【正文】 口和流量進行控制，卻無法防御復雜的攻擊和入侵。4）內部信息系統所存在的安全漏洞和隱患，不能及時發(fā)現；對于網絡而言，內外網互連私接的情況不能進行有效監(jiān)控。5）終端安全沒有保障，缺乏統一終端管理平臺。無法有效的對煙草公司網絡進行準入控制，致使網絡接入存在一定的風險。6）沒有數據安全保障體系，數據的傳輸和存儲都沒辦法保證不被竊取。7）沒有一個統一的員工身份管理系統，無法做到各類內部權限的細分，以及信息安全的加密以及事前、事中、事后的審計。8）缺乏主機和應用系統安全保障機制，沒有及時發(fā)現和彌補系統的漏洞和弱點，存在大量弱口令等問題。9）沒有統一的審計和響應機制，即便是發(fā)生攻擊事件無法快速定位到源頭，并進行針對性的解決。 自治區(qū)煙草安全規(guī)劃方案建議書 33 信息安全規(guī)劃思路 信息安全 目標和工作思路我們應該按照信息安全總體規(guī)劃，從信息安全管理、信息安全風險控制、信息安全技術等方面入手，采用先進可行的技術手段和管理理念，逐步建成全面、完整、有效的一套信息安全體系。通過系統化的安全技術和安全管理建設，自治區(qū)煙草公司逐步形成安全管理規(guī)范和安全體系架構，逐步有機的融合安全技術和安全管理，使自治區(qū)煙草公司的安全建設逐漸成熟，為整個業(yè)務的正常運行提供強有力的支持和保障。信息化安全體系建設過程中應遵循以下工作思路：? “分級保護”原則：應根據各業(yè)務系統的重要程度以及面臨的風險大小等因素決定各類信息的安全保護級別，分級保護，合理投資。? “三分技術、七分管理”原則：煙草公司信息安全不是單純的技術問題，需要在采用安全技術和產品的同時，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，全面提高安全管理水平。? “內外并重”原則：安全工作需要做到內外并重，在防范外部威脅的同時，加強規(guī)范內部人員行為和審計機制。? “整體規(guī)劃，分步實施”原則：需要對煙草公司信息安全建設進行整體規(guī)劃，分步實施，逐步建立完善的信息安全體系。? “風險管理”原則：進行安全風險管理，確認可能影響信息系統的安全風險，并以較低的成本將其降低到可接受的水平?！斑m度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。 信息安全建設主要任務基于企業(yè)信息安全逐步建設和節(jié)省投資的考慮，自治區(qū)煙草公司信息安全 自治區(qū)煙草安全規(guī)劃方案建議書 4建設采用分階段實施的方式，按照各種安全技術和安全管理在安全建設體系中的優(yōu)先地位進行安全建設。具體實施步驟如下圖所示： 安全建設階段和內容第一階段 ——緊迫階段按照本次自治區(qū)煙草公司安全建設的要求，主要是對自治區(qū)煙草公司網絡中的服務器群區(qū)域進行安全防護，尤其是對辦公業(yè)務網進行安全防護。 建設要求本次網絡基礎安全建設主要考慮安全域劃分和加強安全邊界防護措施，優(yōu)先考慮辦公業(yè)務網出口的安全問題。辦公業(yè)務網中有自治區(qū)煙草公司網絡中重要的服務器群，保證這些服務器的安全是保障自治區(qū)煙草公司網絡安全的基礎。因此在辦公業(yè)務網與核心交換區(qū)的邊界處，應采用多種安全技術和手段來防范外來的威脅。主要采用的技術手段有網絡邊界隔離、網絡邊界入侵防護、網絡邊界防病毒、內容安全等方面。 第二階段——加強階段 自治區(qū)煙草安全規(guī)劃方案建議書 5 建設內容安全建設第一階段成功結束后，網絡狀態(tài)可以達到相對安全的狀態(tài)。在第二階段的安全建設中需要考慮加強手段。主要從安全日志審計、系統平臺和應用系統安全兩個方面展開。 建設方案（1）安全日志審計系統第一階段部署了大量的安全產品。這些安全產品和大量的網絡產品以及應用系統產生海量的日志和事件，尤其是入侵檢測之類的安全產品，每天的事件量巨大，靠人工的方式很難檢索所有的事件，如漏掉重要事件很可能會帶來較大損失，鑒于此，需要部署統一的日志審計管理平臺。這個平臺能夠收集所有網絡產品、安全產品、主機以及應用系統的日志和安全事件，對其進行規(guī)范化處理，根據審計規(guī)則發(fā)現真正有價值的事件后及時告警，并能夠存儲海量事件，能夠提供事后取證.（2）系統平臺和應用系統安全在第一階段建設了安全評估體系，定期進行評估和加固，已經有效地增強主機和應用的安全，第二階段需要進一步加強系統平臺和應用系統的安全管理，考慮從完整性管理和脆弱性管理兩個方面進行加強。結合安全日志審計功能，就可以針對各業(yè)務系統的帳號級的信息安全審計和追蹤。 第三階段——管理階段 建設內容待安全建設一、二階段建設完成后，自治區(qū)煙草公司的全網安全基本達到了系統化的程度，各種安全產品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化。此時進行安全管理建設，主要從安全管理中心、安全管理體系著手完善。 建設方案（1）安全管理中心 自治區(qū)煙草安全規(guī)劃方案建議書 6建設安全管理統一平臺，將全網的安全管理通過該平臺進行。通過該平臺可以及時準確地獲知網絡安全體系的效果和現狀，幫助安全管理員進行正確的決策分析。該平臺應該具備風險管理、策略中心、事件中心、響應中心、知識中心等功能模塊，并且應具備很好的開放性和可定制性。（2）安全管理體系安全管理建設應該自始至終，并且對安全建設和運維起到指導作用。主要從安全策略制定、組建安全管理隊伍、安全評估、資產鑒別和分類、安全認證等多種管理領域開展，最終形成管理和技術相融合，共同形成真正的安全體系架構。信息化安全建設規(guī)劃方案基于企業(yè)信息安全逐步建設和節(jié)省投資的考慮，我省信息安全建設采用分階段實施的方式，按照各種安全技術和安全管理在安全建設體系中的優(yōu)先地位進行安全建設。安全建設第一階完成后，網絡狀態(tài)可以達到相對安全的狀態(tài)。請結合自治區(qū)煙草公司信息安全建設，考慮第二階段的安全建設將如何進行。以及待自治區(qū)煙草公司的全網安全基本達到了系統化的程度，各種安全產品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化，即可考慮第三階段和第四階段將如何開展。 自治區(qū)煙草安全規(guī)劃方案建議書 74 第一階段 迫切階段 加強區(qū)公司與地州公司的邊界訪問控制目前，自治區(qū)煙草公司已經全疆范圍內部署了防火墻與 VPN 系統，但是由于時間已經很長，設備在性能與功能上都不能適應現在的網絡與業(yè)務的發(fā)展。在本次項目中，我們建議更換防火墻系統，加強網絡邊界防御工作。從節(jié)省資金的角度出發(fā)，在本次的防火墻選型中，直接選用帶有 VPN 功能的防火墻系統，便于操作與管理。 解決區(qū)公司的網頁安全問題當前國際、國內的政治形勢和經濟形勢比較特殊，又正值 7. 5 事件發(fā)生后期，網站安全問題越來越復雜，Web 服務器以其強大的計算能力、處理性能及所蘊含的高價值逐漸成為主要攻擊的目標。針對網站，各類安全威脅正在飛速增長。2022 年，CNCERT/CC 監(jiān)測到中國大陸被篡改網站總數累積達 61228個，比 2022 年增加了 倍。Google 最新數據表明，過去 10 個月中，Google 通過對互聯網上幾十億 URL 進行抓取分析，發(fā)現有 300 多萬個惡意URL。其中，中國的惡意站點占到了總數的 67%。傳統的邊界安全設備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產品定位和防護深度，不能有效地提供針對 Web 應用攻擊完善的防御能力。因此，自治區(qū)煙草公司網站有必要采用專業(yè)的安全防護系統，有效防護各類攻擊、降低網站安全風險。 提升入侵防御能力防火墻作為自治區(qū)煙草公司安全保障體系的第一道防線，已經得到了非常好的應用效果，但是各式各樣的攻擊行為還是被不斷的發(fā)現和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應用層的攻擊行為。 自治區(qū)煙草安全規(guī)劃方案建議書 8自治區(qū)煙草公司想要實現完全的入侵防御，首先需要對各種攻擊能準確發(fā)現，其次是需要實時的阻斷防御與響應。防火墻等訪問控制設備沒有能做到完全的協議分析，僅能實現較為低層的入侵防御，對應用層攻擊等行為無法進行判斷，而入侵檢測等旁路設備由于部署方式的局限，在發(fā)現攻擊后無法及時切斷可疑連接，都達不到完全防御的要求。自治區(qū)煙草公司想要實現完全的入侵防御，就需要在網絡上將完全協議分析和在線防御相融合，這就是入侵防御系統（IPS ）：online 式在線部署，深層分析網絡實時數據，精確判斷隱含其中的攻擊行為，實施及時的阻斷。 加強對區(qū)公司、地州終端的桌面管理能力區(qū)公司采用本類產品目的在于，能夠對客戶端進行狀態(tài)安全控管，主要涉及客戶端聯網監(jiān)控、客戶端狀態(tài)管理、設備注冊、客戶端桌面安全審計、客戶端補丁分發(fā)管理、客戶端應用資源控制以及遠程協助管理等能。系統實時監(jiān)控和報警網絡中存在的客戶端違規(guī)、病毒事件等行為，提供在線客戶端安全狀態(tài)信息；依據系統報警信息和客戶端上報的安全信息，管理人員在控制臺遠程對異常網絡或者違規(guī)客戶端機器采取處理措施（如斷網、告警、遠程協助等） 。對補丁進行自動分發(fā)部署和管理控制。? 客戶端進程黑白名單控制，防止非法進程啟動。全網客戶端進程統一匯總監(jiān)視。? 客戶端軟件黑白名單管理，客戶端軟件統一匯總監(jiān)視。? 客戶端軟件自動分發(fā)和管理。? 客戶端統一的端口策略控制。? 如何有效進行網絡資源管理和設備資產管理。? 網絡節(jié)點控制。? 弱口令監(jiān)控。? Usb 移動存儲設備的行為審計和控制。? 防止防范用戶繞過防火墻等邊界防護設施，直接聯入外網帶來的嚴重安全隱患行為（對于物理隔離的網絡，切實保障其有效的隔離度，保證專網專 自治區(qū)煙草安全規(guī)劃方案建議書 9用） 。? 進行外來筆記本電腦以及其它移動設備（如 u 盤、移動硬盤等）的隨意接入控制。? 準確有效的定位網絡中病毒的引入點，快速、安全的切斷安全事件發(fā)生點和相關網絡。? 安全、方便的將非安全計算機阻斷出網。? 監(jiān)控內網的敏感信息。? 按照既定策略統一配置客戶端端口策略、注冊表策略等客戶端安全策略。? 有效監(jiān)控客戶端的運維信息，以便網管了解網絡中的客戶端是否已超負荷運轉，是否需要升級。? 策略按照（區(qū)域、操作系統、時間等）進行控制和多級級聯。? 軟件使用簡單，所有的策略均在策略中心統一配置，用戶上手簡便。 解決 VPN 系統的更新并且有效過渡的問題在本次項目中，我們在采購防火墻時，就帶有 VPN 模塊，其中支持IPSEC、SSL 兩種模式，可以根據應用自由選擇，比現有的 VPN 系統速度更快，配置更方便，使用更便捷。使現有的 VPN 系統很平滑地向新技術過渡。 提升區(qū)公司及地州公司對網絡可管理的能力隨著信息化發(fā)展的加速和深入，自治區(qū)煙草公司的 IT 系統和網絡越來越復雜，各級分公司對網絡正常運轉的依賴性逐漸增大，IT 和網絡應用逐漸融入到單位的日常工作中。網絡基礎設施和各種應用系統在不斷增加，一旦 IT 系統和網絡運行出現問題，將會對所有的依賴于信息化平臺的正常工作產生影響。因此，高效的系統與管理已經成為煙草公司信息化建設是否成功的重要條件。網絡管理系統可廣泛應用于對局域網、廣域網、城域網和關鍵 IT 業(yè)務系統中的路由器、交換機、防火墻、負載均衡設備、服務器、操作系統、數據庫、中間件、網站、域名、URL、OA、CRM、ERP、SCM、HIS 等各種 IT 網絡組件和業(yè)務系統進行 7X24 的持續(xù)監(jiān)控、不間斷的數據采集和分析，對錯誤和故障數據進 自治區(qū)煙草安全規(guī)劃方案建議書 10行顏色、聲音、短信息、郵件等多種方式的報警，提供多種圖形和報表幫助用戶進行故障分析和性能診斷，保證 IT 業(yè)務系統和網絡持續(xù)、穩(wěn)定運行，提高IT 系統的效率，降低由于 IT 業(yè)務系統故障而導致的損失。 加強對上網行為審計的能力隨著 Inter 接入的普及和網絡帶寬的增加，使用戶上網條件得到改善，同時也給煙草公司網絡帶來了更高的危險性、復雜性。終端用戶隨意使用網絡資源將導致三個問題：(1)工作效率低下、(2)網絡性能惡化、(3)網絡泄密和違法行為增多。煙草公司網絡作為一個開放的網絡系統，運行狀況愈來愈復雜。網管中心如何及時了解網絡運行基本狀況，并對網絡整體狀況作出基本的分析，發(fā)現可能存在的問題（如病毒、木馬造成的網絡異常） ，并進行快速的故障定位，這些都是對煙草公司信息安全管理的挑戰(zhàn)，這些問題包括：管理員如何對網絡效能行為進行統計、分析和評估，管理員如何監(jiān)控、控制一些非工作上網行為和非正常上網行為，管理員如何杜絕用戶通過電子郵件、MSN 等途徑泄漏內部機密資料，以及管理員如何在發(fā)生問題時有查證的依據。因此，如何有效地解決這些問題，以便提高用戶的工作效率，降低安全風險，減少損失，對網絡進行統一管理，調整網絡資源的合理利用，已經成為煙草公司信息中心迫在眉睫的緊要任務。因此內網安全管理也隨之提升到一個新的高度，在防御從外到內諸如病毒、黑客入侵、垃圾郵件的同時，從內到外諸如審計、監(jiān)控、訪問控制、訪問跟蹤、流量限制等問題也日益凸現。 自治區(qū)煙草安全規(guī)劃方案建議書