客户的网络环境包含内部网络和外网,内部网络包含内网和纵向网,这两个网络均为机密级网络,政务外网与互联网逻辑隔离。其中内网为内部办公的业务网络,纵向网与其下级单位的纵向网联通,内网与纵向网之间物理隔离,没有信息通道,内网、纵向网与外网之间也是物理隔离的。
目前,内网与纵向网之间,涉密网与互联网/电子政务外网之间的数据交换采用光盘拷贝或三合一导入方式完成。客户纵向网络全国的接入节点共有122个,近1000台接入终端,其分布广、节点多的特点导致难以对接入终端进行有效监管。
互联网向纵向网的手工导入的方式具有以下问题:
1、效率低,不能满足实时性要求高的数据传输;
2、安全性差,很容易将病毒木马携带到涉密网络中;
3、操作复杂,需要专人配合,如果有大量数据要传输,需要多个光盘。
随着业务需求发展变化,客户从互联网采集的信息量不断加大,信息由互联网传入涉密网的实时性要求也更强,原先手工方式只适合于数据量小、实时性要求不高的业务。
从互联网采集信息并传输到涉密网的过程中,关键在于实现安全、快速地由外向内的信息传输,由于内部是涉密网络,需要防止传输中的泄密行为,不同涉密网之间的安全传输主要考虑网络之间的安全访问控制、协议隔离及防攻击。为此,考虑到国家保密政策要求,采用单向传输技术作为上述问题的解决方案。
结合国家保密局《电子政务保密管理指南》(国保发[2007]5号)和公安部《信息安全技术:信息系统安全等级保护基本要求》(GB/T 22239—2008)中的要求,本方案在互联网与纵向网之间构建秘密级过渡安全域,通过过渡安全域进行数据中转,实现互联网信息向涉密网的传输。方案中,在设计秘密级安全域时还要考虑,互联网与秘密级安全域的连接要求,按照国家保密局《电子政务保密管理指南》(国保发[2007]5号)的要求,需要将互联网接入网络(外网)按照等保三级进行建设。
采用单向光闸安全隔离外网、秘密级安全域和涉密网络,即在外网与秘密级安全域之间、秘密级安全域与机密级涉密网之间部署单向传输平台,在符合安全政策前提下,实现信息自动、快速传输。 本方案在互联网接入区部署前置服务器(也称采集服务器),负责采集互联网的数据信息,包括文件及数据库信息,并通过单向光闸传输到过渡网中,为保证安全策略的设计,过渡网仅提供文件及数据库中转服务,存储需要转发的文件及数据库信息,并通过过渡网与涉密网之间的单向光闸将文件传输到涉密网的后置服务器中。
本方案在内网与纵向网之间建立两网信息交换区,实现内网用户安全访问纵向网应用,同时保证两网之间数据的双向传输及交换。使用两套单向导入系统,采用相反方向进行数据传输,从整体上实现双向的信息交换。
