中煤化工集團(tuán)某省公司網(wǎng)絡(luò)安全升級(jí)案例分析
(聯(lián)合電訊社/北京)--中煤化工集團(tuán)某省公司是集煤炭、化工、煤制油、頁巖油、城市燃?xì)馍a(chǎn)、銷售、輸送于一體的國(guó)有大型煤炭化工企業(yè),是中國(guó)中煤能源集團(tuán)公司發(fā)展煤炭化工產(chǎn)業(yè)的基地和平臺(tái)。
該公司本部基礎(chǔ)網(wǎng)絡(luò)及信息機(jī)房建設(shè)于2007年,迄今為止,信息機(jī)房先后增加了財(cái)務(wù)、人力、銷售系統(tǒng)等的相關(guān)設(shè)備,與下屬單位建立專線連接,已構(gòu)成公司整體廣域網(wǎng)。但公司現(xiàn)有網(wǎng)絡(luò)存在很大的安全隱患,僅通過一臺(tái)防火墻訪問外網(wǎng),現(xiàn)有設(shè)備無法滿足網(wǎng)絡(luò)安全需要。
本次升級(jí)網(wǎng)絡(luò)安全體系的目標(biāo)是實(shí)現(xiàn)電子數(shù)據(jù)報(bào)送的安全、高效快速化,以期達(dá)到數(shù)據(jù)中心借助網(wǎng)絡(luò)進(jìn)行高效辦事、降低企業(yè)成本的目的,同時(shí)提升整體系統(tǒng)在應(yīng)用方面的綜合性,達(dá)到能夠靈活、快速、高效地完成下屬企業(yè)的報(bào)送信息,并對(duì)報(bào)送信息進(jìn)行綜合性分析,提供輔助決策功能,有效提高系統(tǒng)處理能力和業(yè)務(wù)效率。
安全需求
在網(wǎng)絡(luò)安全建設(shè)時(shí),需要滿足以下幾點(diǎn)需求:
安全性:業(yè)務(wù)數(shù)據(jù)的安全性要有足夠的保證。
可靠性:由于整個(gè)業(yè)務(wù)系統(tǒng)均運(yùn)行在此專網(wǎng)上,因此要有較高的可靠性。
先進(jìn)性:采用先進(jìn)、成熟的技術(shù)和主流、領(lǐng)導(dǎo)性產(chǎn)品,使網(wǎng)絡(luò)建設(shè)能適應(yīng)未來3-5年的需求。
實(shí)用性:系統(tǒng)設(shè)計(jì)以實(shí)用性為原則,同時(shí)應(yīng)考慮到系統(tǒng)的開放性、可升級(jí)性、技術(shù)支持服務(wù)等能力。
統(tǒng)一性:所有網(wǎng)絡(luò)安全產(chǎn)品需要確保系統(tǒng)兼容性。
經(jīng)過對(duì)該公司網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)分析,主要的風(fēng)險(xiǎn)集中在互聯(lián)網(wǎng)出口、分公司接入及核心業(yè)務(wù)系統(tǒng)安全防控方面。依照風(fēng)險(xiǎn)分析的結(jié)果,可以將該公司網(wǎng)絡(luò)劃分成上聯(lián)區(qū)、外聯(lián)網(wǎng)區(qū)、服務(wù)器區(qū)、辦公區(qū)。各區(qū)域之間通過核心交換機(jī)進(jìn)行數(shù)據(jù)交換。上聯(lián)區(qū)還保持原樣,不進(jìn)行改造。
解決方案
整體解決方案采用的是業(yè)內(nèi)著名網(wǎng)絡(luò)安全廠商啟明星辰的安全產(chǎn)品,如圖所示。
在外聯(lián)網(wǎng)區(qū)與核心交換機(jī)的邊界部署一臺(tái)千兆天清漢馬一體化安全網(wǎng)關(guān),分別將互聯(lián)網(wǎng)出口和分公司專線接入連接到安全網(wǎng)關(guān)上,這樣可以使一體化安全網(wǎng)關(guān)作為邊界保護(hù)手段,同時(shí)起到防火墻、入侵防御、防病毒的作用,從而將絕大部分的異常行為阻擋在整個(gè)網(wǎng)絡(luò)外部,同時(shí)確保內(nèi)部辦公網(wǎng)絡(luò)和服務(wù)器區(qū)的正常運(yùn)行。
在服務(wù)器區(qū)內(nèi),首先部署一臺(tái)千兆天清入侵防御系統(tǒng)作為邊界保護(hù)手段,能夠降低異常行為對(duì)整個(gè)核心業(yè)務(wù)網(wǎng)絡(luò)的整體資源消耗,確保核心業(yè)務(wù)系統(tǒng)的正常運(yùn)行,同時(shí)對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)的訪問行為進(jìn)行收集分析,監(jiān)控用戶對(duì)網(wǎng)絡(luò)的訪問情況;然后將互聯(lián)網(wǎng)出口替換下的防火墻部署在入侵防御系統(tǒng)的后面,通過配置訪問控制規(guī)則過濾訪問,減小對(duì)OA、郵件、財(cái)務(wù)、人力、銷售等系統(tǒng)的訪問范圍。
在辦公區(qū)和服務(wù)器區(qū)的服務(wù)器及終端上,部署企業(yè)版防病毒系統(tǒng),防護(hù)當(dāng)前所有類型的網(wǎng)絡(luò)攻擊(包括病毒、間諜軟件、黑客攻擊和垃圾郵件等等)。
在核心交換機(jī)上部署一臺(tái)千兆天玥業(yè)務(wù)審計(jì)系統(tǒng),時(shí)刻監(jiān)視著對(duì)重要資源的訪問,當(dāng)出現(xiàn)安全事件后,能找出導(dǎo)致安全事件、性能波動(dòng)的真正原因,幫助公司加強(qiáng)內(nèi)部網(wǎng)絡(luò)行為監(jiān)管,滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。
實(shí)踐心得
在本案例中,通過在外聯(lián)區(qū)與核心交換區(qū)之間設(shè)置一體化安全網(wǎng)關(guān),實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)層到應(yīng)用層的多重防護(hù)。該網(wǎng)關(guān)不僅具有防火墻的全部功能,同時(shí)可以檢測(cè)出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊,有效控制對(duì)企業(yè)網(wǎng)絡(luò)資源進(jìn)行濫用的IM、P2P軟件,充分保護(hù)網(wǎng)絡(luò)資源,一體化的設(shè)計(jì)及高性能更為客戶節(jié)約了大量的設(shè)備投資。
在核心業(yè)務(wù)系統(tǒng)部署天玥業(yè)務(wù)審計(jì)系統(tǒng),對(duì)原本沒有保護(hù)的核心業(yè)務(wù)系統(tǒng)進(jìn)行權(quán)責(zé)分配、分級(jí)管理,實(shí)現(xiàn)對(duì)內(nèi)部人員操作的合規(guī)性管理,避免由于內(nèi)部誤操作或違規(guī)行為引起的事故。
通過針對(duì)全網(wǎng)風(fēng)險(xiǎn)點(diǎn)采用不同產(chǎn)品的組合應(yīng)用,形成了從網(wǎng)絡(luò)接入到業(yè)務(wù)監(jiān)管的全面安全防護(hù),從內(nèi)到外大大提升了企業(yè)網(wǎng)的安全可靠性。(啟明星辰 俞真子)