需求背景

該大型企業(yè)是一家專業(yè)物流企業(yè)，提供全過(guò)程物流解決方案、組織全國(guó)性及區(qū)域性倉(cāng)儲(chǔ)、配送、加工、分銷、現(xiàn)貨交易市場(chǎng)、國(guó)際貨運(yùn)代理、進(jìn)出口貿(mào)易、信息等綜合物流服務(wù)。在此基礎(chǔ)上建立的ERP系統(tǒng)，則是聯(lián)系和維持這些業(yè)務(wù)系統(tǒng)正常運(yùn)營(yíng)的紐帶。保障ERP系統(tǒng)的穩(wěn)定安全的運(yùn)行，是該企業(yè)IT運(yùn)維部門的首要職責(zé)。

按照等級(jí)保護(hù)的分區(qū)域保護(hù)原則，需要將其ERP系統(tǒng)區(qū)分為多個(gè)不同安全區(qū)域，根據(jù)共同安全需求原則和相互信任原則，可以按照ERP系統(tǒng)的不同職權(quán)范圍來(lái)區(qū)分這些安全區(qū)域，根據(jù)重點(diǎn)保護(hù)原則，來(lái)實(shí)現(xiàn)對(duì)核心業(yè)務(wù)服務(wù)器的針對(duì)性防御。

解決方案

在經(jīng)過(guò)深入分析后發(fā)現(xiàn)，該ERP系統(tǒng)的核心數(shù)據(jù)部分主要集中在結(jié)算系統(tǒng)上，所有業(yè)務(wù)的收支結(jié)算狀況都經(jīng)過(guò)這一系統(tǒng)，所以需要將結(jié)算系統(tǒng)這部分涉及到經(jīng)營(yíng)數(shù)據(jù)的服務(wù)獨(dú)立劃出，并按照重點(diǎn)保護(hù)原則，對(duì)這些核心應(yīng)用服務(wù)器進(jìn)行最高級(jí)別的防御，其部署結(jié)構(gòu)如下：

將結(jié)算中心單獨(dú)劃出，并在兩個(gè)邊界接口處分別部署入侵防御產(chǎn)品，以增強(qiáng)結(jié)算中心系統(tǒng)的深層防御能力。

案例點(diǎn)評(píng)

本項(xiàng)目也是等級(jí)保護(hù)觀念貫徹的一個(gè)實(shí)例，結(jié)算中心作為職能機(jī)構(gòu)，面臨著內(nèi)部分支機(jī)構(gòu)的數(shù)據(jù)匯聚和統(tǒng)一對(duì)外業(yè)務(wù)交割的雙重職責(zé)。按照業(yè)務(wù)類型，可以明晰的區(qū)分出對(duì)內(nèi)收集和對(duì)外交互兩個(gè)邊界，在邊界上部署實(shí)施防火墻+入侵防御產(chǎn)品的保障方式，實(shí)現(xiàn)了訪問(wèn)控制級(jí)防御和深層威脅防御兩個(gè)層面的安全保障，并且也契合了企業(yè)已經(jīng)實(shí)施的ERP系統(tǒng)布局，在增強(qiáng)威脅防御措施的同時(shí)，沒(méi)有影響到網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備配置信息的變化。