中煤化工集团某省公司是集煤炭、化工、煤制油、页岩油、城市燃气生产、销售、输送于一体的国有大型煤炭化工企业,是中国中煤能源集团公司发展煤炭化工产业的基地和平台。
据了解,该公司本部基础网络及信息机房建设于2007年,迄今为止,信息机房先后增加了财务、人力、销售系统等的相关设备,与下属单位建立专线连接,已构成公司整体广域网。但公司现有网络存在很大的安全隐患,仅通过一台防火墙访问外网,现有设备无法满足网络安全需要。
本次升级网络安全体系的目标是实现电子数据报送的安全、高效快速化,以期达到数据中心借助网络进行高效办事、降低企业成本的目的,同时提升整体系统在应用方面的综合性,达到能够灵活、快速、高效地完成下属企业的报送信息,并对报送信息进行综合性分析,提供辅助决策功能,有效提高系统处理能力和业务效率。
安全需求
在网络安全建设时,需要满足以下几点需求:
l 安全性:业务数据的安全性要有足够的保证。
l 可靠性:由于整个业务系统均运行在此专网上,因此要有较高的可靠性。
l 先进性:采用先进、成熟的技术和主流、领导性产品,使网络建设能适应未来3-5年的需求。
l 实用性:系统设计以实用性为原则,同时应考虑到系统的开放性、可升级性、技术支持服务等能力。
l 统一性:所有网络安全产品需要确保系统兼容性。
经过对该公司网络进行风险分析,主要的风险集中在互联网出口、分公司接入及核心业务系统安全防控方面。依照风险分析的结果,可以将该公司网络划分成上联区、外联网区、服务器区、办公区。各区域之间通过核心交换机进行数据交换。上联区还保持原样,不进行改造。
▲ 企业网络区域划分
解决方案
整体解决方案采用的是业内著名网络安全厂商启明星辰的安全产品,如图所示。
在外联网区与核心交换机的边界部署一台千兆天清汉马一体化安全网关,分别将互联网出口和分公司专线接入连接到安全网关上,这样可以使一体化安全网关作为边界保护手段,同时起到防火墙、入侵防御、防病毒的作用,从而将绝大部分的异常行为阻挡在整个网络外部,同时确保内部办公网络和服务器区的正常运行。
在服务器区内,首先部署一台千兆天清入侵防御系统作为边界保护手段,能够降低异常行为对整个核心业务网络的整体资源消耗,确保核心业务系统的正常运行,同时对整个网络内的访问行为进行收集分析,监控用户对网络的访问情况;然后将互联网出口替换下的防火墙部署在入侵防御系统的后面,通过配置访问控制规则过滤访问,减小对OA、邮件、财务、人力、销售等系统的访问范围。
在办公区和服务器区的服务器及终端上,部署企业版防病毒系统,防护当前所有类型的网络攻击(包括病毒、间谍软件、黑客攻击和垃圾邮件等等)。
在核心交换机上部署一台千兆天玥业务审计系统,时刻监视着对重要资源的访问,当出现安全事件后,能找出导致安全事件、性能波动的真正原因,帮助公司加强内部网络行为监管,满足企业内部控制或者外部政策等合规性要求。
实践心得
在本案例中,通过在外联区与核心交换区之间设置一体化安全网关,实现了对网络层到应用层的多重防护。该网关不仅具有防火墙的全部功能,同时可以检测出封装在有效数据内的恶意威胁与攻击,有效控制对企业网络资源进行滥用的IM、P2P软件,充分保护网络资源,一体化的设计及高性能更为客户节约了大量的设备投资。
在核心业务系统部署天玥业务审计系统,对原本没有保护的核心业务系统进行权责分配、分级管理,实现对内部人员操作的合规性管理,避免由于内部误操作或违规行为引起的事故。
通过针对全网风险点采用不同产品的组合应用,形成了从网络接入到业务监管的全面安全防护,从内到外大大提升了企业网的安全可靠性。