网络安全加固与优化 - 图文

在信息系统安全等级保护基本要求中，安全等级保护三级GB/T 22239—2008的基本要求中，明确要求网络系统必须具备结构化的安全保护能力，具体要求包括： 结构安全（G3）

本项要求包括：

a) 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要；

b) 应保证网络各个部分的带宽满足业务高峰期需要；

c) 应在业务终端与业务服务器之间进行路由控制建立安全的访问路径； d) 应绘制与当前运行情况相符的网络拓扑结构图；

e) 应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段；

f) 应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段；

g) 应按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机。

根据GB/T22239-2008《信息安全技术信息安全等级保护基本要求》和国家烟草专卖局办公室 2011年颁布的《国家烟草专卖局办公室关于开展烟草行业信息系统安全等级保护整改工作的通知》（国烟办综〔2011〕440号）等文件的内容，甘肃烟草公司信息网络安全域需根据业务系统等级进行重新划分。甘肃烟草公司信息系统按照业务系统定级，根据不同级别保护需求，按要求划分安全区域进行分级保护。因此，安全域划分是进行信息安全等级保护建设的首要步骤。

目前甘肃烟草公司各安全域之间缺乏有效的控制措施不能够保障业务系统安全、独立运行，不受其他业务系统的影响,现有拓扑结构如下图所示：

依据甘肃省烟草公司安全分区、分级、分域及分层防护的原则，管理信息按照双网隔离方案又分为信息内网与信息外网。本方案主要针对公司信息系统进行等级保护建设。在进行安全防护建设之前，首先实现对信息系统的安全域划分。结合甘肃烟草公司网络现状，采用VLAN划分的方法，将甘肃烟草信息系统分为：内部业务域，数据存储域、外部业务域、运维管理域、内部用户接入域、地市用户域、合作单位接入域以及核心网络域。并且在内部业务域中，根据业务系统的重要性以及信息系统的分级情况，把三级系统和数据库系统单独划分独立区域，二级信息系统及非重要未定级的信息系统划分为一个区域。从而形成分区、分级、分域的立体式安全域划分。

针对此次安全域的划分，对二三级域与其他区域之间存在的边界进行分类描述。主要分为三种边界类型，一种是与Internet边界相连的互联网边界，一种是与国家烟草局、合作单位及各地市烟草相连的纵向网络边界，一种是与桌面终端内部用户相连的横向域间的边界。在此次整改建设中要梳理出个域之间的访问控制关系，明晰区域边界的范围。

拓扑结构的改造目标如下图所示：

数据中心区DNSMAILH3C-Info-S7510E-1FirewallNeteye4120-2Cisco-3825-2CISCO-S6509外联DMZH3C-Info-S7510E-2FirewallNeteye5120-1MSR5040-1垃圾邮件网关五泉办公区Neteye4120-1Cisco-3825-1外联银行ISAIBM垃圾邮件网关外联区外联银行S7506E-1S7506E-2Neteye5120-2MSR5040-2互联网区电信InternetNeteye4120-1H3Cs5500上网行为管理MSR5060Neteye4120-2DMZ交换机绿盟IPSIds/ipsIds/ipsRadwareSSL绿盟WAF-1WWW下一代防火墙上网行为管理Data-S7510E-1Data-S7510E-2绿盟WAF-2新商盟RadwareRadwareRadwareRadwareRadware核心交换区移动Internet公共服务区新网管区地县节点准入控制-1运维审计-1动态短信口令漏洞扫描数据库审计-1FS2000A1000IP SANIMC信安CA数据库审计-2准入控制-2运维审计-2网络安全审计新数据中心区甘肃烟草行业网站H3C-5040neteye4032国家局防火墙-1烟草行业网地市公司稽查/质检分公司物流/仓库SRG3250国家局防火墙-2下一代防火墙CISCO7507电信SDH地市节点电信MSTPSR8805-1S7502E-1T200-1CISCO-S6509下一代防火墙CISCO7606兰州市中心县公司/区域营销CISCO2611交易中心内联区县区节点SR8805-2S7502E-2T200-2东口办公区CISCO3640 甘肃烟草公司网络规划拓扑图

1) 网络域的划分

a.互联网域

是甘肃烟草公司全省的统一互联网访问出口，为省级、地市级办公域的内部用户提供互联网的访问。是甘肃烟草办公网络与互联网之间的边界，在此区域部署有入侵防护、下一代防火墙及上网行为管理等安全设备。通过上网行为规范内

部用户访问互联网的各种行为，同时保证对带宽的合理分配及资源的有效控制。通过防火墙及入侵防护应对进出网络的信息内容进行过滤，实现了网络边界处的防范。 b.内联域

涵盖了烟草行业内部机构，包括地市公司、质检、物流、稽查队、县营销部、客户服务部、欣大公司及国家烟草局的接入，实现行业内部系统应用的互访及数据交互等功能。在每一类内部行业用户的接入点均部署有防火墙及入侵防护及网络准入等边界防护设备，可实现对内联用户细粒度的访问控制规则设定。 c.外联域

外联域主要提供烟草行业内部的业务系统与外联银行的数据接口服务，实现对银行扣款，在线支付等功能的安全接入。在边界处部署有防火墙进行访问控制及边界防护。 d.网络安全管理域

此区域是本次项目建设采购的安全设备单独划分的管理区域，只允许后台管理人员进行访问。部署有网络准入控制、终端管理、运维审计、网络安全审计、动态短信口令身份认证系统及漏洞扫描系统等安全管理设备，通过运维审计系统实现对运维人员的访问控制。 e.核心交换域

甘肃烟草骨干网络的核心数据交换区域，采用双核心的冗余链路设计，保障了稳定性的同时，将其他各个区域联通实现内部业务数据的高速交换。 f.公共服务域

是甘肃烟草公司依据国家烟草局的相关要求，建设的新商盟对外发布公共服

务的区域。此区域不提供内部办公人员的业务访问，只为后台管理人员开放运维接口。该区域按照国家局的要求，部署有IPS,WAF，FW等安全设备，通过本次项目的安全加固，可令该区域基本满足信息安全等级保护三级的基本要求。 g.办公域

办公域为东口及五泉两处的烟草办公人员提供烟草内部网络的访问接入，实现对烟草业务系统的办公访问需求及互联网访问需求。 h.服务器域

部署有支撑甘肃烟草公司八大核心业务系统的各种服务器及小型机。对该区域需实现详细的访问控制过程，主要通过数据库审计对数据库的各类业务操作实现详细记录，并通过与网络安全管理域的联动，实现对访问该区域的人员的身份鉴别及行为审计等安全控制措施。

2) 访问控制规则的完善

a. 从甘肃烟草网络拓扑结构可以看到，在目前，甘肃互联边界使用了两台netsys4120设备作为安全控制设备及一台上网行为管理，存在单点故障，同时，由于两台netsys4120设备使用年限比较长，存在一定的性能问题，为此，经过沟通，在本次设备更换实施中，将使用两台性能更好的山石防火墙，替换现有的netsys4120防火墙，并以冗余热备的形式，实现业务系统接入的冗余功能。 针对以上问题，结合《信息安全技术信息安全等级保护基本要求》，整改方案如下：

割接前部分拓扑如下：