行业背景和需求
政府部门一般按照国家电子政务建设要求组建自己的电子政务网络,采用三级联网。为了提供便民服务,为了实现各种电子政务应用,必须将一部分原来在内网的数据信息面对公网,面对上下级单位、面对外单位企业网络。
内部运行信息系统的局域网(政务内网)
政府的政务网一般主要由四部分组成:
上下级互联的广域网(政务专网)
市级各部门信息资源共享的政务外网
提供信息发布查询等社会化服务的国际互联网(外网)
利用互连网发动攻击的黑客、病毒、下级单位的人员疏忽、恶意试探都可能利用政府内部网络的数据交换的连接尝试攻击本单位政府内部政务网,影响到本单位内部网的重要数据正常运行,所以安全问题变得越来越复杂和突出。
政府政务内外网、上下级互联互通涉及数据的交换,必然带来一定的安全风险:
解决方案
政府网络信息交换的安全原则和要求体现在以下方面:
除了隔离网闸外,还可以应用防火墙技术、SSL VPN技术,保证政务内网数据的机密性、完整性和可用性。这样就以隔离网闸为核心,建立了一整套完整的安全隔离与信息交换平台。
建立统一的安全隔离交换平台,政府政务内网的办公、业务管理系统通过统一出口实现与外部应用、单位网间的可信信息交换,统一管理,执行统一的安全策略,实现政务内网信息和上下级单位、外部应用网数据交换的高度可控性。
所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定,安全隔离设备支持广泛、可定义的应用。
内网与外部应用网之间隔离遵循”内外网物理隔断,内外网可控信息交换”的原则,即不接收其他网络数据,使得政务应用内网对外不暴露任何内网端口和服务,完全隐藏内部网络,从而更集中、高效地保护内网安全。更重要的是该功能阻断了黑客通过木马控制内网主机的通讯途径,保护内网主机的安全。
基本原则
政府网络信息交换的安全原则和要求体现在以下方面:
在政府政务内外网网络边界、政务内网与政务专网边界处部署安全隔离网闸,隔离阻断外网直接访问政府内网的途径。外网数据库服务器仅能够通过网闸访问部署于内网的相关应用服务器交换数据。
网闸可采用数据库同步和应用访问两种模式工作。
隔离网闸在数据进行摆渡的过程中,将严格检查数据的格式、文件内容及特征文件名,并只交换外网指定数据库或指定应用服务器,保证传入内网的数据是相关应用系统的合法数据。
实施方案
根据网闸的工作原理、用户的实际应用环境,具体的实施方案如下:
方案特点
本用户应用方案中,政府内部网络分为政务外网(可对外提供业务数据服务、互联网访问等)和政务内网(核心业务系统、核心数据库、政务专网),网闸的部署利用了网闸数据库访问功能和数据同步交换功能,实现如下安全特点:
安全性高
网闸隔离了内外网的直接网络数据交换,网闸仅开通特定通道交换特定数据库数据,也可设定数据单向流动,即数据仅从外网流向内网,防止核心业务数据泄密。
网闸的应用相对透明
即不影响用户原来的网络结构和业务应用的数据流和业务流程,数据可以是任何数据,可采用公共标准或用户自定义的数据格式,与网闸无关。
交换的数据对应用系统性能影响较小
网闸隔离了内外网的直接网络数据交换,网闸仅开通特定通道交换特定数据库数据,也可设定数据单向流动,即数据仅从外网流向内网,防止核心业务数据泄密。