烟草行业网上商城网站建设一个“全局安全管理平台”的必要性
作者: 数商云 来源: 数商云官网 2019-12-09 13:55
烟草行业网上商城运营核心业务包括:营销管理、专卖管理、物流管理等
烟草行业网上商城运营核心业务包括:营销管理、专卖管理、物流管理等,这里管理系统的服务器都放置在烟草网上商城系统的数据中心,里面保存了所有烟草营销的核心数据,这些数据直接关系到电子商务、电子政务、决策管理三大系统的稳定安全运行,所以要更细致的保护其安全,即便烟草网上商城网站数据中心业务服务器部署在内部网络,但是仍可能面临来自内、外网的安全威胁。专注为传统行业提供安全且高效的系统开发服务商【数商云】通过本文,具体演示建设安全网络区域的烟草行业商城网站的步骤。
一、烟草网上商城网站数据中心区域防护
虽然各烟草商城网站系统网络边界(广域网、互联网、外联网等)部署了安全措施,但攻击可能会绕过网络边界的安全防御措施,或者先攻击对外服务器,然后通过外部服务器对内部服务器的访问需求,渗透到内部服务器,并最终实现攻击目的。
烟草商城网站系统数据中心一方面还缺少对内部用户的攻击防御,一方面还缺少内部各部门业务的访问隔离,容易造成非法访问等安全问题。即便服务器具有一定的安全措施,攻击者也会通过烟草网上商城系统的漏洞,从而轻易绕过这些安全措施进入烟草商城系统,所以要在路径上直接切断攻击行为。
烟草商城网站系统应对具体策略如下:
1、由于烟草网上商城服务器保存大量的核心数据,不能让用户非法访问,所以配置防火墙以进行服务器的访问控制,并且,防火墙还可以通过虚拟防火墙技术有效隔离各个部门。
2、由于服务器存在很多固有的操作系统软件漏洞、应用软件漏洞,所以,对于烟草网上商城网站服务器的保护必须通过防火墙+IPS的方式进行2~7层防护。
3、服务器多级架构包括WEB、APP、DB,不同服务之间需要部署严格的访问控制策略。
二、烟草企业商城网站终端用户接入防护
目前,在烟草企业网上商城系统网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证烟草企业商城网站用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证烟草行业企业网络安全运行的前提,也是目前烟草企业商城平台急需解决的问题。
烟草企业商城网站可能面临来自终端用户的安全威胁包括:
1、烟草行业商城网站平台用户对终端用户普遍管理不严格,容易造成终端用户存在较多安全问题。
2、烟草网站终端用户访问互联网感染木马,外部攻击者可以通过木马获得用户权限,侵入其它应用系统。
3、烟草商城终端用户访问互联网,或者通过USB接口感染病毒,病毒在网络内传播,导致数据丢失、系统崩溃、网络瘫痪,对正常工作有很大的影响。
4、外来用户访问内网,造成烟草网上商城非法访问等,所以,可以通过【数商云】电商网站建设公司定制出一套终端控制管理系统EAD实现对用户终端的管理,基本工作过程如下图所示:
5、数商云定制专属的EAD终端准入系统
用户终端控制系统应能在全省网络中部署,通过分级分权的方式实现上下级系统的分布式部署,提供全网安全策略统一性,减少烟草网上商城系统网络管理员的维护工作。
另外,用户终端控制系统最好可以和主流厂商的网络设备联动,可以更好的进行安全策略部署和控制,通过设备、网络多个层次的安全控制,可以实现烟草网站商城更加安全、灵活的终端接入。
三、统一网络全局管理,保障烟草网上商城平台网络安全
除了在信息传输流程中实施安全解决方案之外,还需要进行全局安全管理,这种管理涉及到网络上的设备、使用者以及业务,只有对这3者实现闭环管理,才能对烟草商城平台网络安全状况了如指掌。因此,烟草网络系统建设一个“全局安全管理平台”是必要的。
对于网络系统来说,安全入侵经常将网络作为一个整体而不仅是针对某一个子系统。 一个安全攻击事件可能是独立的,也可能是一个较大规模协同攻击的一部分。对于所有的安全检测点,如果没有一个集中的分析视角,你可能低估某个安全攻击的真正威胁,相应采取的安全措施也可能无法解决真正的问题。
因此,对烟草商城网站系统所记录和存储的审计数据进行综合分析及处理至关重要。这些审计数据可能来自防火墙、路由器、入侵防御系统、主机系统、防病毒系统和桌面安全系统。对上述审计数据的统一和集中的分析将能帮助更好地管理安全事件,从而描绘出整个烟草企业商城平台系统当前安全情况的更清晰和准确的图画。同时,通过集中管理,烟草网上商城网站可以最大程度地减少重复工作从而提高安全事件管理的效率。
根据以上需求,可以采用一台安全管理中心SecCenter作为整个网络的安全管理中心,对全网设备进行日志分析,帮助定制安全策略。
四、烟草商城网站系统骨干网络布局可能存在的难点
1、烟草商城系统骨干网络通常采用较高的带宽来承载整个网络流量,如数据中心的万兆骨干,然而安全设备的处理性能参差不齐,性能难以保证,其结果往往是:万兆网络+千/百兆安全=百兆性能,安全设备性能就成为整体网络的短木板。
2、烟草商城网站的业务承载在一张物理网络上,上下级业务又是分层部署,大部分业务的访问都需要通过骨干链路(包括广域网和局域网骨干),所以安全部署应尽量不降低骨干网的可靠性,传统的在线部署方式容易引起安全设备故障而导致整个骨干网络故障。
3、为解决上述问题,需要采用技术更为先进的方式部署烟草网上商城平台安全产品,将安全产品与交换机、路由器产品融合,不但可以提高安全产品的处理性能,还可以促进整体网络的可靠性,减少单点故障,如下图所示:
采用安全与交换融合的方式可以为烟草网上商城网站网络安全带来如下好处:
1、烟草商城网络安全的无瓶颈化:
(1)内嵌安全插卡模块,其数据交互是通过高端交换机路由器内部高速交换通道实现,而非千兆网线,如内嵌防火墙插卡,具有万兆性能,但价格只是千兆防火墙的价格。
(2)内嵌安全模块,其硬件架构可以和整个母体融为一体,提高整体处理速度。
2、烟草系统网络安全的高可靠性:
(1)内嵌安全插卡模块,其可靠性即高端交换机路由器的可靠性,冗余电源,风扇,无源背板等机制都能大幅度提高其可靠度,而且没有任何额外成本的增加。
(2)内嵌安全插卡模块,自动提供旁路机制,故障后可以自动旁路流量,整个业务转发不会中断。
<本文由数商云•云朵匠原创,商业转载请联系作者获得授权,非商业转载请标明:数商云原创>
作者:云朵匠 | 数商云(微信ID:shushangyun_com)
【数商云www.shushangyun.com】专注为企业提供烟草商城网站建设服务,长期为大中型企业打造数据化、商业化、智能化的烟草商城系统开发解决方案,为传统企业搭建一站式烟草电商平台闭环体系,实现烟草商城系统数据互通、全链融合,综合提升平台运营效率与平台收益。
【声明】该文由作者本人上传,其观点仅代表作者本人。亿邦号系信息发布平台,亿邦动力网仅提供信息存储空间服务,如本文涉及侵权 ,请及时联系run@ebrun.com。