广西邮政综合网边界网络隔离和防病毒实施方案.docx
- 文档编号:18649966
- 上传时间:2023-08-24
- 格式:DOCX
- 页数:19
- 大小:85.63KB
广西邮政综合网边界网络隔离和防病毒实施方案.docx
《广西邮政综合网边界网络隔离和防病毒实施方案.docx》由会员分享,可在线阅读,更多相关《广西邮政综合网边界网络隔离和防病毒实施方案.docx(19页珍藏版)》请在冰点文库上搜索。
广西邮政综合网边界网络隔离和防病毒实施方案
广西邮政综合网边界网络隔离和防病毒方案
随着网络建设的完成和各应用系统的上线,邮政综合网网络安全问题越来越突出,尤其是病毒和来自互联网的威胁已经直接影响到网络和系统的安全运行,也影响到包括正在进行的业务量收管理系统和OA(办公自动化)系统在内的新应用系统的上线。
为此,国家邮政局信息技术局编制并发布《综合网边界网络隔离和防病毒纲要(暂行)》(信局传[2005]74号文件),以下简称纲要。
根据国家局的要求并结合广西邮政自身情况,现制定出广西邮政综合网边界网络隔离和防病毒方案。
一、本方案的目标和原则
本方案的主要目标是按照安全属性对广西邮政综合网(包括储蓄系统和电子邮政)进行安全区域划分,并规定区域隔离和防病毒的要求;确保网络和应用系统的安全运行,确保新系统顺利上线。
矚慫润厲钐瘗睞枥庑赖。
本方案的基本原则:
1、完整性原则。
本纲要的要求应视为邮政综合网安全技术体系的重要组成部分,但不是全部。
国家邮政局信息技术局将陆续发布其它的部分。
聞創沟燴鐺險爱氇谴净。
2、整体性原则。
网络安全是全程全网的大事,任何部分的安全级别的降低都意味着全网安全级别的降低。
任何纰漏都是对全网生产安全的威胁。
残骛楼諍锩瀨濟溆塹籟。
3、有限性原则。
任何安全技术措施的作用都是有限的,更重要的是安全管理和各级人员的安全意识及技术水平并最终落实为安全措施的执行力。
因此,本纲要应视为系统安全的基本要求和最低的安全技术保障。
酽锕极額閉镇桧猪訣锥。
在邮政综合网上,由于历史等原因,骨干网络上有两个相对独立的IP网,即邮政综合网、邮政储蓄系统,它们的安全级别从高到低依次是邮政储蓄系统、邮政综合网,再加上INTERNET(互联网)。
在国家邮政局没有修改邮政综合网网络技术体制之前,骨干网络仍维持目前的网络结构,并在此基础上,根据实际需要进行扩充。
同时,增加INTERNET作为新的数据通信渠道。
彈贸摄尔霁毙攬砖卤庑。
网络隔离的基本思路是:
按照应用的特点和安全性要求,对网络进行分区域隔离,不同区域之间采用防火墙进行网络隔离,在区域内可以根据实际需要,再隔离成子区域、子子区域直到VLAN(虚拟局域网);并在此基础上,在区域内部部署防病毒系统、入侵检测系统等。
本方案就是针对目前邮政综合网运行和建设过程中最突出的问题,围绕与INTERNET、第三方合作伙伴连接的网络边界防护及OA系统、量收系统等有特殊通讯要求的系统而编制,旨在抑制病毒、加强安全,保证系统稳定运行。
应该看到,网络隔离和防病毒只是全网安全技术体系中的一部分,随着邮政综合网的建设和发展,安全措施必将进一步加强,安全技术体系必将得到进一步地完善。
謀荞抟箧飆鐸怼类蒋薔。
二、边界网络隔离方案
(一)区局机关办公网络连接方案
目前,区局办公网络与邮政综合网之间是两网分离的。
邮运指挥调度系统、名址信息系统、OA系统和量收系统等上线运行后,区局机关办公人员将需要访问互连网能访问生产网。
为确保综合网网络的安全和防止病毒蔓延,根据《纲要》的要求,并结合区局机关办公局域网的实际情况,现提出如下解决方案:
厦礴恳蹒骈時盡继價骚。
方案一:
防火墙
见图1,按照《纲要》推荐使用的方案A调整网络结构。
方案有4个区域,其中,区域O为互联网接入区域,主要功能是完成互联网接入,部署为边界路由器R1、MODEM等网络接入设备,是安全级别最低的区域。
茕桢广鳓鯡选块网羈泪。
区域E是非军事区之一,主要功能是透过防火墙F1与INTERNET用户或用户服务器进行通信,透过路由器R2进行必要的、受限的通信访问生产网,使用具有第三层交换功能的局域网交换机S1,划分成不同的VLAN。
该区域可以部署用于INTERNET用户的WEB服务器、MAIL服务器、DNS服务器、FTP服务器、支付网关服务器、VPN服务器及其它直接与用户或用户服务器通过INTERNET通信的前端服务器。
其安全级别高于区域O。
防火墙F1应具有VPN功能,为移动办公用户和各市、县局用户通过INTERNET访问OA服务提供虚拟访问通道(VPN)。
鹅娅尽損鹌惨歷茏鴛賴。
区域D是非军事区之二,主要功能是非军事区的第二梯队,可以透过防火墙F1防问区域E中的服务器,并可访问区域O中的服务器,同时,可以透过路由器R2受限地访问区域I中的服务器,使用具有第三层交换功能的局域网交换机S2。
在该区域可以部署OA系统的PC服务器,内部使用的文件服务器等。
其安全级别略高于区域E。
籟丛妈羥为贍偾蛏练淨。
区域I是内部网络,可以视为邮政综合网。
主要功能是承担企业内部生产、经营、管理等系统的数据通信,并为区域E和区域D提供数据。
在方案中安全级别最高。
預頌圣鉉儐歲龈讶骅籴。
方案要求网络隔离安全策略要求如下:
Ø只允许区域O中的IP访问区域E中的指定IP的指定端口;
Ø只允许区域D和区域E中的指定IP访问区域O中的IP;
Ø只允许区域D和区域E中的指定IP访问区域I中的指定IP的指定端口;
Ø区域I中的指定IP的指定端口只允许被区域D、区域E中的指定IP访问;
Ø除上述条件以后的所有通讯是禁止的。
在使用上述安全策略时,应与具体的系统结合起来,进行细化和加强。
根据纲要要求,方案中要求新增
(1)专用VPN服务器(可利旧),部署在E区域,安全上要有充分的保证;
(2)新增一台具有VPN功能的边界防火墙F1和两台三层交换机;(3)加密算法符合有关法规,有足够的加密强度,有密钥管理的组织保证和纪律保证。
渗釤呛俨匀谔鱉调硯錦。
方案二:
防火墙+隔离卡
在方案一的基础上,为区域D中的需要访问互连网又需要访问生产网的计算机增加一张隔离卡,通过隔离卡实现计算机不能同时访问互联网和生产网,见图2。
区域D,只有OA系统的邮件服务器能够通过路由器R2访问国家邮政局放在综合网内部的邮件服务器,装有隔离卡的计算机也能够访问区域I。
铙誅卧泻噦圣骋贶頂廡。
方案三:
配置计算机
在方案一的基础上,为每一位需要访问互联网又需要访问生产网的用户增加一台计算机,要求固定的计算机访问固定的网络。
见图3。
擁締凤袜备訊顎轮烂蔷。
各方案的投资预算如下:
序号
设备名称
单位
数量
单价
投资预算
方案一
NM-1E(利旧CISCO2610使用)
张
2
¥6,000
¥12,000
边界防火墙(带VPN功能)
台
1
¥60,000
¥60,000
48口3层交换机
台
1
¥30,000
¥30,000
VPN客户端(在OA系统工程中购置)
个
200
¥0
¥0
合计1
¥102,000
方案二
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
套
24
¥2,000
¥48,000
集线器
个
12
¥100
¥1,200
合计2
方案二+合计1
¥151,200
方案三
PC
台
24
¥7,000
¥168,000
合计3
方案三+合计1
¥270,000
(二)综合网省中心边界网络隔离方案
综合网省中心作为我区邮政综合网的核心,连接电子汇兑、电子化支局、中心局等重要生产系统,并作为绿卡、综合两网省际线路的唯一出口,其安全级别应为最高的区域I。
见图4。
贓熱俣阃歲匱阊邺镓騷。
目前综合网省中心连接了区内14个地市、区局、南宁邮区中心局、南宁市局一枢纽、区储汇局汇兑省中心控制台与汇兑会计、南宁11185等,并与移动、联通有第三方接入,与绿卡省中心连接,并作为两网省际共同出口与国家局连接,连接出口众多,网络结构复杂。
目前除与绿卡省中心连接使用了防火墙外,其他接入点均未使用防火墙。
为保证综合网核心网络的安全,并综合数据流量、原有网络结构等因素,提出以下要求:
坛摶乡囂忏蒌鍥铃氈淚。
1、按照方案一,与区局连接使用的防火墙F2,南宁邮区中心局与区局使用同一路由器接入,区局OA、量收、视频均从此防火墙接入,防火墙的性能必须有保障。
蜡變黲癟報伥铉锚鈰赘。
2、12个地市汇接的CISCO7507路由器连接的防火墙F2,需要支持MPLSVPN技术,因生产、视频同时上后数据流量很大,防火墙处理能力、稳定性要求很高,否则将成为地市连接省中心的瓶颈。
買鲷鴯譖昙膚遙闫撷凄。
3、南宁市网络汇接点(包含南宁、崇左及辖县所有生产、视频)、南宁市局一枢纽局域网、区储汇局省中心控制台与汇兑汇兑会计、南宁11185、第三方接入等,经过一台三层交换机汇接后,经过防火墙F1与核心交换机连接,因数据流量大,对三层交换机及防火墙处理能力、稳定性要求高,否则将造成业务的中断。
綾镝鯛駕櫬鹕踪韦辚糴。
4、考虑防止省外线路来的攻击(已出现过这样的攻击),出省线路也接入防火墙,需要再增加1台三层交换机。
5、综合网省中心办公上网利用南宁市邮政局办公网的线路上互连网,与生产网实现物理隔离。
生产网应使用专用PC进行系统维护。
驅踬髏彦浃绥譎饴憂锦。
方案的投资预算如下:
方案
设备名称
单位
数量
单价
投资预算
PIX525E防火墙(利旧)
台
1
¥0
¥0
网络隔离防火墙
台
2
¥60,000
¥120,000
Catalyst3560-24口3层交换机
台
2
¥20,000
¥40,000
入侵检测(已有)
台
1
¥0
¥0
入侵检测管理,病毒、网络监控PC
台
2
¥7000
¥14,000
合计:
¥161,000
(三)绿卡省中心边界网络隔离方案
邮政储蓄系统是邮政综合网上量重要的信息系统。
原则上,储蓄系统不能以任何方式、任何理由直接为INTERNET用户提供服务或直接与第三方式进行连接。
储蓄系统都应部署到区域I中,对核心层区域内要进一步加强隔离与保护。
猫虿驢绘燈鮒诛髅貺庑。
目前,绿卡省中心机房上互联网和上绿卡网是物理隔离的。
区邮政储汇局的清算会计需要访问绿卡网,汇兑会计需要访问综合网。
为绿卡省中心和区邮政储汇局各配置一台边界防火墙(带VPN功能),为绿卡省中心配置一台网络隔离防火墙,作为网络隔离使用,见图5。
锹籁饗迳琐筆襖鸥娅薔。
参照区局机关办公网的网络连接方案,提出以下三个解决方案:
方案一是防火墙,方案二是防火墙+隔离卡,方案三是防火墙+新增计算机。
各方案的投资预算如下:
構氽頑黉碩饨荠龈话骛。
序号
设备名称
单位
数量
单价
投资预算
(一)明秀路区储汇局
方案一
边界防火墙(带VPN功能)
台
1
¥30,000
¥30,000
24口3层交换机
台
1
¥20,000
¥20,000
24口普通交换机
台
1
¥4,000
¥4,000
PC机(管理控制台)
台
20
¥7,000
¥140,000
病毒、网络监测PC机
台
2
¥7,000
¥14,000
合计1
¥68,000
¥208,000
方案二
隔离卡隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
张
11
¥2,000
¥22,000
隔离集线器
台
1
¥2,100
¥2,100
合计2
方案一+方案二
¥232,100
方案三
PC
台
11
¥7,000
¥77,000
合计3
方案一+方案三
¥285,000
(二)绿卡省中心
方案一
新增接入路由器
台
1
¥8,000
¥8,000
边界防火墙(带VPN功能)
台
1
¥30,000
¥30,000
网络隔离防火墙
台
1
¥60,000
¥60,000
与第三方连接隔离防火墙(利旧)
台
1
¥0
¥0
入侵检测系统
套
1
¥100,000
¥100,000
24口3层交换机
台
1
¥20,000
¥20,000
入侵检测管理/病毒/网络监控PC
台
3
¥7,000
¥21,000
系统备份/开发后台/国家局监控系统
台
3
¥7,000
¥21,000
合计1
¥232,000
¥260,000
方案二
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
张
8
¥2,000
¥16,000
隔离集线器
台
1
¥2,100
¥2,100
合计2
方案一+方案二
¥278,100
方案三
PC
台
8
¥7,000
¥56,000
合计3
方案一+方案三
¥316,000
(四)各市、县邮政局边界网络隔离方案
根据区局的要求,目前各市、县邮政局生产网与办公上网是物理隔离的。
为了解决部分市局人员即要连接办公网又要连接生产网的需求,参照区局机关办公网的网络连接方案,见图6。
輒峄陽檉簖疖網儂號泶。
现提出以下三个解决方案:
方案一是防火墙,方案二是防火墙+隔离卡,方案三是新增计算机。
各方案的投资预算如下:
尧侧閆繭絳闕绚勵蜆贅。
序号
设备名称
单位
数量
单价
投资预算
方案一
BDCOM1750(利旧,但需要升级IOS)
张
14
¥0
边界网络防火墙(带VPN功能)
台
14
¥30,000
¥420,000
VPN客户端(已包含在区局中)
个
¥0
合计1
¥420,000
方案二
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
张
14*6
¥2,000
¥168,000
隔离集线器
台
14
¥2,100
¥29,400
合计2
方案二+合计1
¥617,400
方案三
PC
台
14*6
¥7,000
¥588,000
合计3
¥588,000
原则上,在县市及以下机构,不允许用专线方式接入INTERNET,也不允许接在生产网上的机器,同时拨号上网。
因此,各县需要访问生产网(如:
量收系统)的计算机,原则上不允许接入互联网。
现提出两个解决方案:
方案一是隔离卡,方案二是新增计算机或利用利旧的计算机。
投资预算如下:
识饒鎂錕缢灩筧嚌俨淒。
序号
设备名称
单位
数量
单价
投资预算
方案一
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
张
78*1
¥2,000
¥156,000
合计1
¥156,000
方案二
PC
台
78*1
¥7,000
¥546,000
合计2
¥546,000
(五)方案比较
综合上述,方案一是根据国家局下发的《纲要》推荐使用的方案,通过增加边界防火墙和网络隔离防火墙,将网络区分为安全级别高低不同的四个区域,设置不同的访问控制规则,解决网络中互通与隔离之间的问题。
方案二是在方案一的基础上,在部分既需要访问互联网又需访问生产网的计算机上增加一张隔离卡,防止访问互联网的计算机在感染病毒后又传播到生产网上。
方案三是坚持生产网与互联网之间的物理隔离,为需要访问互联网和生产网的用户配置两台计算机,要求固定的计算机访问固定的网络。
凍鈹鋨劳臘锴痫婦胫籴。
方案汇总表如下:
序号
设备名称
单位
数量
单价(元)
投资预算(元)
方案一
NM-1E(利旧CISCO2610使用)
张
2
¥6,000
¥12,000
边界防火墙(带VPN功能)
台
1
¥60,000
¥60,000
48口3层交换机
台
1
¥30,000
¥30,000
VPN客户端(在OA系统工程中购置)
个
200
¥0
¥0
PIX525E防火墙(利旧)
台
1
¥0
¥0
网络隔离防火墙
台
2
¥60,000
¥120,000
Catalyst3560-24口3层交换机
台
2
¥20,000
¥40,000
入侵检测(已有)
台
1
¥0
¥0
入侵检测管理,病毒、网络监控PC
台
2
¥7,000
¥14,000
边界防火墙(带VPN功能)
台
1
¥30,000
¥30,000
24口3层交换机
台
1
¥20,000
¥20,000
24口普通交换机
台
1
¥4,000
¥4,000
PC机(管理控制台)
台
20
¥7,000
¥140,000
病毒、网络监测PC机
台
2
¥7,000
¥14,000
新增接入路由器
台
1
¥8,000
¥8,000
边界防火墙(带VPN功能)
台
1
¥30,000
¥30,000
网络隔离防火墙
台
1
¥60,000
¥60,000
与第三方连接隔离防火墙(利旧)
台
1
¥0
¥0
入侵检测系统
套
1
¥100,000
¥100,000
24口3层交换机
台
1
¥20,000
¥20,000
入侵检测管理/病毒/网络监控PC
台
3
¥7,000
¥21,000
系统备份/开发后台/国家局监控系统
台
3
¥7,000
¥21,000
BDCOM1750(利旧,但需要升级IOS)
张
14
¥0
¥0
边界网络防火墙(带VPN功能)
台
14
¥30,000
¥420,000
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
套
78
¥2,000
¥156,000
合计1
¥1,320,000
方案二
隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)
套
127
¥2,000
¥254,000
隔离集线器
台
16
¥2,100
¥33,600
集线器
个
12
¥100
¥1,200
合计2
方案二+合计1
¥1,608,800
方案三
PC
台
205
¥7,000
¥1,435,000
合计3
方案三+合计1-F26
¥2,335,000
三、网络防病毒方案
目前,区局办公网已经部署有一套瑞星网络版杀毒软件,但一年的服务期已经到,需要续签服务。
综合网省中心也部署有一套瑞星网络版杀毒软件。
对于全区的杀毒软件可以利用综合网省中心原有的瑞星网络版杀毒软件,通过增加客户端数量来实现全网统一管理、升级和杀毒。
也可重新购买一套新的网络版杀毒软件。
恥諤銪灭萦欢煬鞏鹜錦。
序号
设备名称
单位
数量
投资预算
区局瑞星网络版升级服务
套
1
原合同价*15%
¥20.000
在原有综合网瑞星网络版上扩容客户端
点
200
¥200.00
¥40,000
新购一套网络版杀毒软件
套
1
¥80,000
同时根据纲要的要求,还应在区域D和区域E部署防病毒系统(已有瑞星网络版杀毒软件),有条件的还应在区域E部署入侵检测系统。
鯊腎鑰诎褳鉀沩懼統庫。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 广西 邮政 综合 边界 网络 隔离 防病 实施方案