烟草行业网络安全解决方案

背景:


中国烟草总公司是一个对全国烟草行业“人、财、物、产、供、销、内、外、贸”进行集中统一管理机构。
中国烟草行业实行专卖专营体制以来,在党中央、国务院的正确领导以及地方各级党委政府、各有关部门的大力支持下,充分发挥行业管理体制的优势,不断深化改革,强化专卖执法,推进科技进步,狠抓基础管理,促进了经济效益不断提高。目前,全国烟草行业职工总数55万人;设有直属机构58个;地市级局(公司)446个,县级局(营销部)2283个;卷烟工业企业和烟机制造企业105个,烟叶复烤企业56个,其他单位和企业140个。构成了强大的国内生产营销体系。
历史的车轮滚滚向前,改革的涛声澎湃不息。面向未来,压力与动力并存,机遇与挑战同在。烟草行业将以高度的历史责任感,不失时机地紧紧抓住历史性的发展机遇,全面实施产品结构、产业结构、企业组织结构“三大调整”,全面实现烟草行业责任感目标,为国家和地方经济发展作出更大的贡献。
近几年,中国烟草行业信息化飞速发展,各个企业目前己经基本完成了基础设施建设和业务系统建设,如营销系统、专卖系统、物流系统、财务系统、0A系统等。这些信息系统之间相对独立,缺乏有机联系,形成了信息孤岛,无法做到信息资源的共享,进而影响了许多正常业务的效率。由于各单位前期在实施信息系统过程中分别采用了各自的系统标准,因而导致了现有各信息系统之间很难做到“无缝连接”,并且在各系统间存在大量的“手工连接”,进而造成大量的信息失真和信息延时,这种情况还对信息管理部门增加了很多工作量,每天为数据而忙碌。同时各业务系统侧重于业务处理,不能进行充分的价值挖掘,缺乏为企业领导或业务处室的综合分析、宏观决策提供有力支持。因此,在烟草企业数据综合分析应用系统的建设与完善就显得尤为重要。

安全威胁:


根据对于烟草行业系统的了解,归纳而来,主要有如下一些安全威胁的存在,威胁的存在不断提示着系统的信息不安全性,因此也需要从这些方面着手进行风险的把控:



为了全面地对信息系统安全需求进行分析和归类,我们参照业界通用的分析方法和GB/T 20984-2007《信息安全风险评估规范》。根据安全风险的来源,从外网业务需求和运维管理安全需求两个方面,针对每一方面分别具体分析安全需求。它兼顾了全网的信息资产、数据访问流向、风险源等各个要素,避免了需求分析的遗漏。


内网业务面临的安全威胁和风险不仅来自于网络边界外部,内部终端计算机也是整个数据中心网络源,其主要包括以下几个方面:

• 数据库安全风险


随着单位数据库的使用越来越多,大量的应用与人员需要访问数据库,数据库管理员将面对日益增长的安全问题。其中包括内部威胁、由于数据被破坏造成的成本损失等,这些问题和Web应用安全问题一样令人头痛。因此,数据库安全必须作为一个安全整体来考虑。如何对数据库的漏洞、弱口令、数据库结构变化等隐患进行掌控已成为了一个不容忽视的问题。同时由于数据库产生安全问题时,非常难以追查和定位,例如无法查找问题发生的痕迹和证据。

• 服务器安全风险

一般来讲,网络服务器所面临的主要安全风险包括:


• 系统弱点被暴露而招致攻击
• 合法用户误用、滥用导致破坏和泄密
• 计算机病毒的侵害
• 缺乏审计能力而无法对安全事件后期取证

• 终端用户风险

• 内部用户误操作
• 合法用户的恶意行为

• 恶意代码防范


病毒、蠕虫等恶意代码是对计算环境造成危害最大的隐患,当前病毒威胁非常严峻,特别是蠕虫病毒的爆发,会立刻向其他子网迅速蔓延,发动网络攻击和数据窃密。大量占据正常业务十分有限的带宽,造成网络性能严重下降、服务器崩溃甚至网络通信中断,信息损坏或泄漏,严重影响正常业务的开展。

• 信任安全风险


身份认证是信任管理中的关键环节,身份认证是指计算机及网络系统确认操作者身份的过程。计算机系统和计算机网络是一个虚拟的数字世界。在这个数字世界中,一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。而我们生活的现实世界是一个真实的物理世界,每个人都拥有独一无二的物理身份。如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,就成为一个很重要的问题。身份认证技术的诞生就是为了解决这个问题。

 安全技术管理风险


随着信息化的发展,本单位 IT系统不断发展,网络规模迅速扩大、设备数量激增,建设重点逐步从网络平台建设,转向以深化应用、提升效益为特征的运行维护阶段, IT 系统运维与安全管理正逐渐走向融合。信息系统的安全运行直接关系单位效益,构建一个强健的IT 运维安全管理体系对单位信息化的发展至关重要,对运维的安全性提出了更高要求。详细管理风险如下所示:



建设思路:


依据对于现场的调研与安全系统的部署经验,对于烟草行业详细的建设思路,我们将遵循如下的方式:





建设内容:



对于烟草行业的一般防护如下图所示:





根据现状描述我们了解到,数据中心网络已经划分为三个区域,内部服务区域、数据库区域以及边界区域。


根据目前数据中心网络信息系统部署现状、业务需求以及安全保护需求,通过安全区域划分,解决各不同区域间边界控制问题;同时通过安全域内部保护的实施解决内部整体安全控制问题。这样可达到全面整体的安全防护效果。安全域进行如下划分:



边界区域:主要为了满足外部用户的VPN访问,因此需要做到完整并且严密的访问控制,并且能够有效防护病毒、木马等入侵。


数据库区域:主要包含数据库存储系统。该区域主要存储核心系统数据及存储系统实现集中管理,应放置在这个区域。部署数据库审计系统,通过对数据库操作的痕迹进行详细记录和审计,使数据的所有者对数据库访问活动一目了然,有据可查,及时掌握数据库的使用情况,并可以对安全隐患进行调整和优化。


内网服务区域:内网服务区主要部署有FTP、内网OA等内网服务系统,该区域部署的安全设备是日志审计、运维审计、准入控制、漏洞扫描设备,该区域用于完整的把控运维操作以及准入控制,同时兼顾系统以及主机的漏洞,及时弥补漏洞,以免带来安全隐患。


云安全防护:


随着业务的发展,烟草公司为了响应集团的号召,以及国家网信办对于业务上云的建议,对于网络虚拟服务的需求也逐步提高。正是以这样的背景下,烟草公司,将业务更多迁移到虚拟机上进行开展,而对于这些虚拟机的安全防护也成为了重点保护的对象。为了适应烟草集团的规模巨大,以及租户众多的现状,本期利用天池系统,对整个烟草集团进行了防护,详细的防护体系如下所示:



云平台上搭建安恒云安全产品资源池,即天池产品,通过现有私有云平台为安全资源池提供底层物理资源支持,在资源池内部署云上安全产品,具体云上安全产品主要分为云防御产品类别和云审计产品类别,用户可通过安全运营平台,通过镜像或软件下载的方式将相关产品部署到自己的云业务环境内,同时借助云安全运营平台进行安全管理和策略的下发,形成云租户私人定制化的安全产品解决方案。

对于租户而言,使得安全产品可以一键式获取并且进行防护。

安全服务:


对于安全体系的建设,除了建立安全产品之外,安全服务也是不可或缺的一大因素,本期对于烟草行业,安恒信息提供了完善的安全服务体系,详见如下:




在保证产品对于日常问题信息的挖掘与告警前提下,提供了人工配合的服务,能够最快速提供解决问题,人员培养,渗透测试等服务,完善了安全体系,把整个安全基础架构的更为稳定。


方案价值与优势:


• 丰富的安全经验:安恒信息具备丰富的安全服务经验,在2008年北京奥运会期间,作为北京奥组委安全产品和服务提供商,安恒信息被奥组委授予“奥运信息安全保障杰出贡献奖”;在建国60周年网站安全大检查中,安恒信息作为唯一技术合作伙伴发挥了重大作用;同时,2009年安恒信息荣获浙江省网络与信息安全通报中心技术支持合作先进单位称号;2010年,安恒信息成为上海世博会安全产品和服务提供商,全力保障上海世博会期间政府信息系统安全。2010年,安恒信息成为广州亚运会安全产品和服务提供商,全力保障广州亚运会期间政府信息系统安全。2015-2017,连续三年承接世界互联网大会主导安全保障单位。2016年,主导保障全球瞩目的G20安全保障。


• 拥有丰富的国际、国内领先专利: WEB应用安全深度扫描(专利号:US60/835471)、WEB和数据库入侵异常检测(专利号:US60/835472)、SQL注入WEB攻击的实时入侵检测系统(专利号:ZL2008100002168.0)、一种丢包环境下提升TDS协议解析正确率的方法(专利号:ZL200910101388.3)、一种在大数据量存储中快速检索的方法(201110116710.7)、数据库内核对象入侵检测系统(201110401023.X)一种交互式半自动化安全事故追溯方法与系统(201210013693.9)、一种通过提取SQL模板对海量SQL压缩存储的方法(201210011602.8)、一种应用层透明代理技术的通信实现方法(201210012058.9)、一种在应用安全系统中进行精确风险检测的方法与系统(201210011117.0)等。

•为企业决策层提供宏观层面关键指标监控和预警。


• 安全保障体系模型通过“维,面,层”的建设实现体系的全面性和先进性,达到主动合规,管理风险,内部控制和应急响应等目标。


• 资深且经验丰富的项目团队:项目团队的专业性直接影响着项目结果,在本项目中我们派出资深且项目经验丰富的团队。而且由杭州总部直接任命经验丰富的项目经理。 







返回列表
杭州安恒信息技术有限公司 版权所有 © 2007-2017    浙ICP备09102757号 | 法律声明 | 隐私保护 |