信息安全集成系统设计方案.docx

1、信息安全集成系统设计方案成都综合保税区西区信息安全集成系统方案XX科技有限公司2010.121、项目背景2010年10月18日，国务院设立成都高新综合保税区。根据国务院批复，成都高新综合保税区规划面积4.68平方公里，位于成都高新区西部园区。新设立的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心(B型) 和成都出口加工区南区（803区）进行整合扩展而成的。 四川成都出口加工区2000年4月经国务院批准设立，是中国首批出口加工区之一，2009年进出口总额64.2亿美元，2010年17月进出口总额50.75亿美元，增长43%，综合排名全国第5、中西部第1，是全国发展最好的出口加工区

2、之一；成都保税物流中心(B型)于2009年3月通过验收，7月正式封关运行，目前发展情况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关特殊监管区域，有利于海关监管运行，更有利于企业的进一步发展。 为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提高出口加工区现代化的监管水平，利用现代监控技术、网络与通信技术、计算机处理技术和自动控制技术，构建一个先进、实用、可靠的保税区海关联网监管系统。信息技术的发展，为海关管理创新提供了手段，实现信息化将使海关管理水平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业

3、务运行网、对外接入网等功能齐全的复杂办公环境 ，在业务协同、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息管理体系，关键的一环就是信息部门必须对其信息技术设备和服务进行全面的、整体的网络运行监控和安全管理。这其中，既涉及到网络管理，也有安全管理。技术支撑层，充分利用技术手段，建立高效、协同的信息安全管理平台，将网络监控与安全监控有机地结合在一起，注重能够及时定位故障。技术支撑体系应该包括三个层次：展示层、运维管理层、集中监控层。1）展示层。提供面向信息安全层面和信息安全管理决策层面的展示视角，在信息安全管理界面上实现集中运维的统一管理功能和信息展示与交互

4、功能。2）流程及业务信息安全管理层。在集中信息安全管理模式下实现流程执行和管理控制功能、业务安全管理功能。3）集中控制层。通过监控工具实现对不同服务对象和IT资源的实时监控，包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展，按海关部署相关规定，要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一条链路，

5、当其中一条链路出理故障时互为备份，故障排除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网通的一条链路，更好地保障备份的可靠。系统建设配置包括广域网路由设备，不同的运营网分别租用4M以上的宽带线路。2.1.2电子口岸专线为满足电子口岸录入的需要，要求建设电子口岸电子专网。电子口岸专网也采用“双线热备”方案，原则上由部署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统包括管理网G（六类系统）、业务网Y（超五类系统）、互联网W（超五类系统）语音网T（水平超五类系统）、备用网络B（超五类系统）共计5个系统（可根据监管要求及功能设置作相应调整）。各网络物理隔离、独立组网，新设机构可

6、根据实际情况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据采用4芯多模室内光缆、语音采用25芯5类大对数电缆及超5类屏蔽电缆。2.2.2网线布线系统管理网：水平布线采用六类非屏蔽网线，垂直干线采用4芯多模光纤；运行网、互联网、备用网络：水平布线采用超五类非屏蔽网线，垂直干线采用4芯多模光纤；机房：水平布线采用六类非屏蔽网线及超五类屏蔽网线。2.2.3机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间：管理网、业务网可共用一个机柜，互联网、电话、备用网共用一个机柜；机房：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，电话共用一个机柜。2

7、.2.4综合布线标识说明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号。具体编号说明参见海关相应文件。机房的网络布线系统设计，除应符合本规范的规定外，还应符合现行国家标准综合布线系统工程设计规范GB50311的有关规定。2.2.5园区网建设园区内应建设园区网，以实现区内所有企业与管委会之间信息的互通和管理，同时考虑相应的安全管理建设，包括防病毒管理、客户端准入等。园区网为封闭局域网，但保留对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对

8、园区网的建设进行协助和指导。2.3机房建设机房建设要求为海关设立独立机房，桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的相关要求，面积在90130平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以方便管道和设备的安装维护。缆线采用线槽或桥架敷设时，线槽或桥架的高度不宜大于150mm,桥架宜采用网格式桥架。地面工程：地面应平整，必须进行防尘处理，采用防尘涂料时，至少粉刷2遍以上。防雷工程：防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调节空调。机

9、房综合布线：机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用6类24口快跳式配线架，光纤部分采用24口光纤配线盘连接。各楼层汇聚机房配线架，配线架型号选择参见综合布线各网络设计要求。UPS：配置10KVA UPS设备2台，电池能够满足10KVA设备支持30分钟。消防报警：根据具体情况自行设计。机房监控：根据具体情况自行设计。3、系统设计3.1设计依据及设计原则3.1.1、设计依据计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护基本要求（GB/T 22239-2008）。信息系统安全保护等级定级指南（GB/T 22240-2008）信息系统安全等级保护实

10、施指南（信安字200710号）信息系统通用安全技术要求（GB/T 20271-2006）信息系统等级保护安全设计技术要求（信安秘字2009059号）信息系统安全管理要求（GB/T 20269-2006）信息系统安全工程管理要求（GB/T 20282-2006）信息系统物理安全技术要求（GB/T 21052-2007）网络基础安全技术要求（GB/T 20270-2006）信息系统安全等级保护体系框架（GA/T 708-2007）信息系统安全等级保护基本模型（GA/T 709-2007）信息系统安全等级保护基本配置（GA/T 710-2007）信息系统安全等级保护测评要求（报批稿）信息系统安全等级

11、保护测评过程指南（报批稿）信息系统安全管理测评（GA/T 713-2007）操作系统安全技术要求（GB/T 20272-2006）操作系统安全评估准则（GB/T 20008-2005）数据库管理系统安全技术要求（GB/T 20273-2006）数据库管理系统安全评估准则（GB/T 20009-2005）网络端设备隔离部件技术要求（GB/T 20279-2006）网络端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品技术要求（GB/T 20278-2006）网络脆弱性扫描产品测试评价方法（GB/T 20280-2006）网络交换机安全技术要求（GA/T 684-200

12、7）虚拟专用网安全技术要求（GA/T 686-2007）网关安全技术要求（GA/T 681-2007）服务器安全技术要求（GB/T 21028-2007）入侵检测系统技术要求和检测方法（GB/T 20275-2006）计算机网络入侵分级要求（GA/T 700-2007）防火墙安全技术要求（GA/T 683-2007）防火墙技术测评方法（报批稿）信息系统安全等级保护防火墙安全配置指南（报批稿）防火墙技术要求和测评方法（GB/T 20281-2006）包过滤防火墙评估准则（GB/T 20010-2005）路由器安全技术要求（GB/T 18018-2007）路由器安全评估准则（GB/T 20011-

13、2005）路由器安全测评要求（GA/T 682-2007）网络交换机安全技术要求（GB/T 21050-2007）交换机安全测评要求（GA/T 685-2007）终端计算机系统安全等级技术要求（GA/T 671-2006）终端计算机系统测评方法（GA/T 671-2006）虚拟专网安全技术要求（GA/T 686-2007）应用软件系统安全等级保护通用技术指南（GA/T 711-2007）应用软件系统安全等级保护通用测试指南（GA/T 712-2007）网络和终端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品测评方法（GB/T 20280-2006）信息安全风险评估

14、规范（GB/T 20984-2007）信息安全事件管理指南（GB/Z 20985-2007）信息安全事件分类分级指南（GB/Z 20986-2007）信息系统灾难恢复规范（GB/T 20988-2007）3.1.2、设计原则在技术方案设计中，遵循以下的系统总体设计原则：1、统一规划、分布实施遵循统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建设中，首要的工作就是明确近期和长期的建设目标，立足于应用，分布实施。2、开放性、互连性和标准化采用国际、国家标准、协议和接口，能与现有的和未来的系统互连与集成。3、先进性在保证系统的整体性和实用性的前提下，考虑系统的先进性，所采用的技术和设备

15、应能保证在目前同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容未来5年以上的需求发展。4、成熟性技术方案中所采用的系统体系结构和技术必须是已经过实践检验，证明是成熟的。5、可靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、可靠性产品保证整个系统具有高度的可靠性、稳定性和容错性。6、安全性建立完善的网络安全体系，保证海关信息中心网络设备的安全运行。7、高性能网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要，能灵活方便地适应未来系统可能的变化。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计和

16、适度资源冗余，为未来的系统扩充打下基础，保证需求增加时系统的平滑扩充，保证前期的投资。9、高可管理性整个系统的设计要层次清晰、功能明确，便于性能分析、故障诊断，能实现对系统资源的全面监控和优化配置，对访问的有效监控和审计，保证整个系统具有高度的可管理性。3.2信息安全技术设计3.2.1 机房设计3.2.1.1机房位置的选择 机房设置在综合保税区A区2楼，按照国家机房标准设置，具有防震、防风和防雨等能力。 3.2.1.2机房访问控制 a) 机房出入口应安排专人值守，控制、鉴别和记录进入的人员； b) 需进入机房的来访人员应经过申请和审批流程，并限制和监控其活动范围。 3.2.1.3防盗窃和防破坏

17、 a) 应将主要设备放置在机房内； b) 应将设备或主要部件进行固定，并设置明显的不易除去的标记； c) 应将通信线缆铺设在隐蔽处，可铺设在地下或管道中； d) 应对介质分类标识，存储在介质库或档案室中； e) 主机房安装必要的防盗报警设施。 3.2.1.4防雷击 a) 机房建筑设置了电源防雷器、数据防雷器和视频信息防雷器等避雷装置； b) 机房设置交流电源地线。 3.2.1.5防火 机房应设置灭火设备和火灾自动报警系统。 3.2.1.6防水和防潮 a) 水管安装，不得穿过机房屋顶和活动地板下； b) 采取措施防止雨水通过机房窗户、屋顶和墙壁渗透； c) 采取措施防止机房内水蒸气结露和地下积水

18、的转移与渗透。 3.2.1.7防静电 整个机房采用防静电地板设计。 3.2.1.8温湿度控制 机房设置温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。 3.2.1.9电力供应 a) 应在机房供电线路上配置稳压器和过电压防护设备； b) 应提供了30KVA的UPS，用于短期的备用电力供应，至少满足关键设备在断电情况下的正常运行要求。 3.2.1.10电磁防护 电源线和通信线缆应隔离铺设，避免互相干扰。 3.2.2 网络设计3.2.2.1网络结构设计 采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的

19、互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。其网络结构图如下图所示：图9：网络结构图网络中设备、电路均安全可靠，关键设备、电路均有冗余备份，并采用先进的容错技术和故障处理技术，保证数据传输的安全可靠，保证网络可用性达到使用要求。这样设计，得以实现系统网络安全： 保证关键网络设备的业务处理能力具备冗余空间，满足业务高峰期需要； 保证接入网络和核心网络的带宽满足业务高峰期需要； 根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段。 3.2.2.2访问控制 在网络边界部署

20、访问控制设备，启用访问控制功能； 根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为网段级。 按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访问，控制粒度为单个用户； 限制具有拨号访问权限的用户数量。 3.2.2.3安全审计 对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录； 审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。3.2.2.4边界完整性检查 能够对内部网络中出现的内部用户未通过准许私自联到外部网络的行为进行检查。3.2.2.5入侵检测在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻

21、击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。系统设置一台IDS检测引擎，用于对计算机和网络资源的恶意使用行为进行识别和相应处理。其结构如下图所示：检测引擎是一个高性能的专用硬件，运行安全的操作系统，对网络中的所有数据包进行记录和分析。根据规则判断是否有异常事件发生，并及时报警和响应。同时记录网络中发生的所有事件，以便事后重放和分析。管理主机运行于Windows操作系统的图形化管理软件。可以查看分析一个或多个检测引擎，进行策略配置，系统管理。显示攻击事件的详细信息和解决对策。恢复和重放网络中发生的事件。提供工具分析网络运行状况。并可产生图文并茂的报表输出。3.2.2.6网络设

22、备防护 对登录网络设备的用户进行身份鉴别； 对网络设备的管理员登录地址进行限制； 网络设备用户的标识应唯一； 身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 具有登录失败处理功能，可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施； 当对网络设备进行远程管理时，应采取必要措施防止鉴别信息在网络传输过程中被窃听。 3.2.3 主机安全3.2.3.1身份鉴别 应对登录操作系统和数据库系统的用户进行身份标识和鉴别； 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换； 应启用登录失败处理功能，可采取结束会话、限制非法登录次数和

23、自动退出等措施； 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； 应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。 3.2.3.2访问控制 应启用访问控制功能，依据安全策略控制用户对资源的访问； 应实现操作系统和数据库系统特权用户的权限分离； 应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令； 应及时删除多余的、过期的帐户，避免共享帐户的存在。 3.2.3.3安全审计 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户； 审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件

24、； 审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等； 应保护审计记录，避免受到未预期的删除、修改或覆盖等。 3.2.3.4入侵防范 操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。 3.2.3.5恶意代码防范 应安装防恶意代码软件，并及时更新防恶意代码软件版本和恶意代码库； 应支持防恶意代码软件的统一管理。 3.2.3.6资源控制 应通过设定终端接入方式、网络地址范围等条件限制终端登录； 应根据安全策略设置登录终端的操作超时锁定； 应限制单个用户对系统资源的最大或最小使用限度。 3.2.4 应用安全3.2.4.1身

25、份鉴别 应提供专用的登录控制模块对登录用户进行身份标识和鉴别； 应提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用； 应提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施； 应启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。 3.2.4.2访问控制 应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问； 访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作； 应由授权主体配置访问控制策略，并严格限制默认帐户的访问权限； 应

26、授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。 3.2.4.3安全审计 应提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计； 应保证无法删除、修改或覆盖审计记录； 审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。 3.2.4.4通信完整性 应采用校验码技术保证通信过程中数据的完整性。 3.2.4.5通信保密性 在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证； 应对通信过程中的敏感信息字段进行加密。 3.2.4.6软件容错 应提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合

27、系统设定要求； 在故障发生时，应用系统应能够继续提供一部分功能，确保能够实施必要的措施。 3.2.4.7资源控制 当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话； 应能够对应用系统的最大并发会话连接数进行限制； 应能够对单个帐户的多重并发会话进行限制。 3.2.5 数据安全及备份恢复3.2.5.1数据完整性 应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏。系统提供完整的日志功能，对所有的业务数据，进行日志记录，以备后查。3.2.5.2数据保密性 应采用加密或其他保护措施实现鉴别信息的存储保密性。系统使用IC卡存储业务数据时，采用了DES加密算法，对

28、关键数据进行加密。3.2.5.3备份和恢复 a) 采用了Rose公司提供的、基于共享磁盘阵列的高可用RoseHA解决方案，为用户提供了具有单点故障容错能力的系统平台。 b) 采用MSTP的组网方式，A、B、C三区采用MSTP光纤电路（RJ45接口），通过中国电信MSTP网络，实现了A、B、C三个区的互联通讯、三个区的网络热备以及A区通过互联网接入与成都海关总部互访，组成数据通信传输通信专网。c)制定详细的数据库备份与灾难恢复策略，并通过模拟故障对每种可能的情况进行严格测试，保证了数据的高可用性。3.2.6综合布线系统3.2.6.1概述综合布线系统范围主要包括联检大楼、闸口及闸口办公区、查验平台

29、及查验仓库及实验楼等。本综合布线系统涉及海关、检验检疫和用户三方的综合布线系统。3.2.6.2 综合布线系统设计为保证系统先进性、开放性和扩展性，实现语音、多媒体、数据等应用的承载能力，综合布线系统采用六类结构化布线系统，采用星型拓扑结构，主干网络采用千兆以太网络，实现百兆接入、千兆上行的物理链路。综合布线系统由工作区，水平区，垂直区，设备管理及楼群子系统组成，各部分均采用标准的模块化构件，以利于将来的升级、扩展。 工作区子系统工作区子系统由设在各工作区的信息插座、跳线（连接信息插座至终端设备之间的线缆）构成。信息插座采用双孔面板及相配合的六类信息模块。 水平干线子系统水平子系统由各大楼内楼层

30、配线间至各个工作区之间的电缆和多模水平光缆构成。水平干线子系统采用六类阻燃双绞线电缆。本系统采用六类双绞线，用于所有的数据点和语音点，实现信息点可完全互换。 垂直主干子系统垂直主干子系统采用单模光缆，提供全双工传输通道，具有极大的传输带宽和极高的传输质量。 管理子系统管理子系统由各层分设的楼层配线系统及主机房中的主配线系统（设备间子系统）构成，负责楼层内及信息通道的统一管理。主要由跳线面板、跳线管理器、跳线、光缆端接面板、机柜（或机架）等组成。管理子系统将电话模块、电脑模块和网络模块安装在机柜中，对线缆进行统一布局和管理。系统采用19”标准机柜，高42U，顶部安装有2-4个风扇，背后安装电源线槽，正面安装玻璃门，后背板和侧板均可拆卸。机柜内所有的信息点符合规定的编号规则和颜色规则，以方便用户的使用。 主配线间（BD）为实现高可靠性，本系统将主配线架全部安装在机柜内。 楼层配线间（FD）在各楼层配线架中，与水平双绞线连接的用户区采用六类配线架，每个信息点完全灵活用于语音或数据。各配线间设置光纤配线架,用来连接多芯光缆，安装在19”标准机柜内，用于各种计算机网络设备。通过更换跳线实现与其他网络设备的连接。3.2.6.3海关综合布线系统