地方邮政综合网物理安全机制探索

区域E主要对因特网用户提供服务，安全级别高于区域O，区域主要设备有Web服务器、Web服务器、电子邮件服务器、FTP服务器、病毒库服务器、VPN等。区域D是邮政内部的生产管理系统，安全级别高于区域E，原则上，只响应区域D中的部分IP业务请求作。区域内的设备有管理监控系统和业务工作台等。区域I是邮政系统业务的核心网络，安全级别最高。区域内包含了邮政储蓄系统、电子汇兑系统、电子化支局系统等邮政核心系统。区域I中又分为核心区和次核心区。物理区域划分是安全策略的基本单位，对于CPIN，其安全策略如下：（1）只允许区域O中的IP访问区域E中的指定IP的指定端口；（2）只允许区域D和区域E中的指定IP访问区域O中的IP；（3）只允许区域D和区域E中的指定IP访问区域I中的指定IP的指定端口；（4）区域I中的指定IP的指定端口只允许被区域D和区域E中的指定IP访问；（5）除上述条件以外的所有通讯全是禁止的。隔离方案CPIN在区域划分基础上采用网络隔离实现内部网络与Internet、内部网络与第三方（如电信、联通）、普通应用系统与储蓄系统、应用系统与OA系统的隔离。各隔离域的安全策略由边界防火墙和隔离防火墙共同实现。内部网络与Internet的隔离邮政企业所有单位和部门通过固定专线建立与Internet的网络连接。对Internet连接点的边界防护，是整个安全防御体系的第一道防线。内部网络与第三方的隔离与第三方的网络连接由合同、协议、备忘录等形式规定。第三方系统可分为三类：直接或间接与互联网相连，并通过互联网与CPIN相连的系统；国家规定的“银行、民航、证券、海关、电信、保险等要害部门的信息系统，及其它直接影响到国民经济正常运行和群众生活、直接关系到社会稳定和国家安全的信息系统”；以及上述两者之外的一般信息系统。第三方系统部署在区域O中，这类连接必要时需使用基于IPSEC-VPN、SSL、HTTPS、数字签名等安全技术。当同一边界路由器上有多个第三方接入时，要注意第三方之间的网络隔离，除非有三方合作的协议规定，不能使不同的第三方通过CPIN的边界路由器进行互连互通。储蓄系统的隔离邮政储蓄系统是是邮政综合网上最重要的信息系统，分为内外两层，内层包括交易处理、会计核算、资金清算等核心子系统，外层包括信息管理、电子稽查、电子汇兑等子系统。储蓄系统部署在区域I中，不能以任何方式直接为Internet用户提供服务或直接与第三方进行连接。OA系统的隔离OA系统以及所有办公区域中的PC机等网络设备需要与CPIN及Internet互联，为了防止病毒和攻击，必须进行网络隔离处理。OA系统的外部服务器部署在区域E中，OA系统的内部服务器部署在区域D或区域I中，一般办公用PC机等用户终端设备部署在区域D中，访问企业敏感信息的PC机等用户终端则部署在区域I中。

本文仅介绍CPIN安全系统工程的VLAN划分与路由配置。VLAN划分VLAN将CPIN的交换设备从逻辑上划分成多个独立的网段，实现了虚拟工作组的数据交换。VLAN通过创建用户及逻辑组的方式实现网络分段，将服务器与普通用户隔离开来，并且能够有效的用于漏洞修补。VLAN有多种划分方式：基于端口的VLAN划分、基于MAC地址的VLAN划分和基于路由的VLAN划分等。CPIN对VLAN的划分采取了基于端口的VLAN划分和基于路由的VLAN划分相配合的方式。并且，为实现在一条链路上承载两个或两个以上VLAN的数据，使用了Trunk技术。路由配置CPIN中有许多路由器，用于实现区域隔离、汇聚、交换等多种功能，以区域I的隔离为例，主要通过Cisco3845实现。Cisco3845是集成多业务路由器，其路由可使用CISCO公司专有的EIGRP路由协议，以使得CPIN在精确路由计算、多路由支持、占用带宽、MD5认证和路由聚合等方面达到较好的性能。EIGRP路由协议采用不定期更新的方式，在拓扑出现变化时发送部分更新过的路由，而且在具有相同的自治系统号的EIGRP和I-GRP之间可以无缝交换路由信息。CPIN中对Cisco3845的主要配置如下：routereigrp150//配置CPIN动态路由协议及所属网段redistributestaticroute-mapHA_ZH……noauto-summaryroutereigrp188//配置绿卡网动态路由协议及所属网段……noauto-summarynoiphttpserver//不启动路由器的HTTP服务iphttpaccess-class23iphttpauthenticationlocal……access-list100permitip…………

从物理安全方面提出了对系统进行优化的方案，网络结构划分明确，有效的实现了负载均衡，解决了路由混乱问题，不存在单点故障问题。提高了路由效率，有利于网络维护的管理和故障排查。减少了网络中不必要的路由表条目，增强了网络的可靠性和安全性。

作者：徐玲 单位：淮阴工学院财务处