中煤化工集團(tuán)某省公司是集煤炭、化工、煤制油、頁巖油、城市燃?xì)馍a(chǎn)、銷售、輸送于一體的國有大型煤炭化工企業(yè)，是中國中煤能源集團(tuán)公司發(fā)展煤炭化工產(chǎn)業(yè)的基地和平臺(tái)。

　　該公司本部基礎(chǔ)網(wǎng)絡(luò)及信息機(jī)房建設(shè)于2007年，迄今為止，信息機(jī)房先后增加了財(cái)務(wù)、人力、銷售系統(tǒng)等的相關(guān)設(shè)備，與下屬單位建立專線連接，已構(gòu)成公司整體廣域網(wǎng)。但公司現(xiàn)有網(wǎng)絡(luò)存在很大的安全隱患，僅通過一臺(tái)防火墻訪問外網(wǎng)，現(xiàn)有設(shè)備無法滿足網(wǎng)絡(luò)安全需要。

　　本次升級(jí)網(wǎng)絡(luò)安全體系的目標(biāo)是實(shí)現(xiàn)電子數(shù)據(jù)報(bào)送的安全、高效快速化，以期達(dá)到數(shù)據(jù)中心借助網(wǎng)絡(luò)進(jìn)行高效辦事、降低企業(yè)成本的目的，同時(shí)提升整體系統(tǒng)在應(yīng)用方面的綜合性，達(dá)到能夠靈活、快速、高效地完成下屬企業(yè)的報(bào)送信息，并對(duì)報(bào)送信息進(jìn)行綜合性分析，提供輔助決策功能，有效提高系統(tǒng)處理能力和業(yè)務(wù)效率。

　　安全需求

　　在網(wǎng)絡(luò)安全建設(shè)時(shí)，需要滿足以下幾點(diǎn)需求：

　　安全性：業(yè)務(wù)數(shù)據(jù)的安全性要有足夠的保證。

　　可靠性：由于整個(gè)業(yè)務(wù)系統(tǒng)均運(yùn)行在此專網(wǎng)上，因此要有較高的可靠性。

　　先進(jìn)性：采用先進(jìn)、成熟的技術(shù)和主流、領(lǐng)導(dǎo)性產(chǎn)品，使網(wǎng)絡(luò)建設(shè)能適應(yīng)未來3-5年的需求。

　　實(shí)用性：系統(tǒng)設(shè)計(jì)以實(shí)用性為原則，同時(shí)應(yīng)考慮到系統(tǒng)的開放性、可升級(jí)性、技術(shù)支持服務(wù)等能力。

　　統(tǒng)一性：所有網(wǎng)絡(luò)安全產(chǎn)品需要確保系統(tǒng)兼容性。

　　經(jīng)過對(duì)該公司網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)分析，主要的風(fēng)險(xiǎn)集中在互聯(lián)網(wǎng)出口、分公司接入及核心業(yè)務(wù)系統(tǒng)安全防控方面。依照風(fēng)險(xiǎn)分析的結(jié)果，可以將該公司網(wǎng)絡(luò)劃分成上聯(lián)區(qū)、外聯(lián)網(wǎng)區(qū)、服務(wù)器區(qū)、辦公區(qū)。各區(qū)域之間通過核心交換機(jī)進(jìn)行數(shù)據(jù)交換。上聯(lián)區(qū)還保持原樣，不進(jìn)行改造。

　　解決方案

　　整體解決方案采用的是業(yè)內(nèi)著名網(wǎng)絡(luò)安全廠商啟明星辰的安全產(chǎn)品，如圖所示。

　　在外聯(lián)網(wǎng)區(qū)與核心交換機(jī)的邊界部署一臺(tái)千兆天清漢馬一體化安全網(wǎng)關(guān)，分別將互聯(lián)網(wǎng)出口和分公司專線接入連接到安全網(wǎng)關(guān)上，這樣可以使一體化安全網(wǎng)關(guān)作為邊界保護(hù)手段，同時(shí)起到防火墻、入侵防御、防病毒的作用，從而將絕大部分的異常行為阻擋在整個(gè)網(wǎng)絡(luò)外部，同時(shí)確保內(nèi)部辦公網(wǎng)絡(luò)和服務(wù)器區(qū)的正常運(yùn)行。

　　在服務(wù)器區(qū)內(nèi)，首先部署一臺(tái)千兆天清入侵防御系統(tǒng)作為邊界保護(hù)手段，能夠降低異常行為對(duì)整個(gè)核心業(yè)務(wù)網(wǎng)絡(luò)的整體資源消耗，確保核心業(yè)務(wù)系統(tǒng)的正常運(yùn)行，同時(shí)對(duì)整個(gè)網(wǎng)絡(luò)內(nèi)的訪問行為進(jìn)行收集分析，監(jiān)控用戶對(duì)網(wǎng)絡(luò)的訪問情況;然后將互聯(lián)網(wǎng)出口替換下的防火墻部署在入侵防御系統(tǒng)的后面，通過配置訪問控制規(guī)則過濾訪問，減小對(duì)OA、郵件、財(cái)務(wù)、人力、銷售等系統(tǒng)的訪問范圍。

　　在辦公區(qū)和服務(wù)器區(qū)的服務(wù)器及終端上，部署企業(yè)版防病毒系統(tǒng)，防護(hù)當(dāng)前所有類型的網(wǎng)絡(luò)攻擊(包括病毒、間諜軟件、黑客攻擊和垃圾郵件等等)。

　　在核心交換機(jī)上部署一臺(tái)千兆天玥業(yè)務(wù)審計(jì)系統(tǒng)，時(shí)刻監(jiān)視著對(duì)重要資源的訪問，當(dāng)出現(xiàn)安全事件后，能找出導(dǎo)致安全事件、性能波動(dòng)的真正原因，幫助公司加強(qiáng)內(nèi)部網(wǎng)絡(luò)行為監(jiān)管，滿足企業(yè)內(nèi)部控制或者外部政策等合規(guī)性要求。

　　實(shí)踐心得

　　在本案例中，通過在外聯(lián)區(qū)與核心交換區(qū)之間設(shè)置一體化安全網(wǎng)關(guān)，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)層到應(yīng)用層的多重防護(hù)。該網(wǎng)關(guān)不僅具有防火墻的全部功能，同時(shí)可以檢測出封裝在有效數(shù)據(jù)內(nèi)的惡意威脅與攻擊，有效控制對(duì)企業(yè)網(wǎng)絡(luò)資源進(jìn)行濫用的IM、P2P軟件，充分保護(hù)網(wǎng)絡(luò)資源，一體化的設(shè)計(jì)及高性能更為客戶節(jié)約了大量的設(shè)備投資。

　　在核心業(yè)務(wù)系統(tǒng)部署天玥業(yè)務(wù)審計(jì)系統(tǒng)，對(duì)原本沒有保護(hù)的核心業(yè)務(wù)系統(tǒng)進(jìn)行權(quán)責(zé)分配、分級(jí)管理，實(shí)現(xiàn)對(duì)內(nèi)部人員操作的合規(guī)性管理，避免由于內(nèi)部誤操作或違規(guī)行為引起的事故。

　　通過針對(duì)全網(wǎng)風(fēng)險(xiǎn)點(diǎn)采用不同產(chǎn)品的組合應(yīng)用，形成了從網(wǎng)絡(luò)接入到業(yè)務(wù)監(jiān)管的全面安全防護(hù)，從內(nèi)到外大大提升了企業(yè)網(wǎng)的安全可靠性。(啟明星辰 俞真子)

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。