政府

阿姆瑞特煙草行業網絡安全解決方案
市局煙草網絡現狀
基礎網絡是企業信息化發展的高速公路，當前XX市煙草公司的基礎網絡已經具備相當的規模，不論從接入用戶數及設備規格檔次及技術都有了很大的發展，但基礎網絡只是信息系統建設的基本，在此之上還可能面臨更多的問題需要解決,所有這些問題的解決都是為進一步做好信息化工作、利用信息系統使企業的發展的更好。
XX市煙草公司網絡現狀如下：

XX市煙草公司下聯各縣公司使用電信4M MSTP線路與聯通10M MSTP線路分別連接至各縣公司華為交換機S3700上，其中電信4M為縣公司訪問公司內網數據使用，聯通10M為縣公司訪問互聯網時使用。
現階段市公司到縣公司的基礎網絡已經構建完畢，對于XX煙草來說，網絡建設的重點已不在只是簡單的網絡互聯互通問題，而是網絡應用平臺上是否能夠安全、穩定運行的問題。但是目前的網絡結構在安全方面較為薄弱，僅僅是在市公司網絡出口處部署了防火墻，縣公司連接市公司的鏈路缺少有效網絡安全保護措施。如果縣公司的主機受到黑客的侵擾、網絡資源的非法使用、內部的非正常行為操作等，都可能對市局整體網絡的信息安全構成威脅。為整個網絡系統的安全，有必要對縣公司的網絡進行專業、規范、標準的安全規劃設計。
需求分析
各縣公司目前使用一臺華為S3700 24接口交換機作為縣公司網絡核心交換機，隨著各縣公司的發展，24接口交換機已經無法滿足縣公司人員對網絡的需求。各縣公司現在為了網絡的拓展，在縣公司增加了數臺非網管交換機當做接入交換機使用，使用非網管交換機組委網絡出口直接連接到市局會帶來很多問題：

◆ 身份對接：非網管交換機連接的客戶端無法與XX市煙草公司的身份認證系統對接，縣公司的客戶端無法使用安全的身份認證方式接入煙草公司網絡，無法做到縣公司人員的實名身份識別與相應的安全策略，縣公司的網絡接入層面存在很大的安全隱患。
◆ 廣播風暴：如果局域網中有某一臺非網管交換機在連接出現環路，此時會導致這臺交換機下所連接的PC的網絡數據都無法正常使用。
◆ 無法隔離病毒攻擊：如果局域網中有一臺或多臺PC感染了病毒，那么感染病毒的PC可能會影響到局域網中所有的PC不能正常工作甚至感染病毒。
◆ 維護不便利：一旦縣公司的網絡出現了故障，因為使用的是非網管交換機作為網絡出口，無法通過有效的方式快速定位故障點只能通過原始手段尋找故障點，影響縣公司的網絡維護工作效率。

阿姆瑞特安全解決方案
隨著網絡攻擊手段的豐富，非常令人擔心的是整個市煙草網絡內部架設了訪銷系統、物流分揀、信息大平臺、一號工程、數字倉儲、人力資源、GPS、財務、電訪、殺毒、備份、OA、主頁、郵件等數十臺服務器。這些服務器分別提供外網零售商和內部下級單位的在線訂單、財務清算等關鍵業務。面臨種種安全威脅，阿姆瑞特建議從網絡邊界開始筑起綜合的立體的安全網。
使用阿姆瑞特UTM部署在市局網絡出口
市煙草局出口網絡分別有互聯網和業務網絡，兩大不同系統網絡接入。需要同時應對來自兩個不同網絡的安全威脅：
◆ 來自區縣分局子網的安全威脅。 由于煙草網絡是一個比較開放的大網,上面連接了很多下級單位的網絡，同時網內的非法訪問、木馬軟件、病毒非常泛濫。
◆ 來自互聯網的安全威脅。眾所周知互聯網是一個不太安全的網絡,這張超級大網存在各種安全威脅，其中惡意攻擊者也不在少數。
◆ 來自無線網接入的安全威脅。在使用固定網絡的時候，網絡管理人員往往能夠通過網管軟件比較有效的排查到異常發包的主機和對應的科室。不過為了方便醫生查房和其他移動上網用戶的需求，很多區域部署了無線網絡。 通過一個簡單認證攻擊者就可以進入到醫院內網,進行病毒傳播和掃描嗅探。給服務器的安全造成很大威脅。同時也難以有效定位攜帶手提電腦的移動用戶和惡意攻擊者，給安全威脅的排除造成很大麻煩。
◆ 來自行政辦公網絡的安全漏洞。行政辦公人員需要較頻繁的使用OA、郵件、主頁等與互聯網交互密切的應用。 在普遍計算機網絡安全意識不強的情況，比較容易中病毒及木馬。形成外網黑客掌控的后門,繼而從內網攻擊破壞服務器數據。中了木馬的主機也會瘋狂的向內網全網發包，迅速傳播病毒。 最終造成全網癱瘓。
◆ 面臨巨大安全威脅的應用服務器。為了能讓各部門正常訪問到核心應用服務器，交換路由設備都是有到服務器路由的。如上所述，只要惡意攻擊者能夠經過辦公網絡或無線網絡突破到內網，就可以非常容易的訪問和攻擊包括內網訪銷系統、物流分揀、信息大平臺、一號工程、數字倉儲、人力資源、GPS、財務、電訪、殺毒、備份、OA、主頁、郵件等數十臺服務器。這些服務器不僅對內網服務器，同時也需要和外網有數據交互。使得成為內網用戶和互聯網用戶惡意攻擊的最佳目標。攻擊者以此為跳板攻擊內網將形成更大的危害。一旦破壞或篡改了服務器數據，這個后果將非常嚴重。
由于防火墻并不是為了防止應用程序自身脆弱性被暴露而設計的。也就是說防火墻是不能防御應用層攻擊的，惡意程序和應用層攻擊比較容易穿越出口防火墻，通過內網三層交換機攻擊沒有防護的內網服務器群。由于某些服務器服務器存在安全漏洞，或開有后門程序，這樣很容易被攻擊者入侵。網上充斥著各類針對服務器數據的應用層攻擊，包括: 黑客入侵，木馬程序，漏洞掃描，惡意程序等對內部網絡造成非常大的安全威脅。

使用阿姆瑞特具備防病毒、IPS、防火墻、VPN功能的UTM產品，可以有效屏蔽來自外網的各類安全威脅?？紤]到出口的重要性，使用HA雙機熱備份的方式，一臺設備出現異常，立刻切換到另一臺，使網絡的暢通，保障業務的正常運行。
區縣公司出口安全改造
此次網絡改造需要在十一個分支機構與物流中心網絡出口處各增加一臺統一安全網關以保證縣公司的網絡安全。各縣局到市公司使用的是電信4M MSTP線路與聯通10M MSTP線路，設計時內網流量使用電信4M MSTP傳輸，外網流量使用聯通10M MSTP線路傳輸。

縣公司-市公司連接示意圖
使用阿姆瑞特安全網關替換原有的S5700交換機，在區縣單位出口到市局核心網絡之間構建基于OSPF的動態網絡，一方面實現MSTP線路的動態備份，另一方面對區縣單位到市局內網的網絡流量進行安全過濾。
改造后的市煙草系統網絡拓撲如下：

無線網絡邊界安全過濾
無線網絡接入存在大量無法驗證身份的用戶，其中不乏惡意攻擊者和病毒源等有害信息。因此在無線網絡與內網的接入點，使用阿姆瑞特UTM產品，阻止包括病毒在內的各種安全威脅。

經過阿姆瑞特安全網關的安全過濾,不管是智能手機用戶還是筆記本電腦用戶的惡意數據包都不能入侵到煙草內網，保障煙草內網網絡的正常使用。
上網行為管理保障網絡合法使用
對于一個具有眾多上網客戶端的大型網絡而言，如何有效合理分配外網寶貴的帶寬，保證用戶都在使用于工作相關的網絡應用，避免訪問有害網站，最終形成內網病毒、有害信息的傳播非常重要。
與此同時，所有不加控制的網絡流量，將會給出口設備帶來較大的壓力，甚至可能導致連接到煙草網絡的線路穩定性。
而作為煙草網絡管理人員，面對網絡內部以下幾個常見的問題，也亟需一個完善的處理方案：
1. 保障關鍵業務帶寬，重要用戶的流量帶寬。
2. 限制P2P、在線視頻帶寬，針對上下行流量做管控。
3. 不同時間段使用不同流控策略，非流量高峰時間使用寬松的應用控制策略。
4. 出口總流量進行分析、控制。
因此,阿姆瑞特推薦在出口安全網關和核心交換之間架設上網行為管理。

通過如上圖網絡中上網行為管理設備的布署，可以明確了解當前網絡中跑有那些應用程序，通過合理的分析，限制非業務流量的對帶寬的大量占用，保障關鍵業務服務器的合法帶寬，使帶寬配置完全滿足企業的正常業務應用，達到節約網絡帶寬成本的目的。最終達到網絡訪問流暢，用戶反映上網效果良好的效果！
上網行為管理可以有效的控制每個用戶的帶寬，避免個別用戶占用過多的寶貴帶寬資源。保障關鍵業務的帶寬不受上網用戶的影響。

分析內網使用那些應用，避免使用互聯網訪問與工作無關的內容，造成機密信息外泄。審計有效管理上網行為，提升工作效率。


審計不良信息的外傳，避免不當言論的發表。不當言論會給組織帶來不必要的法律風險。很多互聯網使用者在自覺與不自覺中會在互聯網上發表諸如反動言論、色情、反政府、邪教等，給所在的互聯網部門帶來潛在的法律風險。
綜上所述:
通過對市煙草系統網絡問題的分解，通過阿姆瑞特UTM、上網行為管理兩個產品的有機結合，整體規劃分布實施，全面解決煙草網絡的所有安全問題。

1. 阿姆瑞特UTM雙機HA方式架設在外網出口處負責網絡層安全、應用層安全、網絡病毒。
2. 阿姆瑞特UTM架設在區縣單位和市局內網之間，過濾來自下級單位和無線網絡的安全威脅。
3. 阿姆瑞特上網行為管理架設在上網的核心位置，保證用戶上網的可管理性，帶寬可控性。