廣西郵政綜合網(wǎng)邊界網(wǎng)絡(luò)隔離和防病毒方案

1、廣西郵政綜合網(wǎng)邊界網(wǎng)絡(luò)隔離和防病毒方案隨著網(wǎng)絡(luò)建設(shè)的完成和各應(yīng)用系統(tǒng)的上線，郵政綜合網(wǎng)網(wǎng)絡(luò)安全問(wèn)題越來(lái)越突出，尤其是病毒和來(lái)自互聯(lián)網(wǎng)的威脅已經(jīng)直接影響到網(wǎng)絡(luò)和系統(tǒng)的安全運(yùn)行，也影響到包括正在進(jìn)行的業(yè)務(wù)量收管理系統(tǒng)和OA（辦公自動(dòng)化）系統(tǒng)在內(nèi)的新應(yīng)用系統(tǒng)的上線。為此，國(guó)家郵政局信息技術(shù)局編制并發(fā)布綜合網(wǎng)邊界網(wǎng)絡(luò)隔離和防病毒綱要（暫行）（信局傳200574號(hào)文件），以下簡(jiǎn)稱綱要。根據(jù)國(guó)家局的要求并結(jié)合廣西郵政自身情況，現(xiàn)制定出廣西郵政綜合網(wǎng)邊界網(wǎng)絡(luò)隔離和防病毒方案。一、本方案的目標(biāo)和原則本方案的主要目標(biāo)是按照安全屬性對(duì)廣西郵政綜合網(wǎng)（包括儲(chǔ)蓄系統(tǒng)和電子郵政）進(jìn)行安全區(qū)域劃分，并規(guī)定區(qū)域隔離和防病毒

2、的要求；確保網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的安全運(yùn)行，確保新系統(tǒng)順利上線。本方案的基本原則：1、完整性原則。本綱要的要求應(yīng)視為郵政綜合網(wǎng)安全技術(shù)體系的重要組成部分，但不是全部。國(guó)家郵政局信息技術(shù)局將陸續(xù)發(fā)布其它的部分。2、整體性原則。網(wǎng)絡(luò)安全是全程全網(wǎng)的大事，任何部分的安全級(jí)別的降低都意味著全網(wǎng)安全級(jí)別的降低。任何紕漏都是對(duì)全網(wǎng)生產(chǎn)安全的威脅。3、有限性原則。任何安全技術(shù)措施的作用都是有限的，更重要的是安全管理和各級(jí)人員的安全意識(shí)及技術(shù)水平并最終落實(shí)為安全措施的執(zhí)行力。因此，本綱要應(yīng)視為系統(tǒng)安全的基本要求和最低的安全技術(shù)保障。在郵政綜合網(wǎng)上，由于歷史等原因，骨干網(wǎng)絡(luò)上有兩個(gè)相對(duì)獨(dú)立的IP網(wǎng)，即郵政綜合網(wǎng)、郵政

3、儲(chǔ)蓄系統(tǒng)，它們的安全級(jí)別從高到低依次是郵政儲(chǔ)蓄系統(tǒng)、郵政綜合網(wǎng)，再加上INTERNET（互聯(lián)網(wǎng)）。在國(guó)家郵政局沒(méi)有修改郵政綜合網(wǎng)網(wǎng)絡(luò)技術(shù)體制之前，骨干網(wǎng)絡(luò)仍維持目前的網(wǎng)絡(luò)結(jié)構(gòu)，并在此基礎(chǔ)上，根據(jù)實(shí)際需要進(jìn)行擴(kuò)充。同時(shí)，增加INTERNE祚為新的數(shù)據(jù)通信渠道。網(wǎng)絡(luò)隔離的基本思路是：按照應(yīng)用的特點(diǎn)和安全性要求，對(duì)網(wǎng)絡(luò)進(jìn)行分區(qū)域隔離，不同區(qū)域之間采用防火墻進(jìn)行網(wǎng)絡(luò)隔離，在區(qū)域內(nèi)可以根據(jù)實(shí)際需要，再隔離成子區(qū)域、子子區(qū)域直到VLAN（虛擬局域網(wǎng)）；并在此基礎(chǔ)上，在區(qū)域內(nèi)部部署防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)等。本方案就是針對(duì)目前郵政綜合網(wǎng)運(yùn)行和建設(shè)過(guò)程中最突出的問(wèn)題，圍繞與INTERNET第三方合作伙伴連接的

4、網(wǎng)絡(luò)邊界防護(hù)及OA系統(tǒng)、量收系統(tǒng)等有特殊通訊要求的系統(tǒng)而編制，旨在抑制病毒、加強(qiáng)安全，保證系統(tǒng)穩(wěn)定運(yùn)行。應(yīng)該看到，網(wǎng)絡(luò)隔離和防病毒只是全網(wǎng)安全技術(shù)體系中的一部分，隨著郵政綜合網(wǎng)的建設(shè)和發(fā)展，安全措施必將進(jìn)一步加強(qiáng)，安全技術(shù)體系必將得到進(jìn)一步地完善。二、邊界網(wǎng)絡(luò)隔離方案（一）區(qū)局機(jī)關(guān)辦公網(wǎng)絡(luò)連接方案目前，區(qū)局辦公網(wǎng)絡(luò)與郵政綜合網(wǎng)之間是兩網(wǎng)分離的。郵運(yùn)指揮調(diào)度系統(tǒng)、名址信息系統(tǒng)、OA系統(tǒng)和量收系統(tǒng)等上線運(yùn)行后，區(qū)局機(jī)關(guān)辦公人員將需要訪問(wèn)互連網(wǎng)能訪問(wèn)生產(chǎn)網(wǎng)。為確保綜合網(wǎng)網(wǎng)絡(luò)的安全和防止病毒蔓延，根據(jù)綱要的要求，并結(jié)合區(qū)局機(jī)關(guān)辦公局域網(wǎng)的實(shí)際情況，現(xiàn)提出如下解決方案：方案一：防火墻見(jiàn)圖1,按照綱要推薦

5、使用的方案A調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)。方案有4個(gè)區(qū)域，其中，區(qū)域O為互聯(lián)網(wǎng)接入?yún)^(qū)域，主要功能是完成互聯(lián)網(wǎng)接入，部署為邊界路由器R1、MODEM網(wǎng)絡(luò)接入設(shè)備，是安全級(jí)別最低的區(qū)域。INIEME6M-蹈出器宜1gMI|路由器一朝三層交魂機(jī)B1防火墻F苜通交授機(jī)普通交接機(jī)普通庠戶區(qū)曷辦公網(wǎng)圖1區(qū)域E是非軍事區(qū)之一，主要功能是透過(guò)防火墻F1與INTERNET用戶或用戶服務(wù)器進(jìn)行通信，透過(guò)路由器R2進(jìn)行必要的、受限的通信訪問(wèn)生產(chǎn)網(wǎng)，使用具有第三層交換功能的局域網(wǎng)交換機(jī)S1,劃分成不同的VLAN該區(qū)域可以部署用于INTERNE用戶的WEES艮務(wù)器、MAIL服務(wù)器、DNSI艮務(wù)器、FTP服務(wù)器、支付網(wǎng)關(guān)服務(wù)器、VPN服

6、務(wù)器及其它直接與用戶或用戶服務(wù)器通過(guò)INTERNET信的前端服務(wù)器。其安全級(jí)別高于區(qū)域Q防火墻F1應(yīng)具有VPN功能，為移動(dòng)辦公用戶和各市、縣局用戶通過(guò)INTERNE防問(wèn)OA服務(wù)提供虛擬訪問(wèn)通道（VPN。區(qū)域D是非軍事區(qū)之二，主要功能是非軍事區(qū)的第二梯隊(duì)，可以透過(guò)防火墻F1防問(wèn)區(qū)域E中的服務(wù)器，并可訪問(wèn)區(qū)域O中的服務(wù)器，同時(shí)，可以透過(guò)路由器R2受限地訪問(wèn)區(qū)域I中的服務(wù)器，使用具有第三層交換功能的局域網(wǎng)交換機(jī)S2。在該區(qū)域可以部署OA系統(tǒng)的PC服務(wù)器，內(nèi)部使用的文件服務(wù)器等。其安全級(jí)別略高于區(qū)域E。區(qū)域I是內(nèi)部網(wǎng)絡(luò)，可以視為郵政綜合網(wǎng)。主要功能是承擔(dān)企業(yè)內(nèi)部生產(chǎn)、經(jīng)營(yíng)、管理等系統(tǒng)的數(shù)據(jù)通信，并為區(qū)

7、域E和區(qū)域D提供數(shù)據(jù)。在方案中安全級(jí)別最高。方案要求網(wǎng)絡(luò)隔離安全策略要求如下：?只允許區(qū)域。中的IP訪問(wèn)區(qū)域E中的指定IP的指定端口；?只允許區(qū)域D和區(qū)域E中的指定IP訪問(wèn)區(qū)域。中的IP;?只允許區(qū)域D和區(qū)域E中的指定IP訪問(wèn)區(qū)域I中的指定IP的指定端口；?區(qū)域I中的指定IP的指定端口只允許被區(qū)域D區(qū)域E中的指定IP訪問(wèn)；?除上述條件以后的所有通訊是禁止的。在使用上述安全策略時(shí)，應(yīng)與具體的系統(tǒng)結(jié)合起來(lái)，進(jìn)行細(xì)化和加強(qiáng)。根據(jù)綱要要求，方案中要求新增（1）專用VPN服務(wù)器（可利舊），部署在E區(qū)域，安全上要有充分的保證；（2）新增一臺(tái)具有VPN功能的邊界防火墻F1和兩臺(tái)三層交換機(jī)；（3）加密算法符合

8、有關(guān)法規(guī)，有足夠的加密強(qiáng)度，有密鑰管理的組織保證和紀(jì)律保證。方案二：防火墻+隔離卡在方案一的基礎(chǔ)上，為區(qū)域D中的需要訪問(wèn)互連網(wǎng)又需要訪問(wèn)生產(chǎn)網(wǎng)的計(jì)算機(jī)增加一張隔離卡，通過(guò)隔離卡實(shí)現(xiàn)計(jì)算機(jī)不能同時(shí)訪問(wèn)互聯(lián)網(wǎng)和生產(chǎn)網(wǎng)，見(jiàn)圖2。區(qū)域D,只有OA系統(tǒng)的郵件服務(wù)器能夠通過(guò)路由器R2訪問(wèn)國(guó)家郵政局放在綜合網(wǎng)內(nèi)部的郵件服務(wù)器，裝有隔離卡的計(jì)算機(jī)也能夠訪問(wèn)區(qū)域I。I NT EKflt踽由器KI川，一 路由器FZi-Z，-亙?nèi)龑咏粨Q利El三孱交換機(jī)S2普通交換機(jī)普通交摸機(jī)耨禽F區(qū)局辦公冽辦公量也用戶方案三：配置計(jì)算機(jī)在方案一的基礎(chǔ)上,為每一位需要訪問(wèn)互聯(lián)網(wǎng)又需要訪問(wèn)生產(chǎn)網(wǎng)的用戶增加一臺(tái)計(jì)算機(jī),要求固定的計(jì)算機(jī)訪

9、問(wèn)固定的網(wǎng)絡(luò)。見(jiàn)圖3。INTEKHEI5M三號(hào)交換機(jī)女_ jZ%K局辦公網(wǎng)各方案的投資預(yù)算如下:序號(hào)設(shè)備名稱單位數(shù)量單價(jià)投資預(yù)算方案一NM-1E（利舊CISCO2610使用）張26,00012,000邊界防火墻（帶VPN功能）臺(tái)160,00060,00048口3層交換機(jī)臺(tái)130,00030,000VPN客戶端（在OA系統(tǒng)工程中購(gòu)置）個(gè)20000合計(jì)1102,000方案二隔離卡（單硬盤隔離卡或雙硬盤隔離卡+40G硬盤）套242,00048,000集線器個(gè)121001,200合計(jì)2方奈一玷計(jì)1151,200方案三PC臺(tái)247,000168,000合計(jì)3方果二+合計(jì)1270,000（二）綜合網(wǎng)省中心

10、邊界網(wǎng)絡(luò)隔離方案連接電子匯兌、電子 綜合兩網(wǎng)省際線路的綜合網(wǎng)省中心作為我區(qū)郵政綜合網(wǎng)的核心,化支局、中心局等重要生產(chǎn)系統(tǒng)，并作為綠卡、過(guò)靈二;區(qū)后外公網(wǎng) -百接合房中心核心:綠卡省中心防火增F2防止增中7507在市槍由品witrh7T映區(qū)中心嗎、夷三K羯人等宅區(qū)40豺。0 7乂濘5IU1TS一圖4唯一出口，其安全級(jí)別應(yīng)為最高的區(qū)域I。見(jiàn)圖4。目前綜合網(wǎng)省中心連接了區(qū)內(nèi)14個(gè)地市、區(qū)局、南寧郵區(qū)中心局、南寧市局一樞紐、區(qū)儲(chǔ)匯局匯兌省中心控制臺(tái)與匯兌會(huì)計(jì)、南寧11185等，并與移動(dòng)、聯(lián)通有第三方接入，與綠卡省中心連接，并作為兩網(wǎng)省際共同出口與國(guó)家局連接，連接出口眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。目前除與綠卡省中

11、心連接使用了防火墻外，其他接入點(diǎn)均未使用防火墻。為保證綜合網(wǎng)核心網(wǎng)絡(luò)的安全，并綜合數(shù)據(jù)流量、原有網(wǎng)絡(luò)結(jié)構(gòu)等因素，提出以下要求：1、按照方案一，與區(qū)局連接使用的防火墻F2,南寧郵區(qū)中心局與區(qū)局使用同一路由器接入，區(qū)局OA量收、視頻均從此防火墻接入，防火墻的性能必須有保障。2、12個(gè)地市匯接的CISCO750確由器連接的防火墻F2,需要支持MPLSVPNi術(shù)，因生產(chǎn)、視頻同時(shí)上后數(shù)據(jù)流量很大，防火墻處理能力、穩(wěn)定性要求很高，否則將成為地市連接省中心的瓶頸。3、南寧市網(wǎng)絡(luò)匯接點(diǎn)（包含南寧、崇左及轄縣所有生產(chǎn)、視頻）、南寧市局一樞紐局域網(wǎng)、區(qū)儲(chǔ)匯局省中心控制臺(tái)與匯兌匯兌會(huì)計(jì)、南寧11185、第三方接入

12、等，經(jīng)過(guò)一臺(tái)三層交換機(jī)匯接后，經(jīng)過(guò)防火墻F1與核心交換機(jī)連接，因數(shù)據(jù)流量大，對(duì)三層交換機(jī)及防火墻處理能力、穩(wěn)定性要求高，否則將造成業(yè)務(wù)的中斷。4、考慮防止省外線路來(lái)的攻擊（已出現(xiàn)過(guò)這樣的攻擊），出省線路也接入防火墻，需要再增加1臺(tái)三層交換機(jī)。5、綜合網(wǎng)省中心辦公上網(wǎng)利用南寧市郵政局辦公網(wǎng)的線路上互連網(wǎng)，與生產(chǎn)網(wǎng)實(shí)現(xiàn)物理隔離。生產(chǎn)網(wǎng)應(yīng)使用專用PC進(jìn)行系統(tǒng)維護(hù)。方案的投資預(yù)算如下:力不設(shè)備名稱單位數(shù)量單價(jià)投資預(yù)算PIX525E防火墻（利舊）臺(tái)100網(wǎng)絡(luò)隔離防火墻臺(tái)260,000120,000Catalyst3560-24口3層交換機(jī)臺(tái)220,00040,000入侵檢測(cè)（已有）臺(tái)100入侵檢測(cè)管理，

13、病毒、網(wǎng)絡(luò)監(jiān)控PC臺(tái)2700014,000合計(jì)：161,000（三）綠卡省中心邊界網(wǎng)絡(luò)隔離方案郵政儲(chǔ)蓄系統(tǒng)是郵政綜合網(wǎng)上量重要的信息系統(tǒng)。原則上，儲(chǔ)蓄系統(tǒng)不能以任何方式、任何理由直接為INTERNETS戶提供服務(wù)或直接與第三方式進(jìn)行連接。儲(chǔ)蓄系統(tǒng)都應(yīng)部署到區(qū)域I中，對(duì)核心層區(qū)域內(nèi)要進(jìn)一步加強(qiáng)隔離與保護(hù)。目前，綠卡省中心機(jī)房上互聯(lián)網(wǎng)和上綠卡網(wǎng)是物理隔離的。區(qū)郵政儲(chǔ)匯局的清算會(huì)計(jì)需要訪問(wèn)綠卡網(wǎng)，匯兌會(huì)計(jì)需要訪問(wèn)綜合網(wǎng)。為綠卡省中心和區(qū)郵政儲(chǔ)匯局各配置一臺(tái)邊界防火墻（帶VPN功能），為綠卡省中心配置一臺(tái)網(wǎng)絡(luò)隔離防火墻，作為網(wǎng)絡(luò)隔離使用，見(jiàn)圖5。樂(lè)廿砌音下心第三方掠入（帶南、聊誦、郁手笑）!|焉0 |

14、三層交換機(jī)21綠七疊上心岐七區(qū).J3U/NE 岳 L.HgEN因瑾收惜七周儲(chǔ)給者苗含葉區(qū)城中防火墻FI防火墻E：國(guó)魚(yú)ATi?LTflTERNEr參照區(qū)局機(jī)關(guān)辦公網(wǎng)的網(wǎng)絡(luò)連接方案，提出以下三個(gè)解決方案：方案一是防火墻，方案二是防火墻+隔離卡，方案三是防火墻+新增計(jì)算機(jī)。各方案的投資預(yù)算如下：序號(hào)設(shè)備名稱單位數(shù)量單價(jià)投資預(yù)算（一）明秀路區(qū)儲(chǔ)匯局方案一邊界防火墻（帶VPN功能）臺(tái)130,00030,00024口3層交換機(jī)臺(tái)120,00020,00024口普通交換機(jī)臺(tái)14,0004,000PC機(jī)（管理控制臺(tái)）臺(tái)207,000140,000病毒、網(wǎng)絡(luò)監(jiān)測(cè)PC機(jī)臺(tái)27,00014,000合ati68,00

15、0208,000方案二隔離卡隔離卡（單硬盤隔離卡或雙硬盤隔離卡+40G硬盤）張112,00022,000鬲離集線器臺(tái)12,1002,100合a12）.、二一七.）.、二一七力某一+力某一232,100方案三PC臺(tái)117,00077,000合a13力泵一+力茶二285,000（二）綠卡省中心方案一新增接入路由器臺(tái)18,0008,000邊界防火墻（帶VPN功能）臺(tái)130,00030,000網(wǎng)絡(luò)隔離防火墻臺(tái)160,00060,000與第三方連接隔離防火墻（利舊）臺(tái)100入侵檢測(cè)系統(tǒng)套1100,000100,00024口3層交換機(jī)臺(tái)120,00020,000入侵檢測(cè)管理/病毒/網(wǎng)絡(luò)監(jiān)控PC臺(tái)37,00

16、021,000系統(tǒng)備份/開(kāi)發(fā)后臺(tái)/國(guó)家局監(jiān)控系統(tǒng)臺(tái)37,00021,000合ati232,000260,000方案二隔離卡（單硬盤隔離卡或雙硬盤隔離卡+40G硬盤）張82,00016,000禍離集線器臺(tái)12,1002,100合a12）.、二一七.）.、二一七力某一+力某一278,100方案三PC臺(tái)87,00056,000合a13力泵一+力茶二316,000（四）各市、縣郵政局邊界網(wǎng)絡(luò)隔離方案根據(jù)區(qū)局的要求，目前各市、縣郵政局生產(chǎn)網(wǎng)與辦公上網(wǎng)是物理隔離的。為了解決部分市局人員即要連接辦公網(wǎng)又要連接生產(chǎn)網(wǎng)的需求，參照區(qū)局機(jī)關(guān)辦公網(wǎng)的網(wǎng)絡(luò)連接方案，見(jiàn)圖6。綠卡網(wǎng)皆中心/cisca364C總局中心OA

17、PCSo現(xiàn)提出以下三個(gè)解決方案：方案一是防火墻，方案二是防火墻+隔離卡，方案三是新增計(jì)算機(jī)。各方案的投資預(yù)算如下：序號(hào)設(shè)備名稱單位數(shù)量單價(jià)投資預(yù)算方案一BDCOM1750（利舊，但需要升級(jí)IOS）張140邊界網(wǎng)絡(luò)防火墻（帶VPN功能）臺(tái)1430,000420,000VPN客戶端（已包含在區(qū)局中）個(gè)0合計(jì)1420,000方案二隔離卡（單硬盤隔離卡或雙硬盤隔離卡+40G硬盤）張14*62,000168,000隔離集線器臺(tái)142,10029,400合計(jì)2方奈一玷計(jì)1617,400方案三PC臺(tái)14*67,000588,000合計(jì)3588,000原則上，在縣市及以下機(jī)構(gòu)，不允許用專線方式接入INTERN

18、ET也不允許接在生產(chǎn)網(wǎng)上的機(jī)器，同時(shí)撥號(hào)上網(wǎng)。因此，各縣需要訪問(wèn)生產(chǎn)網(wǎng)（如：量收系統(tǒng)）的計(jì)算機(jī)，原則上不允許接入互聯(lián)網(wǎng)。現(xiàn)提出兩個(gè)解決方案：方案一是隔離卡，方案二是新增計(jì)算機(jī)或利用利舊的計(jì)算機(jī)。投資預(yù)算如下：序號(hào)設(shè)備名稱單位數(shù)量單價(jià)投資預(yù)算力不一隔離卡（單硬盤隔離卡或雙硬盤隔離卡+40G硬盤）張78*12,000156,000合計(jì)1156,000力策一PC臺(tái)78*17,000546,000合計(jì)2546,000（五）方案比較綜合上述，方案一是根據(jù)國(guó)家局下發(fā)的綱要推薦使用的方案,通過(guò)增加邊界防火墻和網(wǎng)絡(luò)隔離防火墻，將網(wǎng)絡(luò)區(qū)分為安全級(jí)別高低不同的四個(gè)區(qū)域，設(shè)置不同的訪問(wèn)控制規(guī)則，解決網(wǎng)絡(luò)中互通與隔離

19、之間的問(wèn)題。方案二是在方案一的基礎(chǔ)上，在部分既需要訪問(wèn)互聯(lián)網(wǎng)又需訪問(wèn)生產(chǎn)網(wǎng)的計(jì)算機(jī)上增加一張隔離卡，防止訪問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)在感染病毒后又傳播到生產(chǎn)網(wǎng)上。方案三是堅(jiān)持生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)之間的物理隔離，為需要訪問(wèn)互聯(lián)網(wǎng)和生產(chǎn)網(wǎng)的用戶配置兩臺(tái)計(jì)算機(jī)，要求固定的計(jì)算機(jī)訪問(wèn)固定的網(wǎng)絡(luò)。方案匯總表如下:序號(hào)設(shè)備名稱單位數(shù)量單彳（元）投資預(yù)算（元）力某一NM-1E（利舊CISCO2610使用）張26,00012,000邊界防火墻（帶VPN功能）臺(tái)160,00060,00048口3層交換機(jī)臺(tái)130,00030,000VPN客戶端（在OA系統(tǒng)工程中購(gòu)置）個(gè)20000PIX525E防火墻（利舊）臺(tái)100網(wǎng)絡(luò)隔離防火墻臺(tái)260,000120,000Catalyst3560-24口3層交換機(jī)臺(tái)220,00040,000入侵檢測(cè)（已有）臺(tái)100入侵檢測(cè)管理，病毒、網(wǎng)絡(luò)監(jiān)控PC臺(tái)27,00014,000邊界防火墻（帶VPN功能）臺(tái)130,00030,00024口3層交換機(jī)臺(tái)120,00020,00024口普通交換機(jī)臺(tái)14,0004,000PC機(jī)（管理控制臺(tái)）臺(tái)207,000140,000病毒、網(wǎng)絡(luò)監(jiān)測(cè)PC機(jī)臺(tái)27,00014,000新增接入路由器臺(tái)18,0008,000邊界防火墻（帶VPN功能）臺(tái)130,00030,000網(wǎng)絡(luò)隔離防火墻臺(tái)160,00060,000與第三方連接隔離防火