互联网安全接入方案在互联网和电子政务网间,使用单向光传输技术建立物理隔离通道,采用认证、访问控制、审计、统计分析等安全技术,让民众、企业可以通过互联网提交数据,通过单向光传输技术将数据传输到内网,政府可在内网完成审批并将审批结果单向返回到互联网,政府也可以从内到外同步更新门户网站的数据,实现真正的物理隔离。提高互联网和政府网间的数据交换速度,社会公众和企事业单位方便上传及查询,提升政府服务民众的水平,打造高效政府的价值体验。
单向光传输技术是指采用基于分光原理的单向传输设备进行数据单向传输,并对所传输的数据进行格式检查、内容过滤等,以确保符合预定的安全策略,实现将数据从外网单向导入到内网的技术。
增强性保护措施:依据互联网接入终端和业务的特点,对可控的特定行业终端增加终端加固、用户认证和加密传输措施;对报送数据的终端,增加数据摆渡、协议剥离和内容检查的安全措施:对业务访问的终端,增加地址转换保护措施。
结合政府机关实际业务需求,主要将政府机关内的中心内网与互联网边界分为三个区域:互联网区、中心内网区和安全隔离区(即单向数据传输系统部署区域)。
互联网区主要由安全设备和应用系统组成,对于安全设各功能设计上要求具备边界防护、安全审计、设备防护的功能;对于应用系统要求具备安全加固、应用防护、备份恢复、安全审计的功能。
安全隔离区主要由外网缓冲区、内网缓冲区和单向光闸设备组成,其中外网缓冲区部署数据安全导入系统,内网缓冲区部署数据安全导出系统,本区域功能设计上要求具备单向隔离、内容检查、数据审计、安全加固的功能。
中心内网区主要部署应用系统和监控平台,要求具备运维管理、安全审计、业务监管、集中监控的功能。
应用行业
为加强便民服务的力度,政务公开、网上办事大厅、网上行政许可审批,需要将政府内部的数据和互联网进行交换。如法院、检察院、房管、工商、税务、建设、交通、交警、环保、食药、安监、住房保障、民政、司法、财政等部门,公安特种行业单位数据采集管理,如旅馆、印章、机动车修理拆解、印刷品管理、典当业、娱乐场所管理。
关键设备
| 产品名 | 功能概述 |
|---|---|
| WEB应用防火墙 | 实现应用层7层的防火墙防护功能 |
| 单向光闸 | 采用物理单向传输技术,实现数据或文件的单向数据导入。保证文件数据传输的完整性,导入前置机发送的数据和导入服务器接受的文件保持一致对传输的数据业务进行日志审计。 |
| 导入前置服务器 | 对应用服务器进行设备认证,并对数据格式和内容检查,支持UDP方式传输数据;文件同步功能,支持文件的同步,多及目录结构同步,可进行文件过滤;FTP同步方式,可支持30Gb大文件传输;数据库同步,支持触发器、全表、删除原表数据、时序等同步方式。 |
| 集中监控系统 | 对系统进行统一监控、审计和管理,发现系统异常,及时调整系统安全策略,确保整个系统的安全。向监管中心上报相关信息。 |
| 入侵检测 | 对入侵行为的发觉。通过对计算机网络或计算机系统中若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 |
| 入侵防御 | 入侵防御系统(IPS),位于防火墙和网络的设备之间,依靠对数据包的检测进行防御(检查入网的数据包,确定数据包的真正用途,然后决定是否允许其进入内网)。 |
