信息安全集成系统设计方案(共60页).doc
《信息安全集成系统设计方案(共60页).doc》由会员分享,可在线阅读,更多相关《信息安全集成系统设计方案(共60页).doc(52页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、精选优质文档-倾情为你奉上成都综合保税区西区信息安全集成系统方案XX科技有限公司2010.12目 录1、项目背景2010年10月18日,国务院设立成都高新综合保税区。根据国务院批复,成都高新综合保税区规划面积4.68平方公里,位于成都高新区西部园区。新设立的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心(B型) 和成都出口加工区南区(803区)进行整合扩展而成的。 四川成都出口加工区2000年4月经国务院批准设立,是中国首批出口加工区之一,2009年进出口总额64.2亿美元,2010年17月进出口总额50.75亿美元,增长43%,综合排名全国第5、中西部第1,是全国发展最好的出
2、口加工区之一;成都保税物流中心(B型)于2009年3月通过验收,7月正式封关运行,目前发展情况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身,是目前国内功能最全、政策最优的海关特殊监管区域,有利于海关监管运行,更有利于企业的进一步发展。 为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台,提高出口加工区现代化的监管水平,利用现代监控技术、网络与通信技术、计算机处理技术和自动控制技术,构建一个先进、实用、可靠的保税区海关联网监管系统。信息技术的发展,为海关管理创新提供了手段,实现信息化将使海关管理水平产生质的飞跃。经过多年的建设,海关已形成了涉密办公网、办公管
3、理网、业务运行网、对外接入网等功能齐全的复杂办公环境 ,在业务协同、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台,建立科学的信息管理体系,关键的一环就是信息部门必须对其信息技术设备和服务进行全面的、整体的网络运行监控和安全管理。这其中,既涉及到网络管理,也有安全管理。技术支撑层,充分利用技术手段,建立高效、协同的信息安全管理平台,将网络监控与安全监控有机地结合在一起,注重能够及时定位故障。技术支撑体系应该包括三个层次:展示层、运维管理层、集中监控层。1)展示层。提供面向信息安全层面和信息安全管理决策层面的展示视角,在信息安全管理界面上实现集中运维的统一管理功能和信息展
4、示与交互功能。2)流程及业务信息安全管理层。在集中信息安全管理模式下实现流程执行和管理控制功能、业务安全管理功能。3)集中控制层。通过监控工具实现对不同服务对象和IT资源的实时监控,包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展,按海关部署相关规定,要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一
5、条链路,当其中一条链路出理故障时互为备份,故障排除后自动切换回原有链路,无需人工干预。线路上分别选择电信和网通的一条链路,更好地保障备份的可靠。系统建设配置包括广域网路由设备,不同的运营网分别租用4M以上的宽带线路。2.1.2电子口岸专线为满足电子口岸录入的需要,要求建设电子口岸电子专网。电子口岸专网也采用“双线热备”方案,原则上由部署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统包括管理网G(六类系统)、业务网Y(超五类系统)、互联网W(超五类系统)语音网T(水平超五类系统)、备用网络B(超五类系统)共计5个系统(可根据监管要求及功能设置作相应调整)。各网络物理隔离、独立组网,新
6、设机构可根据实际情况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据采用4芯多模室内光缆、语音采用25芯5类大对数电缆及超5类屏蔽电缆。2.2.2网线布线系统管理网:水平布线采用六类非屏蔽网线,垂直干线采用4芯多模光纤;运行网、互联网、备用网络:水平布线采用超五类非屏蔽网线,垂直干线采用4芯多模光纤;机房:水平布线采用六类非屏蔽网线及超五类屏蔽网线。2.2.3机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间:管理网、业务网可共用一个机柜,互联网、电话、备用网共用一个机柜;机房:管理网、业务网可共用一个机柜,互联网、备用网共用一个机柜,电话共用一个
7、机柜。2.2.4综合布线标识说明由于网络的种类比较多,在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号,垂直主干用另一种编号。具体编号说明参见海关相应文件。机房的网络布线系统设计,除应符合本规范的规定外,还应符合现行国家标准综合布线系统工程设计规范GB50311的有关规定。2.2.5园区网建设园区内应建设园区网,以实现区内所有企业与管委会之间信息的互通和管理,同时考虑相应的安全管理建设,包括防病毒管理、客户端准入等。园区网为封闭局域网,但保留对外互联网出口。园区网建设方案应提交海关技术处审批,海关技
8、术处可对园区网的建设进行协助和指导。2.3机房建设机房建设要求为海关设立独立机房,桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积:按二类机房的相关要求,面积在90130平方米之间;机房走线与装修:按上走线方式进行综合布线,吊顶应可拆卸,或留有出入口,以方便管道和设备的安装维护。缆线采用线槽或桥架敷设时,线槽或桥架的高度不宜大于150mm,桥架宜采用网格式桥架。地面工程:地面应平整,必须进行防尘处理,采用防尘涂料时,至少粉刷2遍以上。防雷工程:防雷部分的电源防雷器选用进口产品。机房空调:能够满足机房使用条件的专用独立温湿度调节
9、空调。机房综合布线:机房的综合布线系统选用进口6类非屏蔽系统,配线架全部选用6类24口快跳式配线架,光纤部分采用24口光纤配线盘连接。各楼层汇聚机房配线架,配线架型号选择参见综合布线各网络设计要求。UPS:配置10KVA UPS设备2台,电池能够满足10KVA设备支持30分钟。消防报警:根据具体情况自行设计。机房监控:根据具体情况自行设计。3、系统设计3.1设计依据及设计原则3.1.1、设计依据计算机信息系统安全保护等级划分准则(GB17859-1999)信息系统安全等级保护基本要求(GB/T 22239-2008)。信息系统安全保护等级定级指南(GB/T 22240-2008)信息系统安全等
10、级保护实施指南(信安字200710号)信息系统通用安全技术要求(GB/T 20271-2006)信息系统等级保护安全设计技术要求(信安秘字2009059号)信息系统安全管理要求(GB/T 20269-2006)信息系统安全工程管理要求(GB/T 20282-2006)信息系统物理安全技术要求(GB/T 21052-2007)网络基础安全技术要求(GB/T 20270-2006)信息系统安全等级保护体系框架(GA/T 708-2007)信息系统安全等级保护基本模型(GA/T 709-2007)信息系统安全等级保护基本配置(GA/T 710-2007)信息系统安全等级保护测评要求(报批稿)信息系统
11、安全等级保护测评过程指南(报批稿)信息系统安全管理测评(GA/T 713-2007)操作系统安全技术要求(GB/T 20272-2006)操作系统安全评估准则(GB/T 20008-2005)数据库管理系统安全技术要求(GB/T 20273-2006)数据库管理系统安全评估准则(GB/T 20009-2005)网络端设备隔离部件技术要求(GB/T 20279-2006)网络端设备隔离部件测试评价方法(GB/T 20277-2006)网络脆弱性扫描产品技术要求(GB/T 20278-2006)网络脆弱性扫描产品测试评价方法(GB/T 20280-2006)网络交换机安全技术要求(GA/T 684
12、-2007)虚拟专用网安全技术要求(GA/T 686-2007)网关安全技术要求(GA/T 681-2007)服务器安全技术要求(GB/T 21028-2007)入侵检测系统技术要求和检测方法(GB/T 20275-2006)计算机网络入侵分级要求(GA/T 700-2007)防火墙安全技术要求(GA/T 683-2007)防火墙技术测评方法(报批稿)信息系统安全等级保护防火墙安全配置指南(报批稿)防火墙技术要求和测评方法(GB/T 20281-2006)包过滤防火墙评估准则(GB/T 20010-2005)路由器安全技术要求(GB/T 18018-2007)路由器安全评估准则(GB/T 20
13、011-2005)路由器安全测评要求(GA/T 682-2007)网络交换机安全技术要求(GB/T 21050-2007)交换机安全测评要求(GA/T 685-2007)终端计算机系统安全等级技术要求(GA/T 671-2006)终端计算机系统测评方法(GA/T 671-2006)虚拟专网安全技术要求(GA/T 686-2007)应用软件系统安全等级保护通用技术指南(GA/T 711-2007)应用软件系统安全等级保护通用测试指南(GA/T 712-2007)网络和终端设备隔离部件测试评价方法(GB/T 20277-2006)网络脆弱性扫描产品测评方法(GB/T 20280-2006)信息安全
14、风险评估规范(GB/T 20984-2007)信息安全事件管理指南(GB/Z 20985-2007)信息安全事件分类分级指南(GB/Z 20986-2007)信息系统灾难恢复规范(GB/T 20988-2007)3.1.2、设计原则在技术方案设计中,遵循以下的系统总体设计原则:1、统一规划、分布实施遵循统一规划、分布实施的原则,在信息中心软硬件支持平台扩容规划和建设中,首要的工作就是明确近期和长期的建设目标,立足于应用,分布实施。2、开放性、互连性和标准化采用国际、国家标准、协议和接口,能与现有的和未来的系统互连与集成。3、先进性在保证系统的整体性和实用性的前提下,考虑系统的先进性,所采用的技
15、术和设备应能保证在目前同行业中是先进的,能够满足成都海关信息中心软硬件支持平台扩容未来5年以上的需求发展。4、成熟性技术方案中所采用的系统体系结构和技术必须是已经过实践检验,证明是成熟的。5、可靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、可靠性产品保证整个系统具有高度的可靠性、稳定性和容错性。6、安全性建立完善的网络安全体系,保证海关信息中心网络设备的安全运行。7、高性能网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要,能灵活方便地适应未来系统可能的变化。选择开放性标准的产品,确保设备的兼容性;通过系统结构的合
16、理设计和适度资源冗余,为未来的系统扩充打下基础,保证需求增加时系统的平滑扩充,保证前期的投资。9、高可管理性整个系统的设计要层次清晰、功能明确,便于性能分析、故障诊断,能实现对系统资源的全面监控和优化配置,对访问的有效监控和审计,保证整个系统具有高度的可管理性。3.2信息安全技术设计3.2.1 机房设计3.2.1.1机房位置的选择 机房设置在综合保税区A区2楼,按照国家机房标准设置,具有防震、防风和防雨等能力。 3.2.1.2机房访问控制 a) 机房出入口应安排专人值守,控制、鉴别和记录进入的人员; b) 需进入机房的来访人员应经过申请和审批流程,并限制和监控其活动范围。 3.2.1.3防盗窃
17、和防破坏 a) 应将主要设备放置在机房内; b) 应将设备或主要部件进行固定,并设置明显的不易除去的标记; c) 应将通信线缆铺设在隐蔽处,可铺设在地下或管道中; d) 应对介质分类标识,存储在介质库或档案室中; e) 主机房安装必要的防盗报警设施。 3.2.1.4防雷击 a) 机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置; b) 机房设置交流电源地线。 3.2.1.5防火 机房应设置灭火设备和火灾自动报警系统。 3.2.1.6防水和防潮 a) 水管安装,不得穿过机房屋顶和活动地板下; b) 采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; c) 采取措施防止机房内水蒸气结露和
18、地下积水的转移与渗透。 3.2.1.7防静电 整个机房采用防静电地板设计。 3.2.1.8温湿度控制 机房设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 3.2.1.9电力供应 a) 应在机房供电线路上配置稳压器和过电压防护设备; b) 应提供了30KVA的UPS,用于短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求。 3.2.1.10电磁防护 电源线和通信线缆应隔离铺设,避免互相干扰。 3.2.2 网络设计3.2.2.1网络结构设计 采用MSTP的组网方式,A、B、C三区采用MSTP光纤电路(RJ45接口),通过中国电信MSTP网络,实现了A、B、C
19、三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访,组成数据通信传输通信专网。其网络结构图如下图所示:图9:网络结构图网络中设备、电路均安全可靠,关键设备、电路均有冗余备份,并采用先进的容错技术和故障处理技术,保证数据传输的安全可靠,保证网络可用性达到使用要求。这样设计,得以实现系统网络安全:l 保证关键网络设备的业务处理能力具备冗余空间,满足业务高峰期需要; l 保证接入网络和核心网络的带宽满足业务高峰期需要; l 根据各部门的工作职能、重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段。 3.2.2.2访问控
20、制 l 在网络边界部署访问控制设备,启用访问控制功能; l 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为网段级。 l 按用户和系统之间的允许访问规则,决定允许或拒绝用户对受控系统进行资源访问,控制粒度为单个用户; l 限制具有拨号访问权限的用户数量。 3.2.2.3安全审计 l 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; l 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。3.2.2.4边界完整性检查 能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。3.2.2.5入侵检测在网络边界处监视以
21、下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统设置一台IDS检测引擎,用于对计算机和网络资源的恶意使用行为进行识别和相应处理。其结构如下图所示:检测引擎是一个高性能的专用硬件,运行安全的操作系统,对网络中的所有数据包进行记录和分析。根据规则判断是否有异常事件发生,并及时报警和响应。同时记录网络中发生的所有事件,以便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎,进行策略配置,系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产
22、生图文并茂的报表输出。3.2.2.6网络设备防护 l 对登录网络设备的用户进行身份鉴别; l 对网络设备的管理员登录地址进行限制; l 网络设备用户的标识应唯一; l 身份鉴别信息应具有不易被冒用的特点,口令应有复杂度要求并定期更换; l 具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施; l 当对网络设备进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听。 3.2.3 主机安全3.2.3.1身份鉴别 l 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; l 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 集成 系统 设计方案 60
限制150内