信息安全集成设计方案

成都综合保税区西区信息安全集成系统方案XX科技有限公司2010.12目 录1、项目背景32、需求分析43、系统设计53.1设计依据及设计原则53.2信息安全技术设计83.3信息安全管理设计143.4产品选型161、项目背景2010年10月18日，国务院设立成都高新综合保税区。根据国务院批复，成都高新综合保税区规划面积4.68平方公里，位于成都高新区西部园区。新设立的成都高新综合保税区是对现有四川成都出口加工区、成都保税物流中心(B型) 和成都出口加工区南区（803区）进行整合扩展而成的。 四川成都出口加工区2000年4月经国务院批准设立，是中国首批出口加工区之一，2009年进出口总额64.2亿美元，2010年17月进出口总额50.75亿美元，增长43%，综合排名全国第5、中西部第1，是全国发展最好的出口加工区之一；成都保税物流中心(B型)于2009年3月通过验收，7月正式封关运行，目前发展情况良好。整合扩展后的成都高新综合保税区集保税出口、保税物流、口岸功能于一身，是目前国内功能最全、政策最优的海关特殊监管区域，有利于海关监管运行，更有利于企业的进一步发展。 为了将成都综合保税区建设成为中国中西部一流的保税区和口岸平台，提高出口加工区现代化的监管水平，利用现代监控技术、网络与通信技术、计算机处理技术和自动控制技术，构建一个先进、实用、可靠的保税区海关联网监管系统。信息技术的发展，为海关管理创新提供了手段，实现信息化将使海关管理水平产生质的飞跃。经过多年的建设，海关已形成了涉密办公网、办公管理网、业务运行网、对外接入网等功能齐全的复杂办公环境 ，在业务协同、办公管理、对外服务等方面发挥了越来越重要的作用。建设统一的技术支撑平台，建立科学的信息管理体系，关键的一环就是信息部门必须对其信息技术设备和服务进行全面的、整体的网络运行监控和安全管理。这其中，既涉及到网络管理，也有安全管理。技术支撑层，充分利用技术手段，建立高效、协同的信息安全管理平台，将网络监控与安全监控有机地结合在一起，注重能够及时定位故障。技术支撑体系应该包括三个层次：展示层、运维管理层、集中监控层。1）展示层。提供面向信息安全层面和信息安全管理决策层面的展示视角，在信息安全管理界面上实现集中运维的统一管理功能和信息展示与交互功能。2）流程及业务信息安全管理层。在集中信息安全管理模式下实现流程执行和管理控制功能、业务安全管理功能。3）集中控制层。通过监控工具实现对不同服务对象和IT资源的实时监控，包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用和客户端等技术支持管理子系统进行综合处理和集中管理。2、需求分析2.1广域网网络链接2.1.1海关业务线路为保证综保区海关业务正常开展，按海关部署相关规定，要求综保区到成都海关中心机房广域网线路“双线热备”方案。“双线热备”方案已在成都海关中心机房至出口加工西区、机场海关等四个重要业务现场实施部署。其具体需求是海关业务运行网和业务管理网在网络正常时各走一条链路，当其中一条链路出理故障时互为备份，故障排除后自动切换回原有链路，无需人工干预。线路上分别选择电信和网通的一条链路，更好地保障备份的可靠。系统建设配置包括广域网路由设备，不同的运营网分别租用4M以上的宽带线路。2.1.2电子口岸专线为满足电子口岸录入的需要，要求建设电子口岸电子专网。电子口岸专网也采用“双线热备”方案，原则上由部署数据中心负责审批。2.2综合布线2.2.1分类综合布线系统包括管理网G（六类系统）、业务网Y（超五类系统）、互联网W（超五类系统）语音网T（水平超五类系统）、备用网络B（超五类系统）共计5个系统（可根据监管要求及功能设置作相应调整）。各网络物理隔离、独立组网，新设机构可根据实际情况选择网络系统的建设。楼层弱电井设置不同功能的配线间。主干数据采用4芯多模室内光缆、语音采用25芯5类大对数电缆及超5类屏蔽电缆。2.2.2网线布线系统管理网：水平布线采用六类非屏蔽网线，垂直干线采用4芯多模光纤；运行网、互联网、备用网络：水平布线采用超五类非屏蔽网线，垂直干线采用4芯多模光纤；机房：水平布线采用六类非屏蔽网线及超五类屏蔽网线。2.2.3机柜的配置在楼层弱电井设有不同功能的独立配线间。各楼层布线系统统一汇聚到机房。配线间：管理网、业务网可共用一个机柜，互联网、电话、备用网共用一个机柜；机房：管理网、业务网可共用一个机柜，互联网、备用网共用一个机柜，电话共用一个机柜。2.2.4综合布线标识说明由于网络的种类比较多，在前面板用颜色加编号的方式对点位的功能进行分区。使用时从面板标识的颜色可确定点位所属的网络或电话。综合布线标识面板、水平线缆、配线架用相机的编号，垂直主干用另一种编号。具体编号说明参见海关相应文件。机房的网络布线系统设计，除应符合本规范的规定外，还应符合现行国家标准综合布线系统工程设计规范GB50311的有关规定。2.2.5园区网建设园区内应建设园区网，以实现区内所有企业与管委会之间信息的互通和管理，同时考虑相应的安全管理建设，包括防病毒管理、客户端准入等。园区网为封闭局域网，但保留对外互联网出口。园区网建设方案应提交海关技术处审批，海关技术处可对园区网的建设进行协助和指导。2.3机房建设机房建设要求为海关设立独立机房，桐庐工程包括桐庐地面装修、电气部分的配电柜、防雷工程、消防报警、机房空调、UPS、机房监控、综合布线系统等。机房面积：按二类机房的相关要求，面积在90130平方米之间；机房走线与装修：按上走线方式进行综合布线，吊顶应可拆卸，或留有出入口，以方便管道和设备的安装维护。缆线采用线槽或桥架敷设时，线槽或桥架的高度不宜大于150mm,桥架宜采用网格式桥架。地面工程：地面应平整，必须进行防尘处理，采用防尘涂料时，至少粉刷2遍以上。防雷工程：防雷部分的电源防雷器选用进口产品。机房空调：能够满足机房使用条件的专用独立温湿度调节空调。机房综合布线：机房的综合布线系统选用进口6类非屏蔽系统，配线架全部选用6类24口快跳式配线架，光纤部分采用24口光纤配线盘连接。各楼层汇聚机房配线架，配线架型号选择参见综合布线各网络设计要求。UPS：配置10KVA UPS设备2台，电池能够满足10KVA设备支持30分钟。消防报警：根据具体情况自行设计。机房监控：根据具体情况自行设计。3、系统设计3.1设计依据及设计原则3.1.1、设计依据计算机信息系统安全保护等级划分准则（GB17859-1999）信息系统安全等级保护基本要求（GB/T 22239-2008）。信息系统安全保护等级定级指南（GB/T 22240-2008）信息系统安全等级保护实施指南（信安字200710号）信息系统通用安全技术要求（GB/T 20271-2006）信息系统等级保护安全设计技术要求（信安秘字2009059号）信息系统安全管理要求（GB/T 20269-2006）信息系统安全工程管理要求（GB/T 20282-2006）信息系统物理安全技术要求（GB/T 21052-2007）网络基础安全技术要求（GB/T 20270-2006）信息系统安全等级保护体系框架（GA/T 708-2007）信息系统安全等级保护基本模型（GA/T 709-2007）信息系统安全等级保护基本配置（GA/T 710-2007）信息系统安全等级保护测评要求（报批稿）信息系统安全等级保护测评过程指南（报批稿）信息系统安全管理测评（GA/T 713-2007）操作系统安全技术要求（GB/T 20272-2006）操作系统安全评估准则（GB/T 20008-2005）数据库管理系统安全技术要求（GB/T 20273-2006）数据库管理系统安全评估准则（GB/T 20009-2005）网络端设备隔离部件技术要求（GB/T 20279-2006）网络端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品技术要求（GB/T 20278-2006）网络脆弱性扫描产品测试评价方法（GB/T 20280-2006）网络交换机安全技术要求（GA/T 684-2007）虚拟专用网安全技术要求（GA/T 686-2007）网关安全技术要求（GA/T 681-2007）服务器安全技术要求（GB/T 21028-2007）入侵检测系统技术要求和检测方法（GB/T 20275-2006）计算机网络入侵分级要求（GA/T 700-2007）防火墙安全技术要求（GA/T 683-2007）防火墙技术测评方法（报批稿）信息系统安全等级保护防火墙安全配置指南（报批稿）防火墙技术要求和测评方法（GB/T 20281-2006）包过滤防火墙评估准则（GB/T 20010-2005）路由器安全技术要求（GB/T 18018-2007）路由器安全评估准则（GB/T 20011-2005）路由器安全测评要求（GA/T 682-2007）网络交换机安全技术要求（GB/T 21050-2007）交换机安全测评要求（GA/T 685-2007）终端计算机系统安全等级技术要求（GA/T 671-2006）终端计算机系统测评方法（GA/T 671-2006）虚拟专网安全技术要求（GA/T 686-2007）应用软件系统安全等级保护通用技术指南（GA/T 711-2007）应用软件系统安全等级保护通用测试指南（GA/T 712-2007）网络和终端设备隔离部件测试评价方法（GB/T 20277-2006）网络脆弱性扫描产品测评方法（GB/T 20280-2006）信息安全风险评估规范（GB/T 20984-2007）信息安全事件管理指南（GB/Z 20985-2007）信息安全事件分类分级指南（GB/Z 20986-2007）信息系统灾难恢复规范（GB/T 20988-2007）3.1.2、设计原则在技术方案设计中，遵循以下的系统总体设计原则：1、统一规划、分布实施遵循统一规划、分布实施的原则，在信息中心软硬件支持平台扩容规划和建设中，首要的工作就是明确近期和长期的建设目标，立足于应用，分布实施。2、开放性、互连性和标准化采用国际、国家标准、协议和接口，能与现有的和未来的系统互连与集成。3、先进性在保证系统的整体性和实用性的前提下，考虑系统的先进性，所采用的技术和设备应能保证在目前同行业中是先进的，能够满足成都海关信息中心软硬件支持平台扩容未来5年以上的需求发展。4、成熟性技术方案中所采用的系统体系结构和技术必须是已经过实践检验，证明是成熟的。5、可靠性、稳定性和容错性通过选择成熟的技术、冗余的设计、可靠性产品保证整个系统具有高度的可靠性、稳定性和容错性。6、安全性建立完善的网络安全体系，保证海关信息中心网络设备的安全运行。7、高性能网络系统、服务器系统和安全系统的设计和产品选择都要考虑到高性能要求。8、升级性和可扩展性系统设计要充分考虑到扩容和升级的需要，能灵活方便地适应未来系统可能的变化。选择开放性标准的产品，确保设备的兼容性；通过系统结构的合理设计和适度资源冗余，