伍敏

（四川省烟草公司德阳市公司 四川省德阳市 618000）

1 网络安全体系建设现状

1.1 网络安全体系建设要求和面临的挑战

2017年6月1 日《中华人民共和国网络安全法》（以下简称《网络安全法》）的正式施行，将网络安全从合规性要求上升到了合法性要求。《党委（党组）网络安全工作责任制实施办法》和“等保2.0”等制度和标准，对网络安全提出了更严格、更精细和更有效的工作基线。烟草行业非常重视网络安全工作，国家局出台了《全面梳理全面诊断全面加固工作指南》、《安全基线管理技术规范》等多项网络安全工作标准和技术规范，指导和规范全行业网络安全工作。为推动各项网络安全法规标准的有效落地，网信办、公安机关等网络安全监管部门也在定期针对关键信息基础设施主管单位开展网络安全检查工作。烟草商业企业多年的信息化建设，建立了较为完善的网络和业务系统，在提升管理水平和经营能力上发挥了较大作用，但内部员工的违规操作、上网不规范等都给企业带来较大的网络安全隐患。烟草商业企业的对外应用和互联网入口易受到攻击，内部人员安全管控，为企业网络带来较大风险。综上所述，在新兴攻击手段层出不穷的今天，烟草行业正面临着愈发严峻的网络安全风险形势，网络安全工作亟需构建统一网络安全管理、技术、运维的网络安全综合体系。

1.2 网络安全体系现状

五个方面论述现状：一是网络连接，网络层级可分为国-省-市-县-站五级，和行业外单位存在互联；二是应用系统，核心业务应用系统均已实现国、省集中，个别非关键业务应用尚在市级部署；三是终端接入，采用有线网络连接，未部署无线网络，无准入控制手段；四是安全管理建设，具备有较为详细的网络安全管理制度和规范标准的建设基础，但需要按照“等保2.0”的要求进行细化和完善；五是安全技术建设，目前网络安全技术建设较为薄弱，在终端防护方面依靠终端防病毒软件和终端管理软件，在外联网边界上部署边界防火墙。

1.3 目前存在的主要问题

根据行业要求，将专属业务系统定为等保2 级，其他系统自行定级。对照《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）中的“第二级安全要求”和《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）中的“第二级测评要求”，从实际应用发出，将相关问题汇总至表1 中。

2 网络安全加固方案设计

针对第一章中归纳出的问题，在本章中将提出一个新的安全加固方案。该方案分为安全管理体系、安全技术体系、安全运维体系。三大体系有机结合、相互支撑，使其应用能有效落地并实施，使智能化技术应用能够实现常态化运行。方案的总体框架设计如图1 所示。

表1

图1：网络安全加固框架设计

框架设计构建了集防护、检测、响应、恢复于一体的网络安全整体保障能力，从安全管理、安全技术、安全运维三个维度搭建业务应用的安全保障体系，有效提升网络安全总体防护水平。

图2：基于PDCA 模型的信息安全管理体系梳理

图3：网络安全体系拓扑简图

图4：数据汇聚分析框架设计

2.1 网络安全管理体系

在网络安全管理体系方面的建设工作，以完善优化为主，通过方法论模型，结合实际运营经验，对标等级保护和烟草行业相关要求，对安全管理体系进行补充完善和全面优化。形成体系模型，针对烟草商业企业的网络安全管理基础提出使用PDCA（Plan、Do、Check 和Act）模型对现有信息安全管理体系（ISMS）进行改革，进一步完善和补充安全管理体系。基于PDCA 模型的信息安全管理体系如图2 所示。

在计划（Plan）阶段通过风险评估了解安全需求，根据需求设计解决方案，在烟草行业重点要找准网络安全中存在的短板；

在实施（Do）阶段将解决方案付诸实现，在烟草行业重点要抓好项目的执行和效率，在规范的前提下尽可能的缩短周期；

在检查（Check）阶段监视和审查解决方案是否有效，是否有新变化，在烟草行业重点要结合行业的新要求进行对标对表检查；

在改进（Act）阶段予以解决发现的问题，以改进信息安全管理体系，在烟草行业重点要抓好整改落实。

2.2 网络安全技术体系

安全技术体系的构建包括分区分域，区域边界防护，流量检测，主机安全监测，数据汇聚分析，形成统一支撑安全管理体系。网络安全体系拓扑简图如图3 所示。

分区分域，将业务网络划分为专属业务区、业务系统区域、安防区域、外联业务区域和带外运维管理区域。外联业务分区：建立外联业务网络分区，针对实时性要求高、线路可控的连接需求，根据应用类别设置专用VLAN 进行隔离；针对实时性要求不高、线路安全性较差的连接需求，单独建设物理隔离网络，通过光盘方式进行数据交换。带外运维管理通过设置独立网段，将网络设备、安全设备带外管理口，进行统一互联，将业务网和运维网分离。

区域边界防护，在网络边界控制、网络入侵防范、网络恶意样本检测方面进行整改完善。网络边界控制，通过防火墙设备过滤区域间流量，基于白名单机制仅放行必要的业务流量，同时从协议、IP、端口、方向等粒度对线路进行控制。通过双向隔离网关，对专属业务区与IT 环境进行隔离保护，最小化暴露面积。在接入网边界透明串接入侵防护设备，梳理访问控制策略，对会话地址、端口和协议进行细粒度控制。加强终端计算机接入控制，通过802.1X协议或Portal 协议，配合支持准入控制功能的网络交换机，实现用户身份认证、终端入网检查和边缘访问管控。

流量监测，完善专属业务区域和机关、成员单位办公环境网络分析检测手段。

主机安全监测，建立服务器环境内部横向流量分析检测，通过旁路镜像方式，对东西向流量做网络入侵和恶意样本检测，及时发现潜在威胁，及时开展网络安全处置工作，减少僵木蠕毒威胁。

数据汇聚分析。针对安全管理中心要求，重点需在带外运维管理、网络安全日志审计进行整改完善。网络安全日志审计将所有网络安全设备日志数据的统一汇聚、集中存储和统计分析，满足《网络安全法》至少六个月的存储时间要求，同时作为未来态势监测体系的主要数据来源和工作基础。结合系统运行日志、安全日志、监测日志、漏扫日志等，构建大数据分析平台，根据数据分析结果，及时的调整修改完善现有的网络安全防护策略，并与运维平台和准入平台联动，形成运维安全一体化管控。数据汇聚分析如图4 所示。

2.3 网络安全运维体系

在网络安全运维体系方面，建立每日数据分析监控机制，专人负责网络安全告警数据的监测和分析。每年开展一次风险评估服务，建议结合自评估和三方评估方式开展。针对网络安全管理、安全技术、应急响应、教育培训、问题整改等方面进行评估。针对专属业务系统，可采取渗透测试、代码审计等深度评估。结合网络安全技术建设成果开展应急预案修订，每季度进行应急安全演练。覆盖日常态、应急态和重保态下的多种工作场景，提高应急响应人员的应对安全突发事件的能力，及时发现应急预案中可能存在的不足和缺失，并依此对预案及其管理系统进行持续的改进。每年开展一次网络安全培训工作，可面向不同员工角色选择性开展包括网络安全法律法规、网络安全技术、网络安全管理、网络安全运维和国内外网络安全形势及主要安全事件分享等培训内容。同时为弥补本地网络安全技术人员数量和能力的短板，按需采购相应安全服务作为现有技术能力进行补充，确保网络安全体系具备常态化运行的技术保障和能力保障。

3 系统实现

方案在行业系统的具体实现上，通过构建包括分区分域，区域边界防护，流量检测，主机安全监测，数据汇聚分析的整体安全防护体系，在服务器主机、外联前置机和DMZ 服务器安全监测，实现主机入侵检测、主机后门检测、常用服务端口监听以及主机行为日志溯源能力。通过主机监测的部署，构建起服务器虚拟网络边界，配合网关设备实现协同阻断。建设自有漏洞扫描检测，在确保业务稳定性的前提下，定期下发漏洞扫描任务，及时对重大漏洞进行修补整改或调整对应防护策略。

专属业务区将重点区域系统互联的业务系统和终端设置专用网段地址，取消原有与核心交换互联线路，IT 环境中需要访问该管理区的办公终端，通过双向隔离网关（双向网闸）进行访问。业务系统区域为各业务系统设置不同的VLAN 进行隔离，使不同系统处于独立的网络运行环境，减少系统间横向交叉安全威胁。安防区域设置专用VLAN，将摄像头、监控服务器、硬盘录像机接入，避免横向交叉安全威胁。

通过安全监控引擎对边界防护机制进行监控，与终端防病毒进行交叉验证，及时识别异常指令、病毒木马、异常流量等网络攻击和异常行为，当边界防护机制失效时，及时进行告警，完善网络流量监测。

以上这些安全防护经过近半年的实施，还专门组织专业技术人员参加专业技术培训提升技术水平和能力，修订完善了相关管理制度和管理机制，顺利通过了等级保护测评和复评，完全达到了设计要求。

本文通过对烟草商业企业现行网络的安全现状进行了全面分析，根据“等保2.0”的要求进行了全面对标对表，梳理出了现行系统中存在的问题，并给出了解决方案和措施，可为烟草商业公司网络安全加固工作提供重要参考。