项目背景

电子政务移动OA办公安全隔离防护
    党的十八大提出,要进一步转变政府职能,改进管理方式,提高行政效率,形成行为规范、运转协调、廉洁高效的行政管理体制,运用多种手段提高行政审批效率,注重民生服务。
    近年来随着网络信息技术的高速发展,政务信息更加公开,公众对政府服务水平的要求也不断提高,各政府机关加强了内部管理,不断提高工作效率,使行政审批更加便捷、有效,落实公众信息服务工作。
    因此,各地政府都加快了以行政办公为主的信息化建设,不断推进政府职能转变,提升服务水平,自动化办公系统(OA)等信息化系统也陆续被引入到政府单位日常办公中。

现状分析

政府部门众多,分管发改,财政、统计等工作,各部门及各科室在信息化建设的过程,为满足自身需求引进了众多系统,造成了政府各部门分散式管理的现象,无法有效、统一管理各部门事务。
同时,各部门、各科室信息化系统的彼此孤立,导致信息数据分散,大量重复工作出现,严重阻碍了行政审批效率的提高,无法为领导分析决策提供科学、有效的信息化数据,行政办公一体化的重要性进一步凸显,一体化建设已是大势所趋。

需求分析

    构建一个具有强大扩展与融合能力、同时满足单位行政办公、移动办公需求的协同办公系统,成为了政府信息化建设考虑的重点,借此来实现本单位与上下级单位间的互联互通,为决策分析提供及时有效的信息支持,协助政府打造阳光政务。
    自动化办公系统、电子政务应用中势必存在内网与专网、外网间的信息交换需求,然而基于内网数据保密性的考虑,我们又不希望内网暴露在对外环境中。解决该问题的有效方式是设置“安全岛”,通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离,从而在内外网间实现安全的数据交换。安全岛是独立于电子政务内、外网的一个特殊的过渡“网络”,它被置于内网、专网和外网相交的边界位置,将内网与外网物理断开,防止黑客利用漏洞等攻击手段进入内网,又可完成数据的中转,在其安全策略的控制下进行内外网间的数据交换。

方案设计

    隔离网闸(GAP)技术是实现安全岛的关键技术,它如同一个高速开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。在此基础上,隔离网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网,完成数据中转。在中转过程中,隔离网闸会对抽取的数据做应用层的协议检查、内容检测,也会对IP包地址实施过滤控制,由于隔离网闸采用了独特的开关切换机制,因此,在进行这些检查时网络实际上处于断开状态,只有通过严格检查的数据才有可能进入内网,即使黑客强行攻击了隔离网闸,由于攻击发生时内外网始终处于物理断开状态,黑客也无法进入内网。另一方面,由于隔离网闸仅抽取数据交换进内网,因此,内网不会受到网络层的攻击,这就在物理隔离的同时实现了数据的安全交换。
    中铁信安安全隔离网闸采用“双主机+隔离硬件”的硬件架构,实现网络间的“摆渡”形式数据交换。在数据交换过程中自身对外不提供任何服务端口,弥补了传统防火墙抵御各种已知和未知攻击能力不足的问题。
    网闸为远程移动APP办公、电子公文管理(公文交换、归档查询、领导审核审批、电子签章)等业务应用提供了安全防护。 

方案总结

标准防护:依据国际最高安全等级设计,采取三权分立,满足等级保护需要。

合规防护:中心业务系统与外部对接系统之间形成物理级安全隔离。

细粒度防护:方案实施过程中,中铁信安安全专家会依据不同应用类型,在设备上实现细粒度信令控制。

高安全系统架构:采用“双主机+隔离硬件”的硬件架构,结合专业定制的网络安全操作系统和高强度的协议分析控制功能,中铁信安安全隔离网闸构建了一个在网络边界处抵御已知和未知攻击行为的高安全屏障。

极强的网络适应性:中铁信安安全隔离网闸支持透明代理、代理及路由三种模式,可以适应用户各种网络环境。支持与主、备交换机负载冗余互联。