作者：顾松本文选自：中国计算机报

　　编者按：建设一个“全面系统安全、管理简单高效”的适应海关业务发展的网络，是目前海关面临的课题。华为目前提供多种网络管理软件，根据网络情况，既可单独使用，也可以灵活组合使用，并具有良好的适应性。

　　从1978年应用计算机进行旅客行李征税，到1988年开发与应用H883系统，再到1998年开始“电子海关→电子口岸→电子总署”建设，海关已基本实现系统内部的联网应用和通关作业的网络化。然而海关还面临着以下问题：部分设备不能满足当前业务需求，业务多元化带来网络带宽和安全管理方面的压力。

　　建设一个“全面系统安全、管理简单高效”的适应海关业务发展的网络，是目前海关面临的课题。

　　TCP/IP协议的开放性是其优点，同时也带来安全性缺乏的问题。网络安全已成为各行业使用网络技术必须面对的一个实际问题。针对海关等政府系统的网络，华为提供了i3安全三维度端到端集成安全体系架构。

　　华为i3安全三维度端到端集成安全体系架构：

　　i——intelligence（智能），integrated（集成），individuality（个性化）；

　　3——时间、空间及网络层次三维度的端到端（End to End）；

　　安全——所有IP信息网络的安全架构。

　　网络层次（网络层、用户层、业务层）端到端安全

　　网络各层次均存在安全威胁的可能。华为的集成安全架构体现了网络安全防范的分层思想，能根据不同网络层次的特点，进行有针对性的防范。

　　

　　华为i3安全三维度端到端集成安全体系架构

　　网络层：保护网络路由、网络地址等基础网络安全。

　　用户接入层：确保合法的用户接入，访问合法的网络范围，保障用户信息隔离等用户接入网络的安全。

　　业务层：保证用户访问内容的合法性与安全性。

　　时间（事前、事后）端到端安全

　　以前业界更关注网络的事前防范能力，对事后跟踪的能力考虑较少。在安全事件发生前后，要求网络所能提供的支持也各不相同，花费的代价与技术实现难度差别悬殊。

　　事前防范：主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性。

　　事后跟踪：通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手资料。

　　空间（管理网、运行网、政务网）端到端安全

　　以往，安全体系侧重在网络防范上下工夫，而对不同网络所面临的网络环境、安全防范的目标、对使用者的管理力度都有很大差异，因此必须针对网络不同特点制定相应有效的安全策略。

　　管理网、政务网：通过VPN、加密等手段保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重防范。

　　运行网：通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重监控。

　　随着网络上应用的进一步增多，网络进一步深入人们生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而网络的安全防护作为一个系统工程，只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。

　　网络管理与维护是保证网络正常运转、业务正常运行的必备工具。通过网络管理软件，不但能及时发现网络问题，对网络变化做出迅速响应，而且可以通过网络管理工具对整个网络进行优化，达到充分利用网络资源的目的。

　　海关网络是一个涉及面广、覆盖地点多的网络，因此网络建成后的管理、维护工作也非常繁重。

　　在网络管理上，华为目前提供多种网络管理软件，如WAN Manager、LAN Manager、Media Manager、QoS Manager和VPN Manager等。这些基于设备的管理组件，根据网络情况，既可单独使用，也可以灵活组合使用，并具有良好的适应性，可运行在Windows、Unix等常用操作系统上。

　　对于隶属海关、工作现场等技术力量较为薄弱的地域，华为在LAN Manager上提供了对交换机进行故障监测的功能，通过网管对边缘交换机的监测，可以判断是端口故障还是终端和交换机之间的网线故障等，从而加强对网络的维护能力、降低对网络的维护成本。

　　当然，对于整个网络的管理、维护，则还需要结合多种有效的网络管理技术、软件和制度来保障网络管理和维护的有效性。