政府

阿姆瑞特烟草行业网络安全解决方案
市局烟草网络现状
基础网络是企业信息化发展的高速公路，当前XX市烟草公司的基础网络已经具备相当的规模，不论从接入用户数及设备规格档次及技术都有了很大的发展，但基础网络只是信息系统建设的基本，在此之上还可能面临更多的问题需要解决,所有这些问题的解决都是为进一步做好信息化工作、利用信息系统使企业的发展的更好。
XX市烟草公司网络现状如下：

XX市烟草公司下联各县公司使用电信4M MSTP线路与联通10M MSTP线路分别连接至各县公司华为交换机S3700上，其中电信4M为县公司访问公司内网数据使用，联通10M为县公司访问互联网时使用。
现阶段市公司到县公司的基础网络已经构建完毕，对于XX烟草来说，网络建设的重点已不在只是简单的网络互联互通问题，而是网络应用平台上是否能够安全、稳定运行的问题。但是目前的网络结构在安全方面较为薄弱，仅仅是在市公司网络出口处部署了防火墙，县公司连接市公司的链路缺少有效网络安全保护措施。如果县公司的主机受到黑客的侵扰、网络资源的非法使用、内部的非正常行为操作等，都可能对市局整体网络的信息安全构成威胁。为整个网络系统的安全，有必要对县公司的网络进行专业、规范、标准的安全规划设计。
需求分析
各县公司目前使用一台华为S3700 24接口交换机作为县公司网络核心交换机，随着各县公司的发展，24接口交换机已经无法满足县公司人员对网络的需求。各县公司现在为了网络的拓展，在县公司增加了数台非网管交换机当做接入交换机使用，使用非网管交换机组委网络出口直接连接到市局会带来很多问题：

◆ 身份对接：非网管交换机连接的客户端无法与XX市烟草公司的身份认证系统对接，县公司的客户端无法使用安全的身份认证方式接入烟草公司网络，无法做到县公司人员的实名身份识别与相应的安全策略，县公司的网络接入层面存在很大的安全隐患。
◆ 广播风暴：如果局域网中有某一台非网管交换机在连接出现环路，此时会导致这台交换机下所连接的PC的网络数据都无法正常使用。
◆ 无法隔离病毒攻击：如果局域网中有一台或多台PC感染了病毒，那么感染病毒的PC可能会影响到局域网中所有的PC不能正常工作甚至感染病毒。
◆ 维护不便利：一旦县公司的网络出现了故障，因为使用的是非网管交换机作为网络出口，无法通过有效的方式快速定位故障点只能通过原始手段寻找故障点，影响县公司的网络维护工作效率。

阿姆瑞特安全解决方案
随着网络攻击手段的丰富，非常令人担心的是整个市烟草网络内部架设了访销系统、物流分拣、信息大平台、一号工程、数字仓储、人力资源、GPS、财务、电访、杀毒、备份、OA、主页、邮件等数十台服务器。这些服务器分别提供外网零售商和内部下级单位的在线订单、财务清算等关键业务。面临种种安全威胁，阿姆瑞特建议从网络边界开始筑起综合的立体的安全网。
使用阿姆瑞特UTM部署在市局网络出口
市烟草局出口网络分别有互联网和业务网络，两大不同系统网络接入。需要同时应对来自两个不同网络的安全威胁：
◆ 来自区县分局子网的安全威胁。 由于烟草网络是一个比较开放的大网,上面连接了很多下级单位的网络，同时网内的非法访问、木马软件、病毒非常泛滥。
◆ 来自互联网的安全威胁。众所周知互联网是一个不太安全的网络,这张超级大网存在各种安全威胁，其中恶意攻击者也不在少数。
◆ 来自无线网接入的安全威胁。在使用固定网络的时候，网络管理人员往往能够通过网管软件比较有效的排查到异常发包的主机和对应的科室。不过为了方便医生查房和其他移动上网用户的需求，很多区域部署了无线网络。 通过一个简单认证攻击者就可以进入到医院内网,进行病毒传播和扫描嗅探。给服务器的安全造成很大威胁。同时也难以有效定位携带手提电脑的移动用户和恶意攻击者，给安全威胁的排除造成很大麻烦。
◆ 来自行政办公网络的安全漏洞。行政办公人员需要较频繁的使用OA、邮件、主页等与互联网交互密切的应用。 在普遍计算机网络安全意识不强的情况，比较容易中病毒及木马。形成外网黑客掌控的后门,继而从内网攻击破坏服务器数据。中了木马的主机也会疯狂的向内网全网发包，迅速传播病毒。 最终造成全网瘫痪。
◆ 面临巨大安全威胁的应用服务器。为了能让各部门正常访问到核心应用服务器，交换路由设备都是有到服务器路由的。如上所述，只要恶意攻击者能够经过办公网络或无线网络突破到内网，就可以非常容易的访问和攻击包括内网访销系统、物流分拣、信息大平台、一号工程、数字仓储、人力资源、GPS、财务、电访、杀毒、备份、OA、主页、邮件等数十台服务器。这些服务器不仅对内网服务器，同时也需要和外网有数据交互。使得成为内网用户和互联网用户恶意攻击的最佳目标。攻击者以此为跳板攻击内网将形成更大的危害。一旦破坏或篡改了服务器数据，这个后果将非常严重。
由于防火墙并不是为了防止应用程序自身脆弱性被暴露而设计的。也就是说防火墙是不能防御应用层攻击的，恶意程序和应用层攻击比较容易穿越出口防火墙，通过内网三层交换机攻击没有防护的内网服务器群。由于某些服务器服务器存在安全漏洞，或开有后门程序，这样很容易被攻击者入侵。网上充斥着各类针对服务器数据的应用层攻击，包括: 黑客入侵，木马程序，漏洞扫描，恶意程序等对内部网络造成非常大的安全威胁。

使用阿姆瑞特具备防病毒、IPS、防火墙、VPN功能的UTM产品，可以有效屏蔽来自外网的各类安全威胁。考虑到出口的重要性，使用HA双机热备份的方式，一台设备出现异常，立刻切换到另一台，使网络的畅通，保障业务的正常运行。
区县公司出口安全改造
此次网络改造需要在十一个分支机构与物流中心网络出口处各增加一台统一安全网关以保证县公司的网络安全。各县局到市公司使用的是电信4M MSTP线路与联通10M MSTP线路，设计时内网流量使用电信4M MSTP传输，外网流量使用联通10M MSTP线路传输。

县公司-市公司连接示意图
使用阿姆瑞特安全网关替换原有的S5700交换机，在区县单位出口到市局核心网络之间构建基于OSPF的动态网络，一方面实现MSTP线路的动态备份，另一方面对区县单位到市局内网的网络流量进行安全过滤。
改造后的市烟草系统网络拓扑如下：

无线网络边界安全过滤
无线网络接入存在大量无法验证身份的用户，其中不乏恶意攻击者和病毒源等有害信息。因此在无线网络与内网的接入点，使用阿姆瑞特UTM产品，阻止包括病毒在内的各种安全威胁。

经过阿姆瑞特安全网关的安全过滤,不管是智能手机用户还是笔记本电脑用户的恶意数据包都不能入侵到烟草内网，保障烟草内网网络的正常使用。
上网行为管理保障网络合法使用
对于一个具有众多上网客户端的大型网络而言，如何有效合理分配外网宝贵的带宽，保证用户都在使用于工作相关的网络应用，避免访问有害网站，最终形成内网病毒、有害信息的传播非常重要。
与此同时，所有不加控制的网络流量，将会给出口设备带来较大的压力，甚至可能导致连接到烟草网络的线路稳定性。
而作为烟草网络管理人员，面对网络内部以下几个常见的问题，也亟需一个完善的处理方案：
1. 保障关键业务带宽，重要用户的流量带宽。
2. 限制P2P、在线视频带宽，针对上下行流量做管控。
3. 不同时间段使用不同流控策略，非流量高峰时间使用宽松的应用控制策略。
4. 出口总流量进行分析、控制。
因此,阿姆瑞特推荐在出口安全网关和核心交换之间架设上网行为管理。

通过如上图网络中上网行为管理设备的布署，可以明确了解当前网络中跑有那些应用程序，通过合理的分析，限制非业务流量的对带宽的大量占用，保障关键业务服务器的合法带宽，使带宽配置完全满足企业的正常业务应用，达到节约网络带宽成本的目的。最终达到网络访问流畅，用户反映上网效果良好的效果！
上网行为管理可以有效的控制每个用户的带宽，避免个别用户占用过多的宝贵带宽资源。保障关键业务的带宽不受上网用户的影响。

分析内网使用那些应用，避免使用互联网访问与工作无关的内容，造成机密信息外泄。审计有效管理上网行为，提升工作效率。


审计不良信息的外传，避免不当言论的发表。不当言论会给组织带来不必要的法律风险。很多互联网使用者在自觉与不自觉中会在互联网上发表诸如反动言论、色情、反政府、邪教等，给所在的互联网部门带来潜在的法律风险。
综上所述:
通过对市烟草系统网络问题的分解，通过阿姆瑞特UTM、上网行为管理两个产品的有机结合，整体规划分布实施，全面解决烟草网络的所有安全问题。

1. 阿姆瑞特UTM双机HA方式架设在外网出口处负责网络层安全、应用层安全、网络病毒。
2. 阿姆瑞特UTM架设在区县单位和市局内网之间，过滤来自下级单位和无线网络的安全威胁。
3. 阿姆瑞特上网行为管理架设在上网的核心位置，保证用户上网的可管理性，带宽可控性。