煙草行業(yè)網(wǎng)上商城運(yùn)營核心業(yè)務(wù)包括：營銷管理、專賣管理、物流管理等，這里管理系統(tǒng)的服務(wù)器都放置在煙草網(wǎng)上商城系統(tǒng)的數(shù)據(jù)中心，里面保存了所有煙草營銷的核心數(shù)據(jù)，這些數(shù)據(jù)直接關(guān)系到電子商務(wù)、電子政務(wù)、決策管理三大系統(tǒng)的穩(wěn)定安全運(yùn)行，所以要更細(xì)致的保護(hù)其安全，即便煙草網(wǎng)上商城網(wǎng)站數(shù)據(jù)中心業(yè)務(wù)服務(wù)器部署在內(nèi)部網(wǎng)絡(luò)，但是仍可能面臨來自內(nèi)、外網(wǎng)的安全威脅。專注為傳統(tǒng)行業(yè)提供安全且高效的系統(tǒng)開發(fā)服務(wù)商【數(shù)商云】通過本文，具體演示建設(shè)安全網(wǎng)絡(luò)區(qū)域的煙草行業(yè)商城網(wǎng)站的步驟。

一、煙草網(wǎng)上商城網(wǎng)站數(shù)據(jù)中心區(qū)域防護(hù)

雖然各煙草商城網(wǎng)站系統(tǒng)網(wǎng)絡(luò)邊界（廣域網(wǎng)、互聯(lián)網(wǎng)、外聯(lián)網(wǎng)等）部署了安全措施，但攻擊可能會繞過網(wǎng)絡(luò)邊界的安全防御措施，或者先攻擊對外服務(wù)器，然后通過外部服務(wù)器對內(nèi)部服務(wù)器的訪問需求，滲透到內(nèi)部服務(wù)器，并最終實(shí)現(xiàn)攻擊目的。

煙草商城網(wǎng)站系統(tǒng)數(shù)據(jù)中心一方面還缺少對內(nèi)部用戶的攻擊防御，一方面還缺少內(nèi)部各部門業(yè)務(wù)的訪問隔離，容易造成非法訪問等安全問題。即便服務(wù)器具有一定的安全措施，攻擊者也會通過煙草網(wǎng)上商城系統(tǒng)的漏洞，從而輕易繞過這些安全措施進(jìn)入煙草商城系統(tǒng)，所以要在路徑上直接切斷攻擊行為。

煙草商城網(wǎng)站系統(tǒng)應(yīng)對具體策略如下：

1、由于煙草網(wǎng)上商城服務(wù)器保存大量的核心數(shù)據(jù)，不能讓用戶非法訪問，所以配置防火墻以進(jìn)行服務(wù)器的訪問控制，并且，防火墻還可以通過虛擬防火墻技術(shù)有效隔離各個(gè)部門。

2、由于服務(wù)器存在很多固有的操作系統(tǒng)軟件漏洞、應(yīng)用軟件漏洞，所以，對于煙草網(wǎng)上商城網(wǎng)站服務(wù)器的保護(hù)必須通過防火墻+IPS的方式進(jìn)行2~7層防護(hù)。

3、服務(wù)器多級架構(gòu)包括WEB、APP、DB，不同服務(wù)之間需要部署嚴(yán)格的訪問控制策略。

二、煙草企業(yè)商城網(wǎng)站終端用戶接入防護(hù)

目前，在煙草企業(yè)網(wǎng)上商城系統(tǒng)網(wǎng)絡(luò)中，用戶的終端計(jì)算機(jī)不及時(shí)升級系統(tǒng)補(bǔ)丁和病毒庫、私設(shè)代理服務(wù)器、私自訪問外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內(nèi)快速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的“失控”。保證煙草企業(yè)商城網(wǎng)站用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對用戶的網(wǎng)絡(luò)訪問行為進(jìn)行有效的控制，是保證煙草行業(yè)企業(yè)網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前煙草企業(yè)商城平臺急需解決的問題。

煙草企業(yè)商城網(wǎng)站可能面臨來自終端用戶的安全威脅包括：

1、煙草行業(yè)商城網(wǎng)站平臺用戶對終端用戶普遍管理不嚴(yán)格，容易造成終端用戶存在較多安全問題。

2、煙草網(wǎng)站終端用戶訪問互聯(lián)網(wǎng)感染木馬，外部攻擊者可以通過木馬獲得用戶權(quán)限，侵入其它應(yīng)用系統(tǒng)。

3、煙草商城終端用戶訪問互聯(lián)網(wǎng)，或者通過USB接口感染病毒，病毒在網(wǎng)絡(luò)內(nèi)傳播，導(dǎo)致數(shù)據(jù)丟失、系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓，對正常工作有很大的影響。

4、外來用戶訪問內(nèi)網(wǎng)，造成煙草網(wǎng)上商城非法訪問等，所以，可以通過【數(shù)商云】電商網(wǎng)站建設(shè)公司定制出一套終端控制管理系統(tǒng)EAD實(shí)現(xiàn)對用戶終端的管理。

5、數(shù)商云定制專屬的EAD 終端準(zhǔn)入系統(tǒng)

用戶終端控制系統(tǒng)應(yīng)能在全省網(wǎng)絡(luò)中部署，通過分級分權(quán)的方式實(shí)現(xiàn)上下級系統(tǒng)的分布式部署，提供全網(wǎng)安全策略統(tǒng)一性，減少煙草網(wǎng)上商城系統(tǒng)網(wǎng)絡(luò)管理員的維護(hù)工作。

另外，用戶終端控制系統(tǒng)最好可以和主流廠商的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，可以更好的進(jìn)行安全策略部署和控制，通過設(shè)備、網(wǎng)絡(luò)多個(gè)層次的安全控制，可以實(shí)現(xiàn)煙草網(wǎng)站商城更加安全、靈活的終端接入。

三、統(tǒng)一網(wǎng)絡(luò)全局管理，保障煙草網(wǎng)上商城平臺網(wǎng)絡(luò)安全

除了在信息傳輸流程中實(shí)施安全解決方案之外，還需要進(jìn)行全局安全管理，這種管理涉及到網(wǎng)絡(luò)上的設(shè)備、使用者以及業(yè)務(wù)，只有對這3者實(shí)現(xiàn)閉環(huán)管理，才能對煙草商城平臺網(wǎng)絡(luò)安全狀況了如指掌。因此，煙草網(wǎng)絡(luò)系統(tǒng)建設(shè)一個(gè)“全局安全管理平臺”是必要的。

對于網(wǎng)絡(luò)系統(tǒng)來說，安全入侵經(jīng)常將網(wǎng)絡(luò)作為一個(gè)整體而不僅是針對某一個(gè)子系統(tǒng)。 一個(gè)安全攻擊事件可能是獨(dú)立的，也可能是一個(gè)較大規(guī)模協(xié)同攻擊的一部分。對于所有的安全檢測點(diǎn)，如果沒有一個(gè)集中的分析視角，你可能低估某個(gè)安全攻擊的真正威脅，相應(yīng)采取的安全措施也可能無法解決真正的問題。

因此，對煙草商城網(wǎng)站系統(tǒng)所記錄和存儲的審計(jì)數(shù)據(jù)進(jìn)行綜合分析及處理至關(guān)重要。這些審計(jì)數(shù)據(jù)可能來自防火墻、路由器、入侵防御系統(tǒng)、主機(jī)系統(tǒng)、防病毒系統(tǒng)和桌面安全系統(tǒng)。對上述審計(jì)數(shù)據(jù)的統(tǒng)一和集中的分析將能幫助更好地管理安全事件，從而描繪出整個(gè)煙草企業(yè)商城平臺系統(tǒng)當(dāng)前安全情況的更清晰和準(zhǔn)確的圖畫。同時(shí)，通過集中管理，煙草網(wǎng)上商城網(wǎng)站可以最大程度地減少重復(fù)工作從而提高安全事件管理的效率。

根據(jù)以上需求，可以采用一臺安全管理中心SecCenter作為整個(gè)網(wǎng)絡(luò)的安全管理中心，對全網(wǎng)設(shè)備進(jìn)行日志分析，幫助定制安全策略。

四、煙草商城網(wǎng)站系統(tǒng)骨干網(wǎng)絡(luò)布局可能存在的難點(diǎn)

1、煙草商城系統(tǒng)骨干網(wǎng)絡(luò)通常采用較高的帶寬來承載整個(gè)網(wǎng)絡(luò)流量，如數(shù)據(jù)中心的萬兆骨干，然而安全設(shè)備的處理性能參差不齊，性能難以保證，其結(jié)果往往是：萬兆網(wǎng)絡(luò)+千/百兆安全=百兆性能，安全設(shè)備性能就成為整體網(wǎng)絡(luò)的短木板。

2、煙草商城網(wǎng)站的業(yè)務(wù)承載在一張物理網(wǎng)絡(luò)上，上下級業(yè)務(wù)又是分層部署，大部分業(yè)務(wù)的訪問都需要通過骨干鏈路（包括廣域網(wǎng)和局域網(wǎng)骨干），所以安全部署應(yīng)盡量不降低骨干網(wǎng)的可靠性，傳統(tǒng)的在線部署方式容易引起安全設(shè)備故障而導(dǎo)致整個(gè)骨干網(wǎng)絡(luò)故障。

3、為解決上述問題，需要采用技術(shù)更為先進(jìn)的方式部署煙草網(wǎng)上商城平臺安全產(chǎn)品，將安全產(chǎn)品與交換機(jī)、路由器產(chǎn)品融合，不但可以提高安全產(chǎn)品的處理性能，還可以促進(jìn)整體網(wǎng)絡(luò)的可靠性，減少單點(diǎn)故障。

采用安全與交換融合的方式可以為煙草網(wǎng)上商城網(wǎng)站網(wǎng)絡(luò)安全帶來如下好處：

1、煙草商城網(wǎng)絡(luò)安全的無瓶頸化：

（1）內(nèi)嵌安全插卡模塊，其數(shù)據(jù)交互是通過高端交換機(jī)路由器內(nèi)部高速交換通道實(shí)現(xiàn)，而非千兆網(wǎng)線，如內(nèi)嵌防火墻插卡，具有萬兆性能，但價(jià)格只是千兆防火墻的價(jià)格。

（2）內(nèi)嵌安全模塊，其硬件架構(gòu)可以和整個(gè)母體融為一體，提高整體處理速度。

2、煙草系統(tǒng)網(wǎng)絡(luò)安全的高可靠性：

（1）內(nèi)嵌安全插卡模塊，其可靠性即高端交換機(jī)路由器的可靠性，冗余電源，風(fēng)扇，無源背板等機(jī)制都能大幅度提高其可靠度，而且沒有任何額外成本的增加。

（2）內(nèi)嵌安全插卡模塊，自動(dòng)提供旁路機(jī)制，故障后可以自動(dòng)旁路流量，整個(gè)業(yè)務(wù)轉(zhuǎn)發(fā)不會中斷。

<本文由數(shù)商云•云朵匠原創(chuàng)，商業(yè)轉(zhuǎn)載請聯(lián)系作者獲得授權(quán)，非商業(yè)轉(zhuǎn)載請標(biāo)明：數(shù)商云原創(chuàng)>

作者：云朵匠 | 數(shù)商云(微信ID：shushangyun_com)

【數(shù)商云www.zhimaihui.cn】專注為企業(yè)提供煙草商城網(wǎng)站建設(shè)服務(wù)，長期為大中型企業(yè)打造數(shù)據(jù)化、商業(yè)化、智能化的煙草商城系統(tǒng)開發(fā)解決方案，為傳統(tǒng)企業(yè)搭建一站式煙草電商平臺閉環(huán)體系，實(shí)現(xiàn)煙草商城系統(tǒng)數(shù)據(jù)互通、全鏈融合，綜合提升平臺運(yùn)營效率與平臺收益。