自治区烟草公司网络安全总体规划方案-志冠信息

自治区烟草公司网络安全总体规划方案-志冠信息内容摘要：

安全基本达到了系统化的程度，各种安全产品充分发挥作用，安全管理也逐步到位和正规化，即可考虑第三阶段和第四阶段将如何开展。 6 自治区烟草安全规划方案建议书 4 第一阶段 迫切阶段 加强区公司与地州公司的边界访问控制 目前，自治区烟草公司已经全疆范围内部署了防火墙与 VPN 系统，但是由于时间已经很长，设备在性能与功能上都不能适应现在的网络与业务的发展。 在本次项目中，我们建议更换防火墙系统，加强网络边界防御工作。 从节省资金的角度出发，在本次的防火墙选型中，直接选用带有 VPN功能的防火墙系统，便于操作与管理。 解决区公司的网页安全问题 当前国际、国内的政治形势和经济形势比较特殊，又正值 7. 5事件发生后期，网站安全问题越来越复杂， Web 服务器以其强大的计算能力、处理性能及所蕴含的高价值逐渐成为主要攻击的目标。 针对网站，各类安全威胁正在飞速增长。 2020年， CNCERT/CC监测到中国大陆被篡改网站总数累积达 61228个，比 2020年增加了。 Google 最新数据表 明，过去 10 个月中， Google 通过对互联网上几十亿 URL进行抓取分析，发现有 300 多万个恶意URL。 其中，中国的恶意站点占到了总数的 67%。 传统的边界安全设备，如防火墙，作为整体安全策略中不可缺少的重要模块，局限于自身的产品定位和防护深度，不能有效地提供针对 Web 应用攻击完善的防御能力。 因此，自治区烟草公司网站有必要采用专业的安全防护系统，有效防护各类攻击、降低网站安全风险。 提升入侵防御能力 防火墙作为自治区烟草公司安全保障体系的第一道防线，已经得到了非常好的应用效果，但是各式各样的攻击 行为还是被不断的发现和报道，这就意味着有一类攻击行为是防火墙所不能防御的，比如说应用层的攻击行为。 7 自治区烟草安全规划方案建议书 自治区烟草公司想要实现完全的入侵防御，首先需要对各种攻击能准确发现，其次是需要实时的阻断防御与响应。 防火墙等访问控制设备没有能做到完全的协议分析，仅能实现较为低层的入侵防御，对应用层攻击等行为无法进行判断，而入侵检测等旁路设备由于部署方式的局限，在发现攻击后无法及时切断可疑连接，都达不到完全防御的要求。 自治区烟草公司想要实现完全的 入侵防御，就需要在网络上将完全协议分析和在线防御相融合，这就是入侵防御系统（ IPS）： online式在线部署，深层分析网络实时数据，精确判断隐含其中的攻击行为，实施及时的阻断。 加强对区公司、地州终端的桌面管理能力 区公司采用本类产品目的在于，能够对客户端进行状态安全控管，主要涉及客户端联网监控、客户端状态管理、设备注册、客户端桌面安全审计、客户端补丁分发管理、客户端应用资源控制以及远程协助管理等能。 系统实时监控和报警网络中存在的客户端违规、病毒事件等行为，提供在线客户端安全状态信息；依据系统报 警信息和客户端上报的安全信息，管理人员在控制台远程对异常网络或者违规客户端机器采取处理措施（如断网、告警、远程协助等）。 对补丁进行自动分发部署和管理控制。 客户端进程黑白名单控制，防止非法进程启动。 全网客户端进程统一汇总 监视。 客户端软件黑白名单管理，客户端软件统一汇总监视。 客户端软件自动分发和管理。 客户端统一的端口策略控制。 如何有效进行网络资源管理和设备资产管理。 网络节点控制。 弱口令监控。 移动存储设备的行为审计和控制。 防止防范用 户绕过防火墙等边界防护设施，直接联入外网带来的严重安全 隐患行为（对于物理隔离的网络，切实保障其有效的隔离度，保证专网专 8 自治区烟草安全规划方案建议书 用）。 进行外来笔记本电脑以及其它移动设备（如 u盘、移动硬盘等）的随意接 入控制。 准确有效的定位网络中病毒的引入点，快速、安全的切断安全事件发生点 和相关网络。 安全、方便的将非安全计算机阻断出网。 监控内网的敏感信息。 按照既定策略统一配置客户端端口策略、注册表策略等客户端安 全策略。 有效监控客户端的运维信息，以便网管了解网络中的客户端是否已超负荷 运转，是否需要升级。 策略按照（区域、操作系统、时间等）进行控制和多级级联。 软件使用简单，所有的策略均在策略中心统一配置，用户上手简便。 解决 VPN系统的更新并且有效过渡的问题 在本次项目中，我们在采购防火墙时，就带有 VPN 模块，其中支持 IPSEC、 SSL 两种模式，可以根据应用自由选择，比现有的 VPN 系统速度更快，配置更方便，使用更便捷。 使现有的 VPN系统很平滑地向新技术过渡。 提升区公司及 地州公司对网络可管理的能力 随着信息化发展的加速和深入，自治区烟草公司的 IT 系统和网络越来越复杂，各级分公司对网络正常运转的依赖性逐渐增大， IT 和网络应用逐渐融入到单位的日常工作中。 网络基础设施和各种应用系统在不断增加，一旦 IT 系统和网络运行出现问题，将会对所有的依赖于信息化平台的正常工作产生影响。 因此，高效的系统与管理已经成为烟草公司信息化建设是否成功的重要条件。 网络管理系统可广泛应用于对局域网、广域网、城域网和关键 IT 业务系统中的路由器、交换机、防火墙、负载均衡设备、服务器、操作系统、数据库、中间 件、网站、域名、 URL、OA、 CRM、 ERP、 SCM、 HIS等各种 IT 网络组件和业务系统进行 7X24的持续监控、不间断的数据采集和分析，对错误和故障数据进行 9 自治区烟草安全规划方案建议书 颜色、声音、短信息、邮件等多种方式的报警，提供多种图形和报表帮助用户进行故障分析和性能诊断，保证 IT 业务系统和网络持续、稳定运行，提高 IT系统的效率，降低由于 IT业务系统故障而导致的损失。 加强对上网行为审计的能力 随着 Inter 接入的普及和网络带宽的增加，使用 户上网条件得到改善，同时也给烟草公司网络带来了更高的危险性、复杂性。 终端用户随意使用网络资源将导致三个问题： (1)工作效率低下、 (2)网络性能恶化、 (3)网络泄密和违法行为增多。 烟草公司网络作为一个开放的网络系统，运行状况愈来愈复杂。 网管中心如何及时了解网络运行基本状况，并对网络整体状况作出基本的分析，发现可能存在的问题（如病毒、木马造成的网络异常），并进行快速的故障定位，这些都是对烟草公司信息安全管理的挑战，这些问题包括： 管理员如何对网络效能行为进行统计、分析和评估，管理员如何监控、控制一些非 工作上网行为和非正常上网行为，管理员如何杜绝用户通过电子邮件、 MSN 等途径泄漏内部机密资料，以及管理员如何在发生问题时有查证的依据。 因此，如何有效地解决这些问题，以便提高用户的工作效率，降低安全风险，减少损失，对网络进行统一管理，调整网络资源的合理利用，已经成为烟草公司信息中心迫在眉睫的紧要任务。 因此内网安全管理也随之提升到一个新的高度，在防御从外到内诸如病毒、黑客入侵、垃圾邮件的同时，从内到外诸如审计、监控、访问控制、访问跟踪、流量限制等问题也日益凸现。 10 自治区烟草安全规划方案建议 书 5 第二阶段信息安全建设方案 在这三年。