广西邮政综合网边界网络隔离和防病毒方案

1广西邮政综合网边界网络隔离和防病毒方案随着网络建设的完成和各应用系统的上线，邮政综合网网络安全问题越来越突出，尤其是病毒和来自互联网的威胁已经直接影响到网络和系统的安全运行，也影响到包括正在进行的业务量收管理系统和OA（办公自动化）系统在内的新应用系统的上线。为此，国家邮政局信息技术局编制并发布《综合网边界网络隔离和防病毒纲要（暂行）》（信局传[2005]74号文件），以下简称纲要。根据国家局的要求并结合广西邮政自身情况，现制定出广西邮政综合网边界网络隔离和防病毒方案。一、本方案的目标和原则本方案的主要目标是按照安全属性对广西邮政综合网（包括储蓄系统和电子邮政）进行安全区域划分，并规定区域隔离和防病毒的要求；确保网络和应用系统的安全运行，确保新系统顺利上线。本方案的基本原则：1、完整性原则。本纲要的要求应视为邮政综合网安全技术体系的重要组成部分，但不是全部。国家邮政局信息技术局将陆续发布其它的部分。2、整体性原则。网络安全是全程全网的大事，任何部分的安全级别的降低都意味着全网安全级别的降低。任何纰漏都是对全网生产安全的威胁。3、有限性原则。任何安全技术措施的作用都是有限的，更重要的是安全管理和各级人员的安全意识及技术水平并最终落实为安全措施的执行力。因此，本纲要应视为系统安全的基本要求和最低的安全技术保障。在邮政综合网上，由于历史等原因，骨干网络上有两个相对独立2的IP网，即邮政综合网、邮政储蓄系统，它们的安全级别从高到低依次是邮政储蓄系统、邮政综合网，再加上INTERNET（互联网）。在国家邮政局没有修改邮政综合网网络技术体制之前，骨干网络仍维持目前的网络结构，并在此基础上，根据实际需要进行扩充。同时，增加INTERNET作为新的数据通信渠道。网络隔离的基本思路是：按照应用的特点和安全性要求，对网络进行分区域隔离，不同区域之间采用防火墙进行网络隔离，在区域内可以根据实际需要，再隔离成子区域、子子区域直到VLAN（虚拟局域网）；并在此基础上，在区域内部部署防病毒系统、入侵检测系统等。本方案就是针对目前邮政综合网运行和建设过程中最突出的问题，围绕与INTERNET、第三方合作伙伴连接的网络边界防护及OA系统、量收系统等有特殊通讯要求的系统而编制，旨在抑制病毒、加强安全，保证系统稳定运行。应该看到，网络隔离和防病毒只是全网安全技术体系中的一部分，随着邮政综合网的建设和发展，安全措施必将进一步加强，安全技术体系必将得到进一步地完善。二、边界网络隔离方案（一）区局机关办公网络连接方案目前，区局办公网络与邮政综合网之间是两网分离的。邮运指挥调度系统、名址信息系统、OA系统和量收系统等上线运行后，区局机关办公人员将需要访问互连网能访问生产网。为确保综合网网络的安全和防止病毒蔓延，根据《纲要》的要求，并结合区局机关办公局域网的实际情况，现提出如下解决方案：方案一：防火墙见图1，按照《纲要》推荐使用的方案A调整网络结构。方案有4个区域，其中，区域O为互联网接入区域，主要功能是完成互联网3接入，部署为边界路由器R1、MODEM等网络接入设备，是安全级别最低的区域。区域E是非军事区之一，主要功能是透过防火墙F1与INTERNET用户或用户服务器进行通信，透过路由器R2进行必要的、受限的通信访问生产网，使用具有第三层交换功能的局域网交换机S1，划分成不同的VLAN。该区域可以部署用于INTERNET用户的WEB服务器、MAIL服务器、DNS服务器、FTP服务器、支付网关服务器、VPN服务器及其它直接与用户或用户服务器通过INTERNET通信的前端服务器。其安全级别高于区域O。防火墙F1应具有VPN功能，为移动办公用户和各市、县局用户通过INTERNET访问OA服务提供虚拟访问通道（VPN）。区域D是非军事区之二，主要功能是非军事区的第二梯队，可以透过防火墙F1防问区域E中的服务器，并可访问区域O中的服务器，同时，可以透过路由器R2受限地访问区域I中的服务器，使用具有4第三层交换功能的局域网交换机S2。在该区域可以部署OA系统的PC服务器，内部使用的文件服务器等。其安全级别略高于区域E。区域I是内部网络，可以视为邮政综合网。主要功能是承担企业内部生产、经营、管理等系统的数据通信，并为区域E和区域D提供数据。在方案中安全级别最高。方案要求网络隔离安全策略要求如下：只允许区域O中的IP访问区域E中的指定IP的指定端口；只允许区域D和区域E中的指定IP访问区域O中的IP；只允许区域D和区域E中的指定IP访问区域I中的指定IP的指定端口；区域I中的指定IP的指定端口只允许被区域D、区域E中的指定IP访问；除上述条件以后的所有通讯是禁止的。在使用上述安全策略时，应与具体的系统结合起来，进行细化和加强。根据纲要要求，方案中要求新增（1）专用VPN服务器（可利旧），部署在E区域，安全上要有充分的保证；（2）新增一台具有VPN功能的边界防火墙F1和两台三层交换机；（3）加密算法符合有关法规，有足够的加密强度，有密钥管理的组织保证和纪律保证。方案二：防火墙+隔离卡在方案一的基础上，为区域D中的需要访问互连网又需要访问生产网的计算机增加一张隔离卡，通过隔离卡实现计算机不能同时访问互联网和生产网，见图2。区域D，只有OA系统的邮件服务器能够通过路由器R2访问国家邮政局放在综合网内部的邮件服务器，装有隔离卡的计算机也能够访问区域I。5方案三：配置计算机在方案一的基础上，为每一位需要访问互联网又需要访问生产网的用户增加一台计算机，要求固定的计算机访问固定的网络。见图3。各方案的投资预算如下：序号设备名称单位数量单价投资预算6方案一NM-1E（利旧CISCO2610使用）张2￥6,000￥12,000边界防火墙（带VPN功能）台1￥60,000￥60,00048口3层交换机台1￥30,000￥30,000VPN客户端(在OA系统工程中购置)个200￥0￥0合计1￥102,000方案二隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)套24￥2,000￥48,000集线器个12￥100￥1，200合计2方案二+合计1￥151,200方案三PC台24￥7,000￥168,000合计3方案三+合计1￥270,000（二）综合网省中心边界网络隔离方案综合网省中心作为我区邮政综合网的核心，连接电子汇兑、电子化支局、中心局等重要生产系统，并作为绿卡、综合两网省际线路的7唯一出口，其安全级别应为最高的区域I。见图4。目前综合网省中心连接了区内14个地市、区局、南宁邮区中心局、南宁市局一枢纽、区储汇局汇兑省中心控制台与汇兑会计、南宁11185等，并与移动、联通有第三方接入，与绿卡省中心连接，并作为两网省际共同出口与国家局连接，连接出口众多，网络结构复杂。目前除与绿卡省中心连接使用了防火墙外，其他接入点均未使用防火墙。为保证综合网核心网络的安全，并综合数据流量、原有网络结构等因素，提出以下要求：1、按照方案一，与区局连接使用的防火墙F2，南宁邮区中心局与区局使用同一路由器接入，区局OA、量收、视频均从此防火墙接入，防火墙的性能必须有保障。2、12个地市汇接的CISCO7507路由器连接的防火墙F2，需要支持MPLSVPN技术，因生产、视频同时上后数据流量很大，防火墙处理能力、稳定性要求很高，否则将成为地市连接省中心的瓶颈。3、南宁市网络汇接点（包含南宁、崇左及辖县所有生产、视频）、南宁市局一枢纽局域网、区储汇局省中心控制台与汇兑汇兑会计、南宁11185、第三方接入等，经过一台三层交换机汇接后，经过防火墙F1与核心交换机连接，因数据流量大，对三层交换机及防火墙处理能力、稳定性要求高，否则将造成业务的中断。4、考虑防止省外线路来的攻击（已出现过这样的攻击），出省线路也接入防火墙，需要再增加1台三层交换机。5、综合网省中心办公上网利用南宁市邮政局办公网的线路上互连网，与生产网实现物理隔离。生产网应使用专用PC进行系统维护。方案的投资预算如下：方案设备名称单位数量单价投资预算PIX525E防火墙(利旧)台1￥0￥0网络隔离防火墙台2￥60,000￥120,000Catalyst3560-24口3层交换机台2￥20,000￥40,000入侵检测（已有）台1￥0￥0入侵检测管理，病毒、网络监控PC台2￥7000￥14，000合计：￥161,0008（三）绿卡省中心边界网络隔离方案邮政储蓄系统是邮政综合网上量重要的信息系统。原则上，储蓄系统不能以任何方式、任何理由直接为INTERNET用户提供服务或直接与第三方式进行连接。储蓄系统都应部署到区域I中，对核心层区域内要进一步加强隔离与保护。目前，绿卡省中心机房上互联网和上绿卡网是物理隔离的。区邮政储汇局的清算会计需要访问绿卡网，汇兑会计需要访问综合网。为绿卡省中心和区邮政储汇局各配置一台边界防火墙（带VPN功能），为绿卡省中心配置一台网络隔离防火墙，作为网络隔离使用，见图5。参照区局机关办公网的网络连接方案，提出以下三个解决方案：方案一是防火墙，方案二是防火墙+隔离卡，方案三是防火墙+新增计算机。各方案的投资预算如下：序号设备名称单位数量单价投资预算（一）明秀路区储汇局9方案一边界防火墙（带VPN功能）台1￥30,000￥30,00024口3层交换机台1￥20,000￥20,00024口普通交换机台1￥4,000￥4,000PC机（管理控制台）台20￥7,000￥140,000病毒、网络监测PC机台2￥7,000￥14,000合计1￥68,000￥208,000方案二隔离卡隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)张11￥2,000￥22,000隔离集线器台1￥2,100￥2,100合计2方案一+方案二￥232,100方案三PC台11￥7,000￥77,000合计3方案一+方案三￥285,000(二）绿卡省中心方案一新增接入路由器台1￥8,000￥8,000边界防火墙（带VPN功能）台1￥30,000￥30,000网络隔离防火墙台1￥60,000￥60,000与第三方连接隔离防火墙（利旧）台1￥0￥0入侵检测系统套1￥100,000￥100,00024口3层交换机台1￥20,000￥20,000入侵检测管理/病毒/网络监控PC台3￥7,000￥21,000系统备份/开发后台/国家局监控系统台3￥7,000￥21,000合计1￥232,000￥260,000方案二隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)张8￥2,000￥16,000隔离集线器台1￥2,100￥2,100合计2方案一+方案二￥278,100方案三PC台8￥7,000￥56,000合计3方案一+方案三￥316,000（四）各市、县邮政局边界网络隔离方案根据区局的要求，目前各市、县邮政局生产网与办公上网是物理隔离的。为了解决部分市局人员即要连接办公网又要连接生产网的需求，参照区局机关办公网的网络连接方案，见图6。10现提出以下三个解决方案：方案一是防火墙，方案二是防火墙+隔离卡，方案三是新增计算机。各方案的投资预算如下：序号设备名称单位数量单价投资预算方案一BDCOM1750（利旧，但需要升级IOS）张14￥0边界网络防火墙（带VPN功能）台14￥30,000￥420,000VPN客户端（已包含在区局中）个￥0合计1￥420,000方案二隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)张14*6￥2,000￥168,000隔离集线器台14￥2,100￥29,400合计2方案二+合计1￥617,400方案三PC台14*6￥7,000￥588,000合计3￥588,00011原则上，在县市及以下机构，不允许用专线方式接入INTERNET，也不允许接在生产网上的机器，同时拨号上网。因此，各县需要访问生产网（如：量收系统）的计算机，原则上不允许接入互联网。现提出两个解决方案：方案一是隔离卡，方案二是新增计算机或利用利旧的计算机。投资预算如下：序号设备名称单位数量单价投资预算方案一隔离卡(单硬盘隔离卡或双硬盘隔离卡+40G硬盘)张78*1￥2,000￥156,000合计1