一、信息系統(tǒng)現(xiàn)狀

廣東檢驗(yàn)檢疫局本部大樓目前的局域網(wǎng)絡(luò)構(gòu)建于2003年，主干網(wǎng)絡(luò)采用千兆以太交換網(wǎng)技術(shù)，兩臺(tái)中心交換機(jī)Nortel Passport 8610通過(guò)四條千兆以太網(wǎng)通道捆綁技術(shù)，以雙機(jī)熱備和負(fù)載均衡的方式協(xié)同工作，并經(jīng)由光纖鏈路捆綁實(shí)現(xiàn)千兆交換到大樓各樓層，最終實(shí)現(xiàn)10/100M到桌面。小型機(jī)雙機(jī)系統(tǒng)通過(guò)光纖直接接入兩臺(tái)主干交換機(jī)千兆端口，關(guān)鍵服務(wù)器（位于主機(jī)房?jī)?nèi)）通過(guò)光纖直接接入主干交換機(jī)千兆端口，部分服務(wù)器（位于機(jī)房外操作間內(nèi)）通過(guò)接入24口千兆以太交換機(jī)連入主干，防火墻采用了兩臺(tái)大容量的千兆防火墻熱備，保證了網(wǎng)絡(luò)的安全性、Internet接入的性能以及可靠性。

廣東局廣域網(wǎng)絡(luò)構(gòu)建于2001年，并于2003年近行了擴(kuò)容，覆蓋了全省所轄的檢驗(yàn)檢疫機(jī)構(gòu)。此廣域網(wǎng)是一個(gè)省局－>分支局->辦事處的三級(jí)樹(shù)型結(jié)構(gòu)網(wǎng)絡(luò)，主干網(wǎng)連接省局和所轄的32個(gè)分支局及125個(gè)辦事處，共有服務(wù)器160臺(tái)，工作站2500余臺(tái)。主干交換及路由設(shè)備以CISCO產(chǎn)品為主。網(wǎng)絡(luò)線(xiàn)路以2兆全光纖數(shù)字電路為主，共包含連接廣東局到分支局的32條電路以及各分支局連接到辦事處共125條線(xiàn)路，另外黃埔局、清遠(yuǎn)局和河源局還有19條微波線(xiàn)路。

二、廣東出入境檢驗(yàn)檢疫局信息系統(tǒng)安全目標(biāo)

基于廣東出入境檢驗(yàn)檢疫局的業(yè)務(wù)需求、可能面臨的的安全威脅和攻擊手段，廣東出入境檢驗(yàn)檢疫局網(wǎng)絡(luò)安全建設(shè)的目標(biāo)可歸納為：

l  加強(qiáng)對(duì)計(jì)算機(jī)病毒的監(jiān)控和防范，尤其是要阻擋通過(guò)網(wǎng)絡(luò)來(lái)自于外部系統(tǒng)的病毒；

l  加強(qiáng)訪(fǎng)問(wèn)控制，將各級(jí)檢驗(yàn)檢疫網(wǎng)絡(luò)、不同業(yè)務(wù)區(qū)間進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)的直接通信

l  加強(qiáng)數(shù)據(jù)機(jī)密性，在各級(jí)網(wǎng)絡(luò)的數(shù)據(jù)傳輸?shù)倪^(guò)程中，通過(guò)加密等手段，防止數(shù)據(jù)的泄漏和破壞。

l  評(píng)估系統(tǒng)的安全等級(jí)，發(fā)現(xiàn)并修補(bǔ)系統(tǒng)的安全漏洞，在安全事件發(fā)生前就做好加固工作。

l  加強(qiáng)對(duì)各種日志的審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公開(kāi)服務(wù)器的訪(fǎng)問(wèn)、操作行為，形成完整的系統(tǒng)日志 ，并通過(guò)分析日志發(fā)現(xiàn)系統(tǒng)中的安全事件。

l  加強(qiáng)網(wǎng)絡(luò)內(nèi)部用戶(hù)的行為監(jiān)控，使用戶(hù)在被授權(quán)的范圍內(nèi)工作，當(dāng)出現(xiàn)非授權(quán)操作、非法接入時(shí)，系統(tǒng)能發(fā)現(xiàn)并報(bào)警。

l  建立統(tǒng)一的綜合管理平臺(tái)，對(duì)網(wǎng)絡(luò)中的網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行集中管理，提高管理的效率和故障解決能力、配置管理能力。

l  完善建立安全管理制度，加強(qiáng)各級(jí)工作人員的安全意識(shí)和安全水平，從制度上提高整體安全級(jí)別。

三、安全系統(tǒng)總體設(shè)計(jì)

下圖是廣東出入境檢驗(yàn)檢疫局的安全系統(tǒng)總體設(shè)計(jì)拓?fù)鋱D：

l  利用天融信防火墻實(shí)現(xiàn)各級(jí)網(wǎng)絡(luò)的安全隔離、訪(fǎng)問(wèn)控制。

l  利用天融信網(wǎng)絡(luò)IDS和主機(jī)IDS實(shí)現(xiàn)入侵監(jiān)控。

l  利用網(wǎng)絡(luò)防病毒產(chǎn)品提供全網(wǎng)病毒防護(hù)。

l  利用桌面管理系統(tǒng)實(shí)現(xiàn)全網(wǎng)的計(jì)算機(jī)終端管理。

l  利用漏洞掃描系統(tǒng)定期對(duì)網(wǎng)絡(luò)進(jìn)行漏洞的掃描。

l  利用天融信TA安全日志審計(jì)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)資源的日志的集中分析存儲(chǔ)，發(fā)現(xiàn)安全時(shí)間。

l  利用天融信TM網(wǎng)絡(luò)綜合管理系統(tǒng)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的集中管理。

l  防火墻、IDS、日志審計(jì)、桌面管理系統(tǒng)、防病毒系統(tǒng)，利用TOPSEC聯(lián)動(dòng)協(xié)議實(shí)現(xiàn)安全聯(lián)動(dòng)，提高安全產(chǎn)品的防護(hù)、反應(yīng)能力。

   通過(guò)以上安全設(shè)計(jì)，在廣東出入境檢驗(yàn)檢疫局信息系統(tǒng)可達(dá)到一下安全效果。

l  加強(qiáng)了終端桌面系統(tǒng)的安全控制。

通過(guò)部署桌面管理系統(tǒng)，對(duì)終端系統(tǒng)使用人員身份機(jī)型嚴(yán)格鑒別、操作行為的嚴(yán)格控制和審計(jì)、終端資源的嚴(yán)格保護(hù)等。

l  利用防火墻的訪(fǎng)問(wèn)控制功能，加強(qiáng)邊界安全。

一方面在廣東出入境檢驗(yàn)檢疫局信息系統(tǒng)與下級(jí)檢驗(yàn)檢疫單位網(wǎng)絡(luò)的連接線(xiàn)路上部署千兆防火墻審核兩個(gè)網(wǎng)絡(luò)間的網(wǎng)絡(luò)訪(fǎng)問(wèn)請(qǐng)求，并通過(guò)雙機(jī)熱備提高可靠性。

另一方面對(duì)于分支局、辦事處網(wǎng)絡(luò)連接到公網(wǎng)網(wǎng)絡(luò)的線(xiàn)路上部署百兆防火墻，防范來(lái)自公網(wǎng)對(duì)分支局網(wǎng)絡(luò)的攻擊行為。

l  在省局的核心交換區(qū)部署入侵檢測(cè)系統(tǒng)。

通過(guò)入侵檢測(cè)系統(tǒng)分析對(duì)比抓取的網(wǎng)絡(luò)數(shù)據(jù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中發(fā)生的攻擊行為。并通過(guò)防火墻聯(lián)動(dòng)進(jìn)行阻斷。

l  構(gòu)建多層次的防病毒系統(tǒng)，提供全面的防病毒能力

包括部署MAIL網(wǎng)關(guān)防毒、WEB網(wǎng)關(guān)防毒從而提供網(wǎng)關(guān)層次的防病毒能力，對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行病毒掃描和內(nèi)容過(guò)濾

對(duì)于桌面系統(tǒng)、服務(wù)器部署網(wǎng)絡(luò)版防病毒系統(tǒng)、服務(wù)器防病毒系統(tǒng)，提供桌面防毒。

對(duì)于群件服務(wù)器部署群件版防毒系統(tǒng)，提供郵件層次的防病毒能力。

l  通過(guò)使用漏洞掃描系統(tǒng)，定期的評(píng)估廣東出入境檢驗(yàn)檢疫局網(wǎng)絡(luò)的安全性，發(fā)現(xiàn)安全漏洞進(jìn)行加固。

l  部署日志審計(jì)系統(tǒng)，通過(guò)對(duì)網(wǎng)絡(luò)設(shè)備、安全設(shè)備的集中審計(jì)，及時(shí)發(fā)現(xiàn)系統(tǒng)中發(fā)生的安全事件。

l  建立集中綜合管理平臺(tái)，實(shí)現(xiàn)全網(wǎng)的集中管理。

通過(guò)該管理平臺(tái)，對(duì)各網(wǎng)絡(luò)設(shè)備、安全產(chǎn)品的日志、審計(jì)、報(bào)警信息機(jī)型集中處理和分析，實(shí)時(shí)掌握全網(wǎng)絡(luò)運(yùn)行情況，并可方便實(shí)現(xiàn)全網(wǎng)的故障管理、性能管理等管理功能。