伍敏

（四川省煙草公司德陽市公司 四川省德陽市 618000）

1 網絡安全體系建設現狀

1.1 網絡安全體系建設要求和面臨的挑戰

2017年6月1 日《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的正式施行，將網絡安全從合規性要求上升到了合法性要求?！饵h委（黨組）網絡安全工作責任制實施辦法》和“等保2.0”等制度和標準，對網絡安全提出了更嚴格、更精細和更有效的工作基線。煙草行業非常重視網絡安全工作，國家局出臺了《全面梳理全面診斷全面加固工作指南》、《安全基線管理技術規范》等多項網絡安全工作標準和技術規范，指導和規范全行業網絡安全工作。為推動各項網絡安全法規標準的有效落地，網信辦、公安機關等網絡安全監管部門也在定期針對關鍵信息基礎設施主管單位開展網絡安全檢查工作。煙草商業企業多年的信息化建設，建立了較為完善的網絡和業務系統，在提升管理水平和經營能力上發揮了較大作用，但內部員工的違規操作、上網不規范等都給企業帶來較大的網絡安全隱患。煙草商業企業的對外應用和互聯網入口易受到攻擊，內部人員安全管控，為企業網絡帶來較大風險。綜上所述，在新興攻擊手段層出不窮的今天，煙草行業正面臨著愈發嚴峻的網絡安全風險形勢，網絡安全工作亟需構建統一網絡安全管理、技術、運維的網絡安全綜合體系。

1.2 網絡安全體系現狀

五個方面論述現狀：一是網絡連接，網絡層級可分為國-省-市-縣-站五級，和行業外單位存在互聯；二是應用系統，核心業務應用系統均已實現國、省集中，個別非關鍵業務應用尚在市級部署；三是終端接入，采用有線網絡連接，未部署無線網絡，無準入控制手段；四是安全管理建設，具備有較為詳細的網絡安全管理制度和規范標準的建設基礎，但需要按照“等保2.0”的要求進行細化和完善；五是安全技術建設，目前網絡安全技術建設較為薄弱，在終端防護方面依靠終端防病毒軟件和終端管理軟件，在外聯網邊界上部署邊界防火墻。

1.3 目前存在的主要問題

根據行業要求，將專屬業務系統定為等保2 級，其他系統自行定級。對照《信息安全技術 網絡安全等級保護基本要求》（GB/T 22239-2019）中的“第二級安全要求”和《信息安全技術 網絡安全等級保護測評要求》（GB/T 28448-2019）中的“第二級測評要求”，從實際應用發出，將相關問題匯總至表1 中。

2 網絡安全加固方案設計

針對第一章中歸納出的問題，在本章中將提出一個新的安全加固方案。該方案分為安全管理體系、安全技術體系、安全運維體系。三大體系有機結合、相互支撐，使其應用能有效落地并實施，使智能化技術應用能夠實現常態化運行。方案的總體框架設計如圖1 所示。

表1

圖1：網絡安全加固框架設計

框架設計構建了集防護、檢測、響應、恢復于一體的網絡安全整體保障能力，從安全管理、安全技術、安全運維三個維度搭建業務應用的安全保障體系，有效提升網絡安全總體防護水平。

圖2：基于PDCA 模型的信息安全管理體系梳理

圖3：網絡安全體系拓撲簡圖

圖4：數據匯聚分析框架設計

2.1 網絡安全管理體系

在網絡安全管理體系方面的建設工作，以完善優化為主，通過方法論模型，結合實際運營經驗，對標等級保護和煙草行業相關要求，對安全管理體系進行補充完善和全面優化。形成體系模型，針對煙草商業企業的網絡安全管理基礎提出使用PDCA（Plan、Do、Check 和Act）模型對現有信息安全管理體系（ISMS）進行改革，進一步完善和補充安全管理體系?；赑DCA 模型的信息安全管理體系如圖2 所示。

在計劃（Plan）階段通過風險評估了解安全需求，根據需求設計解決方案，在煙草行業重點要找準網絡安全中存在的短板；

在實施（Do）階段將解決方案付諸實現，在煙草行業重點要抓好項目的執行和效率，在規范的前提下盡可能的縮短周期；

在檢查（Check）階段監視和審查解決方案是否有效，是否有新變化，在煙草行業重點要結合行業的新要求進行對標對表檢查；

在改進（Act）階段予以解決發現的問題，以改進信息安全管理體系，在煙草行業重點要抓好整改落實。

2.2 網絡安全技術體系

安全技術體系的構建包括分區分域，區域邊界防護，流量檢測，主機安全監測，數據匯聚分析，形成統一支撐安全管理體系。網絡安全體系拓撲簡圖如圖3 所示。

分區分域，將業務網絡劃分為專屬業務區、業務系統區域、安防區域、外聯業務區域和帶外運維管理區域。外聯業務分區：建立外聯業務網絡分區，針對實時性要求高、線路可控的連接需求，根據應用類別設置專用VLAN 進行隔離；針對實時性要求不高、線路安全性較差的連接需求，單獨建設物理隔離網絡，通過光盤方式進行數據交換。帶外運維管理通過設置獨立網段，將網絡設備、安全設備帶外管理口，進行統一互聯，將業務網和運維網分離。

區域邊界防護，在網絡邊界控制、網絡入侵防范、網絡惡意樣本檢測方面進行整改完善。網絡邊界控制，通過防火墻設備過濾區域間流量，基于白名單機制僅放行必要的業務流量，同時從協議、IP、端口、方向等粒度對線路進行控制。通過雙向隔離網關，對專屬業務區與IT 環境進行隔離保護，最小化暴露面積。在接入網邊界透明串接入侵防護設備，梳理訪問控制策略，對會話地址、端口和協議進行細粒度控制。加強終端計算機接入控制，通過802.1X協議或Portal 協議，配合支持準入控制功能的網絡交換機，實現用戶身份認證、終端入網檢查和邊緣訪問管控。

流量監測，完善專屬業務區域和機關、成員單位辦公環境網絡分析檢測手段。

主機安全監測，建立服務器環境內部橫向流量分析檢測，通過旁路鏡像方式，對東西向流量做網絡入侵和惡意樣本檢測，及時發現潛在威脅，及時開展網絡安全處置工作，減少僵木蠕毒威脅。

數據匯聚分析。針對安全管理中心要求，重點需在帶外運維管理、網絡安全日志審計進行整改完善。網絡安全日志審計將所有網絡安全設備日志數據的統一匯聚、集中存儲和統計分析，滿足《網絡安全法》至少六個月的存儲時間要求，同時作為未來態勢監測體系的主要數據來源和工作基礎。結合系統運行日志、安全日志、監測日志、漏掃日志等，構建大數據分析平臺，根據數據分析結果，及時的調整修改完善現有的網絡安全防護策略，并與運維平臺和準入平臺聯動，形成運維安全一體化管控。數據匯聚分析如圖4 所示。

2.3 網絡安全運維體系

在網絡安全運維體系方面，建立每日數據分析監控機制，專人負責網絡安全告警數據的監測和分析。每年開展一次風險評估服務，建議結合自評估和三方評估方式開展。針對網絡安全管理、安全技術、應急響應、教育培訓、問題整改等方面進行評估。針對專屬業務系統，可采取滲透測試、代碼審計等深度評估。結合網絡安全技術建設成果開展應急預案修訂，每季度進行應急安全演練。覆蓋日常態、應急態和重保態下的多種工作場景，提高應急響應人員的應對安全突發事件的能力，及時發現應急預案中可能存在的不足和缺失，并依此對預案及其管理系統進行持續的改進。每年開展一次網絡安全培訓工作，可面向不同員工角色選擇性開展包括網絡安全法律法規、網絡安全技術、網絡安全管理、網絡安全運維和國內外網絡安全形勢及主要安全事件分享等培訓內容。同時為彌補本地網絡安全技術人員數量和能力的短板，按需采購相應安全服務作為現有技術能力進行補充，確保網絡安全體系具備常態化運行的技術保障和能力保障。

3 系統實現

方案在行業系統的具體實現上，通過構建包括分區分域，區域邊界防護，流量檢測，主機安全監測，數據匯聚分析的整體安全防護體系，在服務器主機、外聯前置機和DMZ 服務器安全監測，實現主機入侵檢測、主機后門檢測、常用服務端口監聽以及主機行為日志溯源能力。通過主機監測的部署，構建起服務器虛擬網絡邊界，配合網關設備實現協同阻斷。建設自有漏洞掃描檢測，在確保業務穩定性的前提下，定期下發漏洞掃描任務，及時對重大漏洞進行修補整改或調整對應防護策略。

專屬業務區將重點區域系統互聯的業務系統和終端設置專用網段地址，取消原有與核心交換互聯線路，IT 環境中需要訪問該管理區的辦公終端，通過雙向隔離網關（雙向網閘）進行訪問。業務系統區域為各業務系統設置不同的VLAN 進行隔離，使不同系統處于獨立的網絡運行環境，減少系統間橫向交叉安全威脅。安防區域設置專用VLAN，將攝像頭、監控服務器、硬盤錄像機接入，避免橫向交叉安全威脅。

通過安全監控引擎對邊界防護機制進行監控，與終端防病毒進行交叉驗證，及時識別異常指令、病毒木馬、異常流量等網絡攻擊和異常行為，當邊界防護機制失效時，及時進行告警，完善網絡流量監測。

以上這些安全防護經過近半年的實施，還專門組織專業技術人員參加專業技術培訓提升技術水平和能力，修訂完善了相關管理制度和管理機制，順利通過了等級保護測評和復評，完全達到了設計要求。

本文通過對煙草商業企業現行網絡的安全現狀進行了全面分析，根據“等保2.0”的要求進行了全面對標對表，梳理出了現行系統中存在的問題，并給出了解決方案和措施，可為煙草商業公司網絡安全加固工作提供重要參考。