天君数据链路安全交换平台白皮书.doc

数据链路安全交换平台 白皮书 安徽天君信息科技股份有限公司? 7年 目录 一、 项目背景 3 二、 系统架构 3 三、 数据安全交换平台介绍 6 3.1数据安全接入链路平台架构 6 3.2数据边界接入平台主要功能 7 （1）文件交换功能 7 （2）数据库交换功能 9 （3）授权访问功能 10 （3）数据交换系统功能参数 11 （3）数据交换系统性能参数 13 3.3集控探针 14 （1）功能 14 （2）性能 14 3.4安全隔离网闸设备 14 3.5集中控制系统 15 （1）功能 16 （2）性能 18 四、 主要设备清单 19 项目背景 随着计算机和网络技术在政府及相关行业的广泛应用，为了更好地服务政府管理、服务现实斗争需要，这就要求政府机关加强政府部门之间的信息交换与共享。公安部于2007年制订了《公安信息通信网边界接入平台安全规范》（以下简称《安全规范》），为实现政府部门之间数据交换及社会信息采集，按照公安部《安全规范》的要求，结合政府实际工作的需要，设计建设政府边界接入平台，为开展信息交换共享提供高效、安全的网络接入和数据交换服务。 系统架构 根据边界接入的业务需求及相关规范的要求，信息通信网接入平台在体系结构上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成。 路由接入区 该区域实现各个外部链路与接入平台间连接。 该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。 边界保护区 该区域主要实现对接入平台的边界保护。 该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。 应用服务区 该区域主要处理各类与应用相关的操作，是信息通信网对外信息发布、信息采集、数据交换的中间区域。 该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对信息通信网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。 安全隔离区 该区域实现信息通信网与应用服务区的安全隔离与信息交 换。 该区域主要安全功能为：实现信息通信网与应用服务区的安全网络隔离，根据安全策略，对出入信息通信网的数据分别进行协议剥离、格式检查和过滤，实现信息通信网和应用服务区之间的安全数据交换，保障信息通信网的安全。 安全监测与管理区 该区域实现整个接入平台的安全监测、管理与维护。 该区域主要安全功能为：对接入平台运行情况进行安全监测与审计，对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等。接入平台内网络设备、安全设备的配置管理及日常运行维护。补丁升级、漏洞扫描与病毒防范。 该区域对接入平台运行安全监测与审计的功能统一由“集中监控与审计系统”实现。 数据安全交换平台介绍 3.1数据安全接入链路平台架构 系统设计主要在中心机房设置1套数据边界平台用于在两网之间的数据交换。通过安全隔离网闸将采集到的图像数据信息同步到信息网中。 所有数据边界平台设备均纳入现网安全边界管理系统，实现现有边界管理系统对这些安全边界设备的统一管理。通过数据隔离网闸实现内外网间TCP/IP网络的完全断开，并对隔离网闸剥离协议后的纯数据块进行内容检查过滤；同时实现由内部监管系统对外部网络、应用、设备的监管，以及日志收集和网络隔离。数据交换系统是交换平台与外部网络业务交换数据的唯一入口。在数据隔离网闸上部署数据库、文件、数据流等应用服务接口。数据交换代理软件会根据外部接入方式、数据交换类型和现有数据流量，选择合理的数据交换方式和网闸安全通道。如下图所示： 3.2数据边界接入平台主要功能 数据交换平台包含数据库数据交换、文件数据交换和授权代理三个模块体系。 （1）文件交换功能 图12：文件交换功能设计 文件传输主要由文件探针模块、平台接口包括文件输入（InputPlugin）、文件输出（OutPlugin）接口组成。文件探针模块实现文件的读取、传输、接收等功能，文件输入接口接收文件探针模块传输的数据流，并通过平台传输给文件输出接口，输出接口将数据流传输给目标端的文件探针模块，文件探针模块接收数据流后保存文件。 文件探针主要由传输配置、输入、输出三部分组成 使用JSP页面设置传输参数，可配置并可在探针上实现多个文件传输应用。参数包括：传输IP地址、传输端口、传输方式、应用名、是否可用、源文件目录、是否删除源目录文件、传输频率、文件目标目录。 传输步骤： 文件探针应用启动先进行源端机器和目标端机器的时戳校准，即探针源端发送一个当前时钟给探针目标端，以源端时间为基准进行校准，目标端时间为源端值的正值或负值。 源端探