煙草公司網絡防護研究
前言:本站為你精心整理了煙草公司網絡防護研究范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
本文作者:楊波作者單位:安徽中煙工業有限公司
安全域劃分方式
1安全域劃分模型。根據安徽中煙網絡和業務現狀,安徽中煙提出了如下安全域劃分模型,將整個網絡劃分為互聯網接口區、內部網絡接口區,核心交換區,核心生產區四部分:核心生產區本區域僅和該業務系統其它安全子域直接互聯,不與任何外部網絡直接互聯。該業務系統中資產價值最高的設備位于本區域,如服務器群、數據庫以及重要存儲設備,外部不能通過互聯網直接訪問該區域內設備。內部互聯接口區本區域放置的設備和公司內部網絡,包括與國家局,商煙以及分支煙草連接的網絡。互聯網接口區本區域和互聯網直接連接,主要放置互聯網直接訪問的設備。該區域的設備具備實現互聯網與內部核心生產區數據的轉接作用。核心交換區負責連接核心生產區、內部互聯接口區和外部互聯接口區等安全域。
2安全域邊界整合。1)整合原則。邊界整合原則是主要依據分等級保護的原則和同類安全域合并。分等級防護是安全域方法的基本思想,這自然不必多說,同類安全域合并原則在落實時應以一下思想為指導:集中化:在具備條件的情況下,同一業務系統應歸并為一個大的安全域;次之,在每個機房的屬于同一數據業務系統的節點應歸并為一個大的安全域。跨系統整合:不同的數據業務系統之間的同類安全域應在保證域間互聯安全要求的情況下進行整合,以減小邊界和進行防護。最小化:應將與外部、內部互聯的接口數量最小化,以便于集中、重點防護。2)整合方法。為了指導邊界整合,安徽中煙提出了兩種邊界整合方法、適用場景。這些邊界整合方法都側重于跨系統或同一系統不同節點間的邊界整合,側重于數據業務系統與互聯網、外部系統間的接口的整合。(1)單一傳輸出口的邊界整合此種整個方法適用于:具備傳輸條件和網絡容災能力,將現有數據業務系統和互聯網的傳輸接口整合至單一或幾個互備接口。(2)多個傳輸出口的邊界整合此種整個方法適用于:數據業務系統和互聯網之間有多個物理位置不同的接口,并且尚不具備傳輸條件整合各接口。
安全防護策略
1安全防護原則
集中防護。通過安全域劃分及邊界整合后,可以形成所謂的“大院”,減少了邊界,進而可以在安全域的邊界和內部部署防火墻、入侵檢測系統的網絡探頭、異常流量檢測和過濾設備、網絡安全管控平臺的采集設備、防病毒系統的客戶端等基礎安全技術防護手段,集中部署基礎安全服務設施,對不同業務系統、不同的安全子域進行防護,共享其提供的安全服務。分等級防護。根據煙草行業信息安全等級保護要求,對不同的數據業務系統、不同的安全子域,按照其保護等級進行相應的防護。對于各系統共享的邊界按“就高不就低”的原則進行防護。縱深防護。從外部網絡到核心生產域,以及沿用戶(或其他系統)訪問(或入侵)系統的數據流形成縱深的安全防護體系,對關鍵的信息資產進行有效保護。
2系統安全防護
為適應安全防護需求,統一、規范和提升網絡和業務的安全防護水平,安徽中煙制定了由安全域劃分和邊界整合、設備自身安全、基礎安全技術防護手段、安全運行管理平臺四層構成的安全技術防護體系架構。其中,安全域劃分和邊界整合是防護體系架構的基礎。
1)設備自身安全功能和配置。一旦確定了設備所在的安全域,就可以根據其落入的安全域防護策略對設備進行安全功能設置和策略部署。針對設備的安全配置,安徽中煙后期會制定《安徽中煙設備安全功能和配置系列規范》提供指導。
2)基礎安全技術防護手段。業務系統的安全防護應以安全域劃分和邊界整合為基礎,通過部署防火墻、入侵檢測、防病毒、異常流量檢測和過濾、網絡安全管控平臺等5類通用的基礎安全技術防護手段進行防護。在通用手段的基礎上,還可根據業務系統面臨的威脅種類和特點部署專用的基礎安全技術防護手段,如網頁防篡改、垃圾郵件過濾手段等。防火墻部署防火墻要部署在各種互聯邊界之處:在互聯網接口區和互聯網的邊界必須部署防火墻;在核心交換區部署防火墻防護互聯網接口區、內部互聯接口區和核心生產區的邊界;在內部互聯接口區和內部網絡的邊界也需部署防火墻。考慮到內部互聯風險較互聯網低,內部互聯接口區防火墻可復用核心交換區部署的防火墻。另外,對于同一安全域內的不同安全子域,可采用路由或交換設備進行隔離和部署訪問控制策略,或者采用防火墻進行隔離并設置訪問控制策略。入侵檢測設備的部署應在互聯網接口區、內部互聯接口區必須部署入侵檢測探頭,并統一接受網管網集中部署的入侵檢測中央服務器的控制。在經濟許可或相應合理要求下,也可在核心交換區部署入侵檢測探頭,實現對系統間互訪的監控。防病毒系統的部署運行Windows操作系統的設備必須安裝防病毒客戶端,并統一接受網管網集中部署的防病毒中央控制服務器的統一管理。同時,為了提高可用性和便于防護,可在內部互聯接口區部署二級防病毒服務器。異常流量檢測和過濾可在數據業務系統互聯網接口子域的互聯網邊界防火墻外側部署異常流量檢測和過濾設備,防范和過濾來自互聯網的各類異常流量。網絡安全管控平臺網絡安全管控平臺應部署在網管網側,但為了簡化邊界和便于防護,建議:在內部互聯接口區部署帳號口令采集設備以實現帳號同步等功能。在內部互聯接口區必須部署日志采集設備,采集業務系統各設備的操作日志。
3)應用層安全防護。數據業務系統應用安全防護主要是防范因業務流程、協議在設計或實現方面存在的漏洞而發生安全事件。其安全防護與系統架構、業務邏輯及其實現等系統自身的特點密切相關。安徽中煙通過參考IAARC模型,提出鑒別和認證、授權與訪問控制、內容安全、審計、代碼安全五個防護方面。
4)安全域的管理。除了實施必要的安全保障措施控制外,加強安全管理也是不可缺少的一個重要環節。安全域管理主要包括:從安全域邊界的角度考慮,應提高維護、加強對邊界的監控,對業務系統進行定期或不定期的風險評估及實施安全加固;從系統的角度考慮,應規范帳號口令的分配,對服務器應嚴格帳號口令管理,加強補丁的管理等;人員安全培訓。
