网络安全

4、海关对外接入局域网建设 4.1概述

随着信息化的发展，海关信息系统与政府部门及企事业单位之间的系统联网需求日益增多，海关与外部网络之间进行信息交换与资源共享已逐渐成为海关信息化发展的必然趋势。同时，海关信息系统也将面临来自外部网络的攻击、入侵、病毒、木马等各种类型的威胁，存在较高的安全风险。如何在既保证海关与外部开展正常信息交换与资源共享的同时，又保证整体海关网络的安全，成为当前急需解决的问题。

根据海关总署科技司编制的《海关管理网对外接入局域网安全建设指导方案》中对海关管理网对外介入局域网的安全技术要求和安全管理要求，编制本建设方案，适用于舟山海关管理网与视频专网及海关以外网络进行的非涉密联网业务应用。 4.2术语和定义

管理网：是指直属海关业务管理网。

外部网络：是指需与海关进行联网业务应用的电子口岸专网、视频专网或海关以外网络。

对外接入局域网：是海关管理网对外接入局域网的简称。

外联单位：是需与海关进行联网业务应用的政府部门、企事业单位的统称。

外部授权用户：指经海关授权可以利用对外接入局域网交互式访问海关指定应用系统的非海关人员。

海关内部授权用户：指经海关授权可以利用对外接入局域网交互式访问海关指定应用系统的海关内部关员。 4.3概要设计 4.3.1总体设计

总体设计思想：通过划分安全区域等合理的结构设计和配备边界防护等安全保障机制，形成覆盖事前、事中、事后的全过程安全控制，实现在保证安全的前提下，满足海关对外联网业务应用需求。结构设计、安全保障、过程控制等并不互相割裂，并保证相辅相成，有机集成。

在结构设计上以满足实际业务应用模式为导向，采用自上而下、由概括

到具体的方式，确定出其功能框架。在功能框架基础上，细化形成网络层架构。

以功能框架、网络层架构为基础，建立安全保障体系。并通过事前边界保护、防病毒和攻击系统的部署，事中身份鉴别、保密性和可用性保障，事后安全审计与跟踪，建成全面立体的高性能和高安全性的对外接入局域网。 4.3.2系统框架

VGA/BNC管理网综保区客户端舟山海关客户端键盘视频管理服务器万能解码器电视墙键盘传输对外接入局域网视频管理服务器万能解码器VGA/BNC电视墙CAIP-SAN存储/点播（索引）视频专网转发智能分析传输编码器BNC模拟摄像机

“舟山港综保区智能视频监控平台”由主要由视频管理服务器、视频转

网络摄像机网络摄像机网络摄像机发服务器、视频存储点播服务器、智能分析服务器以及数据传输服务器组成。

视频管理服务器安装平台的应用服务程序，操作系统Linux。 视频存储点播服务器安装平台的存储模块和点播（索引）模块，操作系统Linux。

视频转发服务器安装平台的接入、转发模块，操作系统Linux。 数据传输服务器对海关业务数据进行收发报文，操作系统Linux。 智能分析服务器安装平台的智能分析、集装箱靠台识别模块。

4.3.3网络结构设计

对外接入局域网的网络结构如下图。

视频数据处理视频数据存储/点播转发服务（索引）器交换缓冲区交换处理区数据传输服务器综保区/舟山海关业务申请代理落地服务器视频管理服务器二级防火墙防病毒网关CA??一级防火墙(VPN)视频数据传输处理IP-SAN应用服务区入侵检测系统应用数据处理区管理区??数据传输服务器应用服务器应用数据处理服务器IP-SAN视频专网对外接入局域网运行监控补丁、病安全审计毒服务器健康检查入侵检测管理网

1.网络安全区域划分

对外接入局域网网络结构根据功能的不同分为三大功能五个区域：提供数据交换功能的区域（包含交换缓冲区、交换处理区）、提供授权应用访问功能的区域（包含应用服务区、应用数据处理区）、提供管理职能的区域（管理区）。

（1）提供数据交换功能的区域：

交换缓冲区：包括业务申请代理服务器、落地服务器等。与外部网络、交换处理区通信。

交换处理区：包括传输服务器等。与交换缓冲区或外部网络、管理网通信。

（2）提供授权应用访问功能的区域：

应用服务区：包括应用服务器等。与外部网络、应用数据处理区或管理网通信。

应用数据处理区：包括应用数据处理服务器。与应用服务区、管理网络通信。

（3）提供管理职能的区域：

管理区：包括安全审计服务器、主机安全管理服务器、运行监控服务器等管理主机，实现对外接入局域网的安全管理和监控。与对外接入局域网内各区域及管理网通信。

2.网络安全保障措施

采用两级边界隔离机制实现网络安全域隔离。一级防火墙作为第一道安

全屏障隔离外部网络和对外接入局域网，同时通过两个DMZ的划分也隔离了应用服务区和交换缓冲区；CA安全网关作为数据传输时进行加签加密，保证数据的安全性；二级防火墙将对外接入局域网与管理网隔离，同时划出DMZ区作为管理区。在一级和二级防火墙间，利用交换机划分出交换处理区和应用数据处理区。多种隔离机制保障了网络区域的安全逐步提升，网络访问和数据流层层控制。 4.4控平台网络结构设计

“舟山港综保区智能视频监控平台”的网络结构由管理网、对外接入局域网、视频专网组成，如下图所示：

对外接入局域网（综保区海关）VGA/BNC管理网综保区舟山海关键盘万能解码器电视墙指挥中心系统客户端键盘电视墙视频管理服务器指挥中心管理服务器指挥中心系统客户端万能解码器CA视频专网存储/点播（索引）IP-SAN视频专网视频专网转发网络摄像机网络摄像机

网络部署图

注：

视频专网的视频数据通过电子口岸CA安全认证传输到对外接入局域网，保证视频数据的安全性与可靠性。

4.5安全部署参考方案 4.5.1网络拓扑说明

结合海关总署对外接入局域网的规定和舟山港综保区的实际情况，具体网络拓扑如下图所示：

本参考方案采用防火墙串行设计，结合交换机的VLAN技术进行安全区域划分，随各级防火墙级别递增各个安全区域安全保护级别相应递增，同时结合数据交换与授权应用访问两种业务模式细化安全域。在应用层面，复杂多样的进入业务数据随安全区域递增逐步规范化、统一化、安全化，通过不同的安全技术手段甄别控制逐步强化对数据流的监管，最终达到屏蔽非法数据、保证进入管理网数据安全的目的。 4.5.2安全产品选择和部署

一级防火墙（含VPN功能）：部署在外部网络和对外接入局域网间，同时还连接应用服务区和交换缓冲区。主要功能是实现外部网络、对外接入局域网的安全隔离。利用一级防火墙VPN功能实现外联单位身份认证和数据传输加密。一级防火墙采用国产品牌。

二级防火墙：部署在对外接入局域网和管理网间，主要功能是实现两个网络间的安全隔离。产品选择上采用与一级防火墙不同的品牌。

防病毒网关：对所有进出对外接入局域网的数据进行病毒检测和过滤。 入侵检测设备：对所有进出对外接入局域网的流量进行入侵和攻击行为

的检测和分析，并及时报警。管理服务器部署在管理区。

安全审计系统一套，部署在管理区。主要功能是将对外接入局域网的安全日志、事件进行集中存储、分析、审计。

网络版主机防病毒一套，客户端部署在每台主机，控制台部署在管理区。主要对对外接入局域网中的主机提供病毒和恶意代码防范。

补丁管理系统一套，部署在管理区，主要实现对外接入局域网主机补丁的及时自动更新。

安全运行监控系统一套，部署在管理区。使用的是总署“安全运行管理平台”。

主机安全管理系统一套，客户端部署在每台主机，控制台部署在管理区。主要实现对系统补丁、防病毒软件运行情况、非法外联、共享目录、系统权限提升等的自动监控、报警及自动处置，并结合交换机配置实现802.1X接入认证。

CA安全网关，部署在对外接入局域网和与外部网络之间（3G/4G网）。主要功能，是提供单兵设备的身份认证和数据加签加密传输，确保数据保密性和安全性。

4.5.3设备清单

需求描述 边界安全隔离设备，双机主一级防火墙 备模式部署 边界安全隔离设备，双机主二级防火墙 备模式部署 交换机 千兆以太网交换机 网关层防病毒设备，带有防病毒网关 Bypass模块 网闸 带有Bypass模块 入侵检测系统 攻击检测防御设备 安全审计系统 安全日志存储和审计产品 对系统补丁、防病毒软件运主机安全管理行情况、非法外联、系统权系统 限提升等监控、报警及自动处置 单兵设备安全接入系统预算

设备类型 数量 2 2 6 2 2 1 1 1 配置要求 接口数≥10，千兆光口，国产品牌 接口数≥10，千兆光口，与一级防火墙不同的品牌 接口数≥24，千兆光口 接口数≥2，千兆光口 接口数≥2，千兆光口 设备名称 需求描述 数量 规格要求 移动安全管理平台核心部件，负责本系统的帐号管理、策略管理、日志管理等基础框架功能，采用SM1加密算CA安全网关 法，存储终端信息、策略信息、权限配置以及审计记录等，实时管理所有终端和网关设备。分别可以支持100个终端数。 VPN许可授权用系统注册用户授权，每个用户帐号对户 应一个授权 包括身份认证、数字签名、数据加密安全SD card 和大容量数据存储等 移动终端安全制作安全SD card、管理移动设备安系统、制发系统 全接入。 2 50 50 1

本文来源：https://www.bwwdw.com/article/k94w.html