倪健

摘 要：文章以安全域的劃分為網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)思想，詳細(xì)分析了目前市煙草專賣局（公司）網(wǎng)絡(luò)通信安全現(xiàn)狀，闡述了基于安全域的網(wǎng)絡(luò)安全防護(hù)體系架構(gòu)，結(jié)合市局信息系統(tǒng)實(shí)際情況，將網(wǎng)絡(luò)安全域通過垂直分層、水平分區(qū)兩部分，從安全性、先進(jìn)性、可開放性、可管理性、可持續(xù)性5個(gè)層面，對(duì)安全域進(jìn)行網(wǎng)絡(luò)優(yōu)化改造。

關(guān)鍵詞：安全域;網(wǎng)絡(luò)安全架構(gòu);網(wǎng)絡(luò)優(yōu)化

1 研究背景及現(xiàn)狀

1.1 研究背景

隨著浙江煙草專賣、商業(yè)系統(tǒng)“三場(chǎng)硬仗”的持續(xù)深入，煙草企業(yè)對(duì)網(wǎng)絡(luò)的依賴性越來(lái)越高，信息網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，結(jié)構(gòu)也逐漸復(fù)雜，煙草網(wǎng)絡(luò)黑客入侵、病毒破壞、信息泄露風(fēng)險(xiǎn)也在提高?！靶畔⒕褪秦?cái)富，安全才有價(jià)值”。信息的絕對(duì)安全是公司信息系統(tǒng)正常運(yùn)行的根本前提，只有安全的信息才是有價(jià)值的信息[1]。

網(wǎng)絡(luò)的安全對(duì)煙草企業(yè)的發(fā)展具有極其重要的作用。采用安全域[2]方式對(duì)煙草企業(yè)網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，并根據(jù)網(wǎng)絡(luò)區(qū)域的重要性部署相應(yīng)的安全技術(shù)手段，成為建設(shè)安全企業(yè)網(wǎng)的一種可行方式。

1.2 目前現(xiàn)狀

某市煙草專賣局（公司）信息中心經(jīng)過多年的信息化建設(shè)，對(duì)市局、縣局及物流中心有針對(duì)性地做了全面加固，網(wǎng)絡(luò)安全有了很大提高，但網(wǎng)絡(luò)安全風(fēng)險(xiǎn)依然存在。

1.2.1 網(wǎng)絡(luò)現(xiàn)狀概述

某市煙草專賣局（公司）目前已將各縣外網(wǎng)防火墻和核心路由器進(jìn)行統(tǒng)一調(diào)整，市局外網(wǎng)防火墻、核心路由交換均放在市辦公大樓機(jī)房，提高網(wǎng)絡(luò)防護(hù)高效性;各縣級(jí)分公司分別使用兩臺(tái)思科路由器與市公司相連，做到鏈路聚合，負(fù)載均衡。

1.2.2? 網(wǎng)絡(luò)設(shè)備老化

目前市局（公司）為配合部分應(yīng)用正常使用，當(dāng)前仍主用思科6509核心設(shè)備，其性能由于年限較久，沒有新設(shè)備的轉(zhuǎn)發(fā)、承載性能高，兩臺(tái)核心設(shè)備沒有做到雙機(jī)熱備，存在嚴(yán)重的單點(diǎn)故障，一旦其中一臺(tái)設(shè)備發(fā)生故障，勢(shì)必對(duì)煙草的網(wǎng)絡(luò)產(chǎn)生很大的影響。

1.2.3? 網(wǎng)絡(luò)架構(gòu)各區(qū)域劃分模糊，區(qū)域邊界保護(hù)錯(cuò)時(shí)不足

市局OA系統(tǒng)中的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)建設(shè)都是基于不同需求不同時(shí)期開發(fā)建設(shè)的，建設(shè)初期對(duì)安全方面的考慮不足，安全需求沒有統(tǒng)一的規(guī)劃，核心業(yè)務(wù)系統(tǒng)缺少有效的訪問控制，也缺乏有效隔離[3]。

1.2.4? 規(guī)模不斷擴(kuò)大，缺乏一套運(yùn)維管理平臺(tái)

網(wǎng)絡(luò)中存在不可管理設(shè)備，或此設(shè)備無(wú)法正常登錄，故障時(shí)不便于及時(shí)管理。樓層接入交換機(jī)級(jí)聯(lián)方式不統(tǒng)一，存在單鏈路上行接入設(shè)備，缺少內(nèi)網(wǎng)流量監(jiān)控、分析設(shè)備，無(wú)法快速定位異常源。不能對(duì)現(xiàn)網(wǎng)所有設(shè)備進(jìn)行可視化管理，不能準(zhǔn)確定位故障，運(yùn)維人員管理效率不高。

由于各系統(tǒng)功能傾向性不同，對(duì)于網(wǎng)絡(luò)安全防護(hù)有著不同的等級(jí)要求和側(cè)重，采取傳統(tǒng)“一刀切”的方式是不可行的。結(jié)合某市煙草專賣局（公司）現(xiàn)狀，采用安全域的分區(qū)分域、縱深防護(hù)思想，針對(duì)不同子網(wǎng)特點(diǎn)不同，分區(qū)分域防護(hù)，能有效解決上述問題。

2 網(wǎng)絡(luò)安全域設(shè)計(jì)原則

2.1 先進(jìn)性和實(shí)用性

為了確保煙草網(wǎng)絡(luò)安全具有較長(zhǎng)的生命周期，在系統(tǒng)軟硬件配置上，綜合考慮了實(shí)用化目標(biāo)以及國(guó)際計(jì)算機(jī)技術(shù)發(fā)展的趨勢(shì)進(jìn)行規(guī)劃。實(shí)用性原則主要體現(xiàn)在以下方面：以現(xiàn)行需求為基礎(chǔ)，適當(dāng)考慮發(fā)展的需要為依據(jù)來(lái)確定系統(tǒng)規(guī)模。選擇成熟、先進(jìn)、維護(hù)量小、使用方便的技術(shù)設(shè)備和措施。創(chuàng)造一個(gè)開放的網(wǎng)絡(luò)平臺(tái)，支持多種業(yè)務(wù)的同時(shí)傳輸，支持語(yǔ)音、圖像、視頻、云業(yè)務(wù)等多媒體業(yè)務(wù)[4]。

2.2 可持續(xù)發(fā)展和經(jīng)濟(jì)性

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)是個(gè)發(fā)展很快的領(lǐng)域，系統(tǒng)建設(shè)必須考慮到系統(tǒng)以后的擴(kuò)充和變化，因此必須保持系統(tǒng)的可擴(kuò)展性。采用成熟、穩(wěn)定、性能價(jià)格比高、擴(kuò)展能力強(qiáng)的產(chǎn)品，既要避免采用過高的性能配置，造成資源的浪費(fèi)和投資的緊張，又要防止系統(tǒng)處理能力不足、擴(kuò)展能力不夠而無(wú)法適應(yīng)未來(lái)發(fā)展的需要[5]。

2.3 可靠性和安全性

系統(tǒng)必須具有很高的可靠性和安全性。在邊界處部署防火墻設(shè)備進(jìn)行訪問控制，實(shí)施區(qū)域邊界保護(hù)，確保只允許煙草指定業(yè)務(wù)應(yīng)用和管理數(shù)據(jù)流通過;啟用防火墻設(shè)備的病毒過濾功能，過濾惡意代碼。在互聯(lián)網(wǎng)出口部署入侵防范系統(tǒng)，防范外部掃描，針對(duì)主機(jī)漏洞的惡意攻擊和木馬蠕蟲等應(yīng)用層攻擊，實(shí)現(xiàn)應(yīng)用層防護(hù);在互聯(lián)網(wǎng)出口部署防DDoS攻擊系統(tǒng)，防止DDoS的攻擊。整個(gè)網(wǎng)絡(luò)系統(tǒng)的設(shè)備和服務(wù)器的安全性、數(shù)據(jù)流量、性能等得到很好的監(jiān)視和控制，并可以進(jìn)行遠(yuǎn)程管理和故障診斷。

3 安全域劃分

3.1? 安全域劃分管理策略

核心硬件管理：提升煙草網(wǎng)絡(luò)轉(zhuǎn)發(fā)、承載性能，核心網(wǎng)絡(luò)交換機(jī)新購(gòu)一臺(tái)H3C10508替換原先的CISOC6509E設(shè)備，做IRF，做到端口聚合，實(shí)現(xiàn)雙機(jī)熱備。

網(wǎng)絡(luò)防火墻：需要在該安全域?qū)阂獯a進(jìn)行檢測(cè)和防護(hù)，過濾攔截病毒、木馬、蠕蟲等惡意代碼。增加內(nèi)網(wǎng)防火墻設(shè)備，對(duì)內(nèi)網(wǎng)訪問行為進(jìn)行有效控制，規(guī)范內(nèi)網(wǎng)訪問行為，確保內(nèi)網(wǎng)服務(wù)器區(qū)應(yīng)用的訪問安全

流量審計(jì)系統(tǒng)：部署一套流量分析設(shè)備，對(duì)網(wǎng)絡(luò)數(shù)據(jù)關(guān)鍵業(yè)務(wù)流量甚至全流量無(wú)死角管理和監(jiān)控、回溯，清晰直觀掌握整個(gè)網(wǎng)絡(luò)的運(yùn)行情況。在產(chǎn)生網(wǎng)絡(luò)故障事件時(shí)，根據(jù)用戶、應(yīng)用、協(xié)議、數(shù)據(jù)包的實(shí)時(shí)和歷史數(shù)據(jù)，快速分析定位故障點(diǎn)、判斷影響范圍、界定責(zé)任，避免處理過程過長(zhǎng)、證據(jù)不充足，不能及時(shí)修復(fù)和控制導(dǎo)致?lián)p失不可控、責(zé)任主體不明的情況，保障業(yè)務(wù)持續(xù)穩(wěn)定，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)服務(wù)的價(jià)值最大化。

IT可視化運(yùn)維管理平臺(tái)：通過運(yùn)維可視化運(yùn)維管理平臺(tái)的建設(shè)，記錄運(yùn)維過程，開展運(yùn)維過程的審計(jì)和事后追蹤。建設(shè)可視化展現(xiàn)系統(tǒng)中網(wǎng)絡(luò)系統(tǒng)、主機(jī)服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用、安全等運(yùn)行狀況的集中展示管理平臺(tái)，平臺(tái)提供當(dāng)前運(yùn)行一覽視圖、業(yè)務(wù)一覽視圖、業(yè)務(wù)監(jiān)測(cè)視圖、網(wǎng)絡(luò)監(jiān)測(cè)視圖、機(jī)房展現(xiàn)視圖等多種監(jiān)測(cè)視圖來(lái)查看當(dāng)前系統(tǒng)的整體運(yùn)行情況，并支持投放到大屏幕上。

3.2? 市局網(wǎng)絡(luò)區(qū)域定義及優(yōu)化方法

外部專線區(qū)：外部專線區(qū)指市局網(wǎng)絡(luò)與其他單位互聯(lián)專線，目前各地市以政務(wù)網(wǎng)互聯(lián)和銀行互聯(lián)為主?；ヂ?lián)單位通過廣域網(wǎng)專線接入市局的行業(yè)專線接入?yún)^(qū)，再聯(lián)入核心交換區(qū)，進(jìn)而與內(nèi)部業(yè)務(wù)進(jìn)行數(shù)據(jù)交互。該區(qū)域以專線形式接入市局網(wǎng)絡(luò)必須存在三層設(shè)備與其互聯(lián)，建議采用獨(dú)立三層防火墻接入各專線，防火墻與核心交換采用三層互聯(lián)。

行業(yè)專線區(qū)：行業(yè)專線區(qū)指以市局網(wǎng)絡(luò)為主體，與其他煙草單位或部門連接的區(qū)域?；ヂ?lián)單位通過廣域網(wǎng)專線接入省局的行業(yè)專線接入?yún)^(qū)，再聯(lián)入核心交換區(qū)，進(jìn)而與內(nèi)部業(yè)務(wù)進(jìn)行數(shù)據(jù)交互。針對(duì)煙草，邊界通信方式為：市局網(wǎng)絡(luò)通過行業(yè)專線接入?yún)^(qū)路由器連接各區(qū)縣路由器而搭建的OSPF網(wǎng)絡(luò);連接省局路由器搭建的OSPF網(wǎng)絡(luò);連接物流中心路由器搭建的三層路由網(wǎng)絡(luò)，三者都是通過該區(qū)域一組路由器實(shí)現(xiàn)互聯(lián)互通。考慮到地市與省局行政關(guān)系，建議將市局為主體網(wǎng)絡(luò)的上行、下行網(wǎng)絡(luò)進(jìn)行獨(dú)立區(qū)分，該區(qū)域僅作為市局連接省局網(wǎng)絡(luò)的邊界，同時(shí)該區(qū)域?qū)⒓缲?fù)未來(lái)國(guó)家局分布部署信息系統(tǒng)的服務(wù)邊界。

物流中心域：物流中心與市局網(wǎng)絡(luò)通常在不同地理位置，當(dāng)前物流中心與區(qū)縣域均接在行業(yè)路由器上。由于物流中心網(wǎng)絡(luò)的獨(dú)立性，安全域規(guī)劃時(shí)必須明確物理中心與市局網(wǎng)絡(luò)邊界，采用靜態(tài)路由協(xié)議進(jìn)行互聯(lián)，同時(shí)做好邊界防護(hù)。市局網(wǎng)絡(luò)與物流中心網(wǎng)絡(luò)采用防火墻進(jìn)行隔離，與市公司之間增加防火墻設(shè)備，隔離異常流量，實(shí)時(shí)監(jiān)控配送至市局流量行為，發(fā)現(xiàn)異常時(shí)報(bào)警并及時(shí)處理。

區(qū)縣域：當(dāng)前各地市與區(qū)縣、物流中心公用行業(yè)專線路由器。優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)，去除縣公司前端互聯(lián)路由器，直接新購(gòu)高性能核心交換機(jī)和市公司路由器實(shí)現(xiàn)互聯(lián)，從邊界安全角度來(lái)說，區(qū)縣流量進(jìn)入市局應(yīng)當(dāng)通過市局的安全檢查方能入網(wǎng)，整改樓層級(jí)聯(lián)方式，實(shí)現(xiàn)雙光纖鏈路聚合上行，全面可管理，并添加監(jiān)控平臺(tái)。去除HUB和NAT設(shè)備，由可管理小交換機(jī)代替。

樓層接入?yún)^(qū)：樓層接入?yún)^(qū)是指市局煙草各樓層及老大樓通過防火墻，經(jīng)過核心交換區(qū)，再連接互聯(lián)網(wǎng)的出口安全區(qū)，是內(nèi)部用戶和服務(wù)器與互聯(lián)網(wǎng)進(jìn)行通訊的關(guān)鍵網(wǎng)絡(luò)邊界。外網(wǎng)出口區(qū)擔(dān)任內(nèi)網(wǎng)地址到公網(wǎng)地址轉(zhuǎn)換的作用，同時(shí)還應(yīng)肩負(fù)內(nèi)網(wǎng)終端上網(wǎng)的安全管理，根據(jù)等保對(duì)網(wǎng)絡(luò)安全相關(guān)要求，該區(qū)域還應(yīng)識(shí)別內(nèi)部終端非法外連的行為。

4 結(jié)語(yǔ)

本文針對(duì)市煙草專賣局（公司）的信息系統(tǒng)實(shí)際，結(jié)合市煙草專賣局（公司）業(yè)務(wù)系統(tǒng)的要求，提出了基于安全域的企業(yè)網(wǎng)絡(luò)安全防護(hù)體系。方案包括兩部分：網(wǎng)絡(luò)安全域設(shè)計(jì)原則和安全域劃分。針對(duì)安全域的功能特點(diǎn)提出防護(hù)要求，將煙草網(wǎng)絡(luò)劃分為若干不同的安全域進(jìn)行防護(hù)管理，根據(jù)不同安全域級(jí)別制訂相應(yīng)的安全管理策略。當(dāng)然，煙草的網(wǎng)絡(luò)安全不僅僅需要安全防護(hù)技術(shù)，關(guān)鍵還需要嚴(yán)格的管理制度和可靠的信息管理人員。

[參考文獻(xiàn)]

[1]李柏松.由Windows的安全實(shí)踐看可信計(jì)算的價(jià)值和局限[J].信息安全與通信保密，2014（9）：100-107.

[2]王群.基于安全域的信息安全防護(hù)體系研究[J].信息網(wǎng)絡(luò)安全，2015（9）：206-210.

[3]繆嘉嘉，尹小虎，溫研，等.基于可信隔離運(yùn)行環(huán)境的信息資產(chǎn)保護(hù)系統(tǒng)[J].信息網(wǎng)絡(luò)安全，2009（10）：35-37.

[4]楊威.可信網(wǎng)絡(luò)中的擁塞控制策略研究[D].南京：南京郵電大學(xué)，2011.

[5]孫曉川.未來(lái)網(wǎng)絡(luò)虛擬化資源管理機(jī)制研究[D].北京：北京郵電大學(xué)，2013.

（編輯 何 琳）