【文章內(nèi)容簡(jiǎn)介】 地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò) 協(xié)議 等對(duì)數(shù)據(jù)包進(jìn)行訪問控制。 防火墻還保證了平臺(tái)內(nèi)部的主機(jī)地址不被外部終端直接獲得。 入侵檢測(cè)系統(tǒng) （ IDS） 是實(shí)時(shí) 對(duì)網(wǎng)絡(luò)入侵行為 自動(dòng)識(shí)別和響應(yīng) 的 系統(tǒng)。它通過實(shí)時(shí)監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別 和 記錄入侵 行為 ，該系統(tǒng)安裝于防火墻后，可以對(duì)穿透防火墻進(jìn)行攻擊的 數(shù)據(jù)流進(jìn)行響應(yīng)。 . 應(yīng)用服務(wù)區(qū) 根據(jù)實(shí)際業(yè)務(wù)需求，應(yīng)用服務(wù)區(qū)放置了房管局互聯(lián)網(wǎng)上的前置服務(wù)器（包括應(yīng)用服務(wù)器、 WEB 服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、文件服務(wù)器等）。作為外部終端網(wǎng)絡(luò)連接的終點(diǎn)，提供給終端用戶應(yīng)用代理、數(shù)據(jù)暫存等功能服務(wù)。 . 安全隔離區(qū) 該區(qū)域主要實(shí)現(xiàn) 房管局 局域網(wǎng)與應(yīng)用服務(wù)區(qū)網(wǎng)絡(luò)隔離和數(shù)據(jù)的安全交換 , 它通過高可信的方式，實(shí)現(xiàn)異構(gòu)系統(tǒng)、數(shù)據(jù)源之間安全、靈活、有效、快速的數(shù)據(jù)交換。 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 10 XX 合眾信息工程有限公司 . 安全數(shù)據(jù)交換系統(tǒng) 內(nèi) 網(wǎng) 數(shù) 據(jù)交 換 對(duì) 象外 網(wǎng) 數(shù) 據(jù)交 換 對(duì) 象內(nèi) 網(wǎng) 交 換 服 務(wù) 器外 網(wǎng) 交 換 服 務(wù) 器網(wǎng) 閘合 眾 安 全 數(shù) 據(jù) 交 換 系 統(tǒng) 安全數(shù)據(jù)交換系統(tǒng)的安全設(shè)備主要是內(nèi)外網(wǎng)數(shù)據(jù)交換服務(wù) 器和網(wǎng)閘。它是在隔離環(huán)境下構(gòu)建的完整的數(shù)據(jù)交換平臺(tái)，它由外網(wǎng)交換服務(wù)器、網(wǎng)閘和內(nèi)網(wǎng)交換服務(wù)器三部分組成。它將網(wǎng)絡(luò)邊界分為數(shù)據(jù)獲取、隔離交換和數(shù)據(jù)裝載三個(gè)區(qū)域。每個(gè)區(qū)域承擔(dān)相應(yīng)的安全職責(zé)。將三種不同的安全技術(shù)手段（內(nèi)容檢查、網(wǎng)絡(luò)隔離、監(jiān)控審計(jì)）有機(jī)地組成在一起，提供給用戶一個(gè)統(tǒng)一的安全管理界面，最大程度的提升網(wǎng)絡(luò)邊界的安全保護(hù)能力和用戶的管理能力。 . 系統(tǒng) 安全功能 本系統(tǒng)實(shí)現(xiàn)以下安全功能： ? 網(wǎng)絡(luò)隔離： 系統(tǒng)支持網(wǎng)絡(luò)隔離，即通過專用隔離設(shè)備阻斷內(nèi)外網(wǎng)之間所有基于網(wǎng)絡(luò)協(xié)議的連接，使外部終端無法訪問內(nèi)部網(wǎng)絡(luò)，確保內(nèi)外網(wǎng) 之間網(wǎng)絡(luò)隔離。 ? 身份認(rèn)證： 系統(tǒng)支持對(duì)內(nèi)外網(wǎng)交換服務(wù)器基于硬件設(shè)備證書進(jìn)行雙向身份認(rèn)證，保證基于硬件的可信任計(jì)算體系。如果認(rèn)證失敗，則數(shù)據(jù)交換過程馬上終止。 ? 數(shù)據(jù)加密： 數(shù)據(jù)交換基于加密認(rèn)證通道，能夠有效的對(duì)抗信息篡改和端口偵聽，防止信息泄密。 ? 格式過濾： 系統(tǒng)根據(jù)用戶事先定義的業(yè)務(wù)規(guī)則對(duì)數(shù)據(jù)進(jìn)行全面的格式 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 11 XX 合眾信息工程有限公司 檢查，支持對(duì)每個(gè)業(yè)務(wù)單獨(dú)設(shè)置檢查規(guī)則。 ? 內(nèi)容過濾： 系統(tǒng)根據(jù)用戶事先設(shè)置的黑名單過濾所有交換的數(shù)據(jù)，如果出現(xiàn)黑名單中的內(nèi)容則阻斷交換并報(bào)警。 ? 防病毒： 內(nèi)置殺毒引擎能夠過濾交換數(shù)據(jù)中的病毒和木馬。 ? 防 SQL 注入： 系 統(tǒng)識(shí)別交換內(nèi)容中 SQL 語句，有效防范 SQL 提交攻擊，保護(hù)內(nèi)網(wǎng)數(shù)據(jù)庫(kù)和業(yè)務(wù)系統(tǒng)。 ? URL 過濾： 系統(tǒng)根據(jù)用戶事先設(shè)定的 URL 過濾規(guī)則，只允許合法的URL 請(qǐng)求通過。 ? 內(nèi)容審計(jì)： 系統(tǒng)提供完整的內(nèi)容審計(jì)保證交換行為事后可以追溯。 ? 流量監(jiān)控： 系統(tǒng)實(shí)時(shí)監(jiān)控每個(gè)業(yè)務(wù)的流量，并根據(jù)事先設(shè)置的閥值判斷業(yè)務(wù)是否超限并報(bào)警。 ? 監(jiān)控管理： 登記接入業(yè)務(wù)的基礎(chǔ)信息、鏈路信息、協(xié)議信息、使用單位信息；對(duì)系統(tǒng)運(yùn)行狀況進(jìn)行實(shí)時(shí)監(jiān)控（包括安全策略監(jiān)控、狀態(tài)監(jiān)控和流量監(jiān)控）；對(duì)系統(tǒng)運(yùn)行信息進(jìn)行安全審計(jì)和異常行為的責(zé)任認(rèn)定（包括內(nèi)容審計(jì)和事件審計(jì)） 。 . 系統(tǒng) 應(yīng)用功能 在保證安全的前提下，本系統(tǒng)實(shí)現(xiàn)以下應(yīng)用功能： ? 數(shù)據(jù)庫(kù)同步交換： 數(shù)據(jù)庫(kù)同步模塊，獨(dú)立自主開發(fā)完成，支持六種同步方式：全表鏡像、觸發(fā)器模式、奉獻(xiàn)模式（內(nèi)網(wǎng)入庫(kù)后外網(wǎng)刪除）、有序同步（時(shí)間戳或其他自增量字段標(biāo)識(shí)）、快照日志和同表雙向。 ? 文件同步交換： 系統(tǒng)支持文件夾的新增同步、文件夾的鏡像同步、文件完全同步、文件同步后源端刪除、雙向文件同步五種模式等；系統(tǒng)支持采用 SMB CLIENT、 FTP 和 AGENT 模式三種文件獲取手段。 ? 異構(gòu)數(shù)據(jù)交換： XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 12 XX 合眾信息工程有限公司 ? 異構(gòu)數(shù)據(jù)庫(kù)交換，支持多種數(shù)據(jù)庫(kù)類型（如 SQL Server、 Oracle、 Sybase 等）異構(gòu)數(shù)據(jù)庫(kù)之間的交換。 ? 異構(gòu)數(shù)據(jù)的轉(zhuǎn)換，支持文件到數(shù)據(jù)庫(kù)、數(shù)據(jù)庫(kù)到文件等多種數(shù)據(jù)格式的轉(zhuǎn)換。 ? 支持異構(gòu)表、異構(gòu)字段名、異構(gòu)字段類型。 ? 支持異構(gòu)的字符類型、異構(gòu)的數(shù)據(jù)庫(kù)字符集。 ? 支持 BLOB、 CLOB、 LONG、 TEXT、 IMAGE 等大字段的異構(gòu) 。 ? 支持通過公用函數(shù)實(shí)現(xiàn)字段值轉(zhuǎn)化， 異構(gòu)轉(zhuǎn)換支持表 /字段級(jí)的規(guī)則設(shè)置。 ? 支持 格式轉(zhuǎn)換 ， 允許用戶對(duì)數(shù)據(jù)字段進(jìn)行轉(zhuǎn)換，如類型轉(zhuǎn)換、對(duì)應(yīng)關(guān)系轉(zhuǎn)換 、代碼 /字典轉(zhuǎn)換 等 。 ? 支持內(nèi)容轉(zhuǎn)換，支持邏輯運(yùn)算、數(shù)學(xué)運(yùn)算、日期運(yùn)算處理、數(shù)據(jù)合并、數(shù)據(jù)分離等多 種內(nèi)容轉(zhuǎn)換方式。 ? 支持調(diào)度： 支持實(shí)時(shí)調(diào)度和定時(shí)調(diào)度。實(shí)時(shí)調(diào)度是指每間隔多少時(shí)間同步一次；定時(shí)調(diào)度是指每天的什么時(shí)間同步一次。 ? 支持?jǐn)?shù)據(jù)分發(fā)： 系統(tǒng)支持將源數(shù)據(jù)庫(kù)中的記錄分發(fā)到不同的目標(biāo)庫(kù)，針對(duì)每個(gè)分發(fā)目標(biāo)庫(kù)都可以設(shè)置分發(fā)的條件。 ? 支持按需交換： 系統(tǒng)支持按需交換，源數(shù)據(jù)可以按照某一特定條件進(jìn)行同步（支持采用 WHERE 語句編程）。 ? 列過濾和行過濾： 系統(tǒng)可以自由選擇需要同步的數(shù)據(jù)表中的字段，每個(gè)字段中的值可以事先定義缺省值。 ? 提供可靠傳輸機(jī)制： 系統(tǒng)通過底層消息隊(duì)列提供數(shù)據(jù)可靠傳輸機(jī)制，當(dāng)發(fā)生網(wǎng)絡(luò)阻塞，鏈路故障等時(shí)保 障數(shù)據(jù)交換可靠性。 ? 提供數(shù)據(jù)完整性保證： 系統(tǒng)通過底層消息隊(duì)列提供數(shù)據(jù)傳輸完整性保證，當(dāng)發(fā)生網(wǎng)絡(luò)阻塞 /異常，鏈路故障等時(shí)保障交換數(shù)據(jù)的完整性。 ? 支持?jǐn)帱c(diǎn)續(xù)傳： 系統(tǒng)支持將一個(gè)大的消息切分成多個(gè)小塊發(fā)送，在目的節(jié)點(diǎn)重新組合成完整的消息。因?yàn)樵趥鬏敃r(shí)實(shí)現(xiàn)了消息切分，所以系統(tǒng)能夠支持?jǐn)帱c(diǎn)續(xù)傳。 ? 支持?jǐn)?shù)據(jù)壓縮： 方便用戶在收發(fā)消息時(shí)對(duì)消息進(jìn)行壓縮和解壓縮，以 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 13 XX 合眾信息工程有限公司 提高消息傳輸效率。 ? 支持用戶設(shè)置消息優(yōu)先級(jí)： 根據(jù)消息優(yōu)先級(jí)的高低安排消息的發(fā)送次序。 ? 方便的管理功能： ? 所有業(yè)務(wù)都集中在管理界面上運(yùn)維管理，系統(tǒng)采用全中文的 Web 方 式進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)管理，界面友好，操作方便。 ? 系統(tǒng)上的業(yè)務(wù)配置全部在內(nèi)網(wǎng)進(jìn)行，管理者不再需要內(nèi)網(wǎng)、外網(wǎng)兩頭跑。管理者可以通過本地瀏覽器遠(yuǎn)程起停所有業(yè)務(wù)。 ? 能夠?qū)崿F(xiàn)單個(gè)業(yè)務(wù)起停，其他業(yè)務(wù)不受任何影響。 ? 使用豐富的系統(tǒng)日志，可以及時(shí)定位故障，并實(shí)施遠(yuǎn)程維護(hù)。 . 安全監(jiān)測(cè)與管理區(qū) 安全監(jiān)測(cè)與管理區(qū)內(nèi)包括：集中監(jiān)控與管理系統(tǒng)（簡(jiǎn)稱集控系統(tǒng)），集中監(jiān)控與管理系統(tǒng)由集控系統(tǒng)服務(wù)器和集控探針組成。 . 集控探針 由于處于內(nèi)部局域網(wǎng)的集控服務(wù)器無法直接監(jiān)管處于外網(wǎng)的各種設(shè)備，所以需要在邊界保護(hù)區(qū)安裝集控探針。 集控探針是構(gòu)建在工控機(jī) 基礎(chǔ)上的專用硬件設(shè)備，采集外網(wǎng)各種設(shè)備（如防火墻、三層交換機(jī)、 VPN 網(wǎng)關(guān)、 IDS、外網(wǎng)交換服務(wù)器、各種業(yè)務(wù)前置機(jī)）的日志信息，同時(shí)監(jiān)聽外網(wǎng)設(shè)備的使用狀態(tài)、流量、異常報(bào)警事件等等。 . 集控服務(wù)器 位于內(nèi)部局域網(wǎng)的集控服務(wù)器上部署集中監(jiān)控與管理系統(tǒng)，集控系統(tǒng)功能包括： ? 注冊(cè)信息管理功能 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 14 XX 合眾信息工程有限公司 根據(jù)安全規(guī)范要求提供信息注冊(cè)和管理功能。包括對(duì)平臺(tái)的基礎(chǔ)信息、建設(shè)情況、運(yùn)維情況、鏈路情況、設(shè)備情況進(jìn)行注冊(cè)；對(duì)接入業(yè)務(wù)的基礎(chǔ)信息、擴(kuò)展信息、協(xié)議信息、使用單位信息、終端設(shè)備信息進(jìn)行注冊(cè)。 ? 運(yùn)行監(jiān)控管理功能 集控系統(tǒng)能夠?qū)崟r(shí)查看業(yè) 務(wù)當(dāng)前狀態(tài)、當(dāng)日流量、總流量等；能夠根據(jù)鏈路、歸屬單位、操作方式、接入對(duì)象來統(tǒng)計(jì)任意時(shí)間段內(nèi)的流量、交換次數(shù)、審計(jì)次數(shù)、報(bào)警次數(shù)等重要信息；能夠?qū)崟r(shí)監(jiān)控各種設(shè)備當(dāng)前運(yùn)行狀況；能夠提供用戶行為監(jiān)控，對(duì)用戶的登錄狀態(tài)、操作行為、訪問資源進(jìn)行監(jiān)控并提供查詢統(tǒng)計(jì)。 ? 報(bào)警管理功能 集控系統(tǒng)的報(bào)警分為三種：設(shè)備報(bào)警、業(yè)務(wù)報(bào)警和事件報(bào)警。設(shè)備報(bào)警是對(duì)設(shè)備故障狀態(tài)的報(bào)警；業(yè)務(wù)報(bào)警是對(duì)業(yè)務(wù)異常運(yùn)行狀態(tài)的報(bào)警；事件報(bào)警是對(duì)各種設(shè)備產(chǎn)生的安全事件的報(bào)警。系統(tǒng) 支持短信報(bào)警和郵件報(bào)警。 ? 安全審計(jì)功能 系統(tǒng)提供用戶行為審計(jì)，即用戶信息 、用戶訪問的資源、訪問的時(shí)間等信息；系統(tǒng)提供業(yè)務(wù)應(yīng)用審計(jì)，即業(yè)務(wù)應(yīng)用系統(tǒng)信息、數(shù)據(jù)傳輸流量、傳輸時(shí)間、傳輸具體內(nèi)容等等；系統(tǒng)提供設(shè)備狀態(tài)審計(jì)：即設(shè)備的啟停時(shí)間、次數(shù)、流入流出流量、設(shè)備資源使用狀況等等；系統(tǒng)提供異常行為審計(jì)：即異常發(fā)生時(shí)間、業(yè)務(wù)信息、設(shè)備信息、異常具體內(nèi)容等等。 . 方案優(yōu)勢(shì) . 合規(guī)性 安全數(shù)據(jù)交換系統(tǒng)符合《信息系統(tǒng)安全等級(jí)保護(hù)基本要求 GB/T 22239— 2020》《應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)指南 GA/T 7112020》的要求，已經(jīng)通過公安部測(cè)試并獲得等級(jí)保護(hù)三級(jí)銷售許可證。 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 15 XX 合眾信息工程有限公司 . 全面性 整體方案及產(chǎn)品選擇符合《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（ GB178591999）、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》 (GB/T222392020)、《信息安全技術(shù)信息系統(tǒng)安全管理要求》（ GB/T202692020）等規(guī)范的要求，能夠全面滿足國(guó)家等級(jí)保護(hù)評(píng)測(cè)中的各項(xiàng)安全要求。 杭州合眾公司是首家通過公安部指定的檢測(cè)機(jī)構(gòu)－國(guó)家計(jì)算機(jī)等級(jí)保護(hù)測(cè)評(píng)中心全面檢測(cè)的單位。我公司提供的解決方案和各項(xiàng)產(chǎn)品通過公安部的嚴(yán)格測(cè)試和認(rèn)證，確保我公司為用戶承建的平臺(tái)能夠在投產(chǎn)后通過等級(jí)保護(hù)的檢測(cè)。 合眾的產(chǎn)品包括多種不同 配置不同性能的型號(hào)可供不同需求的用戶自主選擇，能夠很好的滿足全國(guó)不同發(fā)展水平的各個(gè)用戶單位的要求。 . 安全性 傳統(tǒng)安全設(shè)備如防火墻、 IPS、網(wǎng)閘、網(wǎng)關(guān)都是可控性產(chǎn)品，都屬于網(wǎng)絡(luò)安全保護(hù)的范疇，用戶在實(shí)現(xiàn)跨內(nèi)外網(wǎng)數(shù)據(jù)交換還需要符合機(jī)密性、完整性、可用性、可審查性的產(chǎn)品，合眾安全數(shù)據(jù)交換系統(tǒng)就是屬于這個(gè)類型的安全交換產(chǎn)品。 從安全功能角度上看，合眾安全數(shù)據(jù)交換系統(tǒng)分別有幾大功能對(duì)應(yīng)上述安全要求： ? 機(jī)密性要求：安全數(shù)據(jù)交換系統(tǒng)采用加密算法對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加解密。 ? 完整性要求：安全數(shù)據(jù)交換系統(tǒng)采用數(shù)字簽名保證所傳輸數(shù) 據(jù)不被篡改和破壞。 ? 可用性要求：安全數(shù)據(jù)交換系統(tǒng)通過格式檢查、內(nèi)容過濾機(jī)制保證所傳輸數(shù)據(jù)可用。 ? 可審查性要求：安全數(shù)據(jù)交換系統(tǒng)通過審計(jì)能夠滿足交換行為的可審查。 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 16 XX 合眾信息工程有限公司 因此，安全數(shù)據(jù)交換系統(tǒng)的加密、簽名、過濾、審計(jì)能夠彌補(bǔ)原有可控性產(chǎn)品對(duì)于跨內(nèi)外網(wǎng)數(shù)據(jù)交換安全防護(hù)的不足，更好的保證用戶數(shù)據(jù)傳輸和網(wǎng)絡(luò)邊界的安全。 . 穩(wěn)定性 合眾的產(chǎn)品在很多用戶單位已經(jīng)穩(wěn)定運(yùn)行已達(dá)四年以上，每天負(fù)載著多達(dá)數(shù)十個(gè)業(yè)務(wù)同時(shí)在運(yùn)行、很多節(jié)點(diǎn)的數(shù)據(jù)交換日流量達(dá)到 500GB 以上，適用于用戶單位各個(gè)部門、各種不同架構(gòu)的應(yīng)用業(yè)務(wù)程序（包括 B/S 架構(gòu) 和 C/S 架構(gòu)，兩層或三層的應(yīng)用程序）。 . 產(chǎn)品介紹 . 合眾安全數(shù)據(jù)交換系統(tǒng) . 產(chǎn)品定位 合眾安全數(shù)據(jù)交換系統(tǒng)是專門為政府部門和大型企事業(yè)單位實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)交換需求而研發(fā)的產(chǎn)品。 合眾安全數(shù)據(jù)交換系統(tǒng)解決不同網(wǎng)絡(luò)之間、異構(gòu)操作系統(tǒng)、異構(gòu)數(shù)據(jù)庫(kù)之間的數(shù)據(jù)交換。系統(tǒng)基于等級(jí)保護(hù)三級(jí)要求的三權(quán)分立管理體系，具備等級(jí)保護(hù)三級(jí)要求的強(qiáng)制訪問控制和安全標(biāo)記管理等功能。 該系統(tǒng)的主要用途如下： ? 彌補(bǔ)傳統(tǒng)安全設(shè)備的不足 ? 適用于等級(jí)保護(hù)要求高的用戶 ? 存在大量交換業(yè)務(wù)的用戶 ? 需要異構(gòu)交換的用戶 ? 需要對(duì)交換加強(qiáng)管理的用戶 XX 市房管局?jǐn)?shù)據(jù)交換平臺(tái)建設(shè)方案 17 XX 合眾信息工程有限公司 ? 正在使用網(wǎng)閘 ，但對(duì)于網(wǎng)閘的功能不夠滿意的用戶 . 系統(tǒng)功能 接 接 接 接 接接 接 接 接接 接 接 接接 接 接 接 接接 接 接 接 接 接 接 接接 接 接 接接 接 接 接接 接 接 接 接 接 接 接接 接 接 接接 接 接 接接 接 接 接接 接接 接 接 接接 接 接 接接 接 接 接 接 接接 接 接 接接 接 接 接 ? 安全功能 系統(tǒng)的安全功能主要有： 身份認(rèn)證：基于設(shè)備證書提供對(duì)數(shù)據(jù)源的認(rèn)證；基于設(shè)備證書提供對(duì)交換服務(wù)器的雙向認(rèn)證。 加密和數(shù)據(jù)完整性保護(hù)：系統(tǒng)支持國(guó)產(chǎn)商密算法對(duì)交換數(shù)據(jù)進(jìn)行加密；系統(tǒng)通過數(shù)字簽名保證交換數(shù)據(jù)完整性。 數(shù)據(jù)過濾：系統(tǒng)數(shù)據(jù)過濾功能包括格式過濾、內(nèi)容過濾（即病毒過濾）、URL 過濾、防 SQL 注入過濾等。 數(shù)據(jù)標(biāo)記與強(qiáng)制訪問控制：系統(tǒng)支持對(duì)主要主、