【正文】 機房廣域網線路“雙線熱備”方案。3）集中控制層。2）流程及業(yè)務信息安全管理層。1）展示層。技術支撐層，充分利用技術手段，建立高效、協(xié)同的信息安全管理平臺，將網絡監(jiān)控與安全監(jiān)控有機地結合在一起，注重能夠及時定位故障。建設統(tǒng)一的技術支撐平臺，建立科學的信息管理體系，關鍵的一環(huán)就是信息部門必須對其信息技術設備和服務進行全面的、整體的網絡運行監(jiān)控和安全管理。信息技術的發(fā)展，為海關管理創(chuàng)新提供了手段，實現信息化將使海關管理水平產生質的飛躍。整合擴展后的成都高新綜合保稅區(qū)集保稅出口、保稅物流、口岸功能于一身，是目前國內功能最全、政策最優(yōu)的海關特殊監(jiān)管區(qū)域，有利于海關監(jiān)管運行，更有利于企業(yè)的進一步發(fā)展。新設立的成都高新綜合保稅區(qū)是對現有四川成都出口加工區(qū)、成都保稅物流中心(B型) 和成都出口加工區(qū)南區(qū)（803區(qū)）進行整合擴展而成的。成都綜合保稅區(qū)西區(qū)信息安全集成系統(tǒng)方案項目背景2010年10月18日，國務院設立成都高新綜合保稅區(qū)。根據國務院批復，位于成都高新區(qū)西部園區(qū)。 四川成都出口加工區(qū)2000年4月經國務院批準設立，是中國首批出口加工區(qū)之一，2010年1—，增長43%，綜合排名全國第中西部第1，是全國發(fā)展最好的出口加工區(qū)之一；成都保稅物流中心(B型)于2009年3月通過驗收，7月正式封關運行，目前發(fā)展情況良好。 為了將成都綜合保稅區(qū)建設成為中國中西部一流的保稅區(qū)和口岸平臺，提高出口加工區(qū)現代化的監(jiān)管水平，利用現代監(jiān)控技術、網絡與通信技術、計算機處理技術和自動控制技術，構建一個先進、實用、可靠的保稅區(qū)海關聯網監(jiān)管系統(tǒng)。經過多年的建設，海關已形成了涉密辦公網、辦公管理網、業(yè)務運行網、對外接入網等功能齊全的復雜辦公環(huán)境 ，在業(yè)務協(xié)同、辦公管理、對外服務等方面發(fā)揮了越來越重要的作用。這其中，既涉及到網絡管理，也有安全管理。技術支撐體系應該包括三個層次：展示層、運維管理層、集中監(jiān)控層。提供面向信息安全層面和信息安全管理決策層面的展示視角，在信息安全管理界面上實現集中運維的統(tǒng)一管理功能和信息展示與交互功能。在集中信息安全管理模式下實現流程執(zhí)行和管理控制功能、業(yè)務安全管理功能。通過監(jiān)控工具實現對不同服務對象和IT資源的實時監(jiān)控，包括主機、數據庫、中間件、存儲備份、網絡、安全、機房、業(yè)務應用和客戶端等技術支持管理子系統(tǒng)進行綜合處理和集中管理?！半p線熱備”方案已在成都海關中心機房至出口加工西區(qū)、機場海關等四個重要業(yè)務現場實施部署。線路上分別選擇電信和網通的一條鏈路，更好地保障備份的可靠。為滿足電子口岸錄入的需要，要求建設電子口岸電子專網。綜合布線系統(tǒng)包括管理網G（六類系統(tǒng)）、業(yè)務網Y（超五類系統(tǒng)）、互聯網W（超五類系統(tǒng)）語音網T（水平超五類系統(tǒng)）、備用網絡B（超五類系統(tǒng)）共計5個系統(tǒng)（可根據監(jiān)管要求及功能設置作相應調整）。樓層弱電井設置不同功能的配線間。管理網：水平布線采用六類非屏蔽網線，垂直干線采用4芯多模光纖；運行網、互聯網、備用網絡：水平布線采用超五類非屏蔽網線，垂直干線采用4芯多模光纖；機房：水平布線采用六類非屏蔽網線及超五類屏蔽網線。各樓層布線系統(tǒng)統(tǒng)一匯聚到機房。由于網絡的種類比較多，在前面板用顏色加編號的方式對點位的功能進行分區(qū)。綜合布線標識面板、水平線纜、配線架用相機的編號，垂直主干用另一種編號。機房的網絡布線系統(tǒng)設計，除應符合本規(guī)范的規(guī)定外，還應符合現行國家標準《綜合布線系統(tǒng)工程設計規(guī)范》GB50311的有關規(guī)定。園區(qū)網為封閉局域網，但保留對外互聯網出口。機房建設要求為海關設立獨立機房，桐廬工程包括桐廬地面裝修、電氣部分的配電柜、防雷工程、消防報警、機房空調、UPS、機房監(jiān)控、綜合布線系統(tǒng)等。纜線采用線槽或橋架敷設時，線槽或橋架的高度不宜大于150mm,橋架宜采用網格式橋架。防雷工程：防雷部分的電源防雷器選用進口產品。機房綜合布線：機房的綜合布線系統(tǒng)選用進口6類非屏蔽系統(tǒng)，配線架全部選用6類24口快跳式配線架，光纖部分采用24口光纖配線盤連接。UPS：配置10KVA UPS設備2臺，電池能夠滿足10KVA設備支持30分鐘。機房監(jiān)控：根據具體情況自行設計。《信息系統(tǒng)安全保護等級定級指南》（GB/T 222402008）《信息系統(tǒng)安全等級保護實施指南》（信安字[2007]10號）《信息系統(tǒng)通用安全技術要求》（GB/T 202712006）《信息系統(tǒng)等級保護安全設計技術要求》（信安秘字[2009]059號）《信息系統(tǒng)安全管理要求》（GB/T 202692006）《信息系統(tǒng)安全工程管理要求》（GB/T 202822006）《信息系統(tǒng)物理安全技術要求》（GB/T 210522007）《網絡基礎安全技術要求》（GB/T 202702006）《信息系統(tǒng)安全等級保護體系框架》（GA/T 7082007）《信息系統(tǒng)安全等級保護基本模型》（GA/T 7092007）《信息系統(tǒng)安全等級保護基本配置》（GA/T 7102007）《信息系統(tǒng)安全等級保護測評要求》（報批稿）《信息系統(tǒng)安全等級保護測評過程指南》（報批稿）《信息系統(tǒng)安全管理測評》（GA/T 7132007）《操作系統(tǒng)安全技術要求》（GB/T 202722006）《操作系統(tǒng)安全評估準則》（GB/T 200082005）《數據庫管理系統(tǒng)安全技術要求》（GB/T 202732006）《數據庫管理系統(tǒng)安全評估準則》（GB/T 200092005）《網絡端設備隔離部件技術要求》（GB/T 202792006）《網絡端設備隔離部件測試評價方法》（GB/T 202772006）《網絡脆弱性掃描產品技術要求》（GB/T 202782006）《網絡脆弱性掃描產品測試評價方法》（GB/T 202802006）《網絡交換機安全技術要求》（GA/T 6842007）《虛擬專用網安全技術要求》（GA/T 6862007）《網關安全技術要求》（GA/T 6812007）《服務器安全技術要求》（GB/T 210282007）《入侵檢測系統(tǒng)技術要求和檢測方法》（GB/T 202752006）《計算機網絡入侵分級要求》（GA/T 7002007）《防火墻安全技術要求》（GA/T 6832007）《防火墻技術測評方法》（報批稿）《信息系統(tǒng)安全等級保護防火墻安全配置指南》（報批稿）《防火墻技術要求和測評方法》（GB/T 202812006）《包過濾防火墻評估準則》（GB/T 200102005）《路由器安全技術要求》（GB/T 180182007）《路由器安全評估準則》（GB/T 200112005）《路由器安全測評要求》（GA/T 6822007）《網絡交換機安全技術要求》（GB/T 210502007）《交換機安全測評要求》（GA/T 6852007）《終端計算機系統(tǒng)安全等級技術要求》（GA/T 6712006）《終端計算機系統(tǒng)測評方法》（GA/T 6712006）《虛擬專網安全技術要求》（GA/T 6862007）《應用軟件系統(tǒng)安全等級保護通用技術指南》（GA/T 7112007）《應用軟件系統(tǒng)安全等級保護通用測試指南》（GA/T 7122007）《網絡和終端設備隔離部件測試評價方法》（GB/T 202772006）《網絡脆弱性掃描產品測評方法》（GB/T 202802006）《信息安全風險評估規(guī)范》（GB/T 209842007）《信息安全事件管理指南》（GB/Z 209852007）《信息安全事件分類分級指南》（GB/Z 209862007）《信息系統(tǒng)災難恢復規(guī)范》（GB/T 209882007）、設計原則在技術方案設計中，遵循以下的系統(tǒng)總體設計原則：統(tǒng)一規(guī)劃、分布實施遵循統(tǒng)一規(guī)劃、分布實施的原則，在信息中心軟硬件支持平臺擴容規(guī)劃和建設中，首要的工作就是明確近期和長期的建設目標，立足于應用，分布實施。先進性在保證系統(tǒng)的整體性和實用性的前提下，考慮系統(tǒng)的先進性，所采用的技術和設備應能保證在目前同行業(yè)中是先進的，能夠滿足成都海關信息中心軟硬件支持平臺擴容未來5年以上的需求發(fā)展?？煽啃浴⒎€(wěn)定性和容錯性通過選擇成熟的技術、冗余的設計、可靠性產品保證整個系統(tǒng)具有高度的可靠性、穩(wěn)定性和容錯性。高性能網絡系統(tǒng)、服務器系統(tǒng)和安全系統(tǒng)的設計和產品選擇都要考慮到高性能要求。選擇開放性標準的產品，確保設備的兼容性；通過系統(tǒng)結構的合理設計和適度資源冗余，為未來的系統(tǒng)擴充打下基礎，保證需求增加時系統(tǒng)的平滑擴充，保證前期的投資。 機房設計 機房設置在綜合保稅區(qū)A區(qū)2樓，按照國家機房標準設置，具有防震、防風和防雨等能力。 a) 應將主要設備放置在機房內； b) 應將設備或主要部件進行固定，并設置明顯的不易除去的標記； c) 應將通信線纜鋪設在隱蔽處，可鋪設在地下或管道中； d) 應對介質分類標識，存儲在介質庫或檔案室中； e) 主機房安裝必要的防盜報警設施。 機房應設置滅火設備和火災自動報警系統(tǒng)。 整個機房采用防靜電地板設計。 a) 應在機房供電線路上配置穩(wěn)壓器和過電壓防護設備； b) 應提供了30KVA的UPS，用于短期的備用電力供應，至少滿足關鍵設備在斷電情況下的正常運行要求。 網絡設計 采用MSTP的組網方式，A、B、C三區(qū)采用MSTP光纖電路（RJ45接口），通過中國電信MSTP網絡，實現了A、B、C三個區(qū)的互聯通訊、三個區(qū)的網絡熱備以及A區(qū)通過互聯網接入與成都海關總部互訪，組成數據通信傳輸通信專網。這樣設計，得以實現系統(tǒng)網絡安全：l 保證關鍵網絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要； l 保證接入網絡和核心網絡的帶寬滿足業(yè)務高峰期需要； l 根據各部門的工作職能、重要性和所涉及信息的重要程度等因素，劃分不同的子網或網段，并按照方便管理和控制的原則為各子網、網段分配地址段。 l 按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制粒度為單個用戶； l 限制具有撥號訪問權限的用戶數量。 能夠對內部網絡中出現的內部用戶未通過準許私自聯到外部網絡的行為進行檢查。系統(tǒng)設置一臺IDS檢測引擎，用于對計算機和網絡資源的惡意使用行為進行識別和相應處理。根據規(guī)則判斷是否有異常事件發(fā)生，并及時報警和響應。管理主機運行于Windows操作系統(tǒng)的圖形化管理軟件。顯示攻擊事件的詳細信息和解決對策。提供工具分析網絡運行狀況。 l 對登錄網絡設備的用戶進行身份鑒別； l 對網絡設備的管理員登錄地址進行限制； l 網絡設備用戶的標識應唯一； l 身份鑒別信息應具有不易被冒用的特點，口令應有復雜度要求并定期更換； l 具有登錄失敗處理功能，可采取結束會話、限制非法登錄次數和當網絡登錄連接超時自動退出等措施； l 當對網絡設備進行遠程管理時，應采取必要措施防止鑒別信息在網絡傳輸過程中被竊聽。 l 應啟用訪問控制功能，依據安全策略控制用戶對資源的訪問； l 應實現操作系統(tǒng)和數據庫系統(tǒng)特權用戶的權限分離； l 應限制默認帳戶的訪問權限，重命名系統(tǒng)默認帳戶，修改這些帳戶的默認口令； l 應及時刪除多余的、過期的帳戶，避免共享帳戶的存在。 操作系統(tǒng)應遵循最小安裝的原則，僅安裝需要的組件和應用程序，并通過設置升級服務器等方式保持系統(tǒng)補丁及時得到更新。 l 應通過設定終端接入方式、網絡地址范圍等條件限制終端登錄； l 應根據安全策略設置登錄終端的操作超時鎖定； l 應限制單個用戶對系統(tǒng)資源的最大或最小使用限度。 l 應提供訪問控制功能，依據安全策略控制用戶對文件、數據庫表等客體的訪問； l 訪問控制的覆蓋范圍應包括與資源訪問相關的主體、客體及它們之間的操作； l 應由授權主體配置訪問控制策略，并嚴格限制默認帳戶的訪問權限； l 應授予不同帳戶為完成各自承擔任務所需的最小權限，并在它們之間形成相互制約的關系。 應采用校驗碼技術保證通信過程中數據的完整性。 l 應提供數據有效性檢驗功能，保證通過人機接口輸入或通過通信接口輸入的數據格式或長度符合系統(tǒng)設定要求； l 在故障發(fā)生時，應用系統(tǒng)應能夠繼續(xù)提供一部分功能，確保能夠實施必要的措施。 數據安全及備份恢復 應能夠檢測到鑒別信息和重要業(yè)務數據在傳輸過程中完整性受到破壞。 應采用加密或其他保護措施實現鑒別信息的存儲保密性。 a) 采用了Rose公司提供的、基于共享磁盤陣列的高可用RoseHA解決方案，為用戶提供了具有單點故障容錯能力的系統(tǒng)平臺。c)制定詳細的數據庫備份與災難恢復策略，并通過模擬故障對每種可能的情況進行嚴格測試，保證了數據的高可用性。本綜合布線系統(tǒng)涉及海關、檢驗檢疫和用戶三方的綜合布線系統(tǒng)。綜合布線系統(tǒng)由工作區(qū)，水平區(qū)，垂直區(qū)，設備管理及樓群子系統(tǒng)組成，各部分均采用標準的模塊化構件，以利于將來的升級、擴展。信息插座采用雙孔面板及相配合的六類信息模塊。水平干線子系統(tǒng)采用六類阻燃雙絞線電纜。l 垂直主干子系統(tǒng)垂直主干子系統(tǒng)采用單模光纜，提供全雙工傳輸通道，具有極大的傳輸帶寬和極高的傳輸質量。主要由跳線面板、跳線管理器、跳線、光纜端接面板、機柜（或機架）等組成。系統(tǒng)采用19”標準機柜，高42U，頂部安裝有24個風扇，背后安裝電源線槽，正面安裝玻璃門，后背板和側板均可拆卸。l 主配線間（BD）為實現高可靠性，本系統(tǒng)將主配線架全部安裝在機柜內。各配線間設置光纖配線架,用來連接多芯光纜，安裝在19”標準機柜內，用于各種計算機網絡設備。海關網絡按照海關總署“五網”獨立要求，分別設置管理網、運行網、電子口岸專網、互聯網和語音網。