广西邮政综合网边界络隔离和防病毒方案.doc

广西邮政综合网边界网络隔离和防病毒方案 随着网络建设的完成和各应用系统的上线，邮政综合网网络安全问题越来越突出，尤其是病毒和来自互联网的威胁已经直接影响到网络和系统的安全运行，也影响到包括正在进行的业务量收管理系统和OA（办公自动化）系统在内的新应用系统的上线。为此，国家邮政局信息技术局编制并发布《综合网边界网络隔离和防病毒纲要（暂行）》（信局传[2005]74号文件），以下简称纲要。根据国家局的要求并结合广西邮政自身情况，现制定出广西邮政综合网边界网络隔离和防病毒方案。 一、本方案的目标和原则 本方案的主要目标是按照安全属性对广西邮政综合网（包括储蓄系统和电子邮政）进行安全区域划分，并规定区域隔离和防病毒的要求；确保网络和应用系统的安全运行，确保新系统顺利上线。 本方案的基本原则： 1、完整性原则。本纲要的要求应视为邮政综合网安全技术体系的重要组成部分，但不是全部。国家邮政局信息技术局将陆续发布其它的部分。 2、整体性原则。网络安全是全程全网的大事，任何部分的安全级别的降低都意味着全网安全级别的降低。任何纰漏都是对全网生产安全的威胁。 3、有限性原则。任何安全技术措施的作用都是有限的，更重要的是安全管理和各级人员的安全意识及技术水平并最终落实为安全措施的执行力。因此，本纲要应视为系统安全的基本要求和最低的安全技术保障。 在邮政综合网上，由于历史等原因，骨干网络上有两个相对独立的IP网，即邮政综合网、邮政储蓄系统，它们的安全级别从高到低依次是邮政储蓄系统、邮政综合网，再加上INTERNET（互联网）。在国家邮政局没有修改邮政综合网网络技术体制之前，骨干网络仍维持目前的网络结构，并在此基础上，根据实际需要进行扩充。同时，增加INTERNET作为新的数据通信渠道。 网络隔离的基本思路是：按照应用的特点和安全性要求，对网络进行分区域隔离，不同区域之间采用防火墙进行网络隔离，在区域内可以根据实际需要，再隔离成子区域、子子区域直到VLAN（虚拟局域网）；并在此基础上，在区域内部部署防病毒系统、入侵检测系统等。本方案就是针对目前邮政综合网运行和建设过程中最突出的问题，围绕与INTERNET、第三方合作伙伴连接的网络边界防护及OA系统、量收系统等有特殊通讯要求的系统而编制，旨在抑制病毒、加强安全，保证系统稳定运行。应该看到，网络隔离和防病毒只是全网安全技术体系中的一部分，随着邮政综合网的建设和发展，安全措施必将进一步加强，安全技术体系必将得到进一步地完善。 二、边界网络隔离方案 （一）区局机关办公网络连接方案 目前，区局办公网络与邮政综合网之间是两网分离的。邮运指挥调度系统、名址信息系统、OA系统和量收系统等上线运行后，区局机关办公人员将需要访问互连网能访问生产网。为确保综合网网络的安全和防止病毒蔓延，根据《纲要》的要求，并结合区局机关办公局域网的实际情况，现提出如下解决方案： 方案一：防火墙 见图1，按照《纲要》推荐使用的方案A调整网络结构。方案有4个区域，其中，区域O为互联网接入区域，主要功能是完成互联网接入，部署为边界路由器R1、MODEM等网络接入设备，是安全级别最低的区域。 区域E是非军事区之一，主要功能是透过防火墙F1与INTERNET用户或用户服务器进行通信，透过路由器R2进行必要的、受限的通信访问生产网，使用具有第三层交换功能的局域网交换机S1，划分成不同的VLAN。该区域可以部署用于INTERNET用户的WEB服务器、MAIL服务器、DNS服务器、FTP服务器、支付网关服务器、VPN服务器及其它直接与用户或用户服务器通过INTERNET通信的前端服务器。其安全级别高于区域O。防火墙F1应具有VPN功能，为移动办公用户和各市、县局用户通过INTERNET访问OA服务提供虚拟访问通道（VPN）。 区域D是非军事区之二，主要功能是非军事区的第二梯队，可以透过防火墙F1防问区域E中的服务器，并可访问区域O中的服务器，同时，可以透过路由器R2受限地访问区域I中的服务器，使用具有第三层交换功能的局域网交换机S2。在该区域可以部署OA系统的PC服务器，内部使用的文件服务器等。其安全级别略高于区域E。 区域I是内部网络，可以视为邮政综合网。主要功能是承担企业内部生产、经营、管理等系统的数据通信，并为区域E和区域D提供数据。在方案中安全级别最高。 方案要求网络隔离安全策略要求如下： 只允许区域O中的IP访问区域E中的指定IP的指定端口； 只允许区域D和区域E中的指定IP访问区域O中的IP； 只允许区域D和区域E中的指定IP访问区域I中的指定IP的指定端口； 区域I中的指定IP的指定端口只允许被区域D、区域E中的指定IP访问； 除上述条件以后的所有通讯是禁止的。 在使用上述安全策略时，应与具体的系统结合起来，进行细化和加强。根据纲要要