【文章內(nèi)容簡介】 安全基本達(dá)到了系統(tǒng)化的程度，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化，即可考慮第三階段和第四階段將如何開展。 6 自治區(qū)煙草安全規(guī)劃方案建議書 4 第一階段 迫切階段 加強區(qū)公司與地州公司的邊界訪問控制 目前，自治區(qū)煙草公司已經(jīng)全疆范圍內(nèi)部署了防火墻與 VPN 系統(tǒng)，但是由于時間已經(jīng)很長，設(shè)備在性能與功能上都不能適應(yīng)現(xiàn)在的網(wǎng)絡(luò)與業(yè)務(wù)的發(fā)展。在本次項目中，我們建議更換防火墻系統(tǒng)，加強網(wǎng)絡(luò)邊界防御工作。從節(jié)省資金的角度出發(fā)，在本次的防火墻選型中，直接選用帶有 VPN功能的防火墻系統(tǒng)，便于操作與管理。 解決區(qū)公司的網(wǎng)頁安全問題 當(dāng)前國際、國內(nèi)的政治形勢和經(jīng)濟形勢比較特殊，又正值 7. 5事件發(fā)生后期，網(wǎng)站安全問題越來越復(fù)雜， Web 服務(wù)器以其強大的計算能力、處理性能及所蘊含的高價值逐漸成為主要攻擊的目標(biāo)。針對網(wǎng)站，各類安全威脅正在飛速增長。 2020年， CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228個，比 2020年增加了 。 Google 最新數(shù)據(jù)表 明，過去 10 個月中， Google 通過對互聯(lián)網(wǎng)上幾十億 URL進行抓取分析，發(fā)現(xiàn)有 300 多萬個惡意URL。其中，中國的惡意站點占到了總數(shù)的 67%。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位和防護深度，不能有效地提供針對 Web 應(yīng)用攻擊完善的防御能力。因此，自治區(qū)煙草公司網(wǎng)站有必要采用專業(yè)的安全防護系統(tǒng)，有效防護各類攻擊、降低網(wǎng)站安全風(fēng)險。 提升入侵防御能力 防火墻作為自治區(qū)煙草公司安全保障體系的第一道防線，已經(jīng)得到了非常好的應(yīng)用效果，但是各式各樣的攻擊 行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。 7 自治區(qū)煙草安全規(guī)劃方案建議書 自治區(qū)煙草公司想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是需要實時的阻斷防御與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應(yīng)用層攻擊等行為無法進行判斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達(dá)不到完全防御的要求。 自治區(qū)煙草公司想要實現(xiàn)完全的 入侵防御，就需要在網(wǎng)絡(luò)上將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（ IPS）： online式在線部署，深層分析網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。 加強對區(qū)公司、地州終端的桌面管理能力 區(qū)公司采用本類產(chǎn)品目的在于，能夠?qū)蛻舳诉M行狀態(tài)安全控管，主要涉及客戶端聯(lián)網(wǎng)監(jiān)控、客戶端狀態(tài)管理、設(shè)備注冊、客戶端桌面安全審計、客戶端補丁分發(fā)管理、客戶端應(yīng)用資源控制以及遠(yuǎn)程協(xié)助管理等能。系統(tǒng)實時監(jiān)控和報警網(wǎng)絡(luò)中存在的客戶端違規(guī)、病毒事件等行為，提供在線客戶端安全狀態(tài)信息；依據(jù)系統(tǒng)報 警信息和客戶端上報的安全信息，管理人員在控制臺遠(yuǎn)程對異常網(wǎng)絡(luò)或者違規(guī)客戶端機器采取處理措施（如斷網(wǎng)、告警、遠(yuǎn)程協(xié)助等）。對補丁進行自動分發(fā)部署和管理控制。 客戶端進程黑白名單控制，防止非法進程啟動。全網(wǎng)客戶端進程統(tǒng)一匯總 監(jiān)視。 客戶端軟件黑白名單管理，客戶端軟件統(tǒng)一匯總監(jiān)視。 客戶端軟件自動分發(fā)和管理。 客戶端統(tǒng)一的端口策略控制。 如何有效進行網(wǎng)絡(luò)資源管理和設(shè)備資產(chǎn)管理。 網(wǎng)絡(luò)節(jié)點控制。 弱口令監(jiān)控。 移動存儲設(shè)備的行為審計和控制。 防止防范用 戶繞過防火墻等邊界防護設(shè)施，直接聯(lián)入外網(wǎng)帶來的嚴(yán)重安全 隱患行為（對于物理隔離的網(wǎng)絡(luò)，切實保障其有效的隔離度，保證專網(wǎng)專 8 自治區(qū)煙草安全規(guī)劃方案建議書 用）。 進行外來筆記本電腦以及其它移動設(shè)備（如 u盤、移動硬盤等）的隨意接 入控制。 準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點，快速、安全的切斷安全事件發(fā)生點 和相關(guān)網(wǎng)絡(luò)。 安全、方便的將非安全計算機阻斷出網(wǎng)。 監(jiān)控內(nèi)網(wǎng)的敏感信息。 按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安 全策略。 有效監(jiān)控客戶端的運維信息，以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷 運轉(zhuǎn)，是否需要升級。 策略按照（區(qū)域、操作系統(tǒng)、時間等）進行控制和多級級聯(lián)。 軟件使用簡單，所有的策略均在策略中心統(tǒng)一配置，用戶上手簡便。 解決 VPN系統(tǒng)的更新并且有效過渡的問題 在本次項目中，我們在采購防火墻時，就帶有 VPN 模塊，其中支持 IPSEC、 SSL 兩種模式，可以根據(jù)應(yīng)用自由選擇，比現(xiàn)有的 VPN 系統(tǒng)速度更快，配置更方便，使用更便捷。使現(xiàn)有的 VPN系統(tǒng)很平滑地向新技術(shù)過渡。 提升區(qū)公司及 地州公司對網(wǎng)絡(luò)可管理的能力 隨著信息化發(fā)展的加速和深入，自治區(qū)煙草公司的 IT 系統(tǒng)和網(wǎng)絡(luò)越來越復(fù)雜，各級分公司對網(wǎng)絡(luò)正常運轉(zhuǎn)的依賴性逐漸增大， IT 和網(wǎng)絡(luò)應(yīng)用逐漸融入到單位的日常工作中。網(wǎng)絡(luò)基礎(chǔ)設(shè)施和各種應(yīng)用系統(tǒng)在不斷增加，一旦 IT 系統(tǒng)和網(wǎng)絡(luò)運行出現(xiàn)問題，將會對所有的依賴于信息化平臺的正常工作產(chǎn)生影響。因此，高效的系統(tǒng)與管理已經(jīng)成為煙草公司信息化建設(shè)是否成功的重要條件。 網(wǎng)絡(luò)管理系統(tǒng)可廣泛應(yīng)用于對局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)和關(guān)鍵 IT 業(yè)務(wù)系統(tǒng)中的路由器、交換機、防火墻、負(fù)載均衡設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、中間 件、網(wǎng)站、域名、 URL、OA、 CRM、 ERP、 SCM、 HIS等各種 IT 網(wǎng)絡(luò)組件和業(yè)務(wù)系統(tǒng)進行 7X24的持續(xù)監(jiān)控、不間斷的數(shù)據(jù)采集和分析，對錯誤和故障數(shù)據(jù)進行 9 自治區(qū)煙草安全規(guī)劃方案建議書 顏色、聲音、短信息、郵件等多種方式的報警，提供多種圖形和報表幫助用戶進行故障分析和性能診斷，保證 IT 業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)持續(xù)、穩(wěn)定運行，提高 IT系統(tǒng)的效率，降低由于 IT業(yè)務(wù)系統(tǒng)故障而導(dǎo)致的損失。 加強對上網(wǎng)行為審計的能力 隨著 Inter 接入的普及和網(wǎng)絡(luò)帶寬的增加，使用 戶上網(wǎng)條件得到改善，同時也給煙草公司網(wǎng)絡(luò)帶來了更高的危險性、復(fù)雜性。 終端用戶隨意使用網(wǎng)絡(luò)資源將導(dǎo)致三個問題： (1)工作效率低下、 (2)網(wǎng)絡(luò)性能惡化、 (3)網(wǎng)絡(luò)泄密和違法行為增多。 煙草公司網(wǎng)絡(luò)作為一個開放的網(wǎng)絡(luò)系統(tǒng)，運行狀況愈來愈復(fù)雜。網(wǎng)管中心如何及時了解網(wǎng)絡(luò)運行基本狀況，并對網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問題（如病毒、木馬造成的網(wǎng)絡(luò)異常），并進行快速的故障定位，這些都是對煙草公司信息安全管理的挑戰(zhàn)，這些問題包括： 管理員如何對網(wǎng)絡(luò)效能行為進行統(tǒng)計、分析和評估，管理員如何監(jiān)控、控制一些非 工作上網(wǎng)行為和非正常上網(wǎng)行為，管理員如何杜絕用戶通過電子郵件、 MSN 等途徑泄漏內(nèi)部機密資料，以及管理員如何在發(fā)生問題時有查證的依據(jù)。 因此，如何有效地解決這些問題，以便提高用戶的工作效率，降低安全風(fēng)險，減少損失，對網(wǎng)絡(luò)進行統(tǒng)一管理，調(diào)整網(wǎng)絡(luò)資源的合理利用，已經(jīng)成為煙草公司信息中心迫在眉睫的緊要任務(wù)。因此內(nèi)網(wǎng)安全管理也隨之提升到一個新的高度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，從內(nèi)到外諸如審計、監(jiān)控、訪問控制、訪問跟蹤、流量限制等問題也日益凸現(xiàn)。 10 自治區(qū)煙草安全規(guī)劃方案建議 書 5 第二階段信息安全建設(shè)方案 在這三年