方案背景
政府部門一般按照國家電子政務建設要求組建自己的電子政務網絡,采用三級聯網。政政府單位為了提供便民服務,為了實現各種電子政務應用,必須將一部分原來在內網的數據信息面對公網,面對上下級單位、面對外單位企業網絡。
政府的政務網一般主要由四部分組成:??????
?——內部運行信息系統的局域網(政務內網)?????
?——上下級互聯的廣域網(政務專網)
?——市級各部門信息資源共享的政務外網?
?——提供信息發布查詢等社會化服務的國際互聯網(外網)
政府政務內外網、上下級互聯互通涉及數據的交換,必然帶來一定的安全風險。原來利用互連網發動攻擊的黑客、病毒、下級單位的人員疏忽、惡意試探也可能利用政府內部網絡的數據交換的連接嘗試攻擊本單位政府內部政務網,影響到本單位內部網的重要數據正常運行,所以安全問題變得越來越復雜和突出。
解決方案
政府網絡信息交換的安全原則和要求體現在如下幾個方面:
1、建立統一的安全隔離交換平臺,政府政務內網的辦公、業務管理系統通過統一出口實現與外部應用、單位網間的可信信息交換,統一管理,執行統一的安全策略,實現政務內網信息和上下級單位、外部應用網數據交換的高度可控性。
2、所采用的安全隔離設備必須通過公安部信息安全產品許可和國家保密局的技術鑒定,安全隔離設備支持廣泛、可定義的應用。
內網與外部應用網之間隔離遵循“內外網物理隔斷,內外網可控信息交換”的原則,即不接收其他網絡數據,使得政務應用內網對外不暴露任何內網端口和服務,完全隱藏內部網絡,從而更集中、高效地保護內網安全。更重要的是該功能阻斷了黑客通過木馬控制內網主機的通訊途徑,保護內網主機的安全。
除了隔離網閘外,還可以應用防火墻技術、SSL VPN技術,保證政務內網數據的機密性、完整性和可用性。這樣就以隔離網閘為核心,建立了一整套完整的安全隔離與信息交換平臺。
根據以上原則,政府的隔離應用設計應遵循如下基本原則:
1、在政府政務內外網網絡邊界、政務內網與政務專網邊界處部署安全隔離網閘,隔離阻斷外網直接訪問政府內網的途徑。外網數據庫服務器僅能夠通過網閘訪問部署于內網的相關應用服務器交換數據。
2、網閘可采用數據庫同步和應用訪問兩種模式工作。
3、隔離網閘在數據進行擺渡的過程中,將嚴格檢查數據的格式、文件內容及特征文件名,并只交換外網指定數據庫或指定應用服務器,保證傳入內網的數據是相關應用系統的合法數據。
根據網閘的工作原理、用戶的實際應用環境,具體的實施方案如下:
方案特點
本用戶應用方案中,政府內部網絡分為政務外網(可對外提供業務數據服務、互聯網訪問等)和政務內網(核心業務系統、核心數據庫、政務專網),網閘的部署利用了網閘數據庫訪問功能和數據同步交換功能,實現如下安全特點:
1、安全性高:網閘隔離了內外網的直接網絡數據交換,網閘僅開通特定通道交換特定數據庫數據,也可設定數據單向流動,即數據僅從外網流向內網,防止核心業務數據泄密。
2、網閘的應用相對透明,即不影響用戶原來的網絡結構和業務應用的數據流和業務流程,數據可以是任何數據,可采用公共標準或用戶自定義的數據格式,與網閘無關。
3、網閘可通過交換文件交換、數據庫訪問同步或消息訪問同步方式進行內外網的數據交換。交換的數據對應用系統性能影響較小。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。