通信管理系统网络互联及安全防护实施方案

通信管理系统网络互联及安全防护实施方案通信管理系统项目管理办公室2012年5月一、网络拓扑.....................................................................................31.1.总体架构图..............................................................................31.2.在信息vpn中系统定位图.......................................................41.3.系统物理结构图.......................................................................4二、IP地址需求................................................................................5三、IP地址规划................................................................................6四、互联需求及端口开放..................................................................7五、系统安全防护要求......................................................................91.4.物理安全防护...........................................................................91.5.网络安全防护...........................................................................91.5.1.物理及逻辑隔离..............................................................91.5.2.网络设备安全防护..........................................................91.5.3.安全策略及接口控制....................................................101.6.主机安全防护.........................................................................101.6.1.服务器操作系统安全防护............................................111.6.2.数据库系统安全防护....................................................111.6.3.桌面终端安全防护........................................................12六、互联测试...................................................................................121.1.互联测试要求.........................................................................131.2.互联测试结果.........................................................................13一、网络拓扑1.1.总体架构图通信管理系统通过信息VPN进行纵向及横向网络互联。如下图所示，将通信管理系统作为一个独立的子网，接入到各单位信息内网，利用信息VPN网络实现总部和各省公司通信管理系统的纵向互联。1.2.系统定位图从安全分级角度来看，通信管理系统为三级系统，与其他三级系统物理上相互隔离，仅通过两台防火墙实现联通。通信管理系统和其他级别系统关系示意图如下所示：1.3.系统物理结构图通信管理系统采用总部（分部）、省两级部署，总部（分部）、省、地市三级应用的物理架构。在国网信通和各区域分部集中部署跨区、跨省的骨干通信网管理系统，在省公司集中部署省内骨干通信网管理系统，地市公司通过远程终端使用省级部署的系统。系统物理结构如下图所示。调度VPN二级系统域四级系统域SGOSS系统OMS系统信息VPNPMS/GIS/IMS/IRS/IDS/DVS系统通信管理系统ERP系统SAN存储系统存储阵列数据库/应用服务器数据库/应用服务器中心交换机中心交换机被管对象隔离装置采集服务器人机工作站生产控制大区管理信息大区SG-OSSDVS信息VPNSAN存储系统存储阵列数据库/应用服务器数据库/应用服务器中心交换机中心交换机被管对象隔离装置采集服务器人机工作站生产控制大区管理信息大区智能电网通信管理系统（总部/分部）智能电网通信管理系统（省级）IMSIRSIDSGISSG-OSSDVSIMSGIS2005-B1654671312141501239811102005-B165467131214150123981110防火墙防火墙中心交换机被管对象生产控制大区采集服务器防火墙人机工作站人机工作站防火墙管理信息大区防火墙中心交换机防火墙二、IP地址需求通信管理系统作为一个整体，总体架构由总部（分部）、省两级系统和互联网络组成，互联网络采用信息VPN方案，其IP需求如下：（1）生产控制大区由于设备网管与其他专业没有互联需求，这部分IP地址将由通信专业进行内部统一规划。（2）生产控制大区与管理信息大区之间生产控制大区与管理信息大区之间的隔离装置需要信息内网IP地址数6个，并预留8个；（3）管理信息大区信息VPN内部：PE-CE互联IP已分配，CE以下网络IP地址需求分析如下：安全设备（三区防火墙以1台计算，需1个系统内部IP，以及多个横向互联IP）、核心交换机（按2台计算，需3个IP）、数据库服务器（按2台计算，最多7个IP）、应用服务器（按4台计算，最多12个IP）、通信管理系统专用终端（按4台计算，4个IP）。因此，总部、分部系统所需IP地址=14+1+3+7+12+4=41，考虑到以后的功能扩展IP地址的需求还会更多。建议IP地址总数不低于62个。省公司考虑三级骨干网（需41个IP地址）、四级骨干网（需要IP地址为8*地市数量）和终端接入网（41个IP地址）。建议IP地址总数为一个完整C类地址。（注：通信管理系统三区的防火墙上要配置多个横向互联IP，需要其他横向互联系统分配，同此次申请的信息ip地址不属于一个网段）三、IP地址规划本次采用信息VPN方案实现系统互联，只需各单位分别给部署在本地管理信息大区的通信管理系统分配一段信息内网的IP地址，并配置路由策略，不涉及生产控制大区的系统。通信设备网管系统使用原有IP地址设置。采集系统的IP地址由各省公司自己规划。通信管理系统使用的IP地址按照公司信息内网的统一规划，采用IPv4地址IP地址分配要求：总部、分部：数据库服务器IP地址范围X.X.X.1/26-X.X.X.7/26应用服务器IP地址范围X.X.X.8/26-X.X.X.19/26专用终端地址范围X.X.X.20/26-X.X.X.25/26采集服务器映射IP地址范围X.X.X.26/26-X.X.X.39/26网络设备IP地址范围X.X.X.48/26-X.X.X.62/26剩余地址作为预留地址。省公司：数据库服务器IP地址范围X.X.X.1/24-X.X.X.7/24应用服务器IP地址范围X.X.X.8/24-X.X.X.19/24专用终端地址范围X.X.X.20/24-X.X.X.25/24采集服务器映射IP地址范围X.X.X.26/24-X.X.X.39/24网络设备IP地址范围X.X.X.226/24-X.X.X.254/24剩余地址作为预留地址。省公司若申请的地址没有一个完整的C类IP，请参照以上原则分配，并上报管理办公室。四、互联需求及端口开放根据通信管理系统的互联需求，此次通信管理系统规划的服务器至少要开放以下端口（注：横向互联开放端口仅为测试端口）：端口号用途1521服务器数据库访问端口8500/80/8080通信管理系统/桌面/流程系统展现端口61616/61617/61618通信管理系统总线访问端口/SSL端口21/22服务器之间文件传输共享端口5000-5010预留端口6000横向互联系统IMS、IRS、IDS、ERP、SG186、SGOSS通信管理系统互联详细需求如下表，各单位可根据互联需求表制定安全策略：由系统内主机发起的向外连接源地址目的地址接口方式(必填)协议目的端口源端口(可选)连接timeout值(单位:s)(可选)备注三区应用服务器其他单位纵向互联接口服务器（应用服务器）WebService、tcp/iphttp、tcp8500、80、8080、1521、21/22由系统外部设备发起的向系统内部主机的连接源地址/地址段目的地址接口方式协议目的端口访问方式源端口(可选)连接timeout值(单位:s)(可选)用户终端三区应用服务器Web访问Http8500、80、8080Web访问其他单位纵向互联应用服务器三区接口服务器（应用服务器）Socket、JMSTcp61616、61617、61618接口调用五、系统安全防护要求1.4.物理安全防护物理安全防护从物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面进行防护。物理安全防护参照公司SG186安全防护要求执行，主要通过机房选址、装修及配置必要的安全防护设备（如机房精密空调、红外监控系统等）实现。1.5.网络安全防护1.5.1.物理及逻辑隔离通过网络间进行物理隔离及使用安全设备进行逻辑隔离的方法保证网络安全。生产大区和管理信息大区间分别使用各自的网络设备进行组网。以实现不同网络间的隔离和监控管理。管理信息大区作为信息内网的独立子网接入信息网，中间用防火墙隔离。1.5.2.网络设备安全防护通过提高网络设备自身安全性的方法保证网络安全。制定设备管理只允许安全网络中的指定IP登录网络设备进行管理；配置并使用SSH安全登录的管理方式。密码管理办法：实施阶段完成后，各建设单位统一规划并修改所有设备密码，并交由专人管理相应设备的密码权限。密码管理人必须掌握各设备修改密码的方法。密码安全性:密码长度不低于12位，密码元素必须包含英文、数字及特殊符号。1.5.3.安全策略及接口控制通过部署安全策略及对设备物理接口进行控制的方法保证网络安全。防火墙只开放通讯必需的IP和端口，对跨网络的全部访问流量进行报文过滤、访问控制，以实现跨网络的逻辑隔离。使用三层交换机的三层接口引接厂家网管，并在对外部网络互联的接口上部署安全策略，排除了二层环路的隐患的同时保证了与厂家网络间的安全访问。全部交换机非直连服务器的端口均启用生成树协议，以避免环路隐患。对各接口连接的设备进行mac地址绑定，同时关闭不使用的接口，使人为影响降为最低。1.6.主机安全防护主机安全防护对象为服务器操作系统、数据库系统和桌面终端。服务器包括采集服务器、数据交换服务器、应用服务器等，桌面终端包括PC、笔记本电脑等终端设备。主机安全防护参照公司SG186安全防护要求执行。1.6.1.服务器操作系统安全防护对操作系统从身份鉴别、访问控制、安全审计、入侵防范、病毒防范、资源控制、备份与恢复等方面进行安全防护，采取以下安全防护措施：1）对服务器操作系统进行安全加固：及时安装操作系统和应用软件的安全补