欢迎来到天天文库
浏览记录
ID:37698483
大小:242.75 KB
页数:7页
时间:2019-05-29
《基于网闸的电子政务安全解决方案设计》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、基于网闸的电子政务安全解决方案设计■周连兵在信息化的建设过程中,为了保证政府网络与信息的安全,国家保密局规定涉密系统的内网必须与外网隔离。然而,公共互联网是一个巨大的信息资源宝库,政府的大量信息和数据都需要从中获得,而且随着政务公开政府上网工程的开展,很多政府部门的对外业务服务也都迁移到了互联网上。如何解决内网安全的基础上,实现内外数据的交换是本文讨论的重点。政府的大量信息需要放在互联网上与兄弟部门进行信息共享,这是一项社会化的大事业,只能按照规划和阶段性目标逐渐进行建设和完善,以期实现数据利用的最大效率和最佳配置,这是同全社会的信息化程度相适应的。信息共享的程度、范围、规模
2、受制于社会信息化的进程和参与的各个方面。因此本解决方案的建设重点在于如何在保证内网安全的基础上,实时地将内外网数据安全的交换成为目前工作的重点。一、方案概述本解决方案为数据查询提供安全、统一的系统运行框架。在内外网被物理隔离的情况下,它能实现内网安全、实时地查询外网相关的信息。建设该方案的目标是在保证政府内网安全的基础上,让政府信息员在自己的工作电脑上能直接查询所要的信息,同时允许多人同时查询同一类信息或一人同时查询多个信息类别,不互相干扰,从而提高工作效率,节省人力物力资源。而且本解决方案具有以下特征:1、屏蔽了网闸的配置。所有应用数据由统一的配置系统进行配置,这些配置与网
3、闸无关,解决了不同网闸的适配问题。而且,不同的应用软件不需独立在网闸上开口。2、多网闸和多数据处理服务器的负载平衡能力,将解决网闸和后处理机单点故障的问题。3、统一的软件配置设施和分布式的应用配置系统,将解决众多信息采集和交互应用的配置问题。4、引入数据源、后处理和应用层数据审查插入件机制,便于新增应用软件和兼容现存软件,对数据形式、格式和其他处理要求的变化具有较强的适应能力。这一机制便于进行应用层的审查,防数据攻击。二、整体网络拓朴图本产品由核心模块(网闸模块、配置系统、监控系统和授权系统)和应用模块组成。应用模块包括数据库同步模块、数据提交模块、数据抽取模块、SOCKET
4、模块及综合查询模块组成,每个应用模块都对安全有特殊的设计。图1所示为平台网络拓朴图。在平台整体结构中至少应包括VPN防火墙、内网Web应用服务器、外网Web应用服务器、内网采集服务器、外网采集服务器、网闸等硬件设备各一台、相应的Web应用服务软件及综合安全接入平台软件。三、系统设计本解决方案中主要包括网闸模块、配置系统、监控系统、授权模块及几个应用模块。1、核心模块。核心模块包括网闸模块、配置系统、监控模块、授权模块。网闸模块中仅有防火墙的网络架构是不足的。目前网络安全市场上,最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而,以防火墙为
5、核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。以致于很多人都在怀疑,防火墙是不是过时了。连具有“防火墙之父”马尔科斯都宣称,他再也不相信防火墙。这么说防火墙,似乎有一点过。主要的原因是前一个时期,防火墙已经成为安全的代名词,言必谈防火墙。导致很多厂商把根本不属于防火墙的东西全部推到防火墙上,如防火墙上的路由功能,甚至过分到把应用服务也搬到防火墙上,造成防火墙万能的局面,以致于“期望越高,失望越大”。虽说防火墙不是万能的,但没有防火墙却是万万不能的。防火墙至今为止还是最重要的安全工具。任何技术都有其局限性,防火墙也不例外。网闸物理隔离的
6、原理。物理隔离的技术架构在隔离上。物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接,其数据传输机制是存储和转发。物理隔离的好处是明显的,即使外网在最坏的情况下,内网不会有任何破坏。修复外网系统也非常容易。本解决方案中使用网闸将内外网物理隔离。网闸模块其实是对网闸功能的抽象。它将使平台能适用不同的网闸产品,用户只要简单地修改配置信息即可。网闸模块定义了两个端口,一个外端口和一个内端口。每个端口与它所在的网段用HTTPS连接。端口上只能传送裸数据,不能指定数据被传送到什么地方。其实数据只能被传送到另一个端口上,
7、两端的TCP/IP协议都在各自的端口上中止。网闸模块定义了三个应用软件插入件:数据源、数据后处理和数据审核插入件。数据源插入件获取数据,数据后处理插入件处理采集到的数据,数据审核插入件则从应用软件的角度审核采集到的数据。每一块数据都有一个属性,称为类型。当数据到达另一端时,这块数据由配置好的审核和处理这一类型的程序审核和处理。由于目前各网闸制造厂商对网闸的接口没有统一标准,内、外服务器和网闸之间的通讯和网闸的配置协议不开放。事实上,把这一私有协议转换为一个在网闸模块两端的开放协议是网闸模块的主要用途之一
此文档下载收益归作者所有