【51CTO.com綜合報道】中煤化工集團某省公司是集煤炭、化工、煤制油、頁巖油、城市燃氣生產、銷售、輸送于一體的國有大型煤炭化工企業，是中國中煤能源集團公司發展煤炭化工產業的基地和平臺。

據了解，該公司本部基礎網絡及信息機房建設于2007年，迄今為止，信息機房先后增加了財務、人力、銷售系統等的相關設備，與下屬單位建立專線連接，已構成公司整體廣域網。但公司現有網絡存在很大的安全隱患，僅通過一臺防火墻訪問外網，現有設備無法滿足網絡安全需要。

本次升級網絡安全體系的目標是實現電子數據報送的安全、高效快速化，以期達到數據中心借助網絡進行高效辦事、降低企業成本的目的，同時提升整體系統在應用方面的綜合性，達到能夠靈活、快速、高效地完成下屬企業的報送信息，并對報送信息進行綜合性分析，提供輔助決策功能，有效提高系統處理能力和業務效率。

安全需求

在網絡安全建設時，需要滿足以下幾點需求：

·安全性：業務數據的安全性要有足夠的保證。

·可靠性：由于整個業務系統均運行在此專網上，因此要有較高的可靠性。

·先進性：采用先進、成熟的技術和主流、領導性產品，使網絡建設能適應未來3-5年的需求。

·實用性：系統設計以實用性為原則，同時應考慮到系統的開放性、可升級性、技術支持服務等能力。

·統一性：所有網絡安全產品需要確保系統兼容性。

經過對該公司網絡進行風險分析，主要的風險集中在互聯網出口、分公司接入及核心業務系統安全防控方面。依照風險分析的結果，可以將該公司網絡劃分成上聯區、外聯網區、服務器區、辦公區。各區域之間通過核心交換機進行數據交換。上聯區還保持原樣，不進行改造。

企業網絡區域劃分

解決方案

整體解決方案采用的是業內著名網絡安全廠商啟明星辰的安全產品，如圖所示。

在外聯網區與核心交換機的邊界部署一臺千兆天清漢馬一體化安全網關，分別將互聯網出口和分公司專線接入連接到安全網關上，這樣可以使一體化安全網關作為邊界保護手段，同時起到防火墻、入侵防御、防病毒的作用，從而將絕大部分的異常行為阻擋在整個網絡外部，同時確保內部辦公網絡和服務器區的正常運行。

在服務器區內，首先部署一臺千兆天清入侵防御系統作為邊界保護手段，能夠降低異常行為對整個核心業務網絡的整體資源消耗，確保核心業務系統的正常運行，同時對整個網絡內的訪問行為進行收集分析，監控用戶對網絡的訪問情況；然后將互聯網出口替換下的防火墻部署在入侵防御系統的后面，通過配置訪問控制規則過濾訪問，減小對OA、郵件、財務、人力、銷售等系統的訪問范圍。

在辦公區和服務器區的服務器及終端上，部署企業版防病毒系統，防護當前所有類型的網絡攻擊（包括病毒、間諜軟件、黑客攻擊和垃圾郵件等等）。

在核心交換機上部署一臺千兆天玥業務審計系統，時刻監視著對重要資源的訪問，當出現安全事件后，能找出導致安全事件、性能波動的真正原因，幫助公司加強內部網絡行為監管，滿足企業內部控制或者外部政策等合規性要求。

實踐心得

在本案例中，通過在外聯區與核心交換區之間設置一體化安全網關，實現了對網絡層到應用層的多重防護。該網關不僅具有防火墻的全部功能，同時可以檢測出封裝在有效數據內的惡意威脅與攻擊，有效控制對企業網絡資源進行濫用的IM、P2P軟件，充分保護網絡資源，一體化的設計及高性能更為客戶節約了大量的設備投資。

在核心業務系統部署天玥業務審計系統，對原本沒有保護的核心業務系統進行權責分配、分級管理，實現對內部人員操作的合規性管理，避免由于內部誤操作或違規行為引起的事故。

通過針對全網風險點采用不同產品的組合應用，形成了從網絡接入到業務監管的全面安全防護，從內到外大大提升了企業網的安全可靠性。