倪健

摘 要：文章以安全域的划分为网络架构设计思想，详细分析了目前市烟草专卖局（公司）网络通信安全现状，阐述了基于安全域的网络安全防护体系架构，结合市局信息系统实际情况，将网络安全域通过垂直分层、水平分区两部分，从安全性、先进性、可开放性、可管理性、可持续性5个层面，对安全域进行网络优化改造。

关键词：安全域;网络安全架构;网络优化

1 研究背景及现状

1.1 研究背景

随着浙江烟草专卖、商业系统“三场硬仗”的持续深入，烟草企业对网络的依赖性越来越高，信息网络规模不断扩大，结构也逐渐复杂，烟草网络黑客入侵、病毒破坏、信息泄露风险也在提高。“信息就是财富，安全才有价值”。信息的绝对安全是公司信息系统正常运行的根本前提，只有安全的信息才是有价值的信息[1]。

网络的安全对烟草企业的发展具有极其重要的作用。采用安全域[2]方式对烟草企业网络进行区域划分，并根据网络区域的重要性部署相应的安全技术手段，成为建设安全企业网的一种可行方式。

1.2 目前现状

某市烟草专卖局（公司）信息中心经过多年的信息化建设，对市局、县局及物流中心有针对性地做了全面加固，网络安全有了很大提高，但网络安全风险依然存在。

1.2.1 网络现状概述

某市烟草专卖局（公司）目前已将各县外网防火墙和核心路由器进行统一调整，市局外网防火墙、核心路由交换均放在市办公大楼机房，提高网络防护高效性;各县级分公司分别使用两台思科路由器与市公司相连，做到链路聚合，负载均衡。

1.2.2  网络设备老化

目前市局（公司）为配合部分应用正常使用，当前仍主用思科6509核心设备，其性能由于年限较久，没有新设备的转发、承载性能高，两台核心设备没有做到双机热备，存在严重的单点故障，一旦其中一台设备发生故障，势必对烟草的网络产生很大的影响。

1.2.3  網络架构各区域划分模糊，区域边界保护错时不足

市局OA系统中的应用系统和网络建设都是基于不同需求不同时期开发建设的，建设初期对安全方面的考虑不足，安全需求没有统一的规划，核心业务系统缺少有效的访问控制，也缺乏有效隔离[3]。

1.2.4  规模不断扩大，缺乏一套运维管理平台

网络中存在不可管理设备，或此设备无法正常登录，故障时不便于及时管理。楼层接入交换机级联方式不统一，存在单链路上行接入设备，缺少内网流量监控、分析设备，无法快速定位异常源。不能对现网所有设备进行可视化管理，不能准确定位故障，运维人员管理效率不高。

由于各系统功能倾向性不同，对于网络安全防护有着不同的等级要求和侧重，采取传统“一刀切”的方式是不可行的。结合某市烟草专卖局（公司）现状，采用安全域的分区分域、纵深防护思想，针对不同子网特点不同，分区分域防护，能有效解决上述问题。

2 网络安全域设计原则

2.1 先进性和实用性

为了确保烟草网络安全具有较长的生命周期，在系统软硬件配置上，综合考虑了实用化目标以及国际计算机技术发展的趋势进行规划。实用性原则主要体现在以下方面：以现行需求为基础，适当考虑发展的需要为依据来确定系统规模。选择成熟、先进、维护量小、使用方便的技术设备和措施。创造一个开放的网络平台，支持多种业务的同时传输，支持语音、图像、视频、云业务等多媒体业务[4]。

2.2 可持续发展和经济性

计算机网络技术是个发展很快的领域，系统建设必须考虑到系统以后的扩充和变化，因此必须保持系统的可扩展性。采用成熟、稳定、性能价格比高、扩展能力强的产品，既要避免采用过高的性能配置，造成资源的浪费和投资的紧张，又要防止系统处理能力不足、扩展能力不够而无法适应未来发展的需要[5]。

2.3 可靠性和安全性

系统必须具有很高的可靠性和安全性。在边界处部署防火墙设备进行访问控制，实施区域边界保护，确保只允许烟草指定业务应用和管理数据流通过;启用防火墙设备的病毒过滤功能，过滤恶意代码。在互联网出口部署入侵防范系统，防范外部扫描，针对主机漏洞的恶意攻击和木马蠕虫等应用层攻击，实现应用层防护;在互联网出口部署防DDoS攻击系统，防止DDoS的攻击。整个网络系统的设备和服务器的安全性、数据流量、性能等得到很好的监视和控制，并可以进行远程管理和故障诊断。

3 安全域划分

3.1  安全域划分管理策略

核心硬件管理：提升烟草网络转发、承载性能，核心网络交换机新购一台H3C10508替换原先的CISOC6509E设备，做IRF，做到端口聚合，实现双机热备。

网络防火墙：需要在该安全域对恶意代码进行检测和防护，过滤拦截病毒、木马、蠕虫等恶意代码。增加内网防火墙设备，对内网访问行为进行有效控制，规范内网访问行为，确保内网服务器区应用的访问安全

流量审计系统：部署一套流量分析设备，对网络数据关键业务流量甚至全流量无死角管理和监控、回溯，清晰直观掌握整个网络的运行情况。在产生网络故障事件时，根据用户、应用、协议、数据包的实时和历史数据，快速分析定位故障点、判断影响范围、界定责任，避免处理过程过长、证据不充足，不能及时修复和控制导致损失不可控、责任主体不明的情况，保障业务持续稳定，实现企业网络服务的价值最大化。

IT可视化运维管理平台：通过运维可视化运维管理平台的建设，记录运维过程，开展运维过程的审计和事后追踪。建设可视化展现系统中网络系统、主机服务器、数据库、应用、安全等运行状况的集中展示管理平台，平台提供当前运行一览视图、业务一览视图、业务监测视图、网络监测视图、机房展现视图等多种监测视图来查看当前系统的整体运行情况，并支持投放到大屏幕上。

3.2  市局网络区域定义及优化方法

外部专线区：外部专线区指市局网络与其他单位互联专线，目前各地市以政务网互联和银行互联为主。互联单位通过广域网专线接入市局的行业专线接入区，再联入核心交换区，进而与内部业务进行数据交互。该区域以专线形式接入市局网络必须存在三层设备与其互联，建议采用独立三层防火墙接入各专线，防火墙与核心交换采用三层互联。

行业专线区：行业专线区指以市局网络为主体，与其他烟草单位或部门连接的区域。互联单位通过广域网专线接入省局的行业专线接入区，再联入核心交换区，进而与内部业务进行数据交互。针对烟草，边界通信方式为：市局网络通过行业专线接入区路由器连接各区县路由器而搭建的OSPF网络;连接省局路由器搭建的OSPF网络;连接物流中心路由器搭建的三层路由网络，三者都是通过该区域一组路由器实现互联互通。考虑到地市与省局行政关系，建议将市局为主体网络的上行、下行网络进行独立区分，该区域仅作为市局连接省局网络的边界，同时该区域将肩负未来国家局分布部署信息系统的服务边界。

物流中心域：物流中心与市局网络通常在不同地理位置，当前物流中心与区县域均接在行业路由器上。由于物流中心網络的独立性，安全域规划时必须明确物理中心与市局网络边界，采用静态路由协议进行互联，同时做好边界防护。市局网络与物流中心网络采用防火墙进行隔离，与市公司之间增加防火墙设备，隔离异常流量，实时监控配送至市局流量行为，发现异常时报警并及时处理。

区县域：当前各地市与区县、物流中心公用行业专线路由器。优化网络结构，去除县公司前端互联路由器，直接新购高性能核心交换机和市公司路由器实现互联，从边界安全角度来说，区县流量进入市局应当通过市局的安全检查方能入网，整改楼层级联方式，实现双光纤链路聚合上行，全面可管理，并添加监控平台。去除HUB和NAT设备，由可管理小交换机代替。

楼层接入区：楼层接入区是指市局烟草各楼层及老大楼通过防火墙，经过核心交换区，再连接互联网的出口安全区，是内部用户和服务器与互联网进行通讯的关键网络边界。外网出口区担任内网地址到公网地址转换的作用，同时还应肩负内网终端上网的安全管理，根据等保对网络安全相关要求，该区域还应识别内部终端非法外连的行为。

4 结语

本文针对市烟草专卖局（公司）的信息系统实际，结合市烟草专卖局（公司）业务系统的要求，提出了基于安全域的企业网络安全防护体系。方案包括两部分：网络安全域设计原则和安全域划分。针对安全域的功能特点提出防护要求，将烟草网络划分为若干不同的安全域进行防护管理，根据不同安全域级别制订相应的安全管理策略。当然，烟草的网络安全不仅仅需要安全防护技术，关键还需要严格的管理制度和可靠的信息管理人员。

[参考文献]

[1]李柏松.由Windows的安全实践看可信计算的价值和局限[J].信息安全与通信保密，2014（9）：100-107.

[2]王群.基于安全域的信息安全防护体系研究[J].信息网络安全，2015（9）：206-210.

[3]缪嘉嘉，尹小虎，温研，等.基于可信隔离运行环境的信息资产保护系统[J].信息网络安全，2009（10）：35-37.

[4]杨威.可信网络中的拥塞控制策略研究[D].南京：南京邮电大学，2011.

[5]孙晓川.未来网络虚拟化资源管理机制研究[D].北京：北京邮电大学，2013.

（编辑 何 琳）