X边界
X信息通信网是覆盖全国各级X机关内部信息传输的专用网络。通过X信息通信网更广泛地采集社会信息,并向党、政、军机关及有关单位提供X信息资源和服务已逐渐成为X信息化发展的必然趋势。如何既保证X业务的应用接入,同时又保证整体X信息网的安全,成为当前重要而紧迫解决的问题。因此,迫切需要在确保整体X信息通信网的安全的原则下,迅速合理的构建“X信息通信网边界接入平台”,从而充分保障X机关与外部开展正常业务信息共享,有力的提高科技强警的水平。
X信息通信网接入平台是边界接入业务与X信息通信网进行数据交换和授权访问的基础平台,其提供各类接入业务与X信息通信网进行数据交换和授权访问的网络通道,对各类接入业务进行注册、监控与审计,并从链路、网络、主机、应用等方面采取安全技术措施,在实现接入业务信息交换的同时,保障X信息通信网接入平台及X信息通信网的安全。
系统结构
我们把X信息通信网接入平台划分为以下五个区域:路由接入区、边界保护区、应用服务区、安全隔离区和监测管理区等五个部分。系统构架如下图所示:
各部分功能
路由接入区:
实现各个外部链接与X信息通信网接入平台间连接,通过路由访问控制,将来自社会企/事业单位、党/政/军机关、X办公场所这三种不同接入对象的数据流按照X信息通信网接入平台的安全策略加以区分,利用三层网络交换机的路由和虚网功能,根据接入应用进行路由选择和虚网划分,保证不同类型业务应用之间的相互隔离。
边界保护区:
以VPN、防火墙、认证服务、安全监测以及三层网络交换机等系统和设备构建。通过VPN构建的加密虚拟专用通道,实现网络级身份认证,保证数据保密性和完整性,并进行地址转换,将外部网络地址转换为统一的网络地址;通过防火墙进行边界区的访问控制;通过认证服务系统对接入端进行合法性验证,防止非法设备的接入应用。
应用服务区:
该区域是X信息通信网对外信息发布、信息采集、数据交换的中间区域,是接入终端网络连接的终点。防病毒网关通过对数据包进行分析、检查,确保流入的数据包的 “纯净”,保证应用服务区各应用前置服务器不被病毒、木马感染,防止病毒的传播和非法控制。可信边界网关实现应用级身份认证和访问控制,防止对X信息通信网的非法访问和信息泄露。
安全隔离区:
该区域是X信息通信网接入平台的核心区域,该区域实现X信息通信网与外部网的安全隔离与信息交换。以安全隔离及信息交换平台为核心,包括前置服务器、后置服务器、安全隔离与信息交换系统和安全隔离及信息交换设备管理中心。
前置服务器负责采集外部接入用户的各类数据,进行数据内容和格式过滤后传输到后置服务器。
后置服务器负责将前置服务器传输的数据导入X内网应用服务器。
安全检测管理区:
通过集中监控与审计系统对X信息通信网接入平台运行情况进行安全检测与审计;各类网络设备、安全设备的配置管理及日常运行维护;各类安全策略管理、流量监测、统计分析、安全审计,并以友好及人性化界面进行展示。各地集中监控与审计系统具有级联上报功能,实现上级接入平台对下级接入平台主要信息及参数的监控与审计。
安全X
接入平台安全X由三重防护X和两个基础设施构成。三重防护X由应用环境安全、应用区域边界安全和链路与网络通信安全三个部分构成。两个基础设施主要由XPKI/PMI基础设施,安全检测与管理基础设施两部分组成。
系统主要功能
系统组成
