需求背景
該大型企業是一家專業物流企業,提供全過程物流解決方案、組織全國性及區域性倉儲、配送、加工、分銷、現貨交易市場、國際貨運代理、進出口貿易、信息等綜合物流服務。在此基礎上建立的ERP系統,則是聯系和維持這些業務系統正常運營的紐帶。保障ERP系統的穩定安全的運行,是該企業IT運維部門的首要職責。
按照等級保護的分區域保護原則,需要將其ERP系統區分為多個不同安全區域,根據共同安全需求原則和相互信任原則,可以按照ERP系統的不同職權范圍來區分這些安全區域,根據重點保護原則,來實現對核心業務服務器的針對性防御。
解決方案
在經過深入分析后發現,該ERP系統的核心數據部分主要集中在結算系統上,所有業務的收支結算狀況都經過這一系統,所以需要將結算系統這部分涉及到經營數據的服務獨立劃出,并按照重點保護原則,對這些核心應用服務器進行最高級別的防御,其部署結構如下:
 |
將結算中心單獨劃出,并在兩個邊界接口處分別部署入侵防御產品,以增強結算中心系統的深層防御能力。
案例點評
本項目也是等級保護觀念貫徹的一個實例,結算中心作為職能機構,面臨著內部分支機構的數據匯聚和統一對外業務交割的雙重職責。按照業務類型,可以明晰的區分出對內收集和對外交互兩個邊界,在邊界上部署實施防火墻+入侵防御產品的保障方式,實現了訪問控制級防御和深層威脅防御兩個層面的安全保障,并且也契合了企業已經實施的ERP系統布局,在增強威脅防御措施的同時,沒有影響到網絡結構和設備配置信息的變化。
