【文章內(nèi)容簡介】 安全基本達到了系統(tǒng)化的程度，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化，即可考慮第三階段和第四階段將如何開展。 6 自治區(qū)煙草安全規(guī)劃方案建議書 4 第一階段 迫切階段 加強區(qū)公司與地州公司的邊界訪問控制 目前，自治區(qū)煙草公司已經(jīng)全疆范圍內(nèi)部署了防火墻與 VPN 系統(tǒng)，但是由于時間已經(jīng)很長，設(shè)備在性能與功能上都不能適應現(xiàn)在的網(wǎng)絡與業(yè)務的發(fā)展。在本次項目中，我們建議更換防火墻系統(tǒng)，加強網(wǎng)絡邊界防御工作。從節(jié)省資金的角度出發(fā)，在本次的防火墻選型中，直接選用帶有 VPN功能的防火墻系統(tǒng)，便于操作與管理。 解決區(qū)公司的網(wǎng)頁安全問題 當前國際、國內(nèi)的政治形勢和經(jīng)濟形勢比較特殊，又正值 7. 5事件發(fā)生后期，網(wǎng)站安全問題越來越復雜， Web 服務器以其強大的計算能力、處理性能及所蘊含的高價值逐漸成為主要攻擊的目標。針對網(wǎng)站，各類安全威脅正在飛速增長。 2020年， CNCERT/CC監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達 61228個，比 2020年增加了 。 Google 最新數(shù)據(jù)表 明，過去 10 個月中， Google 通過對互聯(lián)網(wǎng)上幾十億 URL進行抓取分析，發(fā)現(xiàn)有 300 多萬個惡意URL。其中，中國的惡意站點占到了總數(shù)的 67%。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位和防護深度，不能有效地提供針對 Web 應用攻擊完善的防御能力。因此，自治區(qū)煙草公司網(wǎng)站有必要采用專業(yè)的安全防護系統(tǒng)，有效防護各類攻擊、降低網(wǎng)站安全風險。 提升入侵防御能力 防火墻作為自治區(qū)煙草公司安全保障體系的第一道防線，已經(jīng)得到了非常好的應用效果，但是各式各樣的攻擊 行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應用層的攻擊行為。 7 自治區(qū)煙草安全規(guī)劃方案建議書 自治區(qū)煙草公司想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準確發(fā)現(xiàn)，其次是需要實時的阻斷防御與響應。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應用層攻擊等行為無法進行判斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達不到完全防御的要求。 自治區(qū)煙草公司想要實現(xiàn)完全的 入侵防御，就需要在網(wǎng)絡上將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（ IPS）： online式在線部署，深層分析網(wǎng)絡實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。 加強對區(qū)公司、地州終端的桌面管理能力 區(qū)公司采用本類產(chǎn)品目的在于，能夠?qū)蛻舳诉M行狀態(tài)安全控管，主要涉及客戶端聯(lián)網(wǎng)監(jiān)控、客戶端狀態(tài)管理、設(shè)備注冊、客戶端桌面安全審計、客戶端補丁分發(fā)管理、客戶端應用資源控制以及遠程協(xié)助管理等能。系統(tǒng)實時監(jiān)控和報警網(wǎng)絡中存在的客戶端違規(guī)、病毒事件等行為，提供在線客戶端安全狀態(tài)信息；依據(jù)系統(tǒng)報 警信息和客戶端上報的安全信息，管理人員在控制臺遠程對異常網(wǎng)絡或者違規(guī)客戶端機器采取處理措施（如斷網(wǎng)、告警、遠程協(xié)助等）。對補丁進行自動分發(fā)部署和管理控制。 客戶端進程黑白名單控制，防止非法進程啟動。全網(wǎng)客戶端進程統(tǒng)一匯總 監(jiān)視。 客戶端軟件黑白名單管理，客戶端軟件統(tǒng)一匯總監(jiān)視。 客戶端軟件自動分發(fā)和管理。 客戶端統(tǒng)一的端口策略控制。 如何有效進行網(wǎng)絡資源管理和設(shè)備資產(chǎn)管理。 網(wǎng)絡節(jié)點控制。 弱口令監(jiān)控。 移動存儲設(shè)備的行為審計和控制。 防止防范用 戶繞過防火墻等邊界防護設(shè)施，直接聯(lián)入外網(wǎng)帶來的嚴重安全 隱患行為（對于物理隔離的網(wǎng)絡，切實保障其有效的隔離度，保證專網(wǎng)專 8 自治區(qū)煙草安全規(guī)劃方案建議書 用）。 進行外來筆記本電腦以及其它移動設(shè)備（如 u盤、移動硬盤等）的隨意接 入控制。 準確有效的定位網(wǎng)絡中病毒的引入點，快速、安全的切斷安全事件發(fā)生點 和相關(guān)網(wǎng)絡。 安全、方便的將非安全計算機阻斷出網(wǎng)。 監(jiān)控內(nèi)網(wǎng)的敏感信息。 按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安 全策略。 有效監(jiān)控客戶端的運維信息，以便網(wǎng)管了解網(wǎng)絡中的客戶端是否已超負荷 運轉(zhuǎn)，是否需要升級。 策略按照（區(qū)域、操作系統(tǒng)、時間等）進行控制和多級級聯(lián)。 軟件使用簡單，所有的策略均在策略中心統(tǒng)一配置，用戶上手簡便。 解決 VPN系統(tǒng)的更新并且有效過渡的問題 在本次項目中，我們在采購防火墻時，就帶有 VPN 模塊，其中支持 IPSEC、 SSL 兩種模式，可以根據(jù)應用自由選擇，比現(xiàn)有的 VPN 系統(tǒng)速度更快，配置更方便，使用更便捷。使現(xiàn)有的 VPN系統(tǒng)很平滑地向新技術(shù)過渡。 提升區(qū)公司及 地州公司對網(wǎng)絡可管理的能力 隨著信息化發(fā)展的加速和深入，自治區(qū)煙草公司的 IT 系統(tǒng)和網(wǎng)絡越來越復雜，各級分公司對網(wǎng)絡正常運轉(zhuǎn)的依賴性逐漸增大， IT 和網(wǎng)絡應用逐漸融入到單位的日常工作中。網(wǎng)絡基礎(chǔ)設(shè)施和各種應用系統(tǒng)在不斷增加，一旦 IT 系統(tǒng)和網(wǎng)絡運行出現(xiàn)問題，將會對所有的依賴于信息化平臺的正常工作產(chǎn)生影響。因此，高效的系統(tǒng)與管理已經(jīng)成為煙草公司信息化建設(shè)是否成功的重要條件。 網(wǎng)絡管理系統(tǒng)可廣泛應用于對局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)和關(guān)鍵 IT 業(yè)務系統(tǒng)中的路由器、交換機、防火墻、負載均衡設(shè)備、服務器、操作系統(tǒng)、數(shù)據(jù)庫、中間 件、網(wǎng)站、域名、 URL、OA、 CRM、 ERP、 SCM、 HIS等各種 IT 網(wǎng)絡組件和業(yè)務系統(tǒng)進行 7X24的持續(xù)監(jiān)控、不間斷的數(shù)據(jù)采集和分析，對錯誤和故障數(shù)據(jù)進行 9 自治區(qū)煙草安全規(guī)劃方案建議書 顏色、聲音、短信息、郵件等多種方式的報警，提供多種圖形和報表幫助用戶進行故障分析和性能診斷，保證 IT 業(yè)務系統(tǒng)和網(wǎng)絡持續(xù)、穩(wěn)定運行，提高 IT系統(tǒng)的效率，降低由于 IT業(yè)務系統(tǒng)故障而導致的損失。 加強對上網(wǎng)行為審計的能力 隨著 Inter 接入的普及和網(wǎng)絡帶寬的增加，使用 戶上網(wǎng)條件得到改善，同時也給煙草公司網(wǎng)絡帶來了更高的危險性、復雜性。 終端用戶隨意使用網(wǎng)絡資源將導致三個問題： (1)工作效率低下、 (2)網(wǎng)絡性能惡化、 (3)網(wǎng)絡泄密和違法行為增多。 煙草公司網(wǎng)絡作為一個開放的網(wǎng)絡系統(tǒng)，運行狀況愈來愈復雜。網(wǎng)管中心如何及時了解網(wǎng)絡運行基本狀況，并對網(wǎng)絡整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問題（如病毒、木馬造成的網(wǎng)絡異常），并進行快速的故障定位，這些都是對煙草公司信息安全管理的挑戰(zhàn)，這些問題包括： 管理員如何對網(wǎng)絡效能行為進行統(tǒng)計、分析和評估，管理員如何監(jiān)控、控制一些非 工作上網(wǎng)行為和非正常上網(wǎng)行為，管理員如何杜絕用戶通過電子郵件、 MSN 等途徑泄漏內(nèi)部機密資料，以及管理員如何在發(fā)生問題時有查證的依據(jù)。 因此，如何有效地解決這些問題，以便提高用戶的工作效率，降低安全風險，減少損失，對網(wǎng)絡進行統(tǒng)一管理，調(diào)整網(wǎng)絡資源的合理利用，已經(jīng)成為煙草公司信息中心迫在眉睫的緊要任務。因此內(nèi)網(wǎng)安全管理也隨之提升到一個新的高度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，從內(nèi)到外諸如審計、監(jiān)控、訪問控制、訪問跟蹤、流量限制等問題也日益凸現(xiàn)。 10 自治區(qū)煙草安全規(guī)劃方案建議 書 5 第二階段信息安全建設(shè)方案 在這三年