消防边界接入系统解决方案.docx
《消防边界接入系统解决方案.docx》由会员分享,可在线阅读,更多相关《消防边界接入系统解决方案.docx(5页珍藏版)》请在冰豆网上搜索。
消防边界接入系统解决方案
消防边界接入系统解决方案
宁夏赛恩科技集团股份有限公司
2014年9月
第一章项目建设需求分析
一.1建设背景
为保护重要内部系统安全,目前国内各政府单位和大型企事业单位都采用物理隔离方式人为隔离外网和单位内网。
但是,随着中国政府向着服务性政府方向转化,各级政府机关和大型企事业单位都需依托信息化手段向外采集更多信息,对外提供更多信息服务。
随着服务型政府转型,政府部门派出分支机构或人员为社会企事业单位和公众服务越来越普遍,这些派出机构或人员将如何面临信息共享和信息协同问题。
内部办公网络与外部网络隔离是安全管理的历史问题,随着管理职能增多、公众服务意识增强,很多分布在内、外网上的应用需经常进行大量数据交换,甚至有些业务逐渐融合,不可分割。
因此,建立一个内外网边界接入平台,在隔离的基础上实现数据交换是各业务发展的迫切需要。
边界接入平台是指承担单位内网边界接入业务的安全管理平台。
该平台是所有接入业务与单位内网进行信息交换的唯一通道,政府部门与外部进行信息采集、互通接入业务,都须通过接入平台进行,并受接入平台监控和审计。
政府部门需通过单位局域网向外提供信息服务和接收外部信息业务,统称为“接入业务”。
接入业务操作方式分为数据交换和授权访问两大类。
数据交换是指文件传输、数据库交换、流媒体等信息共享和交换业务;授权访问是指持不同权限数字身份证书交互式访问单位内网。
一.2需求分析
随着计算机和网络技术在消防及相关行业的广泛应用,为了更好
地服务消防管理、社会需要,这就要求消防部门加强与政府部门及其他单位之间的信息交换与共享。
为实现消防部门与政府部门及其他单位之间数据交换及社会信息采集,开展信息交换共享提供高效、安全的网络接入和数据交换的服务,故建设消防边界接入平台已成为各界迫切的需求。
第二章建设方案的组成
二.1系统建设目标
针对目前各种信息采集、互通业务,设计一个技术先进、安全可靠、切实可行、管理方便的安全技术方案。
建设消防网边界接入的统一平台,保证消防网的保密性、完整性和可用性,以及边界接入业务的可管理性、可控性。
保障边界接入消防网的安全,以及相关网络和信息资源的安全,同时保证边界接入工作的高效稳定运行,解决和提高消防业务工作、信息共享、服务群众的能力和水平。
二.2系统架构设计
接入平台方案安全机制主要集中在两个安全系统:
数据交换系统和授权访问系统。
此可满足消防各部门对外信息采集、交换和共享的需求。
具体架构如下图所示:
系统架构图
二.3系统模块功能设计
二.3.1数据交换系统
数据交换系统主要实现单位内网与应用服务区之间数据安全交换,通过高可信方式,实现异构系统、数据源之间安全、灵活、有效、快速数据交换。
本系统实现以下安全功能:
●数据交换对象身份认证:
系统对数据交换对象进行身份认证,认证失败则数据交换马上终止。
●数据格式过滤:
系统能根据用户事先定义业务规则对数据进行全面过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细化到每个字段,包括类型、范围、长度、枚举、缺省值、特殊字段、字符编码、图像字段许可等。
●数据内容过滤:
系统集成流杀毒引擎,能识别交换内容中SQL语句,能有效防范所有SQL提交攻击。
●数据加密:
系统根据认证产生的会话密钥对传输数据进行加密。
●安全审计:
系统提供对整个数据交换行为完整审计,包括数据来源、交换发生时间、数据交换目标、数据交换内容、是否得到授权、是否遵守交换规则、交换行为是否成功、交换结束时间等。
●单道访问:
主动从前置机获取数据,不接受前置机主动向系统发送数据。
●安全隔离:
切断单位内网与应用服务区一切网络连接。
●监控管理:
对运行状况进行实时监控(包括安全策略监控、状态监控和流量监控);对平台运行信息进行安全审计和异常行为责任认定(包括内容审计和事件审计)。
二.3.2授权访问系统
授权访问系统目的是实现驻外办公人员身份认证、访问控制、权限管理和信息传输过程中数据机密性和完整性保护。
本系统实现以下安全功能:
●身份认证:
包括用户身份标识和身份鉴别,只有通过身份认证的合法用户才能进入系统,进行后续操作。
●终端认证:
确保只有经过注册审核的终端才可访问被保护内网服务器。
●授权与访问控制:
根据“最小授权”的基本原则,保证用户只具备完成工作所需的最小操作权限,杜绝超越合法授权的操作行为。
●数据加密:
采用密码学算法,对重要数据进行加密保护,避免数据中所包含敏感信息泄露。
●数据完整性保护:
采用密码学算法,对数据完整性进行校验,发现可能存在的数据内容非法篡改。
●数字签名:
采用公钥密码算法,对操作行为进行签名确认,提供数字化证据,避免抵赖行为发生。
●安全审计:
网关对管理员维护操作进行详细记录,对用户身份请求进行详细记录。
二.3.3监管系统
实现对接入平台边界接入情况集中监控、管理与审计。
本系统安全设备主要是监管服务器和监管探针。
本系统在安全上实现以下基本安全功能:
●注册管理服务:
实现接入业务信息标准注册流程。
●监控管理服务:
对边界接入平台运行状况进行实时监控。
●审计管理服务:
对平台运行信息进行安全审计和异常行为责任认定。
●监管探针:
实现流量数据实时监听,安全事件实时监听与初步分析,定期将流量数据与安全事件信息发送给监管服务器。
二.4系统特点
本方案通过在消防信息网边界建立一套完整的对公网数据传输边界接入平台,加强信息共享和综合应用,建成一套运行可靠、管理严密、控制有效、信息全面、监管有力、便于维护、高效安全的对公网数据传输边界接入平台系统。
其主要有以下优势:
Ø保证采集社会信息的同时切断消防信息网与公网之间的网络链接,保证了消防信息网的自身高度安全;
Ø实现了消防信息网采集社会信息的同时发布信息的功能,提高了业务效率;
Ø系统将消防信息网边界各业务系统进行无缝统一接入管理,提供了统一的对外出入口;
Ø系统提供了多种数据交换方式,并可对业务数据内容进行严格格式检查,从根本上杜绝了不良信息进入消防信息网。
第三章公司简介
宁夏赛恩科技集团股份有限公司成立于2012年11月,是一家集物联网技术、云计算技术、大数据技术、智能移动通讯产品研发、新能源技术及电动汽车运营为一体的科技创新型企业。
公司注册资金5051万元人民币。
赛恩集团下辖四家全资子公司,即宁夏赛恩物联网技术有限公司、宁夏赛恩能源技术有限公司、宁夏赛恩通信工程有限公司及宁夏赛恩消防技术有限公司。
赛恩集团现有员工234人,其中管理人员28人,高级工程师6人,工程技术人员168人,具有硕士、博士学位87人,技术力量雄厚,研发及实验设备先进,在行业建设方面具有丰富的实践经验。
赛恩集团作为宁夏物联网行业协会会长单位,致力于物联网核心技术研发与产业化、关键标准研究与制定、产业链条建立与完善,在重大应用示范与推广等方面取得显著成效,形成创新驱动、应用牵引、协同发展、安全可控的物联网技术应用格局,有效推动了宁夏物联网产业链的完善与发展。
2014年,宁夏赛恩科技集团股份有限公司经自治区经信委、科技厅认定,成为宁夏回族自治区第一批科技型中小企业。
并于2014年5月28日,在天津股权交易所成功挂牌。
公司以这次挂牌为契机,在新的起点上推动科技创新,不断增强企业综合实力,以优异的成绩回报社会和投资者,为自治区的发展与建设做出了一份贡献。
升级会员 