安全需求
法院系统现有一套完整多级网络,在纵向分为最高人民法院、高级人民法院、中级人民法院和基层人民法院四级网络,在横向上分为法院业务专网、外部服务区网络、外部专网和互联网等网络区块。
为了实现法院业务信息互通系统建设目标,需要打破法院专网与外部专网系统之间的信息孤岛,需要在法院专网的数据共享区、外部专网的安全接入隔离区之间进行安全隔离和高度可控数据交换,建设成一个数据可信、链路可信、网络可信、应用可信、计算可信的具有良好扩展性的安全隔离数据交换平台。
法院专网根据业务需求需要进行数据安全导出与导入,可以分为以下四类应用边界的安全需求,每个边界针对不同的数据交换类型提供不同的边界安全接入链路方案。
边界安全方案
铭冠网安针对法院专网与外部网络之间内外网安全隔离与数据交换的业务和安全需求,建设法院边界数据安全交换平台,采用三级安全防护架构,其中核心组件是内外网安全隔离与数据交换平台,其拓扑图结构如下:
在内平台主要包括以下几个部分:
各个链路配合数据交换采用单向导入、导出设备;同时,针对应用业务系统的交换数据类型不同,采用定制协议系统、高强度认证系统、消息服务系统,为各类应用交换提供数据适配接口和安全保障,对需要进行交换的应用数据进行规范化、格式化,将这些待交换的数据转换成落地文件,通过统一规范进行应用数据的交换。
提供视频监控、视频会议业务的支持,提供认证和视频协议分析功能。
集中监控管理系统,统一监控与安全数据交换相关的安全设备的运行信息,统一内外网相关设备的管理,统一制定安全策略,将平台的内外网相关所有设备统一审计,监控数据库、主机和网络的运行状态信息。
方案特点
符合标准和国家相关规范
参照最高法院的接入平台建设标准规范,依据国家电子政务外网跨区域安全数据交换技术要求与实施指南中的基本思想和技术要求,符合政策和技术标准的延续性、可扩展性和高安全性。且本方案的安全架构和系统增强功能,超过相关的标准和规范,具有行业领先性。
高适应性
方案按照用户的业务需求和数据交换的模式构建不同的边界安全接入链路方案,分为数据文件交换、应用访问的可信授权访问、视频数据流的安全交换等类型。以基础平台为核心,可以灵活扩展满足多种类型的数据交换业务需求,可满足长远的法院系统内外网数据交换需求。
端到端全链路的解决方案
方案的建设依据充分考虑了内外网数据交换的几个关键点,计算终端(主机、服务器)安全、数据交换暂存空间安全、数据交换系统的安全认证、数据交换的私有协议链路,网络安全隔离、可信应用进程控制和统一安全管理和系统监控等。从交换数据的生成、存储、传输链路到应用进程、系统认证和管理,全面、整体的进行了规划和构建。
此方案的设计和部署将为法院专网打造成符合政策法规要求,满足实际应用需求,具有高扩展性的、安全的边界安全交换平台,具有系统可信、链路可信、数据可信、边界可信、计算可信、管理监控可信的特性。