互联网的信息化推动了烟草行业更好更快的发展,但传统烟草企业在搭建一个网上商城的同事也面临着信息安全、网络数据安全威胁,如黑客攻击、非法访问、垃圾流量为主的边界安全风险,以终端病毒、窃听泄密、上网娱乐为主的内网安全风险;以Web服务器、主机系统漏洞、服务配置不当为主的应用安全风险。所以,对烟草企业来说,重视和加强烟草订货系统平台信息化安全建设刻不容缓。【数商云】系统开发服务商,致力于为传统企业搭建一体化的电子商务平台,商城系统架构安全高效、且支持高并发的日百万级访问。
烟草企业商城网站信息化建设都已联网,从省级企业到地市级企业到县级企业连接的非常紧密,并且业务逐渐集中到数据中心,烟草网上商城数据集中带来的一个主要问题就是安全风险的集中,如果在某一个节点上出现安全问题,不仅将影响烟草网上商城局部网络的正常运行,甚至会影响到全省业务系统,导致业务数据丢失和系统不能正常运行。所以,对烟草企业来说,重视和加强烟草网上商城信息化安全建设刻不容缓。
由于烟草企业信息管理涉及很多环节,比如,信息数据的采集、整理、录入,以及信息平台的管理、信息软件的开发、信息的传输等等。信息的准确性、及时性、科学性直接影响到烟草信息化建设,而信息的安全又直接关系到整个烟草企业的安全,如果没有一套完善的烟草网上商城网络安全保障体系,可能导致每个人的作业方法、效率差别很大,甚至在操作过程中出现严重的误差和漏洞,造成信息数据错误或者商业秘密泄漏等严重问题的出现。
烟草网上订货系统网络安全的基本策略是进行安全区域划分,通过安全区域划分,可以在网络中部署不同安全等级的区域,实现对烟草网上订货系统安全风险进行有效的隔离。根据安全风险隔离的需求,安全区域的划分通过不同层次技术模式实现,主流的隔离模式包括VLAN、VPN、防火墙、IPS等多种方式。
通过分区分域进行烟草系统网站安全部署实现对重要资源的保护,主要安全策略描述如下:
(1)烟草网站系统网络功能区域明显,每个区域都会受到安全威胁,但是每个区域的安全威胁类型又不尽相同,所以要针对不同的区域设计不同的安全方案和策略。
(2)由于各区域烟草网上商城安全策略不同,所以安全部署不应集中到核心层,应该分散到各区域里,集中部署在各区域边界上。核心层部署过多的安全策略一方面大大降低了核心层的转发速度,一方面不便于维护和扩展,比如任何一个区域安全策略调整,那么其它区域都会受到影响,从而引发许多潜在安全漏洞。
(3)按照多重保护原则,通过两个层次(安全域边界1、安全域边界2)的边界防护实现对数据中心重要资源的保护。
(4)这里安全域边界上部署安全设备,以便实现烟草网上商城各区域独立的防御体系,只有区域的独立安全才能保证全局的统一安全。
(5)在烟草商城系统数据中心的网络安全控制管理区部署安全管理中心(SecCenter),实现一体化安全管理。与【数商云】平台iMC配合,通过NDP协议实现对攻击源查找定位并向用户展示。进而可实现交换机SNMP方式的接口down操作。
烟草行业的两大业务电子政务、电子商务都需要借助订货平台,而WEB网站直接暴漏在公众之下,非常容易受到攻击,网页篡改攻击会影响烟草企业形象,烟草订货平台网站瘫痪攻击会影响到电子政务和商务的正常运行,木马、钓鱼攻击会造成泄密、欺诈、交易数据篡改等,最终造成直接的经济损失。所以对于电子政务和电子商务系统安全防护需要采用多层次的防御手段,不但能对服务器的访问进行控制,而且还能实时抵御来自应用层的攻击。
烟草企业电子政务、电子商务的应用服务器部署中,通常采用三层结构:WEB层、APP层和DB层,WEB直接面对外部用户,会被部署在DMZ区,而APP和DB层则会部署在内网数据中心。一旦WEB被攻击,攻击者很容易再以WEB服务器为跳板,渗透到烟草网站系统内部,获得核心的数据,所以WEB层、APP层之间必须要有安全防护措施。
电子政务、电子商务都是面对公众、客户等提供服务,那么响应一定要及时,所以,互联网链路带宽要保证,链路要优化:
为了减少内部员工访问互联网对电子商务和电子政务系统造成不良影响,所以将互联网用户“网上订货”数据流与烟草用户访问互联网数据流分别开来,电子商务和电子政务的互联网连接承载在内部办公网上,而内部员工访问互联网的需求承载在外部办公网上,内网和外网采用物理隔离,是两张通过网闸互通的网络:
(1)内部办公网互联网区:实现“网上订货、网上配货、电子结算、现代物流”为特征的电子商务。
(2)外部办公网互联网区:为烟草内部员工提供Internet接入服务。
烟草网上订货平台网络架构采用双链路双设备冗余的方式,搭建高可靠烟草系统网络架构,然后再部署安全产品进行防护和优化:
(1)多链路负载均衡设备:采用“双臂”方式分别连接到两台交换机上,通过启用VRRP实现冗余备份,两台多链路负载均衡设备配置为路由模式;
(2)第一道防火墙:通过安全区域划分、MAC和IP绑定、访问控制列表(ACL)和攻击防范等基本手段。实现第一道防火墙安全策略:即仅允许INTERNET用户访问对外服务层中的服务器(协议,端口)。同时能够防御ARP欺骗、TCP报文标志位不合法、LargeICMP报文、CC、SYNflood、地址扫描和端口扫描等多种恶意攻击。
(4)第二道防火墙:第二道防火墙安全策略如下,仅允许对外服务层中的服务器访问数据中心的服务器(IP地址,协议,端口)。
(5)统一安全管理:收集内网互联网区的安全事件,实现安全统一管理。
为了保证电子政务、商务系统的安全稳定运行,烟草内部员工访问互联网部署在外网互联网区,与电子政务、电子商务的互联网出口物理隔离。
(1)防火墙作为互联网区的边界防护设备和NAT设备。
(2)IPS主要完成对攻击、病毒的阻断和隔离。
(3)流量监管设备(ACG)实现对链路的带宽管理和流量控制,可以有效限制垃圾流量占用带宽,记录和管理用户上网行为,以便后期进行优化改造。
广域网的安全关系到全省的业务安全,不能忽视。烟草网上订货平台广域网虽然是内部网络,但也面临来自许多安全威胁,如下:
(1)烟草网站系统每级网络都由各级单位自己维护,所以网络之间不能完全信任。
(2)由于下级单位多,安全建设良莠不齐,存在很多安全漏洞,且网络不受上级控制,所以对于上级单位,就如同有多个对外的安全黑洞,病毒、攻击随时都可能突破下级单位,再从下级单位传播到上级,并传播到其它下级单位,那么结果整个烟草订货平台系统网络都会受到严重的安全影响。
(3)下级单位、单位之间可能存在非法访问造成的安全隐患,需要进行访问控制隔离。
根据上述问题,要把下级单位列为不可完全信任用户,在广域网边界上需要部署适当的安全措施。广域网的边界防御同样需要防火墙+IPS的多层次防御体系,另外还需要应用流量控制系统对广域网带宽进行保证,保证关键业务的正常运行。