通信管理系统网络互联及安全防护实施方案.pdf

通信管理系统通信管理系统网络网络互联互联及及 安全安全防护防护实施方案实施方案 通信管理系统项目管理办公室通信管理系统项目管理办公室 2012 年 5 月 一、一、 网络拓扑网络拓扑 . 3 1.1. 总体架构图 3 1.2. 在信息 vpn 中系统定位图 . 4 1.3. 系统物理结构图 . 4 二、二、 IPIP 地址需求地址需求 5 三、三、 IPIP 地址规划地址规划 6 四、四、 互联需求及端口开放互联需求及端口开放 7 五、五、 系统安全防护要求系统安全防护要求 9 1.4. 物理安全防护 . 9 1.5. 网络安全防护 . 9 1.5.1. 物理及逻辑隔离 9 1.5.2. 网络设备安全防护 9 1.5.3. 安全策略及接口控制 10 1.6. 主机安全防护 . 10 1.6.1. 服务器操作系统安全防护 11 1.6.2. 数据库系统安全防护 11 1.6.3. 桌面终端安全防护 12 六、六、 互联测试互联测试 . 12 1.1. 互联测试要求 . 13 1.2. 互联测试结果 . 13 一、一、 网络拓扑网络拓扑 1.1.总体架构图 通信管理系统通过信息 VPN 进行纵向及横向网络互联。 如下 图所示，将通信管理系统作为一个独立的子网，接入到各单位信 息内网， 利用信息 VPN 网络实现总部和各省公司通信管理系统的 纵向互联。 1.2.系统定位图 从安全分级角度来看，通信管理系统为三级系统，与其他三 级系统物理上相互隔离，仅通过两台防火墙实现联通。通信管理 系统和其他级别系统关系示意图如下所示： 1.3.系统物理结构图 通信管理系统采用总部 （分部） 、 省两级部署， 总部 （分部） 、 省、地市三级应用的物理架构。在国网信通和各区域分部集中部 署跨区、跨省的骨干通信网管理系统，在省公司集中部署省内骨 干通信网管理系统，地市公司通过远程终端使用省级部署的系 统。系统物理结构如下图所示。 调度 VPN 二级系统域 四级系统域 SGOSS 系统 OMS 系统 信息 VPN PMS/GIS/IMS/I RS/IDS/DVS 系 通信管理系统 ERP 系统 SANSAN存储系统存储系统 存储阵列存储阵列 数据数据 库库/ /应应 用服用服 务器务器 数据数据 库库/ /应应 用服用服 务器务器 中心交换中心交换 机机 中心交换中心交换 机机 被管对象被管对象 隔离装置隔离装置 采集服务器采集服务器 人机工作站人机工作站 生产控制大区管理信息大区 SGSG- -OSSOSS DVSDVS 信息信息 VPNVPN SANSAN存储系统存储系统 存储阵列存储阵列 数据数据 库库/ /应应 用服用服 务器务器 数据数据 库库/ /应应 用服用服 务器务器 中心交换中心交换 机机 中心交换中心交换 机机 被管对象被管对象 隔离装置隔离装置 采集服务器采集服务器 人机工作站人机工作站 生产控制大区管理信息大区 智能电网通信管理系统（总部/分部） 智能电网通信管理系统（省级） IMSIMS IRSIRS IDSIDS GISGIS SGSG- -OSSOSS DVSDVS IMSIMS GISGIS 2005-B16 546713121415 0123981110 2005-B16 546713121415 0123981110 防火墙防火墙 防火墙防火墙 中心交换中心交换 机机 被管对象被管对象 生产控制大区 采集服务器采集服务器 防火墙防火墙 人机工作站人机工作站 人机工作站人机工作站 防火墙防火墙 管理信息大区 防火墙防火墙 中心交换中心交换 机机 防火墙防火墙 二、二、 IPIP 地址需求地址需求 通信管理系统作为一个整体，总体架构由总部（分部） 、省 两级系统和互联网络组成，互联网络采用信息 VPN 方案，其 IP 需求如下： （1） 生产控制大区 由于设备网管与其他专业没有互联需求，这部分 IP 地址将 由通信专业进行内部统一规划。 （2） 生产控制大区与管理信息大区之间 生产控制大区与管理信息大区之间的隔离装置需要信息内 网 IP 地址数 6 个，并预留 8 个； （3）管理信息大区 信息 VPN 内部： PE-CE 互联 IP 已分配，CE 以下网络 IP 地址需求分析如下： 安全设备（三区防火墙以 1 台计算，需 1 个系统内部 IP，以及 多个横向互联 IP） 、核心交换机（按 2 台计算，需 3 个 IP） 、数 据库服务器（按 2 台计算，最多 7 个 IP） 、应用服务器（按 4 台 计算，最多 12 个 IP） 、通信管理系统专用终端（按 4 台计算，4 个 IP） 。 因此，总部、分部系统所需 IP 地址=14+1+3+7+12+4=41， 考虑到以后的功能扩展 IP 地址的需求还会更多。 建议 IP 地址总 数不低于 62 个。 省公司考虑三级骨干网 （需 41 个 IP 地址） 、 四级骨干网 （需 要 IP 地址为 8*地市数量）和终端接入网（41 个 IP 地址） 。建议 IP 地址总数为一个完整 C 类地址。 （注：通信管理系统三区的防火墙上要配置多个横向互联 IP，需要其他横向互联系统分配，同此次申请的信息 ip 地址不 属于一个网段） 三、三、 IPIP 地址规划地址规划 本次采用信息 VPN 方案实现系统互联，只需各单位分别给部 署在本地管理信息大区的通信管理系统分配一段信息内网的 IP 地址，并配置路由策略，不涉及生产控制大区的系统。通信设备 网管系统使用原有 IP 地址设置。 采集系统的 IP 地址由各省公司 自己规划。 通信管理系统使用的 IP 地址按照公司信息内网的统一规 划，采用 IPv4 地址 IPIP 地址分配要求地址分配要求： 总部、分部：总部、分部： 数据库服务器 IP 地址范围 X.X.X.1/26- X.X.X.7/26 应用服务器 IP 地址范围 X.X.X.8/26- X.X.X.19/26 专用终端地址范围 X.X.X.20/26- X.X.X.25/26 采集服务器映射 IP 地址范围 X.X.X.26/26- X.X.X.39/26 网络设备 IP 地址范围 X.X.X.48/ 26- X.X.X.62/ 26 剩余地址作为预留地址。 省公司：省公司： 数据库服务器 IP 地址范围 X.X.X.1/ 24- X.X.X.7/ 24 应用服务器 IP 地址范围 X.X.X.8/ 24- X.X.X.19/ 24 专用终端地址范围 X.X.X.20/ 24- X.X.X.25/ 24 采集服务器映射 IP 地址范围 X.X.X.26/ 24- X.X.X.39/24 网络设备 IP 地址范围 X.X.X.226/ 24- X.X.X.254/ 24 剩余地址作为预留地址。 省公司若申请的地址没有一个完整的 C 类 IP，请参照以上 原则分配，并上报管理办公室。 四、四、 互联需求及互联需求及端口开放端口开放 根据通信管理系统的互联需求，此次通信管理系统规划的服 务器至少要开放以下端口（注：横向互联开放端口仅为测试端 口）： 端口号端口号 用途用途 1521 服务器数据库访问端口 8500/80/8080 通信管理系统/桌面/流程系统展现端口 61616/61617/61618 通信管理系统总线访问端口/SSL 端口 21/22 服务器之间文件传输共享端口 5000-5010 预留端口 6000 横向互联系统 IMS、IRS、IDS、ERP、SG186、SGOSS 通信管理系统互联详细需求如下表，各单位可根据互联需求 表制定安全策略： 由系统内主机发起的向外连接由系统内主机发起的向外连接 源地址 目的地址 接 口 方 式 (必 填) 协 议 目的端 口 源 端 口 ( 可 选) 连接 timeout 值(单 位:s) (可 选) 备注 三区应用服务器 其他单位纵向互 联接口服务器（应 用服务器） WebS ervice 、 tcp/ip htt p、 tcp 8500、 80、 8080、 1521、 21/22 由系统外部设备发起的向系统内部主机的连接由系统外部设备发起的向系统内部主机的连接 源地址/地址段 目的地址 接 口 方式 协 议 目 的 端口 访 问 方 式 源 端 口 (可选) 连 接 timeo ut 值 (单 位 :s) (可 选) 用户终端 三区应用服务器 Web 访问 Htt p 8500 、80、 8080 Web 访 问 其他单位纵向互 联应用服务器 三区接口服务器 （应用服务器） Socke t、 JMS Tcp 6161 6、 6161 7、 6161 8 接 口 调 用 五、五、 系统安全系统安全防护要求防护要求 1.4.物理安全防护 物理安全防护从物理位置的选择、物理访问控制、防盗窃和 防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电 力供应、电磁防护等方面进行防护。 物理安全防护参照公司 SG186 安全防护要求执行，主要通过 机房选址、装修及配置必要的安全防护设备（如机房精密空调、 红外监控系统等）实现。 1.5.网络安全防护 1.5.1. 物理及逻辑隔离 通过网络间进行物理隔离及使用安全设备进行逻辑隔离的 方法保证网络安全。 生产大区和管理信息大区间分别使用各自的网络设备进行 组网。以实现不同网络间的隔离和监控管理。管理信息大区作为 信息内网的独立子网接入信息网，中间用防火墙隔离。 1.5.2. 网络设备安全防护 通过提高网络设备自身安全性的方法保证网络安全。 制定设备管理只允许安全网络中的指定 IP 登录网络设备 进行管理；配置并使用 SSH 安全登录的管理方式。 密码管理办法：实施阶段完成后，各建设单位统一规划 并修改所有设备密码，并交由专人管理相应设备的密码 权限。密码管理人必须掌握各设备修改密码的方法。 密码安全性: 密码长度不低于 12 位，密码元素必须包含 英文、数字及特殊符号。 1.5.3. 安全策略及接口控制 通过部署安全策略及对设备物理接口进行控制的方法保证 网络安全。 防火墙只开放通讯必需的 IP 和端口，对跨网络的全部访问 流量进行报文过滤、访问控制，以实现跨网络的逻辑隔离。 使用三层交换机的三层接口引接厂家网管，并在对外部网络 互联的接口上部署安全策略， 排除了二层环路的隐患的同时保证 了与厂家网络间的安全访问。 全部交换机非直连服务器的端口均启用生成树协议，以避免 环路隐患。对各接口连接的设备进行 mac 地址绑定，同时关闭不 使用的接口，使人为影响降为最低。 1.6.主机安全防护 主机安全防护对象为服务器操作系统、数据库系统和桌面终 端。服务器包括采集服务器、数据交换服务器、应用服务器等， 桌面终端包括 PC、笔记本电脑等终端设备。主机安全防护参照 公司 SG186 安全防护要求执行。 1.6.1. 服务器操作系统安全防护 对操作系统从身份鉴别、访问控制、安全审计、入侵防范、 病毒防范、资源控制、备份与恢复等方面进行安全防护，采取以 下安全防护措施： 1） 对服务器操作系统进行安全加固安全加固：及时安装操作系统和 应用软件的安全补丁；配置操作系统的服务和端口，禁 用不必要的服务，更改一些具有较高安全风险的服务端 口；删除或禁用操作系统中未使用的用户账号，更改默 认的管理账号；设置操作系统的账号密码策略，配置账 号密码强度、账号锁定策略；开启操作系统的安全审计 选项，设置操作系统的安全审计策略；配置操作系统的 安全选项。 2） 在 Windows/Linux 操作系统服务器上部署具有病毒、木 马等恶意代码检测和清除能力的网络版防病毒软件。 1.6.2. 数据库系统安全防护 对数据库系统从身份鉴别、 访问控制、 安全审计、 资源控制、 备份与恢复等方面进行安全防护，采取以下安全防护措施： 安装必要的数据库安全补丁，配置数据库系统的服务端口， 禁用不必要的服务，并更改数据库的默认服务端口；删除或禁用 数据库系统中未使用的用户账号，更改默认的管理账号；设置数 据库系统的账号密码策略，配置账号密码强度、账号锁定策略。 1.6.3. 桌面终端安全防护 对桌面终端从资产管理、恶意代码防范、补丁管理、安全审 计、 终端安全管理等方面进行安全防护， 采取以下安全防护措施： 1） 对桌面终端操作系统进行安全加固安全加固，包括：安装操作系 统和应用软件的安全补丁；禁用一些不必要的服务（如 无线接入、远程注册表管理等） ；删除或禁用操作系统中 未使用的用户账号，更改默认的管理账号；设置操作系 统的账号密码策略，配置账号密码强度、账号锁定策略； 开启操作系统的安全审计选项，设置操作系统的安全审 计策略；配置操作系统的安全选项。 2） 部署具有病毒、木马等恶意代码检测和清除能力的网络网络 版防病毒软件版防病毒软件。对防病毒软件实行集中管理，防止非授 权卸载。防病毒软件的病毒库配置为自动从防病毒管理 服务器更新，并定期（每周）执行一次完全扫描。 3） 部署桌面终端安全管理系统，对接入通信网的主机进行 网络准入、移动存储介质安全管理、非法外联监控管理、 文件安全管理等安全管理功能。 六、六、 互联测试互联测试 1.1. 互联测试要求 总部要测试到各分部和各省公司是否连通；分部要测试到总 部和所属省公司是否连通； 省公司要测试到总部和所属分部是否 连通。 要求省内信