【正文】 成都綜合保稅區(qū)西區(qū)信息安全集成系統(tǒng)方案XX科技有限公司目 錄項目背景 3需求分析 4系統(tǒng)設(shè)計 5 5 8 14 16項目背景2010年10月18日，國務(wù)院設(shè)立成都高新綜合保稅區(qū)。根據(jù)國務(wù)院批復(fù)，位于成都高新區(qū)西部園區(qū)。新設(shè)立的成都高新綜合保稅區(qū)是對現(xiàn)有四川成都出口加工區(qū)、成都保稅物流中心(B型) 和成都出口加工區(qū)南區(qū)（803區(qū)）進行整合擴展而成的。 四川成都出口加工區(qū)2000年4月經(jīng)國務(wù)院批準設(shè)立，是中國首批出口加工區(qū)之一，2010年1—，增長43%，綜合排名全國第中西部第1，是全國發(fā)展最好的出口加工區(qū)之一；成都保稅物流中心(B型)于2009年3月通過驗收，7月正式封關(guān)運行，目前發(fā)展情況良好。整合擴展后的成都高新綜合保稅區(qū)集保稅出口、保稅物流、口岸功能于一身，是目前國內(nèi)功能最全、政策最優(yōu)的海關(guān)特殊監(jiān)管區(qū)域，有利于海關(guān)監(jiān)管運行，更有利于企業(yè)的進一步發(fā)展。 為了將成都綜合保稅區(qū)建設(shè)成為中國中西部一流的保稅區(qū)和口岸平臺，提高出口加工區(qū)現(xiàn)代化的監(jiān)管水平，利用現(xiàn)代監(jiān)控技術(shù)、網(wǎng)絡(luò)與通信技術(shù)、計算機處理技術(shù)和自動控制技術(shù)，構(gòu)建一個先進、實用、可靠的保稅區(qū)海關(guān)聯(lián)網(wǎng)監(jiān)管系統(tǒng)。信息技術(shù)的發(fā)展，為海關(guān)管理創(chuàng)新提供了手段，實現(xiàn)信息化將使海關(guān)管理水平產(chǎn)生質(zhì)的飛躍。經(jīng)過多年的建設(shè)，海關(guān)已形成了涉密辦公網(wǎng)、辦公管理網(wǎng)、業(yè)務(wù)運行網(wǎng)、對外接入網(wǎng)等功能齊全的復(fù)雜辦公環(huán)境 ，在業(yè)務(wù)協(xié)同、辦公管理、對外服務(wù)等方面發(fā)揮了越來越重要的作用。建設(shè)統(tǒng)一的技術(shù)支撐平臺，建立科學的信息管理體系，關(guān)鍵的一環(huán)就是信息部門必須對其信息技術(shù)設(shè)備和服務(wù)進行全面的、整體的網(wǎng)絡(luò)運行監(jiān)控和安全管理。這其中，既涉及到網(wǎng)絡(luò)管理，也有安全管理。技術(shù)支撐層，充分利用技術(shù)手段，建立高效、協(xié)同的信息安全管理平臺，將網(wǎng)絡(luò)監(jiān)控與安全監(jiān)控有機地結(jié)合在一起，注重能夠及時定位故障。技術(shù)支撐體系應(yīng)該包括三個層次：展示層、運維管理層、集中監(jiān)控層。1）展示層。提供面向信息安全層面和信息安全管理決策層面的展示視角，在信息安全管理界面上實現(xiàn)集中運維的統(tǒng)一管理功能和信息展示與交互功能。2）流程及業(yè)務(wù)信息安全管理層。在集中信息安全管理模式下實現(xiàn)流程執(zhí)行和管理控制功能、業(yè)務(wù)安全管理功能。3）集中控制層。通過監(jiān)控工具實現(xiàn)對不同服務(wù)對象和IT資源的實時監(jiān)控，包括主機、數(shù)據(jù)庫、中間件、存儲備份、網(wǎng)絡(luò)、安全、機房、業(yè)務(wù)應(yīng)用和客戶端等技術(shù)支持管理子系統(tǒng)進行綜合處理和集中管理。需求分析為保證綜保區(qū)海關(guān)業(yè)務(wù)正常開展，按海關(guān)部署相關(guān)規(guī)定，要求綜保區(qū)到成都海關(guān)中心機房廣域網(wǎng)線路“雙線熱備”方案?！半p線熱備”方案已在成都海關(guān)中心機房至出口加工西區(qū)、機場海關(guān)等四個重要業(yè)務(wù)現(xiàn)場實施部署。其具體需求是海關(guān)業(yè)務(wù)運行網(wǎng)和業(yè)務(wù)管理網(wǎng)在網(wǎng)絡(luò)正常時各走一條鏈路，當其中一條鏈路出理故障時互為備份，故障排除后自動切換回原有鏈路，無需人工干預(yù)。線路上分別選擇電信和網(wǎng)通的一條鏈路，更好地保障備份的可靠。系統(tǒng)建設(shè)配置包括廣域網(wǎng)路由設(shè)備，不同的運營網(wǎng)分別租用4M以上的寬帶線路。為滿足電子口岸錄入的需要，要求建設(shè)電子口岸電子專網(wǎng)。電子口岸專網(wǎng)也采用“雙線熱備”方案，原則上由部署數(shù)據(jù)中心負責審批。綜合布線系統(tǒng)包括管理網(wǎng)G（六類系統(tǒng)）、業(yè)務(wù)網(wǎng)Y（超五類系統(tǒng)）、互聯(lián)網(wǎng)W（超五類系統(tǒng)）語音網(wǎng)T（水平超五類系統(tǒng)）、備用網(wǎng)絡(luò)B（超五類系統(tǒng)）共計5個系統(tǒng)（可根據(jù)監(jiān)管要求及功能設(shè)置作相應(yīng)調(diào)整）。各網(wǎng)絡(luò)物理隔離、獨立組網(wǎng)，新設(shè)機構(gòu)可根據(jù)實際情況選擇網(wǎng)絡(luò)系統(tǒng)的建設(shè)。樓層弱電井設(shè)置不同功能的配線間。主干數(shù)據(jù)采用4芯多模室內(nèi)光纜、語音采用25芯5類大對數(shù)電纜及超5類屏蔽電纜。管理網(wǎng)：水平布線采用六類非屏蔽網(wǎng)線，垂直干線采用4芯多模光纖；運行網(wǎng)、互聯(lián)網(wǎng)、備用網(wǎng)絡(luò)：水平布線采用超五類非屏蔽網(wǎng)線，垂直干線采用4芯多模光纖；機房：水平布線采用六類非屏蔽網(wǎng)線及超五類屏蔽網(wǎng)線。在樓層弱電井設(shè)有不同功能的獨立配線間。各樓層布線系統(tǒng)統(tǒng)一匯聚到機房。配線間：管理網(wǎng)、業(yè)務(wù)網(wǎng)可共用一個機柜，互聯(lián)網(wǎng)、電話、備用網(wǎng)共用一個機柜；機房：管理網(wǎng)、業(yè)務(wù)網(wǎng)可共用一個機柜，互聯(lián)網(wǎng)、備用網(wǎng)共用一個機柜，電話共用一個機柜。由于網(wǎng)絡(luò)的種類比較多，在前面板用顏色加編號的方式對點位的功能進行分區(qū)。使用時從面板標識的顏色可確定點位所屬的網(wǎng)絡(luò)或電話。綜合布線標識面板、水平線纜、配線架用相機的編號，垂直主干用另一種編號。具體編號說明參見海關(guān)相應(yīng)文件。機房的網(wǎng)絡(luò)布線系統(tǒng)設(shè)計，除應(yīng)符合本規(guī)范的規(guī)定外，還應(yīng)符合現(xiàn)行國家標準《綜合布線系統(tǒng)工程設(shè)計規(guī)范》GB50311的有關(guān)規(guī)定。園區(qū)內(nèi)應(yīng)建設(shè)園區(qū)網(wǎng)，以實現(xiàn)區(qū)內(nèi)所有企業(yè)與管委會之間信息的互通和管理，同時考慮相應(yīng)的安全管理建設(shè)，包括防病毒管理、客戶端準入等。園區(qū)網(wǎng)為封閉局域網(wǎng)，但保留對外互聯(lián)網(wǎng)出口。園區(qū)網(wǎng)建設(shè)方案應(yīng)提交海關(guān)技術(shù)處審批，海關(guān)技術(shù)處可對園區(qū)網(wǎng)的建設(shè)進行協(xié)助和指導(dǎo)。機房建設(shè)要求為海關(guān)設(shè)立獨立機房，桐廬工程包括桐廬地面裝修、電氣部分的配電柜、防雷工程、消防報警、機房空調(diào)、UPS、機房監(jiān)控、綜合布線系統(tǒng)等。機房面積：按二類機房的相關(guān)要求，面積在90~130平方米之間；機房走線與裝修：按上走線方式進行綜合布線，吊頂應(yīng)可拆卸，或留有出入口，以方便管道和設(shè)備的安裝維護。纜線采用線槽或橋架敷設(shè)時，線槽或橋架的高度不宜大于150mm,橋架宜采用網(wǎng)格式橋架。地面工程：地面應(yīng)平整，必須進行防塵處理，采用防塵涂料時，至少粉刷2遍以上。防雷工程：防雷部分的電源防雷器選用進口產(chǎn)品。機房空調(diào)：能夠滿足機房使用條件的專用獨立溫濕度調(diào)節(jié)空調(diào)。機房綜合布線：機房的綜合布線系統(tǒng)選用進口6類非屏蔽系統(tǒng)，配線架全部選用6類24口快跳式配線架，光纖部分采用24口光纖配線盤連接。各樓層匯聚機房配線架，配線架型號選擇參見綜合布線各網(wǎng)絡(luò)設(shè)計要求。UPS：配置10KVA UPS設(shè)備2臺，電池能夠滿足10KVA設(shè)備支持30分鐘。消防報警：根據(jù)具體情況自行設(shè)計。機房監(jiān)控：根據(jù)具體情況自行設(shè)計。系統(tǒng)設(shè)計、設(shè)計依據(jù)《計算機信息系統(tǒng)安全保護等級劃分準則》（GB178591999）《信息系統(tǒng)安全等級保護基本要求》（GB/T 222392008）。《信息系統(tǒng)安全保護等級定級指南》（GB/T 222402008）《信息系統(tǒng)安全等級保護實施指南》（信安字[2007]10號）《信息系統(tǒng)通用安全技術(shù)要求》（GB/T 202712006）《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》（信安秘字[2009]059號）《信息系統(tǒng)安全管理要求》（GB/T 202692006）《信息系統(tǒng)安全工程管理要求》（GB/T 202822006）《信息系統(tǒng)物理安全技術(shù)要求》（GB/T 210522007）《網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T 202702006）《信息系統(tǒng)安全等級保護體系框架》（GA/T 7082007）《信息系統(tǒng)安全等級保護基本模型》（GA/T 7092007）《信息系統(tǒng)安全等級保護基本配置》（GA/T 7102007）《信息系統(tǒng)安全等級保護測評要求》（報批稿）《信息系統(tǒng)安全等級保護測評過程指南》（報批稿）《信息系統(tǒng)安全管理測評》（GA/T 7132007）《操作系統(tǒng)安全技術(shù)要求》（GB/T 202722006）《操作系統(tǒng)安全評估準則》（GB/T 200082005）《數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T 202732006）《數(shù)據(jù)庫管理系統(tǒng)安全評估準則》（GB/T 200092005）《網(wǎng)絡(luò)端設(shè)備隔離部件技術(shù)要求》（GB/T 202792006）《網(wǎng)絡(luò)端設(shè)備隔離部件測試評價方法》（GB/T 202772006）《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求》（GB/T 202782006）《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法》（GB/T 202802006）《網(wǎng)絡(luò)交換機安全技術(shù)要求》（GA/T 6842007）《虛擬專用網(wǎng)安全技術(shù)要求》（GA/T 6862007）《網(wǎng)關(guān)安全技術(shù)要求》（GA/T 6812007）《服務(wù)器安全技術(shù)要求》（GB/T 210282007）《入侵檢測系統(tǒng)技術(shù)要求和檢測方法》（GB/T 202752006）《計算機網(wǎng)絡(luò)入侵分級要求》（GA/T 7002007）《防火墻安全技術(shù)要求》（GA/T 6832007）《防火墻技術(shù)測評方法》（報批稿）《信息系統(tǒng)安全等級保護防火墻安全配置指南》（報批稿）《防火墻技術(shù)要求和測評方法》（GB/T 202812006）《包過濾防火墻評估準則》（GB/T 200102005）《路由器安全技術(shù)要求》（GB/T 180182007）《路由器安全評估準則》（GB/T 200112005）《路由器安全測評要求》（GA/T 6822007）《網(wǎng)絡(luò)交換機安全技術(shù)要求》（GB/T 210502007）《交換機安全測評要求》（GA/T 6852007）《終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T 6712006）《終端計算機系統(tǒng)測評方法》（GA/T 6712006）《虛擬專網(wǎng)安全技術(shù)要求》（GA/T 6862007）《應(yīng)用軟件系統(tǒng)安全等級保護通用技術(shù)指南》（GA/T 7112007）《應(yīng)用軟件系統(tǒng)安全等級保護通用測試指南》（GA/T 7122007）《網(wǎng)絡(luò)和終端設(shè)備隔離部件測試評價方法》（GB/T 202772006）《網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測評方法》（GB/T 202802006）《信息安全風險評估規(guī)范》（GB/T 209842007）《信息安全事件管理指南》（GB/Z 209852007）《信息安全事件分類分級指南》（GB/Z 209862007）《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》（GB/T 209882007）、設(shè)計原則在技術(shù)方案設(shè)計中，遵循以下的系統(tǒng)總體設(shè)計原則：統(tǒng)一規(guī)劃、分布實施遵循統(tǒng)一規(guī)劃、分布實施的原則，在信息中心軟硬件支持平臺擴容規(guī)劃和建設(shè)中，首要的工作就是明確近期和長期的建設(shè)目標，立足于應(yīng)用，分布實施。開放性、互連性和標準化采用國際、國家標準、協(xié)議和接口，能與現(xiàn)有的和未來的系統(tǒng)互連與集成。先進性在保證系統(tǒng)的整體性和實用性的前提下，考慮系統(tǒng)的先進性，所采用的技術(shù)和設(shè)備應(yīng)能保證在目前同行業(yè)中是先進的，能夠滿足成都海關(guān)信息中心軟硬件支持平臺擴容未來5年以上的需求發(fā)展。成熟性技術(shù)方案中所采用的系統(tǒng)體系結(jié)構(gòu)和技術(shù)必須是已經(jīng)過實踐檢驗，證明是成熟的?？煽啃?、穩(wěn)定性和容錯性通過選擇成熟的技術(shù)、冗余的設(shè)計、可靠性產(chǎn)品保證整個系統(tǒng)具有高度的可靠性、穩(wěn)定性和容錯性。安全性建立完善的網(wǎng)絡(luò)安全體系，保證海關(guān)信息中心網(wǎng)絡(luò)設(shè)備的安全運行。高性能網(wǎng)絡(luò)系統(tǒng)、服務(wù)器系統(tǒng)和安全系統(tǒng)的設(shè)計和產(chǎn)品選擇都要考慮到高性能要求。升級性和可擴展性系統(tǒng)設(shè)計要充分考慮到擴容和升級的需要，能靈活方便地適應(yīng)未來系統(tǒng)可能的變化。選擇開放性標準的產(chǎn)品，確保設(shè)備的兼容性；通過系統(tǒng)結(jié)構(gòu)的合理設(shè)計和適度資源冗余，為未來的系統(tǒng)擴充打下基礎(chǔ)，保證需求增加時系統(tǒng)的平滑擴充，保證前期的投資。高可管理性整個系統(tǒng)的設(shè)計要層次清晰、功能明確，便于性能分析、故障診斷，能實現(xiàn)對系統(tǒng)資源的全面監(jiān)控和優(yōu)化配置，對訪問的有效監(jiān)控和審計，保證整個系統(tǒng)具有高度的可管理性。 機房設(shè)計 機房設(shè)置在綜合保稅區(qū)A區(qū)2樓，按照國家機房標準設(shè)置，具有防震、防風和防雨等能力。 a) 機房出入口應(yīng)安排專人值守，控制、鑒別和記錄進入的人員； b) 需進入機房的來訪人員應(yīng)經(jīng)過申請和審批流程，并限制和監(jiān)控其活動范圍。 a) 應(yīng)將主要設(shè)備放置在機房內(nèi)； b) 應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去的標記； c) 應(yīng)將通信線纜鋪設(shè)在隱蔽處，可鋪設(shè)在地下或管道中； d) 應(yīng)對介質(zhì)分類標識，存儲在介質(zhì)庫或檔案室中； e) 主機房安裝必要的防盜報警設(shè)施。 a) 機房建筑設(shè)置了電源防雷器、數(shù)據(jù)防雷器和視頻信息防雷器等避雷裝置； b) 機房設(shè)置交流電源地線。 機房應(yīng)設(shè)置滅火設(shè)備和火災(zāi)自動報警系統(tǒng)。 a) 水管安裝，不得穿過機房屋頂和活動地板下； b) 采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透； c) 采取措施防止機房內(nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。 整個機房采用防靜電地板設(shè)計。 機房設(shè)置溫、濕度自動調(diào)節(jié)設(shè)施，使機房溫、濕度的變化在設(shè)備運行所允許的范圍之內(nèi)。 a) 應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓防護設(shè)備； b) 應(yīng)提供了30KVA的UPS，用于短期的備用電力供應(yīng)，至少滿足關(guān)鍵設(shè)備在斷電情況下的正常運行要求。 電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。 網(wǎng)絡(luò)設(shè)計 采用MSTP的組網(wǎng)方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網(wǎng)絡(luò)，實現(xiàn)了A、B、C三個區(qū)的互聯(lián)通訊、三個區(qū)的網(wǎng)絡(luò)熱備以及A區(qū)通過互聯(lián)網(wǎng)接入與成都海關(guān)總部互訪，組成數(shù)據(jù)通信傳輸通信專網(wǎng)。其網(wǎng)絡(luò)結(jié)構(gòu)圖如下圖所示：圖9：網(wǎng)絡(luò)結(jié)構(gòu)圖網(wǎng)絡(luò)中設(shè)備、電路均安全可靠，關(guān)鍵設(shè)備、電路均有冗余備份，并采用先進的容錯技術(shù)和故障處理技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩煽?，保證網(wǎng)絡(luò)可用性達到使用要求。這樣設(shè)計，得以實現(xiàn)系統(tǒng)網(wǎng)絡(luò)安全：l 保證關(guān)鍵網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要； l 保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要； l 根據(jù)各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段。 l 在網(wǎng)絡(luò)邊界部署訪問控制設(shè)備，啟用訪問控制功能； l 根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許