安全建设良莠不齐,存在很多安全漏洞,且网络不受上级控制,所以对于上级单位,就如同有多个对外的安全黑洞,病毒、攻击随时都可能突破下级单位,再从下级单位传播到上级,并传播到其它下级单位,那么结果整个网络都会受到严重的安全影响

l  下级单位、单位之间可能存在非法访问造成的安全隐患,需要进行访问控制隔离

根据上述问题,要把下级单位列为不可完全信任用户,在广域网边界上需要部署适当的安全措施。广域网的边界防御同样需要防火墙+IPS的多层次防御体系,另外还需要应用流量控制系统对广域网带宽进行保证,保证关键业务的正常运行.

 

具体安全策略如下:

l  省防火墙:各平级单位不能互相访问

l  省防火墙:市局只能访问省局指定的服务器

l  市防火墙:省局只能访问市局内部指定的服务器

l  市防火墙:县局可以通过市局访问省局数据中心

l  应用流量设备:上下级之间不能进行非业务类交互,如QQMSN

l  IPS:防止各级单位之间的病毒传播和恶意攻击

2.4.  数据中心区域防护

烟草行业关键核心业务,如1号工程、营销管理、专卖管理、物流管理服务器等都放置在数据中心,保存了所有烟草营销的核心数据,这些数据直接关系到电子商务、电子政务、决策管理三大系统的稳定安全运行,所以要更细致的保护其安全。

虽然数据中心业务服务器部署在内部网络,但是仍可能面临来自内、外网的安全威胁:

l  虽然前面各网络边界(广域网、互联网、外联网等)已经部署了安全措施,但攻击可能会绕过网络边界的安全防御措施,或者先攻击对外服务器,然后通过外部服务器对内部服务器的访问需求,渗透到内部服务器,并最终实现攻击目的。

l  数据中心一方面还缺少对内部用户的攻击防御,一方面还缺少内部各部门业务的访问隔离,容易造成非法访问等安全问题。

l  虽然服务器具有一定的安全措施,但是攻击者通过系统漏洞可以轻易绕过这些安全措施进入系统,所以要在路径上直接切断攻击行为。

具体策略如下:

l  由于服务器保存大量的核心数据,不能让用户非法访问,所以配置防火墙以进行服务器的访问控制,并且,防火墙还可以通过虚拟防火墙技术有效隔离各个部门。

l  由于服务器存在很多固有的操作系统软件漏洞、应用软件漏洞,所以,对于服务器的保护必须通过防火墙+IPS的方式进行2~7层防护

l  服务器多级架构包括WEBAPPDB,不同服务之间需要部署严格的访问控制策略;

2.5.  终端用户接入防护

目前,在烟草企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前烟草企业急需解决的问题。

烟草可能面临来自终端用户的安全威胁包括:

l  烟草行业用户对终端用户普遍管理不严格,容易造成终端用户存在较多安全问题

l  终端用户访问互联网感染木马,外部攻击者可以通过木马获得用户权限,侵入其它应用系统

l  终端用户访问互联网,或者通过USB接口感染病毒,病毒在网络内传播,导致数据丢失、系统崩溃、网络瘫痪,对正常工作有很大的影响

l  外来用户访问内网,造成非法访问等

所以,可以通过一套终端控制管理系统(H3C EAD)实现对用户终端的管理,基本工作过程如下图所示:

H3C EAD 终端准入系统

用户终端控制系统应能在全省网络中部署,通过分级分权的方式实现上下级系统的分布式部署,提供全网安全策略统一性,减少烟草网络管理员的维护工作。

另外,用户终端控制系统最好可以和主流厂商的网络设备联动,可以更好的进行安全策略部署和控制,通过设备、网络多个层次的安全控制,可以实现更加安全、灵活的终端接入。

2.6.  统一安全管理

除了在信息传输流程中实施安全解决方案之外,还需要进行全局安全管理,这种管理涉及到网络上的设备、使用者以及业务,只有对这3者实现闭环管理,才能对网络安全状况了如指掌。因此,烟草网络系统建设一个“全局安全管理平台”是必要的。

对于网络系统来说,安全入侵经常将网络作为一个整体而不仅是针对某一个子系统。 一个安全攻击事件可能是独立的,也可能是一个较大规模协同攻击的一部分。对于所有的安全检测点,如果没有一个集中的分析视角,你可能低估某个安全攻击的真正威胁,相应采取的安全措施也可能无法解决真正的问题。因此,对系统所记录和存储的审计数据进行综合分析及处理至关重要。这些审计数据可能来自防火墙、路由器、入侵防御系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件,从而描绘出整个系统当前安全情况的更清晰和准确的图画。同时,通过集中管理,烟草可以最大程度地减少重复工作从而提高安全事件管理的效率。

根据以上需求,可以采用一台安全管理中心(H3C SecCenter)作为整个网络的安全管理中心,对全网设备进行日志分析,帮助定制安全策略。

2.7.  安全部署优化

烟草网络安全部署时会遇到下面的情况:

l  烟草骨干网络通常采用较高的带宽来承载整个网络流量,如数据中心的万兆骨干,然而安全设备的处理性能参差不齐,性能难以保证,其结果往往是:万兆网络+/百兆安全=百兆性能,安全设备性能就成为整体网络的短木板。

l  烟草的业务承载在一张物理网络上,上下级业务又是分层部署,大部分业务的访问都需要通过骨干链路(包括广域网和局域网骨干),所以安全部署应尽量不降低骨干网的可靠性,传统的在线部署方式容易引起安全设备故障而导致整个骨干网络故障。

为解决上述问题,需要采用技术更为先进的方式部署安全产品,将安全产品与交换机、路由器产品融合,不但可以提高安全产品的处理性能,还可以促进整体网络的可靠性,减少单点故障,如下图所示:

采用安全与交换融合的方式可以为烟草网络安全带来如下好处:

1、网络安全的无瓶颈化:

l  内嵌安全插卡模块,其数据交互是通过高端交换机路由器内部高速交换通道实现,而非千兆网线,如内嵌防火墙插卡,具有万兆性能,但价格只是千兆防火墙的价格

l  内嵌安全模块,其硬件架构可以和整个母体融为一体,提高整体处理速度

2、网络安全的高可靠性:

l  内嵌安全插卡模块,其可靠性即高端交换机路由器的可靠性,冗余电源,风扇,无源背板等机制都能大幅度提高其可靠度,而且没有任何额外成本的增加

l  内嵌安全插卡模块,自动提供旁路机制,故障后可以自动旁路流量,整个业务转发不会中断

3.    总结

通过从边界区、数据中心区、内网接入和安全管理等几个方面保证烟草网络安全,实现了立体的全方位安全防护,彻底避免了网络及业务系统受到来自外界的攻击和病毒感染,确保烟草各个环节运行都处在安全环境中,保证了烟草业务的正常运行。

联系我们