【文章內容簡介】 網絡安全是一個動態(tài)的發(fā)展過程，網絡安全建設要立足行政審批工作當前的實際需要，充分利用現有的基礎網絡、應用系統(tǒng)和信息資源，同時要具有適度的前瞻性、可擴展性和開放性，適應未來業(yè)務和信息技術發(fā)展的需要，保證整個系統(tǒng)的可持續(xù)發(fā)展。11 / 43本方案在制定安全系統(tǒng)設計時所采用的基本安全策略為：主要以數據交換平臺為基礎，以安全隔離信息交換技術和數據擺渡技術為主體，輔之數據庫、文件數據交換系統(tǒng)、可信訪問進程服務系統(tǒng)、集中監(jiān)控系統(tǒng)等；構造一個具有最高安全強度的、在較長一段時期內可以防御絕大部分已知和未知的網絡攻擊手段的、并可以滿足用戶多種網絡應用數據交換平臺。內外網數據信息交換的安全原則和要求體現在如下幾個方面：建立統(tǒng)一的安全隔離數據交換平臺，業(yè)務內網核心服務通過統(tǒng)一、唯一出口實現與外部主機、網絡間的可信信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一的安全策略，實現內部網信息和外部應用數據交換的高度可控性。解決從客戶端數據傳輸鏈路網絡邊界業(yè)務服務系統(tǒng)的全鏈路數據傳輸安全保障；內部網通過安全隔離數據交換平臺與外界進行的信息交換必須受到嚴格的控制，內部網安全隔離平臺可以提供必要的安全手段，防止內網向外部泄漏敏感信息和抵御外網協(xié)議和系統(tǒng)攻擊。安全隔離數據交換平臺必須具備較高的網絡性能及穩(wěn)定性、高可用性和可擴展性。 項目技術路線本項目嚴格遵循國家相關信息安全建設規(guī)范和標準，嚴格遵循網絡系統(tǒng)等級保護制度的技術基本要求，對行政服務中心現有網絡安全基礎設施進行差距分析和評估、設計，通過本項目建設一套符合國家電子政務網信息安全建設標準的順德區(qū)行政服務中心網絡安全防護體系。該防護體系的核心是將原來一張網分離為兩張網，兩網數據交換通過強邊界防護措施實現信息安全防護，內外網再細化安全域設計，進一步實現各安全域內部的防護措施（如：本項目所涉及的審計產品） ，下面針對本項目核心部分的技術路線進行描述如下：12 / 43 提供七層訪問控制接入平臺功能模塊內部含有基于規(guī)范檢查機制，可實現對協(xié)議包的細粒度解析和安全檢查，保護文件傳輸、數據庫傳輸包括自定義協(xié)議等協(xié)議傳輸的層安全過濾能力。底層傳輸網絡通信鏈路檢測，當網絡從異常狀態(tài)恢復后，在一定時間周期后可自行恢復數據傳輸。周期檢測數據鏈路的運行情況，以便合理分配數據鏈路鏈路回收：對一定周期無響應的鏈路進行回收支持單播、多播和組播方式，有效解決流量瓶頸問題。內外網數據交換流量控制基于業(yè)務種類的流量控制，針對不同業(yè)務種類可以調配相對應的流量。可控制接入系統(tǒng)的總流量上限，到上限后不接受新用戶的連接，可設置單一業(yè)務的流量上限。13 / 43針對服務中心多業(yè)務應用延展平臺中三部件均提供開放的接口，可以針對行政服務中心將來的安全需求實現深化控制。 通過隔離技術提升內外業(yè)務關聯(lián)過程中信息安全級別平臺三部件中，核心部件采用網絡隔離交換設備安全隔離與信息交換系統(tǒng)率先通過芯片控制數據流向，確保了對數據檢查的有效性。傳統(tǒng)網閘設備并不具備高可靠性的專用硬件，通常采用內外端系統(tǒng)分時訪問硬盤的方式來提供安全隔離?？墒怯脖P是讀寫裝置，很難從硬件上對數據流向進行控制，因此無法保證數據流向的可靠，進而無法保證阻止信息攻擊也無法保證檢查的有效性。因此比傳統(tǒng)網閘\ 防火墻\ 等邊界防護設備具有更高的安全性。接入平臺之核心設備—網閘采用了總線技術進行通信。這種電路有專用的控制邏輯，必須采用專用的驅動程序才能驅動隔離開關進行數據交換。為了防止驅動程序被破壞，我們將驅動程序進行了固化，在系統(tǒng)啟動時在內存中運行。如果攻擊者在內存中替換驅動，也因為驅動的專用性而不能得逞。系統(tǒng)下次啟動時重新載入專用驅動，可確保恢復正常。實現內容控制該交換平臺內集成了文件密級標識檢查模塊和高效內容檢查模塊，可以對由內網送到外網的數據進行密級檢查和內容檢查，從很大程度上防止泄密，因此不但提供了安全的通信手段，而且具有更好的保密性。 采用多核平臺硬件芯片實現平臺高性能由于行政服務中心網絡分離設計后內外網并發(fā)量、交換流量都非常大，考慮將來的業(yè)務延展性，需要技術上保證平臺能實現或接近“實時” 。本方案中建議采用14 / 43的接入平臺采用多核平臺硬件芯片實現了高性能設計，內部總線能達到。接入平臺之核心設備—網閘內部反射系統(tǒng)完全基于硬件體系設計，不同于通道類硬件不可編程安全隔離板卡，其具備獨立硬件級安全控制邏輯，能夠在不含操作系統(tǒng)的硬件環(huán)境下完成復雜的數據安全檢查和擺渡控制邏輯，因此實現了安全檢查功能的不可編程特性，具備更高安全性。15 / 43第 6 章 項目建設總體設計 總體架構設計圖 . 順德區(qū)行政服務中心網絡系統(tǒng)安全改造項目總體架構在互聯(lián)網接入區(qū)與行政服務中心內網之間部署邊界安全交換平臺，交換平臺主要部署的設備有： 針對數據交換業(yè)務鏈路：在行政服務中心內網與互聯(lián)網接入區(qū)之間部署安全數據交換系統(tǒng)（含前后置認證服務器，前后置數據交換系統(tǒng)） ，隔離網閘；針對大數據流量和用戶數，采用雙鏈路熱備方式部署； 在互聯(lián)網接入區(qū)前端部署兩臺防火墻，采用雙機熱備模式，分別針對教育網和互聯(lián)網的安全接入和安全防護； 在行政服務中心的，政務專網，分別部署網絡綜合審計系統(tǒng)，監(jiān)控數據庫、主機和網絡的運行狀態(tài)信息； 在行政服務中心內網部署集中監(jiān)控管理系統(tǒng)，統(tǒng)一監(jiān)控與安全數據交換相關的安全設備的運行信息，統(tǒng)一內外網相關設備的管理，統(tǒng)一制定安全策略； 在互聯(lián)網接入區(qū)部署集控探針，負責采集外部數據交換相關安全設備的運行狀態(tài)信息、配置信息等，通過數據交換系統(tǒng)傳輸到集中監(jiān)控管理系統(tǒng)，統(tǒng)一管理；16 / 43 方案設計主要安全策略： 、針對數據同步業(yè)務鏈路：在互聯(lián)網接入區(qū)的應用服務器在生成數據后，將數據傳輸到數據交換系統(tǒng)對應用服務器進行認證，判斷是否是合法的應用服務器上傳到指定的目錄或數據庫，如果是非法上傳，將阻斷數據上傳，如果是合法上傳，對數據進行掃描，判斷數據合法性，若數據是非法數據，則丟棄。前置數據交換系統(tǒng)進行認證，認證通過后，由安全數據交換系統(tǒng)通過私有協(xié)議下載數據，通過私有協(xié)議由隔離網閘進行數據擺渡，后置認證服務器與后置數據交換服務器系統(tǒng)完成認證后，繼而由數據安全交換系統(tǒng)通過私有協(xié)議上傳到應用系統(tǒng)；反之亦然。 、互聯(lián)網接入區(qū)的集控探針通過、搜集到的安全設備、網絡設備、應用服務器的系統(tǒng)信息和管理日志信息，通過前置認證服務器認證后，通過網閘采用私有協(xié)議的方式將信息數據傳輸到行政服務中心內網的集中監(jiān)控管理平臺，集中監(jiān)控管理系統(tǒng)將相關信息統(tǒng)一管理。 內外網數據安全交換平臺架構內外網數據安全交換平臺作為順德區(qū)行政服務中心內、外網數據安全交換邊界的統(tǒng)一出入口，位于信息內網與信息外網之間，其整體架構如下圖所示：數據庫隔離裝置I D C 網絡信息內網內外網數據安全交換平臺D M Z 區(qū)信息外網安全隔離網閘數據安全交換組件（內網）數據安全交換組件（外網）安全隔離交換裝置數據庫訪問控制高危操作過濾數據庫入侵阻斷結構化數據交換非結構化數據交換定制協(xié)議數據交換高強度安全交換通道數據庫操作審計結構化數據交換非結構化數據交換定制協(xié)議數據交換高強度安全交換通道圖 . 數據交換架構17 / 43內外網數據安全交換平臺由數據庫隔離裝置、安全隔離交換裝置兩部分核心組件構成，安全隔離交換裝置由數據安全交換組件（外網） 、安全隔離網閘、數據安全交換組件（內網）三大子組件構成，數據安全交換組件（內外網）由結構化數據交換、非結構化數據交換、定制協(xié)議數據交換和高強度安全交換通道四個子功能模塊組成。信息外網區(qū)通過內外網數據安全交換平臺與南網信息內網進行數據交換。 數據安全交換功能設計（）結構化數據交換? 支持主流數據庫交換，如、 、等；? 支持主流操作系統(tǒng)，如、等；? 支持全表同步、增量同步、全表更新以及標記同步等功能，可實現增加、刪除、修改等增量的識別和數據同步；? 支持一對一、一對多、多對一的同步方式；? 可以針對表中指定的字段或指定字段的特定閥值進行條件同步，在標記同步模式支持自定義標記的字段名稱和字段類型；? 支持 、 、等各大字段類型進行同步；? 支持、 、數據庫間的異構同步，同樣在異構環(huán)境中支持大字段數據同步，支持全表更新同步、增量更新同步等操作；? 支持單向、雙向同步功能；? 具有數據傳輸完整性保障機制；? 具有詳細的日志記錄，包括數據抽取日志，數據加載日志等信息。（）非結構化數據交換18 / 43? 支持主流文件類型，如文檔、圖片、多媒體文件、等；? 支持主流操作系統(tǒng)，如、等；? 支持單向、雙向同步；? 支持或模式讀取本地或遠程的文件；? 內置殺毒引擎能夠過濾交換數據中的病毒和木馬；? 支持高可靠文件傳輸，文件完整性校驗；文件內容識別檢查過濾和文件格式特征檢查；支持增量文件同步，實現內外網兩個目錄之間的文件一致性；小文件傳輸可使用多線程并發(fā)提高傳輸效率；? 支持文件格式檢查功能，能對、 、 、等多種文件格式進行檢查，合法特征文件可以通過，非法格式文件被拒絕通過；? 支持防止偽造文件功能，偽造后綴名的文件和在文件中增加二進制執(zhí)行代碼的惡意文件將被拒絕傳輸；? 具有私有的安全上傳、下載功能，不依賴、文件共享等通用文件傳輸協(xié)議；? 具有操作權限功能，能夠按角色分配個人目錄和共享目錄訪問操作權限；? 支持斷點重傳功能，在出現斷電或傳輸中斷等情況下，能夠保證系統(tǒng)恢復時，交換的數據能重傳或續(xù)傳且不出數據丟失現象。（）定制協(xié)議數據交換?系統(tǒng)采用分布式體系架構，支持集中部署和分級部署兩種混合部署方式。提供系統(tǒng)集群管理的界面截圖和分布式體系架構技術說明；?支持在線擴容功能，支持動態(tài)增加分組，實現存儲容量的在線擴容；?系統(tǒng)對保存的所有文件進行加密，訪問時采用加密通道，解密后訪問，有效保證數據的安全；?支持數據交付優(yōu)先級控制，系統(tǒng)自動進行實時數據和歷史數據的交付，實時數據優(yōu)先交付，其次交付歷史數據；?采用定制化數據傳輸協(xié)議；19 / 43?采用數據隊列技術，實現集群環(huán)境下的分布式數據隊列，提供高性能數據緩存；?數據對賬功能。提供與應用系統(tǒng)間的自動對賬功能，能夠對每日數據信息進行日結對賬，并自動實現系統(tǒng)間的數據補錄，保證應用系統(tǒng)信息完整性；?支持通過瀏覽器可以查看應用交付拓撲結構及應用情況；?系統(tǒng)采用圖形化配置界面，提供相關系統(tǒng)參數的配置頁面，通過頁面進行存儲軟件的配置，配置項包括：基礎參數、運行參數、數據庫連接、服務等；?系統(tǒng)提供頁面查詢服務狀態(tài)，可以對服務的啟動、關閉、重啟等操作；?系統(tǒng)提供日志查看、下載功能，通過監(jiān)控頁面及時查詢應用交付日志信息；?支持用戶權限管理，支持不同用戶可以使用不同功能； 數據安全交換模塊設計數據安全交換系統(tǒng)包含數據庫數據交換、文件數據交換和授權代理三個模塊體系。數據交換數據庫數據交換文件交換數據源配置觸發(fā)器機制全表機制格式檢查內容過濾數據交換數據安全和完整內到外外到內雙向內到外外到內文件源配置內容過濾格式檢查數據安全和完整文件交換同步機制 擺渡機制內到外外到內雙向內到外外到內 （）文件交換功能設計20 / 43I n p u t P l u g i nO u t P l u g i nO u t P l u g i nI n P l u g i n數據傳輸模塊文件探針模塊文件探針模塊圖：文件交換功能設計文件傳輸主要由文件探針模塊、平臺接口包括文件輸入（） 、文件輸出（）接口組成。文件探針模塊實現文件的讀取、傳輸、接收等功能，文件輸入接口接收文件探針模塊傳輸的數據流，并通過平臺傳輸給文件輸出接口，輸出接口將數據流傳輸給目標端的文件探針模塊，文件探針模塊接收數據流后保存文件。文件探針主要由傳輸配置、輸入、輸出三部分組成使用頁面設置傳輸參數，可配置并可在探針上實現多個文件傳輸應用。參數包括：傳輸地址、傳輸端口、傳輸方式、應用名、是否可用、源文件目錄、是否刪除源目錄文件、傳輸頻率、文件目標目錄。傳輸步驟：文件探針應用啟動先進行源端機器和目標端機器的時戳校準，即探針源端發(fā)送一個當前時鐘給探針目標端，以源端時間為基準進行校準，目標端時間為源端值的正值或負值。源端探針將內存結構中的所有信息發(fā)送到目標端，目標端根據接收