網(wǎng)絡(luò)安全安全

1、PAGE74、海關(guān)對外接入局域網(wǎng)建設(shè)概述隨著信息化的發(fā)展，海關(guān)信息系統(tǒng)與政府部門及企事業(yè)單位之間的系統(tǒng)聯(lián)網(wǎng)需求日益增多，海關(guān)與外部網(wǎng)絡(luò)之間進(jìn)行信息交換與資源共享已逐漸成為海關(guān)信息化發(fā)展的必然趨勢。同時(shí)，海關(guān)信息系統(tǒng)也將面臨來自外部網(wǎng)絡(luò)的攻擊、入侵、病毒、木馬等各種類型的威脅，存在較高的安全風(fēng)險(xiǎn)。如何在既保證海關(guān)與外部開展正常信息交換與資源共享的同時(shí)，又保證整體海關(guān)網(wǎng)絡(luò)的安全，成為當(dāng)前急需解決的問題。根據(jù)海關(guān)總署科技司編制的海關(guān)管理網(wǎng)對外接入局域網(wǎng)安全建設(shè)指導(dǎo)方案中對海關(guān)管理網(wǎng)對外介入局域網(wǎng)的安全技術(shù)要求和安全管理要求，編制本建設(shè)方案，適用于舟山海關(guān)管理網(wǎng)與視頻專網(wǎng)及海關(guān)以外網(wǎng)絡(luò)進(jìn)行的非涉密聯(lián)網(wǎng)

2、業(yè)務(wù)應(yīng)用。術(shù)語和定義管理網(wǎng)：是指直屬海關(guān)業(yè)務(wù)管理網(wǎng)。外部網(wǎng)絡(luò)：是指需與海關(guān)進(jìn)行聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的電子口岸專網(wǎng)、視頻專網(wǎng)或海關(guān)以外網(wǎng)絡(luò)。對外接入局域網(wǎng)：是海關(guān)管理網(wǎng)對外接入局域網(wǎng)的簡稱。外聯(lián)單位：是需與海關(guān)進(jìn)行聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的政府部門、企事業(yè)單位的統(tǒng)稱。外部授權(quán)用戶：指經(jīng)海關(guān)授權(quán)可以利用對外接入局域網(wǎng)交互式訪問海關(guān)指定應(yīng)用系統(tǒng)的非海關(guān)人員。海關(guān)內(nèi)部授權(quán)用戶：指經(jīng)海關(guān)授權(quán)可以利用對外接入局域網(wǎng)交互式訪問海關(guān)指定應(yīng)用系統(tǒng)的海關(guān)內(nèi)部關(guān)員。概要設(shè)計(jì)總體設(shè)計(jì)總體設(shè)計(jì)思想：通過劃分安全區(qū)域等合理的結(jié)構(gòu)設(shè)計(jì)和配備邊界防護(hù)等安全保障機(jī)制，形成覆蓋事前、事中、事后的全過程安全控制，實(shí)現(xiàn)在保證安全的前提下，滿足海關(guān)對外聯(lián)

3、網(wǎng)業(yè)務(wù)應(yīng)用需求。結(jié)構(gòu)設(shè)計(jì)、安全保障、過程控制等并不互相割裂，并保證相輔相成，有機(jī)集成。在結(jié)構(gòu)設(shè)計(jì)上以滿足實(shí)際業(yè)務(wù)應(yīng)用模式為導(dǎo)向，采用自上而下、由概括到具體的方式，確定出其功能框架。在功能框架基礎(chǔ)上，細(xì)化形成網(wǎng)絡(luò)層架構(gòu)。以功能框架、網(wǎng)絡(luò)層架構(gòu)為基礎(chǔ)，建立安全保障體系。并通過事前邊界保護(hù)、防病毒和攻擊系統(tǒng)的部署，事中身份鑒別、保密性和可用性保障，事后安全審計(jì)與跟蹤，建成全面立體的高性能和高安全性的對外接入局域網(wǎng)。系統(tǒng)框架“舟山港綜保區(qū)智能視頻監(jiān)控平臺(tái)”由主要由視頻管理服務(wù)器、視頻轉(zhuǎn)發(fā)服務(wù)器、視頻存儲(chǔ)點(diǎn)播服務(wù)器、智能分析服務(wù)器以及數(shù)據(jù)傳輸服務(wù)器組成。視頻管理服務(wù)器安裝平臺(tái)的應(yīng)用服務(wù)程序，操作系統(tǒng)Li

4、nux。視頻存儲(chǔ)點(diǎn)播服務(wù)器安裝平臺(tái)的存儲(chǔ)模塊和點(diǎn)播（索引）模塊，操作系統(tǒng)Linux。視頻轉(zhuǎn)發(fā)服務(wù)器安裝平臺(tái)的接入、轉(zhuǎn)發(fā)模塊，操作系統(tǒng)Linux。數(shù)據(jù)傳輸服務(wù)器對海關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行收發(fā)報(bào)文，操作系統(tǒng)Linux。智能分析服務(wù)器安裝平臺(tái)的智能分析、集裝箱靠臺(tái)識(shí)別模塊。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)對外接入局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)如下圖。1.網(wǎng)絡(luò)安全區(qū)域劃分對外接入局域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)功能的不同分為三大功能五個(gè)區(qū)域：提供數(shù)據(jù)交換功能的區(qū)域（包含交換緩沖區(qū)、交換處理區(qū)）、提供授權(quán)應(yīng)用訪問功能的區(qū)域（包含應(yīng)用服務(wù)區(qū)、應(yīng)用數(shù)據(jù)處理區(qū)）、提供管理職能的區(qū)域（管理區(qū)）。（1）提供數(shù)據(jù)交換功能的區(qū)域：交換緩沖區(qū)：包括業(yè)務(wù)申請代理服務(wù)器、落地服

5、務(wù)器等。與外部網(wǎng)絡(luò)、交換處理區(qū)通信。交換處理區(qū)：包括傳輸服務(wù)器等。與交換緩沖區(qū)或外部網(wǎng)絡(luò)、管理網(wǎng)通信。（2）提供授權(quán)應(yīng)用訪問功能的區(qū)域：應(yīng)用服務(wù)區(qū)：包括應(yīng)用服務(wù)器等。與外部網(wǎng)絡(luò)、應(yīng)用數(shù)據(jù)處理區(qū)或管理網(wǎng)通信。應(yīng)用數(shù)據(jù)處理區(qū)：包括應(yīng)用數(shù)據(jù)處理服務(wù)器。與應(yīng)用服務(wù)區(qū)、管理網(wǎng)絡(luò)通信。（3）提供管理職能的區(qū)域：管理區(qū)：包括安全審計(jì)服務(wù)器、主機(jī)安全管理服務(wù)器、運(yùn)行監(jiān)控服務(wù)器等管理主機(jī)，實(shí)現(xiàn)對外接入局域網(wǎng)的安全管理和監(jiān)控。與對外接入局域網(wǎng)內(nèi)各區(qū)域及管理網(wǎng)通信。2.網(wǎng)絡(luò)安全保障措施采用兩級(jí)邊界隔離機(jī)制實(shí)現(xiàn)網(wǎng)絡(luò)安全域隔離。一級(jí)防火墻作為第一道安全屏障隔離外部網(wǎng)絡(luò)和對外接入局域網(wǎng)，同時(shí)通過兩個(gè)DMZ的劃分也隔離了應(yīng)

6、用服務(wù)區(qū)和交換緩沖區(qū)；CA安全網(wǎng)關(guān)作為數(shù)據(jù)傳輸時(shí)進(jìn)行加簽加密，保證數(shù)據(jù)的安全性；二級(jí)防火墻將對外接入局域網(wǎng)與管理網(wǎng)隔離，同時(shí)劃出DMZ區(qū)作為管理區(qū)。在一級(jí)和二級(jí)防火墻間，利用交換機(jī)劃分出交換處理區(qū)和應(yīng)用數(shù)據(jù)處理區(qū)。多種隔離機(jī)制保障了網(wǎng)絡(luò)區(qū)域的安全逐步提升，網(wǎng)絡(luò)訪問和數(shù)據(jù)流層層控制?？仄脚_(tái)網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)“舟山港綜保區(qū)智能視頻監(jiān)控平臺(tái)”的網(wǎng)絡(luò)結(jié)構(gòu)由管理網(wǎng)、對外接入局域網(wǎng)、視頻專網(wǎng)組成，如下圖所示：網(wǎng)絡(luò)部署圖注：視頻專網(wǎng)的視頻數(shù)據(jù)通過電子口岸CA安全認(rèn)證傳輸?shù)綄ν饨尤刖钟蚓W(wǎng)，保證視頻數(shù)據(jù)的安全性與可靠性。安全部署參考方案網(wǎng)絡(luò)拓?fù)湔f明結(jié)合海關(guān)總署對外接入局域網(wǎng)的規(guī)定和舟山港綜保區(qū)的實(shí)際情況，具體網(wǎng)絡(luò)拓?fù)?/p>

7、如下圖所示：本參考方案采用防火墻串行設(shè)計(jì)，結(jié)合交換機(jī)的VLAN技術(shù)進(jìn)行安全區(qū)域劃分，隨各級(jí)防火墻級(jí)別遞增各個(gè)安全區(qū)域安全保護(hù)級(jí)別相應(yīng)遞增，同時(shí)結(jié)合數(shù)據(jù)交換與授權(quán)應(yīng)用訪問兩種業(yè)務(wù)模式細(xì)化安全域。在應(yīng)用層面，復(fù)雜多樣的進(jìn)入業(yè)務(wù)數(shù)據(jù)隨安全區(qū)域遞增逐步規(guī)范化、統(tǒng)一化、安全化，通過不同的安全技術(shù)手段甄別控制逐步強(qiáng)化對數(shù)據(jù)流的監(jiān)管，最終達(dá)到屏蔽非法數(shù)據(jù)、保證進(jìn)入管理網(wǎng)數(shù)據(jù)安全的目的。安全產(chǎn)品選擇和部署一級(jí)防火墻（含VPN功能）：部署在外部網(wǎng)絡(luò)和對外接入局域網(wǎng)間，同時(shí)還連接應(yīng)用服務(wù)區(qū)和交換緩沖區(qū)。主要功能是實(shí)現(xiàn)外部網(wǎng)絡(luò)、對外接入局域網(wǎng)的安全隔離。利用一級(jí)防火墻VPN功能實(shí)現(xiàn)外聯(lián)單位身份認(rèn)證和數(shù)據(jù)傳輸加密。一

8、級(jí)防火墻采用國產(chǎn)品牌。二級(jí)防火墻：部署在對外接入局域網(wǎng)和管理網(wǎng)間，主要功能是實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)間的安全隔離。產(chǎn)品選擇上采用與一級(jí)防火墻不同的品牌。防病毒網(wǎng)關(guān)：對所有進(jìn)出對外接入局域網(wǎng)的數(shù)據(jù)進(jìn)行病毒檢測和過濾。入侵檢測設(shè)備：對所有進(jìn)出對外接入局域網(wǎng)的流量進(jìn)行入侵和攻擊行為的檢測和分析，并及時(shí)報(bào)警。管理服務(wù)器部署在管理區(qū)。安全審計(jì)系統(tǒng)一套，部署在管理區(qū)。主要功能是將對外接入局域網(wǎng)的安全日志、事件進(jìn)行集中存儲(chǔ)、分析、審計(jì)。網(wǎng)絡(luò)版主機(jī)防病毒一套，客戶端部署在每臺(tái)主機(jī)，控制臺(tái)部署在管理區(qū)。主要對對外接入局域網(wǎng)中的主機(jī)提供病毒和惡意代碼防范。補(bǔ)丁管理系統(tǒng)一套，部署在管理區(qū)，主要實(shí)現(xiàn)對外接入局域網(wǎng)主機(jī)補(bǔ)丁的及時(shí)自

9、動(dòng)更新。安全運(yùn)行監(jiān)控系統(tǒng)一套，部署在管理區(qū)。使用的是總署“安全運(yùn)行管理平臺(tái)”。主機(jī)安全管理系統(tǒng)一套，客戶端部署在每臺(tái)主機(jī)，控制臺(tái)部署在管理區(qū)。主要實(shí)現(xiàn)對系統(tǒng)補(bǔ)丁、防病毒軟件運(yùn)行情況、非法外聯(lián)、共享目錄、系統(tǒng)權(quán)限提升等的自動(dòng)監(jiān)控、報(bào)警及自動(dòng)處置，并結(jié)合交換機(jī)配置實(shí)現(xiàn)接入認(rèn)證。CA安全網(wǎng)關(guān)，部署在對外接入局域網(wǎng)和與外部網(wǎng)絡(luò)之間（3G/4G網(wǎng)）。主要功能，是提供單兵設(shè)備的身份認(rèn)證和數(shù)據(jù)加簽加密傳輸，確保數(shù)據(jù)保密性和安全性。設(shè)備清單設(shè)備類型需求描述數(shù)量配置要求一級(jí)防火墻邊界安全隔離設(shè)備，雙機(jī)主備模式部署2接口數(shù)10，千兆光口，國產(chǎn)品牌二級(jí)防火墻邊界安全隔離設(shè)備，雙機(jī)主備模式部署2接口數(shù)10，千兆光口，與一級(jí)防火墻不同的品牌交換機(jī)千兆以太網(wǎng)交換機(jī)6接口數(shù)24，千兆光口防病毒網(wǎng)關(guān)網(wǎng)關(guān)層防病毒設(shè)備，帶有Bypass模塊2接口數(shù)2，千兆光口網(wǎng)閘帶有Bypass模塊2接口數(shù)2，千兆光口入侵檢測系統(tǒng)攻擊檢測防御設(shè)備1安全審計(jì)系統(tǒng)安全日志存儲(chǔ)和審計(jì)產(chǎn)品1主機(jī)安全管理系統(tǒng)對系統(tǒng)補(bǔ)丁、防病毒軟件運(yùn)行情況、非法外聯(lián)、系統(tǒng)權(quán)限提升等監(jiān)控、報(bào)警及自動(dòng)處置1單兵設(shè)備安全接入系統(tǒng)預(yù)算設(shè)備名稱需求描述數(shù)量規(guī)格要求CA安全網(wǎng)關(guān)移動(dòng)安全管理平臺(tái)核心部件，負(fù)責(zé)本系統(tǒng)的帳號(hào)管理、策略管理、日志管理等基礎(chǔ)框架功能，采用SM1加密算法，存儲(chǔ)終