电子政务应用网闸解决方案
需求分析
某省电子政务网络平台由国家广域政务内网的接入网、省政务内网和省政务外网构成。省政务内网:主要用于传送电子公文、以及不适合通过外网传输的信息:政务信息、视频会议等一些不适合公开的国家秘密信息等。省政务外网:是政务公开和为民办事的窗口,同时也是办公人员与外面进行信息交流的通道,与互联网通过网络安全系统逻辑连接,以省政府门户网站为载体,各单位通过网站对外提供网上服务、受理申请等。
联网范围:省电子政务网络平台连接省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。省政务内网是党政机关的办公专网,其接入范围暂按省委办公厅机要局联网范围确定。省政务外网是业务部门的政务专网,凡不需要在政务内网上运行的业务系统可接入政务外网。省政务外网设立国际互联网统一出口,接入外网的各单位通过统一出口访问国际互联网;因工作需要保留国际互联网出口的单位,其出口网络必须与省政务外网物理隔离。各市的政务外网也应分别设立国际互联网统一出口,通过当地统一出口访问国际互联网。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。
根据《中共中央办公厅国务院办公厅关于转发<国家信息化领导小组关于我国电子政务建设指导意见>通知》中办发(2002)17号:建设和整
合统一的电子政务网络。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。
省电子政务网安全隔离建设按照国家保密局的要求以涉及国家秘密和不涉及国家秘密为划分分界线,政务外网承载的载体不能涉及国家秘密,可以涉及政务机关的工作秘密和内部秘密。政务外网所有设计国家秘密的计算机网络必须进行安全隔离,既要保证两个网络间的任何点不存在共用网络设备,不存在任何形式的网络联接,确保按最大化原则建设的政务外网不存在任何可能的引入国家秘密载体的节点。
整体设计原则根据相关的要求,在进行网络系统安全方案设计、规划时,遵循以下原则:
高可靠性原则拟建交换系统应能够高可靠地运行,网络安全设备不应因故障造成应用系统停运。
可扩充性原则要求拟建系统的可扩充性以及前后兼容一致性较好,在进行系统方案设计时,要求其硬件、软件是建立在广泛的可扩充的基础上,且易于升级,能最大程度保护用户投资。
安全性原则要求建立技术先进、管理完善、机制健全的系统安全体系,做到网络不间断、畅通地运行;应用系统不受外部和内部侵害。
易操作性原则有良好的用户界面,易于配置,操作简便。
方案设计
国家广域政务内网、省政务内网与政务外网三网之间物理隔离,省政务外网与互联网之间逻辑隔离。国家广域政务内网、省政务内网与政务外网三网之间统一配置安全隔离网闸,建立专用的数据交换通道,保证三网在安全隔离的情况下,能进行数据交换。各市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位政务外网可根据当地的情况利用省统一的安全隔离网闸。
网御SIS-3000安全隔离网闸典型案例“网上营业厅”的安全解决方案
目录
1.前言 Internet作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,
成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
华为电子政务网络平台解决方案 解决方案综述 华为公司通过在政府行业二十多年的辛勤耕耘,深刻理解政府客户所关注的需求重点,同时依靠自身在ICT领域深厚的技术基础,针对政府客户有针对性的推出了电子政务网络平台解决方案。解决方案提供整体的的网络部署、安全规划、政务云建设、政府协同办公等方案;在整个电子政务信息化建设架构中,以网络为基础架构,支撑底层的数据接入传输、上层的业务互通、及业务平台数据处理,能够同时满足全IP、高带宽的业务体验保障需求,降低运营风险,增强系统可靠性。方案整体逻辑框架如下图1所示: 图1 电子政务网络平台解决方案 电子政务网络平台解决方案主要包括五方面内容:互联互通的统一政务网络、云管端立体的安全防护体系、数据共享应用支撑的融合政务云平台、政府协同办公服务平台、集中统一的网络运维服务管理。 网络解决方案基于国家电子政务传输骨干网,采用扩展外网,整合优化已有业务专网的策略,构建形成统一的国家电子政务外网平台,打通各个部委和分支地域,实现各部门间安全的互联互通,并支持从IPv4向IPv6的平滑演进。 政府安全审计与认证从终端、设备、网络和数据中心各个层面为政府网络提供安全保障,通过一系列的安全防护措施使整个环境达到高安全、高可靠;通过物理隔离、逻辑隔离、策略隔离、应用隔离、准入隔离等手段,达到防御目的,完全满足政府等保三级标准要求。 适配政府行业特点为政府部门量身打造的政务云解决方案,采用柔性云化的策略,
既支持对传统数据中心资源的管理,也支持对新增服务器资源的管理,可满足多个不同部门差异化安全服务及自管理的要求,在政府部门履行职能、提供面向公众服务的业务应用以及基础信息资源的开放共享方面提供有力支撑。 政府协同办公平台解决方案可承载各级政府部门的内部办公、管理协调、即时消息、视频会议、监督决策等业务应用,实现政务信息资源的共享及办公业务的协同。 方案亮点: 统一政务网络解决方案 统一政务外网解决方案主要为解决目前政府网络无统一规划、专网割裂、上下级分散管理等问题,确保从中央政府到省/市政府、区县政府、以及地方乡镇政府的可靠接入和高安全性,并满足语音、视频、数据多业务的统一承载。 图二统一政务网解决方案 华为统一政务网络解决方案涵盖了广域、城域、政务园区、乡镇接入、办公楼、专网迁移、网络维护等多个场景下政府的需求,有效匹配政府多层级管理、业务场景复杂的特点,实现政府上下级及不同部门间横纵拉通,满足公务人员随时随地的接入的要求,并为市民提供更好的互动服务,保障政令畅通、管理无盲区。适配政府业务场景需求,包含的子解决方案有: 政务外网广域网络解决方案政务外网省市城域网络解决方案政务外网区县城域网络解决方案政务外网乡乡通网络解决方案政务园区网解决方案政府办公大楼网络解决方案乡镇政府办公楼网络解决方案政务专网迁移解决方案政府办事大厅网络解决方案政府多层级网络维护解决方案政务外网等保三级解决方案 方案亮点: 1.网络全覆盖,保障政务网络纵横贯通
一.需求分析 某公安局网络安全报警处置中心发现网络犯罪、处置网络犯罪虚拟与现实之间架起的一座安全桥梁。报警处置中心可以对党政机关、金融机构、新闻媒体、能源交通、邮电通信、科研院所、大专院校、军工企业等重要领域的计算机信息系统,实施远程实时在线监测。对病毒侵蚀、黑客攻击、破坏系统以及其他网络违法犯罪行为,将实现实时预警、报警、应急响应和现场控制,打击网络犯罪有了一张无形有质的巨网。将24小时不间断接受来自网络的报警。报警者只需在该网站填写一张“报警单”(包括报警人的姓名、联系方法、报警内容等信息),而这些信息对外则完全保密。如何保护内部数据的安全是目前一个很重要的问题。 2.某公安局网络的网络现状 某公安局网络现在的网络拓扑图: 2.1 网络结构说明 某公安局报警处置中心网和公安内网通过交换机组实现了网络的互联。 3、某公安局网络隔离与信息交换建设需求 鉴于现有的网络状况,依据我某公安局信息化建设的规划,此次建设应达到以下目标:
某公安局网闸使用建议方案 2 1、从管理和技术角度上,建立多层安全体系,保证局域网信息和各应用 系统的安全性、保密性。同时在保持报警处置中心网和公安内网物理隔离的同时, 进行适度的、可控的的数据交换。保护某公安局内部网络的安全,实现隔离,防 止外网黑客的攻击。 2、实现报警处置中心网服务器和公安内网服务器之间的数据交换 3、对某公安局各个部门人员文件交换、上网进行身份认证控制,并实现 分组管理。 4、详细记录每个人员工通过网闸文件交换、上互联网及邮件传输日 志,做到有案可查。 4、某公安局网络隔离与信息交换设计拓扑图 根据对某公安局网络建设需求分析,我们提出某公安局网络隔离与信息建设 方案。根据某公安局的网络安全需求,我们在改变原结构情况下做统一平台管理 规划。改造后的总体网络拓扑结构图: 我们把TIPTOP 物理隔离网闸内口联接某公安局报警处置中心网中心交换机, 网闸外口连接某公安局电子政务交换机。通过网闸实现了某公安局报警处置中心与 某公安局公安内网的隔离,但也可以实现一定安全度上的数据交换。通过TIPTOP 网闸,某公安局报警处置中心网和公安内网的服务器能够进行数据交换。TIPTOP 网 闸还实现了对某公安局报警处置中心网和公安内网各部门文件交换身份认证与管 理。
近年来,随着网络视频监控在各个行业的广泛部署,如何保证整个系统在网络层面的安全性越来越成为大家关注的重点。尤其是在面临专网视频监控系统(内部)与公网视频监控系统(外部)进行互通时,这个问题显得尤为突出。 平安城市就是一个很典型的例子。在平安城市的建设中,需要构建一个能够覆盖城市重要单位、重点场所、主要路口、主要出入通道、治安卡口、学校、居民小区等各个层面的社会面治安监控系统,整个系统的控制和管理基本上都归口到当地公安部门。而上面提到的这些监控部位,有些是属于公安专网的,比如治安卡口、重点场所,有些是属于外部网络的,比如学校、居民小区、网吧等。为了实现这些监控资源的统一调用和灵活共享,公安专网的视频监控系统与外部的视频监控系统必须要进行网络化互联,而根据保密要求,公安专网与外部网络又必须要进行物理隔离,这样就存在一个无法回避的矛盾。 而且,随着中国电信、中国网通分别通过“全球眼”和“宽视界”两大运营级网络视频监控系统对平安城市建设的介入,将会有越来越多的社会面监控资源承载在公网平台上,安全隔离将成为公安部门通过其专网视频监控系统进行社会面监控资源调用时的主要障碍。 为此,科达将目前在公安、政府、军队等涉密专网中广泛使用的网闸技术应用到了运营级和ViewShot两大网络视频监控产品中,推出了基于网闸的网络视频监控安全隔离解决方案,可以在保证系统物理隔离的情况下,实现内、外网监控资源的灵活调用,从而有效解决上面提到的问题。 网闸原理与应用 网闸(或物理隔离网闸)是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于网闸所连接的两个独立主机系统之间,不存在通信的物理连接与逻辑连接,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,所以,网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,可以实现真正的安全。 网闸在网络环境中的位置:
互联网+政务服务解决方案 一、背景介绍 1.1平台概述 依据《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》国办函〔2016〕108号文件要求,按照党中央、国务院决策部署,进一步规范行政权力运行、优化政务服务供给,降低制度性交易成本,解决影响企业和群众办事创业的难点堵点,进一步激发社会和市场活力。 在互联网时代,利用信息化手段,支撑简政放权,加强事中事后监管,通过互联网与政务服务深度融合,实现“一号一窗一网”目标,促使服务流程显著优化,服务模式更加多元,服务渠道更为畅通,让居民和企业少跑腿、好办事、不添堵。 我公司专注电子政务领域十余年,开发出符合互联网时代的新一代互联网+政务服务”整体解决方案,完全实现了信息共享,一网通办,极大的方便了办事群众,为行政审批体制改革添砖加瓦。 1.2现状痛点 事项上网跟不上 上网事项以审批类为主,大量群众关心的服务事项没有上网,办事信息不准确不实用。甚至出现明显错误遗漏,群众办事仍然“找不到、看不懂、办不通”。 流程优化跟不上 网上事项大多照搬先线下流程,没有按照互联网办事规律进行优化,有的地方在线上提交了电子版材料,还需要在线下提交纸质材料,办事反而更加繁琐。 信息共享跟不上 办事系统之间难以实现后台认证和业务协同,办事材料仍需要重复提交。有些地方,一台办事窗口同时有多台电脑,运行多个系统,由于没有实现共享,工作人员需要在不同系统间重复录入数据,工作量大幅增加。 平台融合跟不上
实体和网上两个平台相互割裂,办事流程和规则各不相同,没能做到线上线下无缝衔接,顺畅运转。有的在平台上下载了办事表格,到了服务大厅却说网上的表格不对,需要重新填写。这些问题导致网上服务的质量不高,效果不明显,和公众的期望还有很大差距。 1.3整体框架 二、解决方案 2.1政务服务平台 2.1.1网上办事大厅 主要完成各个局级部门之间的数据收集、分发等管理。数据交换系统主要包含前置交换子系统、交换传输子系统、中心交换子系统、交换管理子系统、交换信息采集子系统、系统接口平台等六个子平台。 2.1.2网上APP服务平台 民众通过手机终端程序,按照审批事项办理的条件,提交事项办理的申请,同时民众可以通过拍照功能准备申请材料并提交上报。
网御SIS-3000 安全隔离网闸典型案例网上营业厅”的安全解决方案
目录 1.前言错误!未定义书签。 2. 需求分析...................................... 错误!未定义书签。 3 网络安全方案设计错误!未定义书签。
1.前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间,形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4580 万人,而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet 中进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只有柜台交割的13%。 面对Internet 如此巨大的市场,以及大大降低运行成本的诱惑,各行各业迫切需要利用Internet 这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现“以客户为中心”的经营理念,各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于Internet 的业务,如何防止黑客的攻击和病毒的破坏,如何保障自身的业务网运行的安全就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障,但它自身却常常被黑客攻破,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测,不提供基于硬件隔离的安全手段。 所谓“道高一尺,魔高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。目前,出现了一种新的网络安全产品——联想安全隔离网闸,该系统的主要功能是在两个独立的网络之间,在物理层的隔离状态下,以应用层的安全检测为保障,提供高安全的信息交流服务。
解决方案-交大博通电子政务平台 博通电子政务平台,是为了快速构建电子政务应用系统而设计的,由构建平台和运行平台组成,集成了MIS数据应用和GIS数据应用的管理,真正实现网上并联智能化审批和图文一体化。 通过构建平台,可轻松地实现对数据结构、界面展现、业务逻辑、工作流程、组织机构、权限分配等方面的修改,并可对业务规则进行显性的调整,以适应新的业务需求。 1.技术架构 电子政务平台为标准3层技术架构,即客户交互层、应用服务层、数据存储层。系统整合了多种高级开发语言,发挥其各自最大优势,形成的一套完整、严谨、安全、灵活的业务服务设计和运行平台。 服务端采用Java语言开发的J2EE体系结构,通过SOAP、WebService等多种通讯协议对外提供API服务;客户端核心模块采用.Net研发,为用户提供优秀人机交互操作界面,并满足批量数据运算处理和各种复杂规则的前置校验,结合Html、Flex等中轻量Web客户端满足用户信息发布等需求。 图形服务采用先进的ArcGISServer,为用户提供高效、稳定地图形展现、分析、打印等业务操作。
服务端采用JAVA语言开发,支持跨平台、跨数据库的多种部署要求,能够全面满足多变的IT基础设施。采用行业标准技术的WebAPP,支持单点或集群部署。核心功能包括: 1. 数据集成管理服务:通过数据集成管理服务,可以整合信息孤岛、合理利用现有企业资源。使用JDBC访问各类关系型数据库,采用JOTM(Java Open Transaction Manager)实现分布式事务处理管理,结合JTA(Java Transaction API)保证多数据源的数据完整性、一致性。 2. 文档管理服务:解决用户对企业各类电子文档统一管理的需求,提升用户质量体系。 3. 空间地理服务:集成ArcGis服务,为用户提供空间数据管理、地图浏览、空间地理信息查询等服务。 4. 组织机构服务:完善的组织机构模型,满足用户的部门、岗位、人员及权限分级授权的需求。 5. 流程控制服务:以流程为导向,实现组织机构见的数据流转控制。强大的业务表达式、组织机构表达式,可灵活高效的协助用户梳理、整合业务流程。 6. 即时消息服务:系统内组织机构的即时消息服务; 7. 虚拟文件服务:以文件系统模式管理系统的各类服务资源。 8. 安全认证服务:支持CA登陆认证、单点登陆控制、核心数据加密及防篡改等。 9. 其他信息发布服务:公告发布、专题信息、部门共享文档、软件园地等资源信息发布途径。 10. 数据交换中心:对于数据集成管理服务不可直接访问的数据,可以通过数据交换中心进行数据交换。 2.构建平台 电子政务构建平台是实施人员或系统管理员使用的工作平台,通过该平台,可以快速搭建业务,定制业务工作流程,设置组织机构,并能够方便快捷地完成工作表单内容样式调整、业务流程修改、人员权限变动、系统数据备份等日常维护工作。利用构建平台,系统管理人员可以方便地调整系统使之适应于用户需要,
网闸技术构建内外网一体化门户 一、序言 近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。本文将介绍大汉网络公司基于网闸技术构建内外网一体化门户的案例。 二、网闸的概述 1、网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客“无法入侵、无法攻击、无法破坏,实现了真正的安全。 2、网闸的组成 网闸模型设计一般分三个基本部分组成: ·内网处理单元:包括内网接口单元与内网数据缓冲区。 ·外网处理单元:与内网处理单元功能相同,但处理的是外网连接。 ·隔离与交换控制控制单元:是网闸隔离控制的摆渡控制,控制交换通道的开启与关闭。 3、网闸的主要功能 ?·阻断网络的直接物理连接和逻辑连接 ?·数据传输机制的不可编程性 ?·安全审查
伟思隔离网闸通用解决方案 伟思集团
目录 一、网络信息安全概述 (3) 二、安全需求分析 (4) 2.1典型环境 (4) 2.2 潜在的网络威胁分析 (5) 2.3 系统安全需求 (6) 三、政府上网安全方案设计 (6) 3.1 政府上网安全模型 (6) 3.2网络隔离系统的设计 (8) 3.3 ViGap隔离网闸 (9) 四、售后服务 (20) 4.1 售后服务 (21) 4.2 培训计划 (22)
一、网络信息安全概述 网络安全的具体含义是随着“角度”的变化而变化。比如:从用户(个人、政府等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私,同时也避免其它用户的非授权访问和破坏。 从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。 对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。 总的说来,网络安全就是指对网络中的数据信息提供完整性、机密性和可用性的网络安全服务,使网络系统的硬件、软件及其系统中的数据受到严格保护,不因偶然或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 信息安全所涉及的内容与信息系统的功能密切相关。例如,提供网上数据传输功能的系统,需要考虑网上传输信息的安全性问题;作为数据中心的数据库服务器,需要重点考虑存储数据的安全保护问题;为众多用户提供数据访问的服务的主机系统,则需要考虑对登录主机用户的认证和对合法用户数据访问权限的控制等等。因此,网络安全环境的建立没有固定的模式,必须依据实际的应用需求采取适当的安全措施。 随着网络安全等级的提高,网络使用的便利性将不可避免地随之下降,而安全维护成本将急剧升高,因此,在考虑网络信息的安全问题时,盲目地提高安全强度反而容易使系统因使用不便、效率低和维护困难而失去使用价值。
网络卫士安全隔离与信息交换系统 TopRules 产品说明 天融信 TOPSEC? 北京市海淀区上地东路1号华控大厦100085 电话:+8610-82776666 传真:+8610-82776677 服务热线:+8610-8008105119 https://www.doczj.com/doc/522033596.html,
版权声明本手册中的所有内容及格式的版权属于北京天融信公司(以下简称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或任意引用。 版权所有不得翻印? 1995-2008 天融信公司 商标声明本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公司的注册商标或是版权属各商标注册人所有,恕不逐一列明。 TOPSEC? 天融信公司 信息反馈 https://www.doczj.com/doc/522033596.html,
目录 1前言 (2) 2产品概述 (3) 3产品特点 (5) 4产品功能 (8) 4.1W EB访问功能 (8) 4.2邮件访问功能 (8) 4.3文件访问和同步功能 (8) 4.4FTP访问功能 (8) 4.5数据库访问和同步功能 (9) 4.6自定义功能通道 (9) 5产品规格 (10) 6运行环境和标准 (11) 7典型应用 (12) 7.1涉密网络中的应用 (12) 7.2常规网络中的应用 (13)
1前言 作为中国信息安全行业领导企业,北京天融信公司1995年成立于中国信息产业摇篮的北京,十年来天融信人凭借勇于创新、积极进取、和谐发展的精神,成功打造中国信息安全产业著名品牌——TOPSEC。 从1996年天融信率先推出填补国内空白的中国自主知识产权防火墙产品,到能够提供防火墙、VPN、入侵检测与防御、多功能安全网关(UTM)、过滤网关、安全审计、安全管理等高品质全系列安全产品;再到以安全产品为基础、以打造信息安全保障体系为目标、以等级保护为主线,天融信已经完成了从单一安全产品生产商向全线安全产品、解决方案与服务综合提供商的飞跃。天融信作为民族信息安全产业的领航者肩负着国家信息安全重任,秉承“完全你的安全(Seamless Security Network)”品牌宗旨,结合多年网络安全技术,以“可信安全管理”为技术发展方向,全力保障客户网络与信息安全、为客户创造更大价值。
典型应用四 – 主机操作系统补丁管理: 1、需求分析 目前,很多单位的内网按照网络安全防护要求不能直接与国际互联网相连,但是内网主机操作系统又需要补丁升级,通常做法是采用了微软SUS 服务器接入外网获取补丁数据,在特定时间改接入内网为内网机器升级。 采用这种升级方式,首先,不符合单台服务器不得同时接入内外网的要求;其次,无法避免外网的木马病毒渗透的入侵方式;第三,也无法提供实时的补丁升级能力,一旦发生如冲击波等恶性病毒时,内网往往由于补丁升级的延迟而无法阻止病毒的大规模泛滥。 为了解决这个问题,部署一套需要更合适的补丁升级系统,来完成补丁的实时获取和分发工作。 2、解决方案 联想网御主机操作系统补丁管理系统由内外网补丁接收服务器、内外网补丁分发服务器、联想网御安全隔离网闸和防火墙共同构成,此解决方案物理模型如下图:。 内网升级平台内网主机联想网御SIS-3000 安全隔离 补丁接收服务器部署于外网通过防火墙后连接微软补丁升级服务器。为了保障安全,在防火墙上设定仅允许该服务器连接微软的相应服务不打开其他端口,同时禁止外部对该服务器的连接。 在外网补丁接收服务器获取了最新补丁后,将这些补丁文件化后以纯文件的形式,通过联想网御SIS-3000安全隔离网闸的文件交换功能传送至内网的补丁分发服务器。用户可
以使用联想网闸的专用文件传输客户端软件,通过联想网御SIS-3000安全隔离网闸在内外网络间进行单向文件交换“摆渡”,同时对传输的文件类型过滤、关键字过滤、病毒检查、签名校验等机制对传输的文件进行过滤,防止内部信息泄漏、病毒入侵、网络侦听、身份冒充等危害。从而确保外网向内网传达补丁文件时的安全性和禁止了内网信息的泄漏。 内网和外网的补丁分发服务器获取了最新补丁文件后,将按照允许定义的策略进行下发工作。在进行策略定义时,允许将用户分组,对不同的组可以采用不同的下发策略。例如,对于某些在打上补丁后可能操作系统无法正常工作的设备,则不自动下发,待完成了补丁升级试验后再继续操作。同时,补丁分发服务器的分组管理的策略,也可以对不同的用户采用不同的补丁分发策略,对部分重要性较高的设备或系统情况无法确认的设备,可以设置不自动分发补丁,而等待管理人员对补丁进行验证后再启动分发工作。如果在外网补丁分发工作负载不大的情况下,外网补丁分发服务器和接收服务器可以合二为一,以节省投资。 3、实施效果 补丁升级系统的部署,可以有效的在保证内外网安全的前提下实现内网用户操作系统的及时升级,同时还可以通过分组管理策略来保障升级补丁的可靠性。从而完美的解决现有补丁升级体系中存在的问题,极大的增强对终端的安全保护水平。 另外,内外的网络防病毒的病毒库升级问题也可参照此解决方案来进行解决。 最新文件---------------- 仅供参考--------------------已改成word文本--------------------- 方便更 改
电子政务内网建设解决方案 对于电子政务内网,政务专网、专线、 VPN 是构建电子政务网络的基础设施。安全政务网 络平台是依托专网、专线、 VPN 设备将各接入单位安全互联起来的电子政务内网;安全支撑平 台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、 恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安 全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成 1)政务内网网络平台: 电子政务内网建设,是依托电子政务专网、专线、VPN 构造的电子政务内网网络。 2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以 打造安全电子政务办公平台、安全政务信息共享平台。 3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保 障。 电子政务内网系统拓扑图
三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分 别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域, 在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。 划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访 问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用 程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安 全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实 施分区安全防护,即分域防控。 安全支撑平台的系统结构 电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技 术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安 全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备 份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安 全体系。电子政务安全支撑平台的系统结构下图: 电子政务安全支撑平台系统结构 安全支撑平台的系统配置 1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设 备的业务处理能力具备冗余空间,满足业务高峰期需要。 2、认证及地址管理系统- DCBI : DCBI 可以完成基于主机的统一身份认证和全局地址管理功 能。 1)基于主机的统一身份认证。终端系统通过安装802.1X 认证客户端,在连接到内网之前,首先需要通过DCBI 的身份认证,方能打开交换机端口,使用网络资源。 2)全局地址管理。 ·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。 ·客户端地址获取方式无关性
电子政务网解决方案 引言 在世界各国积极提倡的“信息高速公路”五个应用领域中(电子政府、电子商务、远程教育、远程医疗、电子娱乐),电子政府列为第一位。从世界范围来看,推进政府部门办公自动化、网络化、电子化已是大势所趋。伴随着经济全球化和我国加入世贸组织的新形势,政府职能部门的管理水平、办事效率和服务水平急待提高,以便应对入世后的严峻挑战。 电子政务的本质是“以网络为工具,以用户为中心;以应用为灵魂,以便民为目的”,其实质是要在政府上网全面启动前期构建的一个电子政务平台。实现内部公文、信息、督查、后勤管理等主要办公业务的网络化,同时实现对外的信息发布与交互,另外还要考虑实现数据、语音、视频等多媒体信息的同网传输。该平台利用信息网络和通信技术,可以有效地实现行政、服务及内部管理等诸多功能,在政府、社会和公众之间形成有机的服务系统集合。 信息化建设的基础是网络,离开了网络,电子政务只能纸上谈兵。而网络的建设又与应用密不可分,网络必须结合应用的需求及特点,确保应用的顺利开展,为应用提供可靠的、安全的、智能化的传输通路。 电子政务网络的需求 政府网络功能结构图如下 网络功能系统的划分必须兼顾不同政府部门管理、决策、服务及办公自动化等各项业务和职能要求。针对这样的业务要求,对于网络的需求如下: 性能卓越、稳定,可靠性高 政府部门所处行业的特殊性要求其网络和办公系统在稳定、可靠基础上能够具有高的性能。随着应用的不断发展,数据流量应该分布在全网之上贯穿从接入层到服务器、到Internet 的整个通路,传统的本地80%流量、远程20%流量的局域、广域网络模式已经不能满足用户的需求,用户对于网络的需求逐步演化为全网高速化、任意点间都需要有高速传输通道,为了对这样一个端到端的连接提供高性能,就需要网络架构方式、网络设备本身都具有全线速、无阻塞的交换能力。此外,对于关键的部分,比如骨干交换设备之间的互连链路、交换机与服务器之间的连接,应该尽可能利用带宽扩展的协议来防止可能会出现的瓶颈。从可靠性的角度上说,在网络设计时关键部位的设备本身必须具有备份冗余的配置,比如处理器、电源等,同时设备模块的热插拔也是对于故障维护方面极为重要的参数。而从在链路方面,网络物理链路应该能够实现链路冗余备份功能,这样当一条链路出现故障,所有的数据会在瞬间转移到备用链路,从而保障系统的正常运行。 管理性强,易于维护 从网络管理的角度上看,随着网络化进程的加快,网络规模的扩大,网络将连接到各个角落,支撑这样一个系统的设备数量也会越来越多,而运作良好的网管系统是发挥其网络性能、保障网络平稳运行最大的保障,所以,首先应该避免网管盲点的存在,所有的网络设备都应该纳入到网管体系中来。还有,传统的网络管理单纯通过SNMP协议来实现,可以说是一种平面化的网管结构,所有的设备在网络界面中都处于同一个级别,网管操作起来繁琐,常常会使网管人员因为可用度差而产生抵触心理,这样的网络管理系统其实并没有发挥应有的作用,所以被称之为事实上的不可操作,此外,从市场上看,如果全网都采用能够支持
医学信息2010年09月第23卷第9期Medical Information.Sep.2010.Vol.23.No.9 医学信息学患者成为医院业务的重要组成部分。这部分业务带来的社会经济效益在很大程度上影响着医院的整体社会经济效益,对医院的发展起着很大的作用,病案信息对患者、医院与社保局三方都具有重要的意义。病案首页是医疗保险机构测算定额付费的首要渠道,社保部门根据病案首页患者基本信息、主要诊断及费用总额信息来决定结算方式。另外通过病案首页信息,对医保病例主要病种进行病例分型费用分析,同时可以对医保患者费用进行分解,就可以区分医保患者自付和统筹的费用及构成。有利于科室自觉控制医保患者费用,合理用药和治疗,认真履行医保服务协议,减少医保拒付额,减轻患者经济负担,提高医院效益。 总之,病案首页中蕴涵着丰富的医疗、管理信息,是病案信息最 集中的核心部分,病案信息在医院管理、科研教学、医疗付款等诸多方面特别是医疗质量监控发挥着不可低估、不可轻视的重要作用。作为病案工作者,必须借助于现代化信息管理手段,对它进行合理,深人挖掘和科学地分析,从中提取出更多的医院方面的宝贵信息,使病案信息能及时、准确地为医院经营服务,更好地服务于临床、服务于社会。参考文献: [1]王晓光,李可,张颖.病案首页管理[J].中国误诊学杂志,2007,7(15). [2]高兴芳,刘 华.未来病案管理发展趋势[J].延安大学学报,2007,5(1). [3]越卉生.推进病案管理电子化,开发卫生信息资源[J].中国病案,2004,5(2).[4]樊云.电子病案的特点及管理[J].中华医院管理杂志,2003,19(4). 编辑/杜苏利 隔离网闸在医疗行业中的应用 林达峻,任忠敏,干峰,邓晓焱 (中山大学附属肿瘤医院信息科,广东广州510060) 摘要:在医疗信息化建设如火如荼的今天,基于医疗行业的应用急剧增加,对网络互通性的需求大大提高,但内外两套独立网络保障了安全性的同时,却很大程度上阻碍了医疗信息化的发展。基于安全的互联,已成为不可阻挡的趋势。 强烈的需求让安全隔离与信息交换产品(俗称:隔离网闸)的应用逐步在医疗行业中展开。两个独立没有任何信息交换的网络,通过隔离网闸互联实现了必要的互联互通,同时也保证了安全系数、避免信息外泄和网络病毒侵扰。 本文简要地介绍了隔离网闸的发展历程,并着重介绍了它在医院网络环境下的实际应用,提出了一些在实际应用中的问题和技巧。关键词:隔离网闸;医疗行业;安全隔离与信息交换系统 收稿日期:2010-07-02 在我国互联网发展初期,国家保密局发布实施《计算机信息系统国际联网保密管理规定》 ,明确要求"涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连,必须实行物理隔离"。该规定在互联网发展初期具有前瞻性地提出政府上网必须"物理隔离",及时的把政府上网安全提到一个重要的高度,具有重大意义。 随着我国医疗信息化步伐的加快,各种基于医疗行业的应用也如雨后春笋般出现。而我国医疗机构的网络架构, 基本都遵循内部和外部两套独立网络运行,并互相隔离的状况。但在应用剧增和连通性需求大大提高的今天,这种架构很大程度地阻碍了信息化的发展,也让不少医疗机构信息化的领军人带来困扰。 两套网络物理隔离能保证生产网路中数据机密性,但却限制了发展;互联互通能加快信息化的步伐,但同时也意味着安全威胁,所以如何能达到互联互通的效果,又能提供坚如磐石的安全保障尤其关键。 1安全隔离概念的诞生 两套网络完全的物理隔离,使得网络处于信息孤岛状态。虽然安全性得到了保障,但却也为维护的和使用带来了极大的不便。信息交流的不畅通和成本的提高成了最突出的问题。 需求促进了安全技术的创新,在上世纪90年代中期俄罗斯人Ry Jones 首先提出"AirGap"隔离概念,然后,以色列研制成功物理隔离卡,实现网络之间的安全隔离;其后,美国Whale Communications 公司和以色列SpearHead 公司先后推出了e-Gap 和NetGap 产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使安全隔离技术从单纯实现"网络隔离禁止交换"发展到"安全隔离信息交换"。2安全隔离信息交换技术介绍 安全隔离信息交换技术是为了满足大型企事业单位信息网络内 外网之间信息交流的安全性要求而诞生的尖端技术。它主要解决数据安全传输的问题。在实现隔离网络间数据正常传输的同时,对传输的数据进行校验,过滤其中的黑客程序和病毒代码等破坏性信息,只允许与系统相关的数据进入内部网络中。 "安全隔离信息交换"包括三层含义,"安全隔离"、"信息交换"和"信息安全"。"安全隔离"的本质是物理隔离技术,即采用高速电子开关隔离硬件和专有协议,确保内外网在任意时刻物理链路完全断开;"信息交换"即指定的数据和文档可以在内外网物理隔离的条件下单向或双向流转; "信息安全"即内外网传输的信息是安全的、纯净的,对内部网络系统和数据不会造成影响和破坏。 安全隔离信息交换技术的代表产品是隔离网闸,它虽然在网络中的安装为之与防火墙基本相同,但它是真正意义上的物理隔离,与防火墙完全是两个概念。 防火墙不是物理隔离产品,有防火墙的根本起因是不同网络间既要保证需要的数据交换和相互访问,又要防御恶意或非法访问。而无论从包过滤技术还是从代理技术来说,其关键点都在于使数据有选择地通过,而不是彻底地把数据隔离。 物理隔离技术与防火墙是两个概念,它们功能互补,但不能互相代替。其安全策略非常清楚, 即:把需要保密的核心数据,进行严格的保护,实行物理隔离;而对一般的数据,则交由防火墙去保护。3安全隔离产品的发展历程 安全隔离信息交换技术的发展,自然催生了相关产品的发展。基于安全隔离信息交换技术的安全隔离产品的发展历程,主要经历了五个阶段。 3.1硬件卡隔离--最早期的隔离技术。所谓的硬件卡隔离,就是在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。但是,这种隔离技术仍然需要网络布线为双网线结构, 3284
电子政务应用网闸解决方案 需求分析 某省电子政务网络平台由国家广域政务内网的接入网、省政务内网和省政务外网构成。省政务内网:主要用于传送电子公文、以及不适合通过外网传输的信息:政务信息、视频会议等一些不适合公开的国家秘密信息等。省政务外网:是政务公开和为民办事的窗口,同时也是办公人员与外面进行信息交流的通道,与互联网通过网络安全系统逻辑连接,以省政府门户网站为载体,各单位通过网站对外提供网上服务、受理申请等。 联网范围:省电子政务网络平台连接省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。省政务内网是党政机关的办公专网,其接入范围暂按省委办公厅机要局联网范围确定。省政务外网是业务部门的政务专网,凡不需要在政务内网上运行的业务系统可接入政务外网。省政务外网设立国际互联网统一出口,接入外网的各单位通过统一出口访问国际互联网;因工作需要保留国际互联网出口的单位,其出口网络必须与省政务外网物理隔离。各市的政务外网也应分别设立国际互联网统一出口,通过当地统一出口访问国际互联网。连接范围为省、市、县(区)级政府及相关职能部门,以及因需要接入的企事业单位。 根据《中共中央办公厅国务院办公厅关于转发<国家信息化领导小组关于我国电子政务建设指导意见>通知》中办发(2002)17号:建设和整
合统一的电子政务网络。电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。 省电子政务网安全隔离建设按照国家保密局的要求以涉及国家秘密和不涉及国家秘密为划分分界线,政务外网承载的载体不能涉及国家秘密,可以涉及政务机关的工作秘密和内部秘密。政务外网所有设计国家秘密的计算机网络必须进行安全隔离,既要保证两个网络间的任何点不存在共用网络设备,不存在任何形式的网络联接,确保按最大化原则建设的政务外网不存在任何可能的引入国家秘密载体的节点。 整体设计原则根据相关的要求,在进行网络系统安全方案设计、规划时,遵循以下原则: 高可靠性原则拟建交换系统应能够高可靠地运行,网络安全设备不应因故障造成应用系统停运。 可扩充性原则要求拟建系统的可扩充性以及前后兼容一致性较好,在进行系统方案设计时,要求其硬件、软件是建立在广泛的可扩充的基础上,且易于升级,能最大程度保护用户投资。 安全性原则要求建立技术先进、管理完善、机制健全的系统安全体系,做到网络不间断、畅通地运行;应用系统不受外部和内部侵害。 易操作性原则有良好的用户界面,易于配置,操作简便。 方案设计
内网安全整体解决方案
目录
第一章总体方案设计 1.1 依据政策标准 1.1.1 国内政策和标准 1.《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)2.《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号) 3.《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号) 4.《信息安全等级保护管理办法》(公通字〔2007〕43号) 5.《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号) 6.《信息安全等级保护备案实施细则》(公信安〔2007〕1360号) 7.《公安机关信息安全等级保护检查工作规范》(公信安〔2008〕736号)8.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技〔2008〕2071号) 9.《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安〔2009〕1429号) 10.国资委、公安部《关于进一步推进中央企业信息安全等级保护工作的通知》(公通字[2010]70号文) 11.《关于推动信息安全等级保护测评体系建设和开展等保测评工作的通知》(公信安[2010]303号文) 12.国资委《中央企业商业秘密保护暂行规定》(国资发〔2010〕41号)13.《 22239.1 信息安全技术网络安全等级保护基本要求第1部分安全通用要求(征求意见稿)》 14.《 22239.2 信息安全技术网络安全等级保护基本要求第2部分:
云计算安全扩展要求(征求意见稿)》 15.《 25070.2 信息安全技术网络安全等级保护设计技术要求第2部分:云计算安全要求(征求意见稿)》 16.《 20—信息安全技术网络安全等级保护定级指南(征求意见稿)》 17.《信息安全技术信息系统安全等级保护基本要求》 18.《信息安全技术信息系统等级保护安全设计技术要求》 19.《信息安全技术信息系统安全等级保护定级指南》 20.《信息安全技术信息系统安全等级保护实施指南》 21.《计算机信息系统安全等级保护划分准则》 22.《信息安全技术信息系统安全等级保护测评要求》 23.《信息安全技术信息系统安全等级保护测评过程指南》 24.《信息安全技术信息系统等级保护安全设计技术要求》 25.《信息安全技术网络基础安全技术要求》 26.《信息安全技术信息系统安全通用技术要求(技术类)》 27.《信息安全技术信息系统物理安全技术要求(技术类)》 28.《信息安全技术公共基础设施系统安全等级保护技术要求》 29.《信息安全技术信息系统安全管理要求(管理类)》 30.《信息安全技术信息系统安全工程管理要求(管理类)》 31.《信息安全技术信息安全风险评估规范》 32.《信息技术安全技术信息安全事件管理指南》 33.《信息安全技术信息安全事件分类分级指南》 34.《信息安全技术信息系统安全等级保护体系框架》 35.《信息安全技术信息系统安全等级保护基本模型》