交換中心及移動辦公

一、系統簡介
      交換中心是介于審計機關專網、國家電子政務外網和互聯網之間的網絡區域,通過VPN通道、網絡安全措施、CA認證體系、應用權限體系和終端防護等措施,形成了審計專網、電子政務外網、互聯網的互聯網絡樞紐。
? 支持應用交互、數據交互的集成平臺;
? 支持因特網、電子政務外網接入的安全審計環境;
? 拓展審計管理平臺的能力
? 提供了一個發布、共享審計信息的窗口;(信息共享)
? 提供了組織跨機關、跨地域統一組織審計項目的資料共享,加強了審計機關業務現場交互及指導;(項目管理)
? 提高了審計機關數據資源的再利用;(信息交換)
? 實現了審計機關與被審計單位之間的動態交互;(監測服務)
? 實現了對審計機關運行環境的集中監管的功能;(集中監管)

5555.jpg


二、交換中心平臺設計方案

6666.jpg


1、系統架構

7777.jpg


     數據交換平臺:分為基礎架構層和服務訪問層;交換橋接組件、數據同步組件部署在專網業務區。
   基礎架構層:以數據交換總線為基礎,集成基礎架構應用;
   服務訪問層:在基礎架構基礎上,集成各應用服務組件,為各應用系統提供服務;
   安全保障體系:集成CA認證,構建應用系統安全保障體系;
   數據交換標準規范:為實現四級間數據交換,需要制定審計系統數據交換標準及交換規范。
2、系統安全介紹
    (1)核心數據區與內外網中其他用戶隔離,保障核心安全
     通過SSL VPN的防火墻功能將核心數據區所有服務器與外網隔離,屏蔽核心區服務器連接外網的功能,保障核心安全。同時用VLAN功能將核心數據從內網中隔離出來,這樣一旦內網中其他機器有安全事故,不會輕易通過內網傳播到核心數據區。
   (2)信息傳輸全過程加密,保障傳輸安全
     數據從客戶端的應用用戶處開始加密,到服務器端進行解密,整個傳輸過程中的數據是密文,不是明文,這樣就非常好的保證了應用用戶到核心數據區的傳輸過程中的安全性,不被惡意的用戶嗅探到本不是他該訪問的內容,并防止他分析到傳輸使用的協議,截獲傳輸中的所有數據。同時采用了SHA1的數據完整性認證保證傳輸數據的完整性。
   (3)細粒度訪問控制,保障訪問安全
     訪問控制可以保護應用用戶非法操作對核心區的安全侵襲,切斷應用用戶對核心數據區指定機器指定應用以外數據的非法訪問。系統支持基于IP地址、端口和應用的訪問控制策略,從而方便網絡管理員對應用用戶訪問核心區應用資源進行更為準確和細致的定位。在訪問控制的具體實現上,訪問控制模塊維護了一個全局的訪問控制列表,列表中定義了每一個用戶的訪問權限,包括被訪問資源的IP地址、端口號及可以被RDP執行的應用程序。
   (4)強身份認證,保障終端安全
    終端用戶采用強身份認證方式保障用戶安全,共采用多重用戶認證,保障接入用戶的合法性。
系統提供多種方式來驗證終端身份,包括:PIN碼、短信驗證碼、用戶名和密碼、硬件Key、客戶端機器特征碼綁定。

 8888.jpg
     終端用戶接入系統時,首先進行PIN碼驗證,通過驗證的用戶方可以用戶與審計機關之間建設信息加密隧道;
     終端用戶與審計機關建立聯接后,系統向終端用戶手機發送驗證短信,驗證合格后方可對授權的核心應用進行訪問;
     終端用戶訪問授權應用時,首先進行應用級的用戶驗證,此時的驗證與KEY進行綁定,形成一對一的關系,確保用戶的合法性。
三、系統的主要技術特點
    (1)完全自主知識產權的全球首創Socks5技術
Socks5運行在會話層,并且提供了對應用數據和應用協議的可見性,使網絡管理員能夠對用戶遠程訪問實施細粒度的安全策略檢查。基于會話層實現Socks5的核心是會話層代理,通過代理可以將用戶實際的網絡請求轉發給應用服務器,從而實現遠程訪問的能力。
     在實現上,通過在用戶機器上安裝Socks5瘦客戶端,由瘦客戶端監控用戶的遠程訪問請求,并將這些請求轉化成代理協議可以識別的請求并發送給Socks5服務器進行處理,Socks5服務器則根據發送者的身份執行相應的身份認證和訪問控制策略。在這種方式上,Socks5客戶端和Socks5服務器扮演了中間代理的角色,可以在用戶訪問遠程資源之前執行相應的身份認證和訪問控制,只有通過檢查的合法數據才允許流進應用服務器,從而有力保護了組織的內部專用網絡。
    (2)軟硬件結合保障遠程接入安全
系統對每個遠程接入服務器的用戶做了嚴格的權限鎖定,屏蔽了對服務器做不利于安全的操作。同時硬件化專用LINUX操作系統,大大提升了系統日常運行的穩定性,簡化了服務器端安裝的工作,同時也屏蔽了人們對WINDOWS操作系統太熟并易被攻擊的安全缺陷。
    (3)強聯動性、高度集成的安全平臺

9999.jpg


    系統集成了加密、移動辦公、核心保護、終端安全等工具,并實現了它們之間的聯動,避免了孤立的環節之間形成漏洞,給入侵者可乘之機。

版權所有 Copyright(C)2009-2010 河南中審科技有限公司
警察与土匪返水