文档介绍:内外网边界接入解决方案内外网边界接入平台解决方案方案背景为保护重要内部系统安全, 目前国内各政府单位和大型企事业单位都采用物理隔离方式人为隔离外网和单位内网。但是, 随着中国政府向着服务性政府方向转化, 各级政府机关和大型企事业单位都需依托信息化手段向外采集更多信息,对外提供更多信息服务。随着服务型政府转型, 政府部门派出分支机构或人员为社会企事业单位和公众服务越来越普遍, 这些派出机构或人员将如何面临信息共享和信息协同问题。内部办公网络与外部网络隔离是安全管理的历史问题, 随着管理职能增多、公众服务意识增强, 很多分布在内、外网上的应用需经常进行大量数据交换, 甚至有些业务逐渐融合, 不可分割。因此, 建立一个内外网边界接入平台, 在隔离的基础上实现数据交换是各业务发展的迫切需要。边界接入平台是指承担单位内网边界接入业务的安全管理平台。该平台是所有接入业务与单位内网进行信息交换的唯一通道, 政府部门与外部进行信息采集、互通接入业务,都须通过接入平台进行,并受接入平台监控和审计。政府部门需通过单位局域网向外提供信息服务和接收外部信息业务,统称为“接入业务”。接入业务操作方式分为数据交换和授权访问两大类。数据交换是指文件传输、数据库交换、流媒体等信息共享和交换业务; 授权访问是指持不同权限数字身份证书交互式访问单位内网。目前存在的问题从目前国内信息安全形势来看,信息安全最大威胁来自病毒、木马、恶意代码的渗透和攻击,还有以下几个问题没有解决: 1 、缺乏对病毒、木马、恶意代码过滤能力网闸虽然在对抗利用网络协议漏洞进行攻击的能力上较强, 但是网闸防护手段相当单一, 如没有其他安全技术与其配合, 网闸的安全性不高。 2 、缺乏格式过滤、内容过滤能力大多数单位在进行跨网络数据交换时, 其所需交换数据格式是固定的, 即只允许这类数据进行交换, 超出此类权限和格式的数据交换都必须阻断, 网闸在进行数据交换时, 根本不对所交换数据进行格式检查和内容过滤,而是当做透明通道,只管交换过去了事。 3 、缺乏对交换对象身份认证能力要保证数据安全, 首先要保证数据来源安全。现有网闸本身无法识别数据交换对象真实性、合法性, 只能盲目交换。一旦数据交换对象,也就是外部交换的数据源作假,则伪造的数据必然会进入内网, 对内网数据造成重大破坏。 4 、缺乏必要安全审计能力数据交换安全性一个重要标志是抗抵赖性。数据交换具体内容只短暂存在交换设备内存之中。一旦交换行为结束,则根本无迹可寻。目前, 网闸只局限于提供本设备运行状态审计, 并不提供给用户有关数据交换行为完整审计。没有这些审计, 重要业务数据通过网闸摆渡就像进了黑洞,没有痕迹可供查询和分析。 5 、没有完整的监控管理边界接入涉及公共通信网与单位内网两个不同网络, 这两个网络通过物理隔离手段进行网络层隔离。现有方案中缺乏对两个互相隔离网络进行完整监控管理的技术解决手段。没有监控管理手段, 往往网络中出现安全事件、业务出现停顿,用户无从得知。方案内容接入平台方案安全机制主要集中在两个安全系统: 数据交换系统和授权访问系统。 1、数据交换系统数据交换系统主要实现单位内网与应用服务区之间数据安全交换, 通过高可信方式, 实现异构系统、数据源之间安全、灵活、有效、快速数据交换。本系统实现以下安全功能: ●数据交换对象身份认证: 系统对数据交