交换中心及移动办公

一、系统简介
      交换中心是介于审计机关专网、国家电子政务外网和互联网之间的网络区域,通过VPN通道、网络安全措施、CA认证体系、应用权限体系和终端防护等措施,形成了审计专网、电子政务外网、互联网的互联网络枢纽。
 支持应用交互、数据交互的集成平台;
 支持因特网、电子政务外网接入的安全审计环境;
 拓展审计管理平台的能力
 提供了一个发布、共享审计信息的窗口;(信息共享)
 提供了组织跨机关、跨地域统一组织审计项目的资料共享,加强了审计机关业务现场交互及指导;(项目管理)
 提高了审计机关数据资源的再利用;(信息交换)
 实现了审计机关与被审计单位之间的动态交互;(监测服务)
 实现了对审计机关运行环境的集中监管的功能;(集中监管)

5555.jpg


二、交换中心平台设计方案

6666.jpg


1、系统架构

7777.jpg


     数据交换平台:分为基础架构层和服务访问层;交换桥接组件、数据同步组件部署在专网业务区。
   基础架构层:以数据交换总线为基础,集成基础架构应用;
   服务访问层:在基础架构基础上,集成各应用服务组件,为各应用系统提供服务;
   安全保障体系:集成CA认证,构建应用系统安全保障体系;
   数据交换标准规范:为实现四级间数据交换,需要制定审计系统数据交换标准及交换规范。
2、系统安全介绍
    (1)核心数据区与内外网中其他用户隔离,保障核心安全
     通过SSL VPN的防火墙功能将核心数据区所有服务器与外网隔离,屏蔽核心区服务器连接外网的功能,保障核心安全。同时用VLAN功能将核心数据从内网中隔离出来,这样一旦内网中其他机器有安全事故,不会轻易通过内网传播到核心数据区。
   (2)信息传输全过程加密,保障传输安全
     数据从客户端的应用用户处开始加密,到服务器端进行解密,整个传输过程中的数据是密文,不是明文,这样就非常好的保证了应用用户到核心数据区的传输过程中的安全性,不被恶意的用户嗅探到本不是他该访问的内容,并防止他分析到传输使用的协议,截获传输中的所有数据。同时采用了SHA1的数据完整性认证保证传输数据的完整性。
   (3)细粒度访问控制,保障访问安全
     访问控制可以保护应用用户非法操作对核心区的安全侵袭,切断应用用户对核心数据区指定机器指定应用以外数据的非法访问。系统支持基于IP地址、端口和应用的访问控制策略,从而方便网络管理员对应用用户访问核心区应用资源进行更为准确和细致的定位。在访问控制的具体实现上,访问控制模块维护了一个全局的访问控制列表,列表中定义了每一个用户的访问权限,包括被访问资源的IP地址、端口号及可以被RDP执行的应用程序。
   (4)强身份认证,保障终端安全
    终端用户采用强身份认证方式保障用户安全,共采用多重用户认证,保障接入用户的合法性。
系统提供多种方式来验证终端身份,包括:PIN码、短信验证码、用户名和密码、硬件Key、客户端机器特征码绑定。

 8888.jpg
     终端用户接入系统时,首先进行PIN码验证,通过验证的用户方可以用户与审计机关之间建设信息加密隧道;
     终端用户与审计机关建立联接后,系统向终端用户手机发送验证短信,验证合格后方可对授权的核心应用进行访问;
     终端用户访问授权应用时,首先进行应用级的用户验证,此时的验证与KEY进行绑定,形成一对一的关系,确保用户的合法性。
三、系统的主要技术特点
    (1)完全自主知识产权的全球首创Socks5技术
Socks5运行在会话层,并且提供了对应用数据和应用协议的可见性,使网络管理员能够对用户远程访问实施细粒度的安全策略检查。基于会话层实现Socks5的核心是会话层代理,通过代理可以将用户实际的网络请求转发给应用服务器,从而实现远程访问的能力。
     在实现上,通过在用户机器上安装Socks5瘦客户端,由瘦客户端监控用户的远程访问请求,并将这些请求转化成代理协议可以识别的请求并发送给Socks5服务器进行处理,Socks5服务器则根据发送者的身份执行相应的身份认证和访问控制策略。在这种方式上,Socks5客户端和Socks5服务器扮演了中间代理的角色,可以在用户访问远程资源之前执行相应的身份认证和访问控制,只有通过检查的合法数据才允许流进应用服务器,从而有力保护了组织的内部专用网络。
    (2)软硬件结合保障远程接入安全
系统对每个远程接入服务器的用户做了严格的权限锁定,屏蔽了对服务器做不利于安全的操作。同时硬件化专用LINUX操作系统,大大提升了系统日常运行的稳定性,简化了服务器端安装的工作,同时也屏蔽了人们对WINDOWS操作系统太熟并易被攻击的安全缺陷。
    (3)强联动性、高度集成的安全平台

9999.jpg


    系统集成了加密、移动办公、核心保护、终端安全等工具,并实现了它们之间的联动,避免了孤立的环节之间形成漏洞,给入侵者可乘之机。

版权所有 Copyright(C)2009-2010 河南中审科技有限公司