互聯(lián)網(wǎng)的信息化推動了煙草行業(yè)更好更快的發(fā)展，但傳統(tǒng)煙草企業(yè)在搭建一個網(wǎng)上商城的同事也面臨著信息安全、網(wǎng)絡(luò)數(shù)據(jù)安全威脅，如黑客攻擊、非法訪問、垃圾流量為主的邊界安全風險，以終端病毒、竊聽泄密、上網(wǎng)娛樂為主的內(nèi)網(wǎng)安全風險；以Web服務(wù)器、主機系統(tǒng)漏洞、服務(wù)配置不當為主的應(yīng)用安全風險。所以，對煙草企業(yè)來說，重視和加強煙草訂貨系統(tǒng)平臺信息化安全建設(shè)刻不容緩?！緮?shù)商云】系統(tǒng)開發(fā)服務(wù)商，致力于為傳統(tǒng)企業(yè)搭建一體化的電子商務(wù)平臺，商城系統(tǒng)架構(gòu)安全高效、且支持高并發(fā)的日百萬級訪問。

一、煙草企業(yè)商城網(wǎng)站智能立體安全網(wǎng)絡(luò)現(xiàn)狀概述

煙草企業(yè)商城網(wǎng)站信息化建設(shè)都已聯(lián)網(wǎng)，從省級企業(yè)到地市級企業(yè)到縣級企業(yè)連接的非常緊密，并且業(yè)務(wù)逐漸集中到數(shù)據(jù)中心，煙草網(wǎng)上商城數(shù)據(jù)集中帶來的一個主要問題就是安全風險的集中，如果在某一個節(jié)點上出現(xiàn)安全問題，不僅將影響煙草網(wǎng)上商城局部網(wǎng)絡(luò)的正常運行，甚至會影響到全省業(yè)務(wù)系統(tǒng)，導致業(yè)務(wù)數(shù)據(jù)丟失和系統(tǒng)不能正常運行。所以，對煙草企業(yè)來說，重視和加強煙草網(wǎng)上商城信息化安全建設(shè)刻不容緩。

由于煙草企業(yè)信息管理涉及很多環(huán)節(jié)，比如，信息數(shù)據(jù)的采集、整理、錄入，以及信息平臺的管理、信息軟件的開發(fā)、信息的傳輸?shù)鹊?。信息的準確性、及時性、科學性直接影響到煙草信息化建設(shè)，而信息的安全又直接關(guān)系到整個煙草企業(yè)的安全，如果沒有一套完善的煙草網(wǎng)上商城網(wǎng)絡(luò)安全保障體系，可能導致每個人的作業(yè)方法、效率差別很大，甚至在操作過程中出現(xiàn)嚴重的誤差和漏洞，造成信息數(shù)據(jù)錯誤或者商業(yè)秘密泄漏等嚴重問題的出現(xiàn)。

二、數(shù)商云為煙草系統(tǒng)網(wǎng)站設(shè)計的網(wǎng)絡(luò)安全方案

1、煙草網(wǎng)上商城訂貨平臺總體規(guī)劃

煙草網(wǎng)上訂貨系統(tǒng)網(wǎng)絡(luò)安全的基本策略是進行安全區(qū)域劃分，通過安全區(qū)域劃分，可以在網(wǎng)絡(luò)中部署不同安全等級的區(qū)域，實現(xiàn)對煙草網(wǎng)上訂貨系統(tǒng)安全風險進行有效的隔離。根據(jù)安全風險隔離的需求，安全區(qū)域的劃分通過不同層次技術(shù)模式實現(xiàn)，主流的隔離模式包括VLAN、VPN、防火墻、IPS等多種方式。

2、煙草企業(yè)網(wǎng)站系統(tǒng)安全域的層次劃分如下圖所示：

通過分區(qū)分域進行煙草系統(tǒng)網(wǎng)站安全部署實現(xiàn)對重要資源的保護，主要安全策略描述如下：

（1）煙草網(wǎng)站系統(tǒng)網(wǎng)絡(luò)功能區(qū)域明顯，每個區(qū)域都會受到安全威脅，但是每個區(qū)域的安全威脅類型又不盡相同，所以要針對不同的區(qū)域設(shè)計不同的安全方案和策略。

（2）由于各區(qū)域煙草網(wǎng)上商城安全策略不同，所以安全部署不應(yīng)集中到核心層，應(yīng)該分散到各區(qū)域里，集中部署在各區(qū)域邊界上。核心層部署過多的安全策略一方面大大降低了核心層的轉(zhuǎn)發(fā)速度，一方面不便于維護和擴展，比如任何一個區(qū)域安全策略調(diào)整，那么其它區(qū)域都會受到影響，從而引發(fā)許多潛在安全漏洞。

（3）按照多重保護原則，通過兩個層次（安全域邊界1、安全域邊界2）的邊界防護實現(xiàn)對數(shù)據(jù)中心重要資源的保護。

（4）這里安全域邊界上部署安全設(shè)備，以便實現(xiàn)煙草網(wǎng)上商城各區(qū)域獨立的防御體系，只有區(qū)域的獨立安全才能保證全局的統(tǒng)一安全。

（5）在煙草商城系統(tǒng)數(shù)據(jù)中心的網(wǎng)絡(luò)安全控制管理區(qū)部署安全管理中心（SecCenter），實現(xiàn)一體化安全管理。與【數(shù)商云】平臺iMC配合，通過NDP協(xié)議實現(xiàn)對攻擊源查找定位并向用戶展示。進而可實現(xiàn)交換機SNMP方式的接口down操作。

（6）對登錄網(wǎng)絡(luò)設(shè)備的用戶進行身份鑒別或管理員登錄地址進行限制的，實現(xiàn)對煙草訂貨系統(tǒng)平臺網(wǎng)絡(luò)設(shè)備防護。

三、煙草網(wǎng)上訂貨平臺電子商務(wù)邊界區(qū)域防護

煙草行業(yè)的兩大業(yè)務(wù)電子政務(wù)、電子商務(wù)都需要借助訂貨平臺，而WEB網(wǎng)站直接暴漏在公眾之下，非常容易受到攻擊，網(wǎng)頁篡改攻擊會影響煙草企業(yè)形象，煙草訂貨平臺網(wǎng)站癱瘓攻擊會影響到電子政務(wù)和商務(wù)的正常運行，木馬、釣魚攻擊會造成泄密、欺詐、交易數(shù)據(jù)篡改等，最終造成直接的經(jīng)濟損失。所以對于電子政務(wù)和電子商務(wù)系統(tǒng)安全防護需要采用多層次的防御手段，不但能對服務(wù)器的訪問進行控制，而且還能實時抵御來自應(yīng)用層的攻擊。

煙草企業(yè)電子政務(wù)、電子商務(wù)的應(yīng)用服務(wù)器部署中，通常采用三層結(jié)構(gòu)：WEB層、APP層和DB層，WEB直接面對外部用戶，會被部署在DMZ區(qū)，而APP和DB層則會部署在內(nèi)網(wǎng)數(shù)據(jù)中心。一旦WEB被攻擊，攻擊者很容易再以WEB服務(wù)器為跳板，滲透到煙草網(wǎng)站系統(tǒng)內(nèi)部，獲得核心的數(shù)據(jù)，所以WEB層、APP層之間必須要有安全防護措施。

電子政務(wù)、電子商務(wù)都是面對公眾、客戶等提供服務(wù)，那么響應(yīng)一定要及時，所以，互聯(lián)網(wǎng)鏈路帶寬要保證，鏈路要優(yōu)化：

為了減少內(nèi)部員工訪問互聯(lián)網(wǎng)對電子商務(wù)和電子政務(wù)系統(tǒng)造成不良影響，所以將互聯(lián)網(wǎng)用戶“網(wǎng)上訂貨”數(shù)據(jù)流與煙草用戶訪問互聯(lián)網(wǎng)數(shù)據(jù)流分別開來，電子商務(wù)和電子政務(wù)的互聯(lián)網(wǎng)連接承載在內(nèi)部辦公網(wǎng)上，而內(nèi)部員工訪問互聯(lián)網(wǎng)的需求承載在外部辦公網(wǎng)上，內(nèi)網(wǎng)和外網(wǎng)采用物理隔離，是兩張通過網(wǎng)閘互通的網(wǎng)絡(luò)：

（1）內(nèi)部辦公網(wǎng)互聯(lián)網(wǎng)區(qū)：實現(xiàn)“網(wǎng)上訂貨、網(wǎng)上配貨、電子結(jié)算、現(xiàn)代物流”為特征的電子商務(wù)。

（2）外部辦公網(wǎng)互聯(lián)網(wǎng)區(qū)：為煙草內(nèi)部員工提供Internet接入服務(wù)。

煙草網(wǎng)上訂貨平臺網(wǎng)絡(luò)架構(gòu)采用雙鏈路雙設(shè)備冗余的方式，搭建高可靠煙草系統(tǒng)網(wǎng)絡(luò)架構(gòu)，然后再部署安全產(chǎn)品進行防護和優(yōu)化：

（1）多鏈路負載均衡設(shè)備：采用“雙臂”方式分別連接到兩臺交換機上，通過啟用VRRP實現(xiàn)冗余備份，兩臺多鏈路負載均衡設(shè)備配置為路由模式；

（2）第一道防火墻：通過安全區(qū)域劃分、MAC和IP綁定、訪問控制列表（ACL）和攻擊防范等基本手段。實現(xiàn)第一道防火墻安全策略：即僅允許INTERNET用戶訪問對外服務(wù)層中的服務(wù)器（協(xié)議，端口）。同時能夠防御ARP欺騙、TCP報文標志位不合法、Large ICMP報文、CC、SYN flood、地址掃描和端口掃描等多種惡意攻擊。

（3）應(yīng)用層攻擊防御——IPS：防護SQL注入、跨站腳本、目錄遍歷漏洞利用以及非法腳本執(zhí)行等Web攻擊；對黑客掃描和攻擊的防護（包括蠕蟲等對HTTP和HTTPS的攻擊，支持網(wǎng)頁盜鏈防護）；提供針對Syn Flood、ACK Flood、UDP Flood、ICMP Flood以及CC等DDoS攻擊防護；提供針對SQL注入、跨站腳本等Web應(yīng)用漏洞進行掃描；提供基于IP、端口、協(xié)議、時間以及域名的訪問控制。

（4）第二道防火墻：第二道防火墻安全策略如下，僅允許對外服務(wù)層中的服務(wù)器訪問數(shù)據(jù)中心的服務(wù)器（IP地址，協(xié)議，端口）。

（5）統(tǒng)一安全管理：收集內(nèi)網(wǎng)互聯(lián)網(wǎng)區(qū)的安全事件，實現(xiàn)安全統(tǒng)一管理。

為了保證電子政務(wù)、商務(wù)系統(tǒng)的安全穩(wěn)定運行，煙草內(nèi)部員工訪問互聯(lián)網(wǎng)部署在外網(wǎng)互聯(lián)網(wǎng)區(qū)，與電子政務(wù)、電子商務(wù)的互聯(lián)網(wǎng)出口物理隔離。

三、煙草網(wǎng)上訂貨平臺外網(wǎng)外網(wǎng)互聯(lián)網(wǎng)邊界區(qū)域的安全部署和策略

1、外網(wǎng)互聯(lián)網(wǎng)區(qū)主要功能是為煙草用戶提供Internet接入服務(wù)，外網(wǎng)互聯(lián)網(wǎng)區(qū)邏輯設(shè)計見下所示：

（1）防火墻作為互聯(lián)網(wǎng)區(qū)的邊界防護設(shè)備和NAT設(shè)備。

（2）IPS主要完成對攻擊、病毒的阻斷和隔離。

（3）流量監(jiān)管設(shè)備（ACG）實現(xiàn)對鏈路的帶寬管理和流量控制，可以有效限制垃圾流量占用帶寬，記錄和管理用戶上網(wǎng)行為，以便后期進行優(yōu)化改造。

2、煙草網(wǎng)上訂貨系統(tǒng)廣域網(wǎng)邊界區(qū)域防護

廣域網(wǎng)的安全關(guān)系到全省的業(yè)務(wù)安全，不能忽視。煙草網(wǎng)上訂貨平臺廣域網(wǎng)雖然是內(nèi)部網(wǎng)絡(luò)，但也面臨來自許多安全威脅，如下：

（1）煙草網(wǎng)站系統(tǒng)每級網(wǎng)絡(luò)都由各級單位自己維護，所以網(wǎng)絡(luò)之間不能完全信任。

（2）由于下級單位多，安全建設(shè)良莠不齊，存在很多安全漏洞，且網(wǎng)絡(luò)不受上級控制，所以對于上級單位，就如同有多個對外的安全黑洞，病毒、攻擊隨時都可能突破下級單位，再從下級單位傳播到上級，并傳播到其它下級單位，那么結(jié)果整個煙草訂貨平臺系統(tǒng)網(wǎng)絡(luò)都會受到嚴重的安全影響。

（3）下級單位、單位之間可能存在非法訪問造成的安全隱患，需要進行訪問控制隔離。

根據(jù)上述問題，要把下級單位列為不可完全信任用戶，在廣域網(wǎng)邊界上需要部署適當?shù)陌踩胧V域網(wǎng)的邊界防御同樣需要防火墻+IPS的多層次防御體系，另外還需要應(yīng)用流量控制系統(tǒng)對廣域網(wǎng)帶寬進行保證，保證關(guān)鍵業(yè)務(wù)的正常運行。

<本文由數(shù)商云•云朵匠原創(chuàng)，商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請標明：數(shù)商云原創(chuàng)>

作者：云朵匠 | 數(shù)商云(微信ID：shushangyun_com)

【數(shù)商云www.zhimaihui.cn】專注為企業(yè)提供商城網(wǎng)站建設(shè)服務(wù)，長期為大中型企業(yè)打造數(shù)據(jù)化、商業(yè)化、智能化的網(wǎng)上商城系統(tǒng)開發(fā)解決方案，為傳統(tǒng)企業(yè)搭建一站式電商平臺閉環(huán)體系，實現(xiàn)商城系統(tǒng)數(shù)據(jù)互通、全鏈融合，綜合提升平臺運營效率與平臺收益。