信息中心

溝通接入堡壘機(jī)解決方案

　　1.背景

網(wǎng)閘是新一代高安全性的網(wǎng)絡(luò)隔離產(chǎn)品,已經(jīng)成為繼防火墻之后最受關(guān)注的安全產(chǎn)品.網(wǎng)閘很好地解決了隔離斷開和數(shù)據(jù)交換的難題,在保證兩個網(wǎng)絡(luò)完全斷開和協(xié)議終止的情況下,以非網(wǎng)絡(luò)方式實現(xiàn)了數(shù)據(jù)交換.同時網(wǎng)閘還提供高速度、高穩(wěn)定性的數(shù)據(jù)交換能力,能夠滿足用戶對高安全、高性能、高可靠性的應(yīng)用需要.本文結(jié)合社保網(wǎng)絡(luò)實際應(yīng)用,提出了采用網(wǎng)閘來隔離成的不同安全域,并設(shè)置策略保護(hù)核心服務(wù)器區(qū)域.這種隔離保護(hù)措施可操作性強(qiáng),安全防護(hù)效果明顯。

　　但客戶在完成雙網(wǎng)改造后，卻又面臨一個新的問題，低安全域和高安全域之間信息安全交互受到制約，保密性（Confidentiality）和可用性（Availability）矛盾日益凸出。

　　2. 定義

　　高安全域：被安全隔離和信息交換系統(tǒng)（網(wǎng)閘）隔離后形成的安全內(nèi)網(wǎng)

　　低安全域：被安全隔離和信息交換系統(tǒng)（網(wǎng)閘）隔離后，網(wǎng)閘設(shè)備外部的網(wǎng)絡(luò)

　　跨域安全訪問（Cross Domain Access，簡稱CDA）：

　　高安全域和低安全域之間的的數(shù)據(jù)經(jīng)過網(wǎng)閘的安全動態(tài)交互

　　3. 環(huán)境描述

　　客戶已經(jīng)具備雙網(wǎng)改造后的環(huán)境，或者正在準(zhǔn)備通過安全隔離和信息交換系統(tǒng)進(jìn)行雙網(wǎng)改造。

　　4. 需求分析

　　4.1 需要保護(hù)的資源

　　保障高安全域內(nèi)網(wǎng)絡(luò)和數(shù)據(jù)的絕對安全，高安全域網(wǎng)絡(luò)絕對不可以被病毒、木馬感染、控制、破壞，不允許任何敏感數(shù)據(jù)的非法外瀉。

　　4.2 面臨的風(fēng)險

　　低安全域的用戶在移動辦公時和高安全域的應(yīng)用之間通過網(wǎng)閘實時數(shù)據(jù)交互、協(xié)同辦公就必須相連，易造成感染病毒、木馬，敏感信息外瀉等安全事件；具體體現(xiàn)為。

　　高安全域的數(shù)據(jù)流向低安全域用戶端

　　低安全域用戶上傳到高安全域的數(shù)據(jù)文件攜帶病毒

　　應(yīng)用缺乏有效訪問控制管理策略

　　4.3 跨域安全訪問目的

　　實現(xiàn)雙網(wǎng)隔離客戶以高安全方式完成內(nèi)外網(wǎng)數(shù)據(jù)交互，并保證內(nèi)網(wǎng)涉密數(shù)據(jù)不會下載到外網(wǎng)，同時確保數(shù)據(jù)安全和應(yīng)用的安全

　　要求：

　　不影響移動辦公系統(tǒng)應(yīng)用

　　運(yùn)行要穩(wěn)定并且保持高安全域?qū)Φ桶踩蚓W(wǎng)絡(luò)的安全隔離，以保證高安全域信息數(shù)據(jù)及應(yīng)用的安全

　　有效解決應(yīng)用在跨域訪問的安全訪問問題，實現(xiàn)保密性（Confidentiality）和可用性（Availability）矛盾的和諧統(tǒng)一

　　全面超越傳統(tǒng)內(nèi)外網(wǎng)數(shù)據(jù)同步方式，降低應(yīng)用系統(tǒng)部署維護(hù)成本，降低能耗

　　同時滿足用戶身份認(rèn)證、訪問控制、權(quán)限管理、傳輸加密、監(jiān)控審計等，并能支持與安全監(jiān)控與管理系統(tǒng)的對接

　　5. 解決方案

　　5.1 溝通安全接入堡壘機(jī)方案

　　針對以上客戶需求，溝通科技業(yè)界內(nèi)首先提出了安全接入堡壘機(jī)方案，徹底解決了雙網(wǎng)環(huán)境下跨域安全訪問應(yīng)用的難題。

　　方案設(shè)計思想：

　　用戶在低安全域環(huán)境下把鍵盤和鼠標(biāo)指令信息通過溝通安全接入堡壘機(jī)上行到高安全域應(yīng)用服務(wù)器，高安全域的屏幕變化信息下行到低安全域，但禁止其它實體數(shù)據(jù)信息流在兩個安全域之間直接交換；由于沒有其它實體信息流在兩個安全域之間直接交換，因此，低安全域的鍵鼠指令信息，不會直接破壞高安全域的完整性，高安全域的高密級實體數(shù)據(jù)信息也不會泄漏到低安全域。

　　方案原理圖示：

溝通接入堡壘機(jī)解決方案

　　圖示（一）

溝通接入堡壘機(jī)解決方案

　　5.2 安全接入堡壘機(jī)方案拓?fù)鋱D

　　5.3 安全接入堡壘機(jī)產(chǎn)品原理

　　采用虛擬化技術(shù)分離應(yīng)用的表現(xiàn)與計算，實現(xiàn)虛擬應(yīng)用交互、本地化應(yīng)用體驗，客戶端與服務(wù)器之間只傳遞鍵盤、鼠標(biāo)和熒屏變化等交互信息，沒有實際的業(yè)務(wù)數(shù)據(jù)流到客戶端，客戶端看到的只是服務(wù)器上應(yīng)用運(yùn)行的顯示映像，避免跨域傳輸實體數(shù)據(jù)，從而提升跨域訪問的安全性。

　　實體靜態(tài)數(shù)據(jù)傳輸建立專屬文件安全傳輸通道，涉及靜態(tài)文件跨安全域上傳和下載，先通過網(wǎng)閘或其他數(shù)據(jù)同步傳輸設(shè)備從低安全域同步到高安全域，靜態(tài)數(shù)據(jù)經(jīng)過安全擺渡，避免由于上傳靜態(tài)文件攜帶病毒威脅高安全域的網(wǎng)絡(luò)或數(shù)據(jù)安全。

文章作者：國脈電子政務(wù)網(wǎng)

集成系統(tǒng)網(wǎng)絡(luò)情報信息數(shù)據(jù)庫

CIO頻道人物視窗
 CIO頻道方案案例庫
 大數(shù)據(jù)建設(shè)方案案例庫
 電子政務(wù)建設(shè)方案案例庫
 互聯(lián)集成系統(tǒng)構(gòu)建方案案例庫
 商務(wù)智能建設(shè)方案案例庫
 系統(tǒng)集成類軟件信息研發(fā)企業(yè)名錄

樂思軟件

信息中心

溝通接入堡壘機(jī)解決方案

集成系統(tǒng)網(wǎng)絡(luò)情報信息數(shù)據(jù)庫

輿情監(jiān)測

信息采集

信息中心

技術(shù)支持

公司資訊

關(guān)于樂思