【正文】 頁(yè)面進(jìn)行存儲(chǔ)軟件的配置，配置項(xiàng)包括：基礎(chǔ)參數(shù)、運(yùn)行參數(shù)、數(shù)據(jù)庫(kù)連接、服務(wù)等；?系統(tǒng)提供頁(yè)面查詢服務(wù)狀態(tài)，可以對(duì)服務(wù)的啟動(dòng)、關(guān)閉、重啟等操作；?系統(tǒng)提供日志查看、下載功能，通過(guò)監(jiān)控頁(yè)面及時(shí)查詢應(yīng)用交付日志信息；?支持用戶權(quán)限管理，支持不同用戶可以使用不同功能； 數(shù)據(jù)安全交換模塊設(shè)計(jì)數(shù)據(jù)安全交換系統(tǒng)包含數(shù)據(jù)庫(kù)數(shù)據(jù)交換、文件數(shù)據(jù)交換和授權(quán)代理三個(gè)模塊體系。（）定制協(xié)議數(shù)據(jù)交換?系統(tǒng)采用分布式體系架構(gòu)，支持集中部署和分級(jí)部署兩種混合部署方式。 數(shù)據(jù)安全交換功能設(shè)計(jì)（）結(jié)構(gòu)化數(shù)據(jù)交換? 支持主流數(shù)據(jù)庫(kù)交換，如、 、等；? 支持主流操作系統(tǒng)，如、等；? 支持全表同步、增量同步、全表更新以及標(biāo)記同步等功能，可實(shí)現(xiàn)增加、刪除、修改等增量的識(shí)別和數(shù)據(jù)同步；? 支持一對(duì)一、一對(duì)多、多對(duì)一的同步方式；? 可以針對(duì)表中指定的字段或指定字段的特定閥值進(jìn)行條件同步，在標(biāo)記同步模式支持自定義標(biāo)記的字段名稱和字段類型；? 支持 、 、等各大字段類型進(jìn)行同步；? 支持、 、數(shù)據(jù)庫(kù)間的異構(gòu)同步，同樣在異構(gòu)環(huán)境中支持大字段數(shù)據(jù)同步，支持全表更新同步、增量更新同步等操作；? 支持單向、雙向同步功能；? 具有數(shù)據(jù)傳輸完整性保障機(jī)制；? 具有詳細(xì)的日志記錄，包括數(shù)據(jù)抽取日志，數(shù)據(jù)加載日志等信息。 內(nèi)外網(wǎng)數(shù)據(jù)安全交換平臺(tái)架構(gòu)內(nèi)外網(wǎng)數(shù)據(jù)安全交換平臺(tái)作為順德區(qū)行政服務(wù)中心內(nèi)、外網(wǎng)數(shù)據(jù)安全交換邊界的統(tǒng)一出入口，位于信息內(nèi)網(wǎng)與信息外網(wǎng)之間，其整體架構(gòu)如下圖所示：數(shù)據(jù)庫(kù)隔離裝置I D C 網(wǎng)絡(luò)信息內(nèi)網(wǎng)內(nèi)外網(wǎng)數(shù)據(jù)安全交換平臺(tái)D M Z 區(qū)信息外網(wǎng)安全隔離網(wǎng)閘數(shù)據(jù)安全交換組件（內(nèi)網(wǎng)）數(shù)據(jù)安全交換組件（外網(wǎng)）安全隔離交換裝置數(shù)據(jù)庫(kù)訪問(wèn)控制高危操作過(guò)濾數(shù)據(jù)庫(kù)入侵阻斷結(jié)構(gòu)化數(shù)據(jù)交換非結(jié)構(gòu)化數(shù)據(jù)交換定制協(xié)議數(shù)據(jù)交換高強(qiáng)度安全交換通道數(shù)據(jù)庫(kù)操作審計(jì)結(jié)構(gòu)化數(shù)據(jù)交換非結(jié)構(gòu)化數(shù)據(jù)交換定制協(xié)議數(shù)據(jù)交換高強(qiáng)度安全交換通道圖 . 數(shù)據(jù)交換架構(gòu)17 / 43內(nèi)外網(wǎng)數(shù)據(jù)安全交換平臺(tái)由數(shù)據(jù)庫(kù)隔離裝置、安全隔離交換裝置兩部分核心組件構(gòu)成，安全隔離交換裝置由數(shù)據(jù)安全交換組件（外網(wǎng)） 、安全隔離網(wǎng)閘、數(shù)據(jù)安全交換組件（內(nèi)網(wǎng)）三大子組件構(gòu)成，數(shù)據(jù)安全交換組件（內(nèi)外網(wǎng)）由結(jié)構(gòu)化數(shù)據(jù)交換、非結(jié)構(gòu)化數(shù)據(jù)交換、定制協(xié)議數(shù)據(jù)交換和高強(qiáng)度安全交換通道四個(gè)子功能模塊組成。前置數(shù)據(jù)交換系統(tǒng)進(jìn)行認(rèn)證，認(rèn)證通過(guò)后，由安全數(shù)據(jù)交換系統(tǒng)通過(guò)私有協(xié)議下載數(shù)據(jù)，通過(guò)私有協(xié)議由隔離網(wǎng)閘進(jìn)行數(shù)據(jù)擺渡，后置認(rèn)證服務(wù)器與后置數(shù)據(jù)交換服務(wù)器系統(tǒng)完成認(rèn)證后，繼而由數(shù)據(jù)安全交換系統(tǒng)通過(guò)私有協(xié)議上傳到應(yīng)用系統(tǒng)；反之亦然。接入平臺(tái)之核心設(shè)備—網(wǎng)閘內(nèi)部反射系統(tǒng)完全基于硬件體系設(shè)計(jì)，不同于通道類硬件不可編程安全隔離板卡，其具備獨(dú)立硬件級(jí)安全控制邏輯，能夠在不含操作系統(tǒng)的硬件環(huán)境下完成復(fù)雜的數(shù)據(jù)安全檢查和擺渡控制邏輯，因此實(shí)現(xiàn)了安全檢查功能的不可編程特性，具備更高安全性。 采用多核平臺(tái)硬件芯片實(shí)現(xiàn)平臺(tái)高性能由于行政服務(wù)中心網(wǎng)絡(luò)分離設(shè)計(jì)后內(nèi)外網(wǎng)并發(fā)量、交換流量都非常大，考慮將來(lái)的業(yè)務(wù)延展性，需要技術(shù)上保證平臺(tái)能實(shí)現(xiàn)或接近“實(shí)時(shí)” 。系統(tǒng)下次啟動(dòng)時(shí)重新載入專用驅(qū)動(dòng)，可確保恢復(fù)正常。為了防止驅(qū)動(dòng)程序被破壞，我們將驅(qū)動(dòng)程序進(jìn)行了固化，在系統(tǒng)啟動(dòng)時(shí)在內(nèi)存中運(yùn)行。接入平臺(tái)之核心設(shè)備—網(wǎng)閘采用了總線技術(shù)進(jìn)行通信?？墒怯脖P是讀寫裝置，很難從硬件上對(duì)數(shù)據(jù)流向進(jìn)行控制，因此無(wú)法保證數(shù)據(jù)流向的可靠，進(jìn)而無(wú)法保證阻止信息攻擊也無(wú)法保證檢查的有效性。 通過(guò)隔離技術(shù)提升內(nèi)外業(yè)務(wù)關(guān)聯(lián)過(guò)程中信息安全級(jí)別平臺(tái)三部件中，核心部件采用網(wǎng)絡(luò)隔離交換設(shè)備安全隔離與信息交換系統(tǒng)率先通過(guò)芯片控制數(shù)據(jù)流向，確保了對(duì)數(shù)據(jù)檢查的有效性?？煽刂平尤胂到y(tǒng)的總流量上限，到上限后不接受新用戶的連接，可設(shè)置單一業(yè)務(wù)的流量上限。周期檢測(cè)數(shù)據(jù)鏈路的運(yùn)行情況，以便合理分配數(shù)據(jù)鏈路鏈路回收：對(duì)一定周期無(wú)響應(yīng)的鏈路進(jìn)行回收支持單播、多播和組播方式，有效解決流量瓶頸問(wèn)題。該防護(hù)體系的核心是將原來(lái)一張網(wǎng)分離為兩張網(wǎng)，兩網(wǎng)數(shù)據(jù)交換通過(guò)強(qiáng)邊界防護(hù)措施實(shí)現(xiàn)信息安全防護(hù)，內(nèi)外網(wǎng)再細(xì)化安全域設(shè)計(jì)，進(jìn)一步實(shí)現(xiàn)各安全域內(nèi)部的防護(hù)措施（如：本項(xiàng)目所涉及的審計(jì)產(chǎn)品） ，下面針對(duì)本項(xiàng)目核心部分的技術(shù)路線進(jìn)行描述如下：12 / 43 提供七層訪問(wèn)控制接入平臺(tái)功能模塊內(nèi)部含有基于規(guī)范檢查機(jī)制，可實(shí)現(xiàn)對(duì)協(xié)議包的細(xì)粒度解析和安全檢查，保護(hù)文件傳輸、數(shù)據(jù)庫(kù)傳輸包括自定義協(xié)議等協(xié)議傳輸?shù)膶影踩^(guò)濾能力。安全隔離數(shù)據(jù)交換平臺(tái)必須具備較高的網(wǎng)絡(luò)性能及穩(wěn)定性、高可用性和可擴(kuò)展性。內(nèi)外網(wǎng)數(shù)據(jù)信息交換的安全原則和要求體現(xiàn)在如下幾個(gè)方面：建立統(tǒng)一的安全隔離數(shù)據(jù)交換平臺(tái)，業(yè)務(wù)內(nèi)網(wǎng)核心服務(wù)通過(guò)統(tǒng)一、唯一出口實(shí)現(xiàn)與外部主機(jī)、網(wǎng)絡(luò)間的可信信息交換，統(tǒng)一管理，執(zhí)行統(tǒng)一的安全策略，實(shí)現(xiàn)內(nèi)部網(wǎng)信息和外部應(yīng)用數(shù)據(jù)交換的高度可控性。、立足當(dāng)前，適當(dāng)前瞻信息技術(shù)發(fā)展日新月異，國(guó)家民主法制建設(shè)和行政審批制度改革不斷深入，網(wǎng)絡(luò)安全是一個(gè)動(dòng)態(tài)的發(fā)展過(guò)程，網(wǎng)絡(luò)安全建設(shè)要立足行政審批工作當(dāng)前的實(shí)際需要，充分利用現(xiàn)有的基礎(chǔ)網(wǎng)絡(luò)、應(yīng)用系統(tǒng)和信息資源，同時(shí)要具有適度的前瞻性、可擴(kuò)展性和開放性，適應(yīng)未來(lái)業(yè)務(wù)和信息技術(shù)發(fā)展的需要，保證整個(gè)系統(tǒng)的可持續(xù)發(fā)展。、統(tǒng)一標(biāo)準(zhǔn)，資源共享按照統(tǒng)一的標(biāo)準(zhǔn)與規(guī)范，加強(qiáng)網(wǎng)絡(luò)基礎(chǔ)、業(yè)務(wù)系統(tǒng)和信息資源建設(shè)與整合，促進(jìn)互聯(lián)互通、信息共享，使有限的資源發(fā)揮最大效益。10 / 43第 5 章 項(xiàng)目本期建設(shè)原則及技術(shù)路線 項(xiàng)目建設(shè)原則行政服務(wù)中心工作業(yè)務(wù)復(fù)雜、專業(yè)性強(qiáng)，信息化建設(shè)涉及面廣、時(shí)間跨度大、技術(shù)要求高，為了確保系統(tǒng)建設(shè)的高效、有序進(jìn)行，在嚴(yán)格遵守信息安全等級(jí)保護(hù)提出的建設(shè)原則的前提下，應(yīng)遵循以下建設(shè)原則：、充分利用現(xiàn)有資源針對(duì)本系統(tǒng)的建設(shè)工作，在滿足信息系統(tǒng)功能、性能與安全條件的前提下，信息化網(wǎng)絡(luò)建設(shè)將充分依托現(xiàn)有系統(tǒng)設(shè)備資源和網(wǎng)絡(luò)設(shè)備資源。佛山市順德區(qū)行政服務(wù)中心承載著教育網(wǎng)與電子政務(wù)網(wǎng)兩張網(wǎng)絡(luò)，隨著近幾年互聯(lián)網(wǎng)的快速發(fā)展，目前教育網(wǎng)出口帶寬已達(dá)到，而電子政務(wù)網(wǎng)出口帶寬已達(dá)到，原有出口設(shè)備已承載不了如此大的流量，因此需要對(duì)原有出口設(shè)備進(jìn)行升級(jí)改造。對(duì)現(xiàn)有行政服務(wù)中心網(wǎng)絡(luò)進(jìn)行安全改造，增加數(shù)據(jù)安全交換平臺(tái)，實(shí)現(xiàn)不同安全域之間的網(wǎng)絡(luò)隔離與數(shù)據(jù)安全交換。為了實(shí)現(xiàn)這一建設(shè)目標(biāo)，行政服務(wù)審批系統(tǒng)的網(wǎng)上申請(qǐng)、網(wǎng)上審批、信息查詢等互聯(lián)網(wǎng)業(yè)務(wù)需要打破互聯(lián)網(wǎng)區(qū)域與政務(wù)審批應(yīng)用服務(wù)系統(tǒng)之間的信息孤島，需要在互聯(lián)網(wǎng)區(qū)域與行政審批應(yīng)用系統(tǒng)之間進(jìn)行安全數(shù)據(jù)交換，建設(shè)成一個(gè)數(shù)據(jù)可信、鏈路可信、網(wǎng)絡(luò)可信、應(yīng)用可信、計(jì)算可信的具有良好擴(kuò)展性的安全數(shù)據(jù)交換平臺(tái)。綜合日志審計(jì)系統(tǒng)：綜合日志審計(jì)平臺(tái)通過(guò)集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問(wèn)記錄、系統(tǒng)運(yùn)行日志、系統(tǒng)運(yùn)行狀態(tài)等各類信息，經(jīng)過(guò)規(guī)范化、過(guò)濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進(jìn)行集中存儲(chǔ)和管理，結(jié)合豐富的日志統(tǒng)計(jì)匯總及關(guān)聯(lián)分析功能，實(shí)現(xiàn)對(duì)信息系統(tǒng)日志的全面審計(jì)。虛擬防火墻的很多安全功能超過(guò)了傳統(tǒng)防火墻。國(guó)家以及行業(yè)相繼頒布了相關(guān)的數(shù)據(jù)安全交換平臺(tái)技術(shù)規(guī)范，包括《國(guó)家電子政務(wù)外網(wǎng)跨區(qū)域安全數(shù)據(jù)交換技術(shù)要求與實(shí)施指南》 、 《公安綜合信息網(wǎng)邊界接入平臺(tái)規(guī)范》等；防火墻：防火墻技術(shù)作為一種隔離內(nèi)部安全網(wǎng)絡(luò)與外部不信任網(wǎng)絡(luò)的防御技術(shù)，已經(jīng)成為計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)中的一個(gè)重要組成部分。8 / 43第 3 章 可行性分析 技術(shù)可行性分析隨著信息技術(shù)、網(wǎng)絡(luò)技術(shù)、安全技術(shù)和通訊技術(shù)的發(fā)展，更高的處理能力、更深度的安全檢測(cè)功能、更高的網(wǎng)絡(luò)帶寬、更低的價(jià)格，為我們建設(shè)網(wǎng)絡(luò)安全提供了強(qiáng)大的支持。此類實(shí)時(shí)訪問(wèn)數(shù)據(jù)交換的需求不適應(yīng)數(shù)據(jù)同步交換方式。針對(duì)此類靜態(tài)數(shù)據(jù)文件的業(yè)務(wù)，需要采用單向或雙向同步的方式，即數(shù)據(jù)同步交換需求。7 / 43 需求分析（）數(shù)據(jù)同步交換需求由于四類應(yīng)用跨越了順德行政服務(wù)中心的不同安全域的網(wǎng)絡(luò)邊界，因此本建議方案主要針對(duì)四類應(yīng)用構(gòu)建。要滿足這些技術(shù)要求，就必須對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全改造，支撐行政服務(wù)中心為市民和政府部門提供更安全、高效的信息交換平臺(tái)。問(wèn)題分析順德區(qū)信息中心的數(shù)據(jù)根據(jù)業(yè)務(wù)需求需要進(jìn)行數(shù)據(jù)安全接入，根據(jù)目前應(yīng)用系統(tǒng)的實(shí)際情況，可以分為以下四類：第一， 本單位與教育網(wǎng)之間的數(shù)據(jù)交換；第二， 本單位內(nèi)網(wǎng)用戶訪問(wèn)各業(yè)務(wù)系統(tǒng)，內(nèi)網(wǎng)用戶需要訪問(wèn)等系統(tǒng)完成日常辦公業(yè)務(wù)需求；第三， 本單位需要與公安、社保、工商、計(jì)生委等其他政府單位交互數(shù)據(jù)信息；第四， 互聯(lián)網(wǎng)用戶訪問(wèn)各業(yè)務(wù)系統(tǒng)，比如網(wǎng)上辦事大廳、網(wǎng)上審批業(yè)務(wù)、信息查詢業(yè)務(wù)、信息核查比對(duì)業(yè)務(wù)、云服務(wù)平臺(tái)等。其中：臺(tái)作為數(shù)據(jù)庫(kù)雙機(jī)熱備，臺(tái)作為應(yīng)用服務(wù)器，臺(tái)作為數(shù)據(jù)交換服務(wù)器和臺(tái)數(shù)據(jù)庫(kù)作測(cè)試用。 “系統(tǒng)”包括順德區(qū)行政服務(wù)網(wǎng)、行政審批業(yè)務(wù)處理、投訴咨詢管理、后臺(tái)管理、審批監(jiān)控、查詢統(tǒng)計(jì)、電子監(jiān)察數(shù)據(jù)報(bào)送等幾大核心功能。拓?fù)浣Y(jié)構(gòu)見下圖：、圖：順德區(qū)行政服務(wù)中心網(wǎng)絡(luò)現(xiàn)狀 應(yīng)用現(xiàn)狀（一） 應(yīng)用功能現(xiàn)狀順德區(qū)行政審批管理信息系統(tǒng)（以下簡(jiǎn)稱“系統(tǒng)” ）于年開始建設(shè)，年投入使用。內(nèi)網(wǎng)主要運(yùn)行的核心是行政審批管理系統(tǒng)和核心數(shù)據(jù)庫(kù)。 信息化現(xiàn)狀及存在的問(wèn)題 網(wǎng)絡(luò)現(xiàn)狀 目前順德行政服務(wù)中心從系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的劃分可依據(jù)安全域的不同進(jìn)行劃分，即分為與互聯(lián)網(wǎng)相關(guān)的互聯(lián)網(wǎng)接入?yún)^(qū)，如網(wǎng)站、外部前置數(shù)據(jù)庫(kù)、文件服務(wù)器、各個(gè)與網(wǎng)站相關(guān)的業(yè)務(wù)模塊應(yīng)用系統(tǒng)等，采用防火墻等安全技術(shù)手段與互聯(lián)網(wǎng)進(jìn)行邏5 / 43輯隔離。該措施的推出將實(shí)現(xiàn)多方共贏：流程、資料簡(jiǎn)化、全程網(wǎng)上辦理，方便了申請(qǐng)人；資料網(wǎng)上預(yù)審，減少了部門資料錄入量，方便了部門；事項(xiàng)系統(tǒng)互通，信息實(shí)時(shí)共享，打破信息孤島；電子監(jiān)察系統(tǒng)實(shí)時(shí)追蹤，有效監(jiān)控。每年辦理審批業(yè)務(wù)達(dá)到萬(wàn)筆次。目前進(jìn)駐中心辦公的職能部門個(gè)（含雙管聯(lián)檢單位） ，審批事項(xiàng)項(xiàng)。4 / 43第 2 章 現(xiàn)狀、必要性和需求分析 項(xiàng)目建設(shè)背景順德區(qū)行政服務(wù)中心于年月正式運(yùn)行，是提供區(qū)級(jí)行政審批服務(wù)的綜合平臺(tái)。同時(shí)，根據(jù)信息安全等級(jí)保護(hù)的相關(guān)要求，順德行政服務(wù)中心網(wǎng)絡(luò)需要增配綜合日志審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)行政服務(wù)中心全網(wǎng)的網(wǎng)絡(luò)日志集中采集、分析和審計(jì)。 行政服務(wù)中心網(wǎng)絡(luò)安全改造：對(duì)行政服務(wù)中心現(xiàn)有防火墻進(jìn)行升級(jí)改造，提高網(wǎng)絡(luò)處理性能和虛擬化功能，支持教育網(wǎng)的安全接入。 項(xiàng)目建設(shè)內(nèi)容本項(xiàng)目建設(shè)的內(nèi)容主要有以下幾部分，分別是： 順德區(qū)行政服務(wù)中心網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)安全交換平臺(tái)建設(shè)：順德區(qū)行政服務(wù)中心數(shù)據(jù)接入涉及多網(wǎng)絡(luò)安全域的數(shù)據(jù)交換，包括互聯(lián)網(wǎng)、對(duì)外服務(wù)網(wǎng)絡(luò)以及電子政務(wù)網(wǎng)內(nèi)部間的數(shù)據(jù)交換。總投資概算約萬(wàn)元。2 / 43為了實(shí)現(xiàn)這一建設(shè)目標(biāo)，行政服務(wù)審批系統(tǒng)的網(wǎng)上申請(qǐng)、網(wǎng)上審批、信息查詢等互聯(lián)網(wǎng)業(yè)務(wù)需要打破互聯(lián)網(wǎng)區(qū)域與政務(wù)審批應(yīng)用服務(wù)系統(tǒng)之間的信息孤島，需要在互聯(lián)網(wǎng)區(qū)域與行政審批應(yīng)用系統(tǒng)之間進(jìn)行安全數(shù)據(jù)交換，建設(shè)成一個(gè)數(shù)據(jù)可信、鏈路可信、網(wǎng)絡(luò)可信、應(yīng)用可信、計(jì)算可信的具有良好擴(kuò)展性的安全數(shù)據(jù)交換平臺(tái)。1 / 43順德區(qū)行政服務(wù)中心網(wǎng)絡(luò)安全改造項(xiàng)目———————————————————————————————————建設(shè)方案《評(píng)審稿》項(xiàng)目編號(hào)：項(xiàng)目建設(shè)單位：佛山市順德區(qū)行政服務(wù)中心編制單位：佛山市順德區(qū)行政服務(wù)中心佛山市順德區(qū)行政服務(wù)中心16:23 / 43目 錄目 錄 ............................................................................................................................第章 概述 ....................................................................................................................... 項(xiàng)目名稱 ...................................................................................................................... 項(xiàng)目性質(zhì) ...................................................................................................................... 項(xiàng)目承擔(dān)單位及負(fù)責(zé)人 ...............................................................................