网络安全

4、海关对外接入局域网建设4.1概述随着信息化的发展，海关信息系统与政府部门及企事业单位之间的系统联网需求日益增多，海关与外部网络之间进行信息交换与资源共享已逐渐成为海关信息化发展的必然趋势。同时，海关信息系统也将面临来自外部网络的攻击、入侵、病毒、木马等各种类型的威胁，存在较高的安全风险。如何在既保证海关与外部开展正常信息交换与资源共享的同时，又保证整体海关网络的安全，成为当前急需解决的问题。根据海关总署科技司编制的《海关管理网对外接入局域网安全建设指导方案》中对海关管理网对外介入局域网的安全技术要求和安全管理要求，编制本建设方案，适用于舟山海关管理网与视频专网及海关以外网络进行的非涉密联网业务应用。4.2术语和定义管理网：是指直属海关业务管理网。外部网络：是指需与海关进行联网业务应用的电子口岸专网、视频专网或海关以外网络。对外接入局域网：是海关管理网对外接入局域网的简称。外联单位：是需与海关进行联网业务应用的政府部门、企事业单位的统称。外部授权用户：指经海关授权可以利用对外接入局域网交互式访问海关指定应用系统的非海关人员。海关内部授权用户：指经海关授权可以利用对外接入局域网交互式访问海关指定应用系统的海关内部关员。4.3概要设计4.3.1总体设计总体设计思想：通过划分安全区域等合理的结构设计和配备边界防护等安全保障机制，形成覆盖事前、事中、事后的全过程安全控制，实现在保证安全的前提下，满足海关对外联网业务应用需求。结构设计、安全保障、过程控制等并不互相割裂，并保证相辅相成，有机集成。在结构设计上以满足实际业务应用模式为导向，采用自上而下、由概括到具体的方式，确定出其功能框架。在功能框架基础上，细化形成网络层架构。以功能框架、网络层架构为基础，建立安全保障体系。并通过事前边界保护、防病毒和攻击系统的部署，事中身份鉴别、保密性和可用性保障，事后安全审计与跟踪，建成全面立体的高性能和高安全性的对外接入局域网。4.3.2系统框架网络摄像机模拟摄像机万能解码器IP-SAN电视墙舟山海关客户端综保区客户端视频管理服务器存储/点播（索引）转发智能分析编码器BNCVGA/BNC管理网对外接入局域网视频专网CA传输传输视频管理服务器键盘键盘万能解码器电视墙VGA/BNC网络摄像机网络摄像机“舟山港综保区智能视频监控平台”由主要由视频管理服务器、视频转发服务器、视频存储点播服务器、智能分析服务器以及数据传输服务器组成。视频管理服务器安装平台的应用服务程序，操作系统Linux。视频存储点播服务器安装平台的存储模块和点播（索引）模块，操作系统Linux。视频转发服务器安装平台的接入、转发模块，操作系统Linux。数据传输服务器对海关业务数据进行收发报文，操作系统Linux。智能分析服务器安装平台的智能分析、集装箱靠台识别模块。4.3.3网络结构设计对外接入局域网的网络结构如下图。交换缓冲区视频管理服务器…………一级防火墙(VPN)二级防火墙业务申请代理落地服务器应用服务区数据传输服务器交换处理区应用数据处理服务器管理区安全审计健康检查入侵检测运行监控补丁、病毒服务器应用服务器应用数据处理区CA数据传输服务器视频专网对外接入局域网管理网防病毒网关入侵检测系统存储/点播（索引）视频数据处理IP-SAN视频数据传输处理视频数据转发服务器IP-SAN综保区/舟山海关1.网络安全区域划分对外接入局域网网络结构根据功能的不同分为三大功能五个区域：提供数据交换功能的区域（包含交换缓冲区、交换处理区）、提供授权应用访问功能的区域（包含应用服务区、应用数据处理区）、提供管理职能的区域（管理区）。（1）提供数据交换功能的区域：交换缓冲区：包括业务申请代理服务器、落地服务器等。与外部网络、交换处理区通信。交换处理区：包括传输服务器等。与交换缓冲区或外部网络、管理网通信。（2）提供授权应用访问功能的区域：应用服务区：包括应用服务器等。与外部网络、应用数据处理区或管理网通信。应用数据处理区：包括应用数据处理服务器。与应用服务区、管理网络通信。（3）提供管理职能的区域：管理区：包括安全审计服务器、主机安全管理服务器、运行监控服务器等管理主机，实现对外接入局域网的安全管理和监控。与对外接入局域网内各区域及管理网通信。2.网络安全保障措施采用两级边界隔离机制实现网络安全域隔离。一级防火墙作为第一道安全屏障隔离外部网络和对外接入局域网，同时通过两个DMZ的划分也隔离了应用服务区和交换缓冲区；CA安全网关作为数据传输时进行加签加密，保证数据的安全性；二级防火墙将对外接入局域网与管理网隔离，同时划出DMZ区作为管理区。在一级和二级防火墙间，利用交换机划分出交换处理区和应用数据处理区。多种隔离机制保障了网络区域的安全逐步提升，网络访问和数据流层层控制。4.4控平台网络结构设计“舟山港综保区智能视频监控平台”的网络结构由管理网、对外接入局域网、视频专网组成，如下图所示：视频专网对外接入局域网（综保区海关）管理网网络摄像机网络摄像机视频专网视频专网IP-SAN存储/点播（索引）转发CA键盘万能解码器电视墙视频管理服务器指挥中心管理服务器VGA/BNC指挥中心系统客户端电视墙指挥中心系统客户端综保区舟山海关键盘万能解码器网络部署图注：视频专网的视频数据通过电子口岸CA安全认证传输到对外接入局域网，保证视频数据的安全性与可靠性。4.5安全部署参考方案4.5.1网络拓扑说明结合海关总署对外接入局域网的规定和舟山港综保区的实际情况，具体网络拓扑如下图所示：本参考方案采用防火墙串行设计，结合交换机的VLAN技术进行安全区域划分，随各级防火墙级别递增各个安全区域安全保护级别相应递增，同时结合数据交换与授权应用访问两种业务模式细化安全域。在应用层面，复杂多样的进入业务数据随安全区域递增逐步规范化、统一化、安全化，通过不同的安全技术手段甄别控制逐步强化对数据流的监管，最终达到屏蔽非法数据、保证进入管理网数据安全的目的。4.5.2安全产品选择和部署一级防火墙（含VPN功能）：部署在外部网络和对外接入局域网间，同时还连接应用服务区和交换缓冲区。主要功能是实现外部网络、对外接入局域网的安全隔离。利用一级防火墙VPN功能实现外联单位身份认证和数据传输加密。一级防火墙采用国产品牌。二级防火墙：部署在对外接入局域网和管理网间，主要功能是实现两个网络间的安全隔离。产品选择上采用与一级防火墙不同的品牌。防病毒网关：对所有进出对外接入局域网的数据进行病毒检测和过滤。入侵检测设备：对所有进出对外接入局域网的流量进行入侵和攻击行为的检测和分析，并及时报警。管理服务器部署在管理区。安全审计系统一套，部署在管理区。主要功能是将对外接入局域网的安全日志、事件进行集中存储、分析、审计。网络版主机防病毒一套，客户端部署在每台主机，控制台部署在管理区。主要对对外接入局域网中的主机提供病毒和恶意代码防范。补丁管理系统一套，部署在管理区，主要实现对外接入局域网主机补丁的及时自动更新。安全运行监控系统一套，部署在管理区。使用的是总署“安全运行管理平台”。主机安全管理系统一套，客户端部署在每台主机，控制台部署在管理区。主要实现对系统补丁、防病毒软件运行情况、非法外联、共享目录、系统权限提升等的自动监控、报警及自动处置，并结合交换机配置实现802.1X接入认证。CA安全网关，部署在对外接入局域网和与外部网络之间（3G/4G网）。主要功能，是提供单兵设备的身份认证和数据加签加密传输，确保数据保密性和安全性。4.5.3设备清单设备类型需求描述数量配置要求一级防火墙边界安全隔离设备，双机主备模式部署2接口数≥10，千兆光口，国产品牌二级防火墙边界安全隔离设备，双机主备模式部署2接口数≥10，千兆光口，与一级防火墙不同的品牌交换机千兆以太网交换机6接口数≥24，千兆光口防病毒网关网关层防病毒设备，带有Bypass模块2接口数≥2，千兆光口网闸带有Bypass模块2接口数≥2，千兆光口入侵检测系统攻击检测防御设备1安全审计系统安全日志存储和审计产品1主机安全管理系统对系统补丁、防病毒软件运行情况、非法外联、系统权限提升等监控、报警及自动处置1单兵设备安全接入系统预算设备名称需求描述数量规格要求CA安全网关移动安全管理平台核心部件，负责本系统的帐号管理、策略管理、日志管理等基础框架功能，采用SM1加密算法，存储终端信息、策略信息、权限配置以及审计记录等，实时管理所有终端和网关设备。分别可以支持100个终端数。2VPN许可授权用户系统注册用户授权，每个用户帐号对应一个授权50安全SDcard包括身份认证、数字签名、数据加密和大容量数据存储等50移动终端安全系统、制发系统制作安全SDcard、管理移动设备安全接入。1