ViGap在政府部門的解決方案
方案背景
政府部門一般按照國家電子政務建設要求組建自己的電子政務網(wǎng)絡����,采用三級聯(lián)網(wǎng)��。政府單位為了提供便民服務����,為了實現(xiàn)各種電子政務應用�,必須將一部分原來在內(nèi)網(wǎng)的數(shù)據(jù)信息面對公網(wǎng)�����,面對上下級單位��、面對外單位企業(yè)網(wǎng)絡��。
政府的政務網(wǎng)一般主要由四部分組成:
——內(nèi)部運行信息系統(tǒng)的局域網(wǎng)(政務內(nèi)網(wǎng))
——上下級互聯(lián)的廣域網(wǎng)(政務專網(wǎng))
——市級各部門信息資源共享的政務外網(wǎng)
——提供信息發(fā)布查詢等社會化服務的國際互聯(lián)網(wǎng)(外網(wǎng))
政府政務內(nèi)外網(wǎng)���、上下級互聯(lián)互通涉及數(shù)據(jù)的交換,必然帶來一定的安全風險���。原來利用互連網(wǎng)發(fā)動攻擊的黑客�����、病毒�����、下級單位的人員疏忽�����、惡意試探也可能利用政府內(nèi)部網(wǎng)絡的數(shù)據(jù)交換的連接嘗試攻擊本單位政府內(nèi)部政務網(wǎng)�����,影響到本單位內(nèi)部網(wǎng)的重要數(shù)據(jù)正常運行�����,所以安全問題變得越來越復雜和突出����。
解決方案
政府網(wǎng)絡信息交換的安全原則和要求體現(xiàn)在如下幾個方面:
1、建立統(tǒng)一的安全隔離交換平臺�����,政府政務內(nèi)網(wǎng)的辦公����、業(yè)務管理系統(tǒng)通過統(tǒng)一出口實現(xiàn)與外部應用���、單位網(wǎng)間的可信信息交換���,統(tǒng)一管理,執(zhí)行統(tǒng)一的安全策略�����,實現(xiàn)政務內(nèi)網(wǎng)信息和上下級單位、外部應用網(wǎng)數(shù)據(jù)交換的高度可控性���。
2��、所采用的安全隔離設備必須通過公安部信息安全產(chǎn)品許可和國家保密局的技術鑒定�,安全隔離設備支持廣泛�、可定義的應用。
內(nèi)網(wǎng)與外部應用網(wǎng)之間隔離遵循“內(nèi)外網(wǎng)物理隔斷��,內(nèi)外網(wǎng)可控信息交換”的原則���,即不接收其他網(wǎng)絡數(shù)據(jù)����,使得政務應用內(nèi)網(wǎng)對外不暴露任何內(nèi)網(wǎng)端口和服務���,完全隱藏內(nèi)部網(wǎng)絡�����,從而更集中����、高效地保護內(nèi)網(wǎng)安全。更重要的是該功能阻斷了黑客通過木馬控制內(nèi)網(wǎng)主機的通訊途徑���,保護內(nèi)網(wǎng)主機的安全���。
除了隔離網(wǎng)閘外,還可以應用防火墻技術����、SSL VPN技術,保證政務內(nèi)網(wǎng)數(shù)據(jù)的機密性�����、完整性和可用性���。這樣就以隔離網(wǎng)閘為核心�����,建立了一整套完整的安全隔離與信息交換平臺。
根據(jù)以上原則,政府的隔離應用設計應遵循如下基本原則:
1��、在政府政務內(nèi)外網(wǎng)網(wǎng)絡邊界�、政務內(nèi)網(wǎng)與政務專網(wǎng)邊界處部署安全隔離網(wǎng)閘,隔離阻斷外網(wǎng)直接訪問政府內(nèi)網(wǎng)的途徑�。外網(wǎng)數(shù)據(jù)庫服務器僅能夠通過網(wǎng)閘訪問部署于內(nèi)網(wǎng)的相關應用服務器交換數(shù)據(jù)。
2�����、網(wǎng)閘可采用數(shù)據(jù)庫同步和應用訪問兩種模式工作����。
3、隔離網(wǎng)閘在數(shù)據(jù)進行擺渡的過程中���,將嚴格檢查數(shù)據(jù)的格式����、文件內(nèi)容及特征文件名��,并只交換外網(wǎng)指定數(shù)據(jù)庫或指定應用服務器�����,保證傳入內(nèi)網(wǎng)的數(shù)據(jù)是相關應用系統(tǒng)的合法數(shù)據(jù)。
根據(jù)網(wǎng)閘的工作原理����、用戶的實際應用環(huán)境,具體的實施方案如下:根據(jù)網(wǎng)閘的工作原理���、用戶的實際應用環(huán)境���,具體的實施方案如下:
方案特點
本用戶應用方案中,政府內(nèi)部網(wǎng)絡分為政務外網(wǎng)(可對外提供業(yè)務數(shù)據(jù)服務���、互聯(lián)網(wǎng)訪問等)和政務內(nèi)網(wǎng)(核心業(yè)務系統(tǒng)�����、核心數(shù)據(jù)庫�、政務專網(wǎng))����,網(wǎng)閘的部署利用了網(wǎng)閘數(shù)據(jù)庫訪問功能和數(shù)據(jù)同步交換功能,實現(xiàn)如下安全特點:
1�����、安全性高:網(wǎng)閘隔離了內(nèi)外網(wǎng)的直接網(wǎng)絡數(shù)據(jù)交換,網(wǎng)閘僅開通特定通道交換特定數(shù)據(jù)庫數(shù)據(jù)�,也可設定數(shù)據(jù)單向流動�,即數(shù)據(jù)僅從外網(wǎng)流向內(nèi)網(wǎng),防止核心業(yè)務數(shù)據(jù)泄密���。
2����、網(wǎng)閘的應用相對透明���,即不影響用戶原來的網(wǎng)絡結構和業(yè)務應用的數(shù)據(jù)流和業(yè)務流程�,數(shù)據(jù)可以是任何數(shù)據(jù)��,可采用公共標準或用戶自定義的數(shù)據(jù)格式����,與網(wǎng)閘無關。
3�����、網(wǎng)閘可通過交換文件交換���、數(shù)據(jù)庫訪問同步或消息訪問同步方式進行內(nèi)外網(wǎng)的數(shù)據(jù)交換�。交換的數(shù)據(jù)對應用系統(tǒng)性能影響較小。
ViGap在公安系統(tǒng)的解決方案
方案背景
公安信息網(wǎng)(公安網(wǎng))目前是星型拓撲結構�,由二、三級主干網(wǎng)和接入網(wǎng)組成����。省廳公安機關至所轄地市公安機關的網(wǎng)絡為二級網(wǎng),地市級公安機關至所轄縣區(qū)公安機關的網(wǎng)絡為三級網(wǎng)絡�,基層科、所���、隊到分局或市局的網(wǎng)絡為接入網(wǎng)�。
公安網(wǎng)絡系統(tǒng)的主要功能是為各級公安業(yè)務部門提供語音、數(shù)據(jù)、圖像等交換和傳輸服務���。公安數(shù)據(jù)業(yè)務包括人口、治安、交管����、刑偵���、預審�、出入境管理等二十多種業(yè)務的信息傳輸與查詢;辦公自動化�����、電子郵件等內(nèi)部管理數(shù)據(jù)��;公安內(nèi)部信息網(wǎng)站瀏覽等業(yè)務����,文字����、圖表、動靜態(tài)圖像等數(shù)據(jù)的傳輸和交換����。
隨著科技強警應用的不斷深入,為了便于公安工作的有效開展��,原有封閉的公安內(nèi)部專網(wǎng)越來越多地需要與公安網(wǎng)外部進行信息交互��,例如對外提供移動警務信息服務�、從外網(wǎng)獲得旅店住宿信息實時監(jiān)控流動人口等。由于這些應用涉及到的接入點分布極廣���,因此�,采用專線連接顯然是不現(xiàn)實的,利用公網(wǎng)(Internet����、PSTN、GPRS�、CDMA)等開放平臺進行接入就成為了經(jīng)濟可行的解決方案。這也使得公安內(nèi)網(wǎng)必須與公網(wǎng)進行一定程度的信息交換�,與公網(wǎng)的連接將對公安內(nèi)網(wǎng)造成新的安全威脅,本方案設計解決在省廳和各地市公安信息中心與外部網(wǎng)間構建可信的安全隔離平臺����,解決可用性和安全性的矛盾。
建立統(tǒng)一的公安安全隔離平臺的必要性
公安業(yè)務系統(tǒng)最大的特點是復雜程度高����,地域、信息點多且分散�����,安全威脅來自從物理層到應用層多個方面����。目前的實際情況是:公安網(wǎng)內(nèi)各業(yè)務部門根據(jù)本部門與外部公網(wǎng)數(shù)據(jù)交換的需要采用了一定的安全隔離手段�����,但在安全設計和安全管理上存在不少漏洞和隱患���。
各部門分散、獨立網(wǎng)絡系統(tǒng)�,使得公安信息網(wǎng)的整體安全性受到考驗,隨意擴大網(wǎng)絡平臺的應用類型����,可能導致高風險應用的開放���,例如:下載含有大量ActiveX����、JavaScript腳本攻擊的頁面等���。整個公安信息網(wǎng)的網(wǎng)絡安全防御強度取決于安全隔離策略最差的那個部門���,產(chǎn)生“木桶效應”。
考慮到上述問題��,建設公安信息網(wǎng)安全隔離平臺具有十分重要的意義。通過在省廳和各地市公安信息中心的網(wǎng)絡邊界處建立統(tǒng)一的公安安全隔離交換平臺���,公安內(nèi)網(wǎng)與外部公網(wǎng)間僅保留有限的接入點���,便于信息交換的安全控制與管理,同時也節(jié)省了大量投資�。
解決方案
根據(jù)公安信息網(wǎng)信息安全交換原則,安全隔離交換平臺的建設應遵循“內(nèi)外網(wǎng)絡安全隔離���、信息傳輸嚴格控制���、安全審計詳細全面、應用性能穩(wěn)定可靠”的原則進行����。依據(jù)上述原則,設計了公安安全隔離交換平臺的體系結構以及安全策略�����。其體系結構如下圖:
外網(wǎng)安全接入?yún)^(qū):外網(wǎng)安全接入平臺的基本功能首先是一個綜合接入平臺���,主要作用是對外提供面向公眾信息網(wǎng)絡服務�,面向各行業(yè)接入服務,面向政府其他部門單位接入等應用服務��,并將需要與內(nèi)網(wǎng)交換的數(shù)據(jù)通過該區(qū)導入數(shù)據(jù)交換隔離區(qū)的外部數(shù)據(jù)服務器����。
數(shù)據(jù)交換隔離區(qū):數(shù)據(jù)交換隔離區(qū)的主要作用是實現(xiàn)公安內(nèi)網(wǎng)與公安外網(wǎng)間的網(wǎng)絡隔離、數(shù)據(jù)交換安全控制以及認證和審計���。數(shù)據(jù)交換隔離區(qū)是實現(xiàn)公安內(nèi)外網(wǎng)信息交換的緩沖區(qū)���,在緩沖區(qū)內(nèi)對需要擺渡的數(shù)據(jù)進行認證、審計����、訪問控制�、病毒掃描過濾等全面安全檢查后,允許通過數(shù)據(jù)交換隔離區(qū)的隔離擺渡功能將外網(wǎng)數(shù)據(jù)服務器內(nèi)的數(shù)據(jù)與內(nèi)網(wǎng)數(shù)據(jù)服務器中的數(shù)據(jù)進行交換�,從而實現(xiàn)數(shù)據(jù)在內(nèi)外網(wǎng)間的可控交換。
安全隔離區(qū)是整個安全隔離平臺的核心區(qū)域����,該區(qū)域?qū)崿F(xiàn)了公安信息內(nèi)網(wǎng)與外網(wǎng)的安全隔離與可控信息交換,阻斷外網(wǎng)對公安信息內(nèi)網(wǎng)進行控制和破壞。隔離網(wǎng)閘阻斷內(nèi)外網(wǎng)間的TCP/IP連接��,實現(xiàn)內(nèi)外網(wǎng)間僅進行數(shù)據(jù)級信息交換���,不對外提供任何應用服務��,將不安全的應用層控制信息隔離在公安信息網(wǎng)外部���。
網(wǎng)絡拓撲結構圖如下:
方案特點
在建立了上述網(wǎng)絡安全隔離硬件環(huán)境和數(shù)據(jù)交換模式后,由于在安全隔離區(qū)上僅傳輸文件級數(shù)據(jù)�,并不包含任何控制信息的傳輸,因此����,網(wǎng)絡層、操作系統(tǒng)層風險已經(jīng)在公安信息網(wǎng)與外部公網(wǎng)間被有效地隔離屏蔽�����。
通過上述安全措施�,安全隔離交換平臺符合公安信息網(wǎng)對文件傳輸過程中安全檢查的原則要求,實現(xiàn)了對所交換數(shù)據(jù)的細粒度訪問控制����,確保通過隔離交換平臺的數(shù)據(jù)均為公安應用系統(tǒng)生成的合法數(shù)據(jù)���,消除公安內(nèi)網(wǎng)因木馬、病毒等程序可能造成的信息泄漏����,保障了統(tǒng)一平臺環(huán)境下各應用間的相對隔離與安全訪問,鞏固了隔離交換平臺數(shù)據(jù)暫存區(qū)的抗攻擊能力�。
