本项目通过对某省烟草公司网络现状及业务流通情况进行梳理,基于国家网络安全等级保护标准第三级安全要求及相关行业安全标准展开差距分析,结合用户安全需求及未来的信息化发展趋势,对用户现网进行基于网络功能的分区分域,并分别在域间及域内提供相应的安全防护及管理能力,帮助某省烟草公司构建具备足够安全能力且合规的信息化系统。
方案基于数据流转及业务功能进行网络区域划分,将整网划分为数据中心外网、数据中心内网两个区域及若干子区域,用以提供基于业务特点的专项安全防护功能,同时也使得网络系统更易于管理。
在数据中心外网与数据中心内网间新建数据交换区,部署下一代防火墙及网闸设备,用以提供基于私有协议摆渡功能的网络强隔离,并对域间业务流量进行应用层入侵检测和病毒过滤,对跨域流量实行严格管控。
在数据中心外网新增互联网防火墙和上网行为管理设备,针对互联网流量及上网行为操作进行威胁发现和控制,并通过部署WEB应用防火墙设备保障对外提供卷烟营销订货服务的WEB应用系统的安全性。
在数据中心内网新增下一代防火墙针对性地防护源于互联网的攻击行为,及部署上网行为管理设备提供员工上网行为审计和管控。此外,构建运维管理区,部署日志审计、终端防御系统(EDR)服务器、态势感知平台以提供整网的安全管控与审计能力,简化运维操作,提升管理效率。
根据网络系统分级、分域原则,结合国家网络安全等级保护中关于安全通信网络、安全区域边界、安全计算环境、安全管理中心部分内容要求进行设计部署,以满足相关法律法规建设要求。
从域间、域内两个维度分别进行安全建设,建立具备动态防御、纵深防御、精准防护、联防联控功能的网络安全体系,全面提升用户网络系统的安全防护能力。
通过部署日志审计、态势感知等系统,以“技术+管理”两个维度建立并完善用户安全管理体系,全面提升现网安全管理能力,并进一步减低了运维成本。