基于安全域的地市网络架构研究.docx

?

?

基于安全域的地市网络架构研究

?

?

倪健

摘要：文章以安全域的划分为网络架构设计思想，详细分析了目前市烟草专卖局（公司）网络通信安全现状，阐述了基于安全域的网络安全防护体系架构，结合市局信息系统实际情况，将网络安全域通过垂直分层、水平分区两部分，从安全性、先进性、可开放性、可管理性、可持续性5个层面，对安全域进行网络优化改造。

关键词：安全域;网络安全架构;网络优化

1研究背景及现状

1.1研究背景

随着浙江烟草专卖、商业系统“三场硬仗”的持续深入，烟草企业对网络的依赖性越来越高，信息网络规模不断扩大，结构也逐渐复杂，烟草网络黑客入侵、病毒破坏、信息泄露风险也在提高。“信息就是财富，安全才有价值”。信息的绝对安全是公司信息系统正常运行的根本前提，只有安全的信息才是有价值的信息[1]。

网络的安全对烟草企业的发展具有极其重要的作用。采用安全域[2]方式对烟草企业网络进行区域划分，并根据网络区域的重要性部署相应的安全技术手段，成为建设安全企业网的一种可行方式。

1.2目前现状

某市烟草专卖局（公司）信息中心经过多年的信息化建设，对市局、县局及物流中心有针对性地做了全面加固，网络安全有了很大提高，但网络安全风险依然存在。

1.2.1网络现状概述

某市烟草专卖局（公司）目前已将各县外网防火墙和核心路由器进行统一调整，市局外网防火墙、核心路由交换均放在市办公大楼机房，提高网络防护高效性;各县级分公司分别使用两台思科路由器与市公司相连，做到链路聚合，负载均衡。

1.2.2?网络设备老化

目前市局（公司）为配合部分应用正常使用，当前仍主用思科6509核心设备，其性能由于年限较久，没有新设备的转发、承载性能高，两台核心设备没有做到双机热备，存在严重的单点故障，一旦其中一台设备发生故障，势必对烟草的网络产生很大的影响。

1.2.3?網络架构各区域划分模糊，区域边界保护错时不足

市局OA系统中的应用系统和网络建设都是基于不同需求不同时期开发建设的，建设初期对安全方面的考虑不足，安全需求没有统一的规划，核心业务系统缺少有效的访问控制，也缺乏有效隔离[3]。

1.2.4?规模不断扩大，缺乏一套运维管理平台

网络中存在不可管理设备，或此设备无法正常登录，故障时不便于及时管理。楼层接入交换机级联方式不统一，存在单链路上行接入设备，缺少内网流量监控、分析设备，无法快速定位异常源。不能对现网所有设备进行可视化管理，不能准确定位故障，运维人员管理效率不高。

由于各系统功能倾向性不同，对于网络安全防护有着不同的等级要求和侧重，采取传统“一刀切”的方式是不可行的。结合某市烟草专卖局（公司）现状，采用安全域的分区分域、纵深防护思想，针对不同子网特点不同，分区分域防护，能有效解决上述问题。

2网络安全域设计原则

2.1先进性和实用性

为了确保烟草网络安全具有较长的生命周期，在系统软硬件配置上，综合考虑了实用化目标以及国际计算机技术发展的趋势进行规划。实用性原则主要体现在以下方面：以现行需求为基础，适当考虑发展的需要为依据来确定系统规模。选择成熟、先进、维护量小、使用方便的技术设备和措施。创造一个开放的网络平台，支持多种业务的同时传输，支持语音、图像、视频、云业务等多媒体业务[4]。

2.2可持续发展和经济性

计算机网络技术是个发展很快的领域，系统建设必须考虑到系统以后的扩充和变化，因此必须保持系统的可扩展性。采用成熟、稳定、性能价格比高、扩展能力强的产品，既要避免采用过高的性能配置，造成资源的浪费和投资的紧张，又要防止系统处理能力不足、扩展能力不够而无法适应未来发展的需要[5]。

2.3可靠性和安全性

系统必须具有很高的可靠性和安全性。在边界处部署防火墙设备进行访问控制，实施区域边界保护，确保只允许烟草指定业务应用和管理数据流通过;启用防火墙设备的病毒过滤功能，过滤恶意代码。在互联网出口部署入侵防范系统，防范外部扫描，针对主机漏洞的恶意攻击和木马蠕虫等应用层攻击，实现应用层防护;在互联网出口部署防DDoS攻击系统，防止DDoS的攻击。整个网络系统的设备和服务器的安全性、数据流量、性能等得到很好的监视和控制，并可以进行远程管理和故障诊断。

3安全域划分

3.1?安全域划分管理策略

核心硬件管理：提升烟草网络转发、承载性能，核心网络交换机新购一台H3C10508替换原先的CISOC6509E设备，做IRF，做到端口聚合，实现双机热备。

网络防火墙：需要在该安全域对恶意代码进行检测和防护，过滤拦截病毒、木马、蠕虫等恶意代码。增加内网防火墙设备，对内网访问行为进行有效控制，规范内网访问行为，确保内网服务器区应用的访问安全

流量审计系统：部署一套流量分析设备，对网络数据关键业务流量甚至全流量无死角管理和监控、回溯，清晰直观掌握整个网