广东检验检疫局本部大楼目前的局域网络构建于2003年,主干网络采用千兆以太交换网技术,两台中心交换机Nortel Passport 8610通过四条千兆以太网通道捆绑技术,以双机热备和负载均衡的方式协同工作,并经由光纤链路捆绑实现千兆交换到大楼各楼层,最终实现10/100M到桌面。小型机双机系统通过光纤直接接入两台主干交换机千兆端口,关键服务器(位于主机房内)通过光纤直接接入主干交换机千兆端口,部分服务器(位于机房外操作间内)通过接入24口千兆以太交换机连入主干,防火墙采用了两台大容量的千兆防火墙热备,保证了网络的安全性、Internet接入的性能以及可靠性。
广东局广域网络构建于2001年,并于2003年近行了扩容,覆盖了全省所辖的检验检疫机构。此广域网是一个省局->分支局->办事处的三级树型结构网络,主干网连接省局和所辖的32个分支局及125个办事处,共有服务器160台,工作站2500余台。主干交换及路由设备以CISCO产品为主。网络线路以2兆全光纤数字电路为主,共包含连接广东局到分支局的32条电路以及各分支局连接到办事处共125条线路,另外黄埔局、清远局和河源局还有19条微波线路。
基于广东出入境检验检疫局的业务需求、可能面临的的安全威胁和攻击手段,广东出入境检验检疫局网络安全建设的目标可归纳为:
l 加强对计算机病毒的监控和防范,尤其是要阻挡通过网络来自于外部系统的病毒;
l 加强访问控制,将各级检验检疫网络、不同业务区间进行有效隔离,避免与外部网络的直接通信
l 加强数据机密性,在各级网络的数据传输的过程中,通过加密等手段,防止数据的泄漏和破坏。
l 评估系统的安全等级,发现并修补系统的安全漏洞,在安全事件发生前就做好加固工作。
l 加强对各种日志的审计工作,详细记录对网络、公开服务器的访问、操作行为,形成完整的系统日志 ,并通过分析日志发现系统中的安全事件。
l 加强网络内部用户的行为监控,使用户在被授权的范围内工作,当出现非授权操作、非法接入时,系统能发现并报警。
l 建立统一的综合管理平台,对网络中的网络设备、安全设备进行集中管理,提高管理的效率和故障解决能力、配置管理能力。
l 完善建立安全管理制度,加强各级工作人员的安全意识和安全水平,从制度上提高整体安全级别。
下图是广东出入境检验检疫局的安全系统总体设计拓扑图:
l 利用天融信防火墙实现各级网络的安全隔离、访问控制。
l 利用天融信网络IDS和主机IDS实现入侵监控。
l 利用网络防病毒产品提供全网病毒防护。
l 利用桌面管理系统实现全网的计算机终端管理。
l 利用漏洞扫描系统定期对网络进行漏洞的扫描。
l 利用天融信TA安全日志审计系统实现网络资源的日志的集中分析存储,发现安全时间。
l 利用天融信TM网络综合管理系统对网络设备、安全设备的集中管理。
l 防火墙、IDS、日志审计、桌面管理系统、防病毒系统,利用TOPSEC联动协议实现安全联动,提高安全产品的防护、反应能力。
通过以上安全设计,在广东出入境检验检疫局信息系统可达到一下安全效果。
l 加强了终端桌面系统的安全控制。
通过部署桌面管理系统,对终端系统使用人员身份机型严格鉴别、操作行为的严格控制和审计、终端资源的严格保护等。
l 利用防火墙的访问控制功能,加强边界安全。
一方面在广东出入境检验检疫局信息系统与下级检验检疫单位网络的连接线路上部署千兆防火墙审核两个网络间的网络访问请求,并通过双机热备提高可靠性。
另一方面对于分支局、办事处网络连接到公网网络的线路上部署百兆防火墙,防范来自公网对分支局网络的攻击行为。
l 在省局的核心交换区部署入侵检测系统。
通过入侵检测系统分析对比抓取的网络数据,及时发现网络中发生的攻击行为。并通过防火墙联动进行阻断。
l 构建多层次的防病毒系统,提供全面的防病毒能力
包括部署MAIL网关防毒、WEB网关防毒从而提供网关层次的防病毒能力,对进出网络的数据进行病毒扫描和内容过滤
对于桌面系统、服务器部署网络版防病毒系统、服务器防病毒系统,提供桌面防毒。
对于群件服务器部署群件版防毒系统,提供邮件层次的防病毒能力。
l 通过使用漏洞扫描系统,定期的评估广东出入境检验检疫局网络的安全性,发现安全漏洞进行加固。
l 部署日志审计系统,通过对网络设备、安全设备的集中审计,及时发现系统中发生的安全事件。
l 建立集中综合管理平台,实现全网的集中管理。
通过该管理平台,对各网络设备、安全产品的日志、审计、报警信息机型集中处理和分析,实时掌握全网络运行情况,并可方便实现全网的故障管理、性能管理等管理功能。