基于安全域的地市網絡架構研究

倪健

摘 要：文章以安全域的劃分為網絡架構設計思想，詳細分析了目前市煙草專賣局（公司）網絡通信安全現狀，闡述了基于安全域的網絡安全防護體系架構，結合市局信息系統實際情況，將網絡安全域通過垂直分層、水平分區兩部分，從安全性、先進性、可開放性、可管理性、可持續性5個層面，對安全域進行網絡優化改造。

關鍵詞：安全域;網絡安全架構;網絡優化

1 研究背景及現狀

1.1 研究背景

隨著浙江煙草專賣、商業系統“三場硬仗”的持續深入，煙草企業對網絡的依賴性越來越高，信息網絡規模不斷擴大，結構也逐漸復雜，煙草網絡黑客入侵、病毒破壞、信息泄露風險也在提高。“信息就是財富，安全才有價值”。信息的絕對安全是公司信息系統正常運行的根本前提，只有安全的信息才是有價值的信息[1]。

網絡的安全對煙草企業的發展具有極其重要的作用。采用安全域[2]方式對煙草企業網絡進行區域劃分，并根據網絡區域的重要性部署相應的安全技術手段，成為建設安全企業網的一種可行方式。

1.2 目前現狀

某市煙草專賣局（公司）信息中心經過多年的信息化建設，對市局、縣局及物流中心有針對性地做了全面加固，網絡安全有了很大提高，但網絡安全風險依然存在。

1.2.1 網絡現狀概述

某市煙草專賣局（公司）目前已將各縣外網防火墻和核心路由器進行統一調整，市局外網防火墻、核心路由交換均放在市辦公大樓機房，提高網絡防護高效性;各縣級分公司分別使用兩臺思科路由器與市公司相連，做到鏈路聚合，負載均衡。

1.2.2? 網絡設備老化

目前市局（公司）為配合部分應用正常使用，當前仍主用思科6509核心設備，其性能由于年限較久，沒有新設備的轉發、承載性能高，兩臺核心設備沒有做到雙機熱備，存在嚴重的單點故障，一旦其中一臺設備發生故障，勢必對煙草的網絡產生很大的影響。

1.2.3? 網絡架構各區域劃分模糊，區域邊界保護錯時不足

市局OA系統中的應用系統和網絡建設都是基于不同需求不同時期開發建設的，建設初期對安全方面的考慮不足，安全需求沒有統一的規劃，核心業務系統缺少有效的訪問控制，也缺乏有效隔離[3]。

1.2.4? 規模不斷擴大，缺乏一套運維管理平臺

網絡中存在不可管理設備，或此設備無法正常登錄，故障時不便于及時管理。樓層接入交換機級聯方式不統一，存在單鏈路上行接入設備，缺少內網流量監控、分析設備，無法快速定位異常源。不能對現網所有設備進行可視化管理，不能準確定位故障，運維人員管理效率不高。

由于各系統功能傾向性不同，對于網絡安全防護有著不同的等級要求和側重，采取傳統“一刀切”的方式是不可行的。結合某市煙草專賣局（公司）現狀，采用安全域的分區分域、縱深防護思想，針對不同子網特點不同，分區分域防護，能有效解決上述問題。

2 網絡安全域設計原則

2.1 先進性和實用性

為了確保煙草網絡安全具有較長的生命周期，在系統軟硬件配置上，綜合考慮了實用化目標以及國際計算機技術發展的趨勢進行規劃。實用性原則主要體現在以下方面：以現行需求為基礎，適當考慮發展的需要為依據來確定系統規模。選擇成熟、先進、維護量小、使用方便的技術設備和措施。創造一個開放的網絡平臺，支持多種業務的同時傳輸，支持語音、圖像、視頻、云業務等多媒體業務[4]。

2.2 可持續發展和經濟性

計算機網絡技術是個發展很快的領域，系統建設必須考慮到系統以后的擴充和變化，因此必須保持系統的可擴展性。采用成熟、穩定、性能價格比高、擴展能力強的產品，既要避免采用過高的性能配置，造成資源的浪費和投資的緊張，又要防止系統處理能力不足、擴展能力不夠而無法適應未來發展的需要[5]。

2.3 可靠性和安全性

系統必須具有很高的可靠性和安全性。在邊界處部署防火墻設備進行訪問控制，實施區域邊界保護，確保只允許煙草指定業務應用和管理數據流通過;啟用防火墻設備的病毒過濾功能，過濾惡意代碼。在互聯網出口部署入侵防范系統，防范外部掃描，針對主機漏洞的惡意攻擊和木馬蠕蟲等應用層攻擊，實現應用層防護;在互聯網出口部署防DDoS攻擊系統，防止DDoS的攻擊。整個網絡系統的設備和服務器的安全性、數據流量、性能等得到很好的監視和控制，并可以進行遠程管理和故障診斷。

3 安全域劃分

3.1? 安全域劃分管理策略

核心硬件管理：提升煙草網絡轉發、承載性能，核心網絡交換機新購一臺H3C10508替換原先的CISOC6509E設備，做IRF，做到端口聚合，實現雙機熱備。

網絡防火墻：需要在該安全域對惡意代碼進行檢測和防護，過濾攔截病毒、木馬、蠕蟲等惡意代碼。增加內網防火墻設備，對內網訪問行為進行有效控制，規范內網訪問行為，確保內網服務器區應用的訪問安全

流量審計系統：部署一套流量分析設備，對網絡數據關鍵業務流量甚至全流量無死角管理和監控、回溯，清晰直觀掌握整個網絡的運行情況。在產生網絡故障事件時，根據用戶、應用、協議、數據包的實時和歷史數據，快速分析定位故障點、判斷影響范圍、界定責任，避免處理過程過長、證據不充足，不能及時修復和控制導致損失不可控、責任主體不明的情況，保障業務持續穩定，實現企業網絡服務的價值最大化。

IT可視化運維管理平臺：通過運維可視化運維管理平臺的建設，記錄運維過程，開展運維過程的審計和事后追蹤。建設可視化展現系統中網絡系統、主機服務器、數據庫、應用、安全等運行狀況的集中展示管理平臺，平臺提供當前運行一覽視圖、業務一覽視圖、業務監測視圖、網絡監測視圖、機房展現視圖等多種監測視圖來查看當前系統的整體運行情況，并支持投放到大屏幕上。

3.2? 市局網絡區域定義及優化方法

外部專線區：外部專線區指市局網絡與其他單位互聯專線，目前各地市以政務網互聯和銀行互聯為主。互聯單位通過廣域網專線接入市局的行業專線接入區，再聯入核心交換區，進而與內部業務進行數據交互。該區域以專線形式接入市局網絡必須存在三層設備與其互聯，建議采用獨立三層防火墻接入各專線，防火墻與核心交換采用三層互聯。

行業專線區：行業專線區指以市局網絡為主體，與其他煙草單位或部門連接的區域。互聯單位通過廣域網專線接入省局的行業專線接入區，再聯入核心交換區，進而與內部業務進行數據交互。針對煙草，邊界通信方式為：市局網絡通過行業專線接入區路由器連接各區縣路由器而搭建的OSPF網絡;連接省局路由器搭建的OSPF網絡;連接物流中心路由器搭建的三層路由網絡，三者都是通過該區域一組路由器實現互聯互通。考慮到地市與省局行政關系，建議將市局為主體網絡的上行、下行網絡進行獨立區分，該區域僅作為市局連接省局網絡的邊界，同時該區域將肩負未來國家局分布部署信息系統的服務邊界。

物流中心域：物流中心與市局網絡通常在不同地理位置，當前物流中心與區縣域均接在行業路由器上。由于物流中心網絡的獨立性，安全域規劃時必須明確物理中心與市局網絡邊界，采用靜態路由協議進行互聯，同時做好邊界防護。市局網絡與物流中心網絡采用防火墻進行隔離，與市公司之間增加防火墻設備，隔離異常流量，實時監控配送至市局流量行為，發現異常時報警并及時處理。

區縣域：當前各地市與區縣、物流中心公用行業專線路由器。優化網絡結構，去除縣公司前端互聯路由器，直接新購高性能核心交換機和市公司路由器實現互聯，從邊界安全角度來說，區縣流量進入市局應當通過市局的安全檢查方能入網，整改樓層級聯方式，實現雙光纖鏈路聚合上行，全面可管理，并添加監控平臺。去除HUB和NAT設備，由可管理小交換機代替。

樓層接入區：樓層接入區是指市局煙草各樓層及老大樓通過防火墻，經過核心交換區，再連接互聯網的出口安全區，是內部用戶和服務器與互聯網進行通訊的關鍵網絡邊界。外網出口區擔任內網地址到公網地址轉換的作用，同時還應肩負內網終端上網的安全管理，根據等保對網絡安全相關要求，該區域還應識別內部終端非法外連的行為。

4 結語

本文針對市煙草專賣局（公司）的信息系統實際，結合市煙草專賣局（公司）業務系統的要求，提出了基于安全域的企業網絡安全防護體系。方案包括兩部分：網絡安全域設計原則和安全域劃分。針對安全域的功能特點提出防護要求，將煙草網絡劃分為若干不同的安全域進行防護管理，根據不同安全域級別制訂相應的安全管理策略。當然，煙草的網絡安全不僅僅需要安全防護技術，關鍵還需要嚴格的管理制度和可靠的信息管理人員。

[參考文獻]

[1]李柏松.由Windows的安全實踐看可信計算的價值和局限[J].信息安全與通信保密，2014（9）：100-107.

[2]王群.基于安全域的信息安全防護體系研究[J].信息網絡安全，2015（9）：206-210.

[3]繆嘉嘉，尹小虎，溫研，等.基于可信隔離運行環境的信息資產保護系統[J].信息網絡安全，2009（10）：35-37.

[4]楊威.可信網絡中的擁塞控制策略研究[D].南京：南京郵電大學，2011.

[5]孫曉川.未來網絡虛擬化資源管理機制研究[D].北京：北京郵電大學，2013.

（編輯 何 琳）