安全边界交换方案

业务背景

随着网络基础设施建设的不断完善,部分政府部门或大型企业建立了各自的业务内网,用于接收自身业务数据传输并进行处理。这些内网禁止直接与公网在内的其它网络物理连接,隔绝了来自外网的攻击,有效保障了内网安全。

随着网络时代的进一步发展,信息交换和共享的需求凸显,例如,部分业务涉及内网以外的终端,这些分散的终端在采集信息之后,无法及时接入内网上传数据;又例如,各政府部门分别使用相互物理隔离的内网,但在推进政府业务协同促进数据融合共享时,必然会存在内网之间的数据交换需求。因此,应设计可靠的边界交换平台,提供各政企部门内网之间的跨边界网络接入和数据交换服务。

边界交换平台在实现跨边界网络接入和数据交换功能的同时,需充分考虑其安全性。既要保障用户通过边界交换平台跨边界接入时的身份安全,也要保障用户在边界交换平台传输数据时的数据安全,以确保跨边界业务能够正常使用,并不会对已有内网环境带来安全风险。

解决方案

针对目前各类政企内网的信息采集、互通业务需求,吉大正元提出安全边界交换方案,旨在解决边界交换平台保密性、完整性和可用性,以及边界接入业务的可管理性、可控性问题,保障边界接入的安全。

方案通过可信边界网关实现外网终端设备和用户的安全管理,远程终端必须符合预定义的安全策略才能连接可信边界网关,用户通过数字证书完成身份认证接入可信边界网关,由可信边界网关根据对用户不同的授权提供相应的组件,并为用户提供单点登录服务。方案由防火墙、IDS等设备组成边界保护区,防火墙可根据数据包的源/目标地址、协议类型、源/目标端口以及网络协议等对数据包进行访问控制,能确保终端用户合法有效地使用各种网络资源;入侵检测系统(IDS)通过实时监听网络数据流,识别,记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试,该系统可以对攻击防火墙本身的数据流进行响应,同时可以对穿透防火墙进行攻击的数据流进行响应。前置服务器、网闸、后置服务器组成安全数据交换系统,数据交换系统使用基于证书认证的方式建立可信安全数据通道,对数据通信内容进行加密及数字签名,保证数据通信的机密性和完整性;数据交换系统使用主动获取的方式连接内外网数据服务器,根据系统管理员配置进行数据获取及摆渡,同时对数据内容进行深层次细粒度的过滤检查,可对内容进行检查、过滤,以及查杀病毒。

产品配置

  • 可信边界网关
  • 电子证书认证系统
  • 防火墙
  • 统一用户管理系统

典型客户

  • 山西公安边界项目
  • 河北省边界网关项目
  • 甘肃公安边界接入平台项目
  • 武警边防边界接入平台
  • 湖北省技侦边界接入项目
  • 湖南交警边界接入平台