中兴通讯电子政务安全解决方案//http://www.ccw.com.cn

2024-01-15 18:08

本文主要是介绍中兴通讯电子政务安全解决方案//http://www.ccw.com.cn,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

http://www.ccw.com.cn/cio/solution/htm2006/20060622_192641.asp
中兴通讯电子政务安全解决方案

电子政务的安全目标是,保护政务信息资源不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容抵御上述种种威胁,具有保密性、完整性、真实性、可

<script src="http://ad.ccw.com.cn/adshow.asp?positionID=38&js=1&innerJs=1" language="JavaScript1.1" type="text/javascript"></script>
用性和可控性的能力。

《国家信息化领导小组关于我国电子政务建设指导意见》中规定:电子政务网络由政务内网和政务外网构成, 两网之间物理隔离,政务外网与互联网之间逻辑隔离。国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定:涉及国家秘密的计算机信 息系统,不得直接或间接地与国际互联网或其他公共信息网相联接,必须进行物理隔离。

根据这些规定,中兴电子政务安全解决方案规划出电子政务的总体网络架构如下图所示:

电子政务网络总体结构图

电子政务网络在纵向上分为三级:省级、市级和县级;在横向上将各级的党委、政府、人大、政协等机构及所 属单位联成一个城域网。省一级的政务网以物理隔离的形式分为政务内网和政务外网,政务内网连接省级以上(包括省级)电子政务网络,政务外网连接省级以下电 子政务网络,政务外网又称政务专网。省级以下(如县级)若不具备电子政务专网条件,可以在公网上以VPN设备实现虚拟专用网络来进行连接。

下图是电子政务网络中典型节点的网络安全配置图。针对电子政务网络内外网物理隔离的要求,采用在主机上 安装隔离卡或外接物理隔离设备,实现同一时刻只能连接政务内网和政务外网中的一个网络;政务外网与互联网之间采用防火墙的形式实现逻辑隔离;在Web服务 器、FTP服务器和对外的Email服务器等对公众提供网上办公服务的服务器系统上,除了通过防火墙进行安全保护外,还可安装入侵检测系统、病毒防御系统 等。用户对电子政务业务服务器的访问采用电子钥匙加数字证书的方式进行用户身份识别和权限控制。对于外出办公的移动用户采用VPN进行加密的方式实现对内 网的安全访问。

电子政务网络安全配置图

公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子政务安全实施的基本保障。国际上提出了基于PKI的数字证书解决方 案,目前已被普遍采用。中兴电子政务安全解决方案基于PKI技术,包括六个安全系统,分别是物理隔离系统、证书管理系统、身份认证系统、数据安全通信系 统、网络安全访问系统和病毒防御系统,同时提供风险评估、测试、规划、实施、培训、管理等安全服务。中兴电子政务安全解决方案能够解决电子政务中可能出现 的各种安全问题,从而有效地保证电子政务的安全。

中兴电子政务安全防护体系图

系统简介

1 物理隔离系统

物理隔离系统主要采用在办公电脑中插入物理隔离卡或外接物理隔离设备,实现用户计算机与政务内网和政务 外网两个网络系统中的任何一个网络实现物理连接,并且能够在两个网络系统之间切换。根据物理隔离系统切换软件,用户可通过发送切换指令来设置物理隔离设备 的工作状态。重新开机后通过串行通信口,读取物理隔离设备的工作状态,来实现工作站与指定网络系统的物理连接。两个硬盘分别有独立的操作系统,并独立导入,两个硬盘不会同时激活。

2 证书管理系统

数字证书(Certificate) 提供的是网络上的身份证明,是采用安全加密技术对网络上的数据发送方、接收方进行身份认证,以保证参与电子政务业务操作各方身份的真实性。数字证书拥有者 可以将其证书提供给其他人、Web站点及网络资源,并且与对方建立加密的、可信的通信。证书除了用来向其它实体证明自己的身份外,还同时起着公钥分发的作 用,每份证书都携带着持有人的公钥。

在PKI体系中,证书授证(Certificate Authority)中心,简称CA中心,作为网络信息交换中受信任和具有权威性的第三方,承担PKI体系中公钥合法性检验的责任,是公正的数字证书发放 和管理机构。证书管理系统为每个使用公开密钥的用户发放数字证书,CA中心的数字签名使得第三者不能伪造和篡改证书。CA证书管理系统负责产生、分配并管 理所有参与网上信息交换各方所需的数字证书,因此是电子政务网络信息安全交换的核心,是实现整个网络安全解决方案的关键和基础。

证书管理系统支持多层次的分级结构。根CA建立在政务内网上,作为整个系统的信任源。在根CA下派生出内网和外网两个子CA,其中内网子CA负责给政务内网上的用户和服务器发证书;外网子CA负责给政务外网上的用户和服务器发证书。

3 身份认证系统

身份认证系统基于数字证书和PKI体系,在终端用户和电子政务业务服务器之间建立双向身份认证过程,保 证了终端用户和电子政务业务前置机的身份不能够伪造;基于身份认证的访问控制不仅能够有效的防止内部人员的恶意破坏,还能够防止外部攻击;身份认证系统将 用户对各项业务的操作权限与代表用户身份的数字证书相关联,进行集中的用户权限管理。

与证书管理系统相一致,身份认证系统分别在政务内网和政务外网上建立两个认证服务器,认证服务器上保存根CA和内网、外网子CA的证书。由于属于一个根CA,具有相同的信任源,所以不论内网用户或外网用户,在内网和外网认证服务器上都可以得到认证。

4 数据安全通信系统

数据安全通信系统包括网络层加密产品和应用层加密产品。

网络层加密采用VPN设备,在不安全的互联网上建立安全的加密通信通道,有效防止网络窃听与泄密,保证电子政务业务数据通信安全。
应用层加密采用高速加密卡或加密机,将电子政务业务明文数据高强度高效率的加密后以密文形式送出,将接收到的密文数据高速解密还原成明文数据。

5 网络安全访问系统

网络安全访问系统包括防火墙、入侵检测、漏洞扫描等安全产品。

防火墙可将电子政务办公网与互联网有效隔离,保障内部可有效访问外网资源,而阻止外网对内网的恶意访问。

入侵检测是一种主动保护自己免受攻击的一种网络安全技术,可认为是防火墙之后的第二道安全闸门。入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范或向管理员发出告警。

漏洞扫描可自动检测远程或本地主机安全性弱点。通过使用漏洞扫描器,系统管理员能够发现服务器主机上运行的各种服务程序存在的安全漏洞,从而在电子政务网络系统安全保卫战中做到"有的放矢",及时修补漏洞,构筑电子政务安全堡垒的基石。

6 病毒防御系统

病毒防御系统包括邮件网关防病毒系统,主机防病毒系统,网络防病毒系统。

邮件网关防病毒系统对过往邮件服务器的所有邮件进行防病毒扫描。把邮件中携带的病毒阻隔在局域网之外。

主机防病毒系统包括系统查杀病毒和实时病毒扫描监控两个主要功能,一方面对已感染病毒的主机进行全面病毒扫描,包括内存区、硬盘引导区、硬盘文件系统,及时发现并清除病毒;另一方面监控本地硬盘写入的情况,若发现带有病毒活动特征及时阻止。

网络防病毒系统在局域网内部,针对服务器和客户端进行防病毒保护,主要在服务器和客户端安装相应的防病毒软件,同时由一台或多台防病毒服务器通过系统控制中心进行统一、集中、智能的防病毒管理。

系统特点

采用自主研发的、从密码芯片到安全应用系统的全系列密码设备产品

基于公钥基础设施(PKI)体系的授权和认证系统

满足电子政务网络建设中物理隔离和逻辑隔离的需求

 

这篇关于中兴通讯电子政务安全解决方案//http://www.ccw.com.cn的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/609756

相关文章

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Linux】应用层http协议

一、HTTP协议 1.1 简要介绍一下HTTP        我们在网络的应用层中可以自己定义协议,但是,已经有大佬定义了一些现成的,非常好用的应用层协议,供我们直接使用,HTTP(超文本传输协议)就是其中之一。        在互联网世界中,HTTP(超文本传输协议)是一个至关重要的协议,他定义了客户端(如浏览器)与服务器之间如何进行通信,以交换或者传输超文本(比如HTML文档)。

如何确定 Go 语言中 HTTP 连接池的最佳参数?

确定 Go 语言中 HTTP 连接池的最佳参数可以通过以下几种方式: 一、分析应用场景和需求 并发请求量: 确定应用程序在特定时间段内可能同时发起的 HTTP 请求数量。如果并发请求量很高,需要设置较大的连接池参数以满足需求。例如,对于一个高并发的 Web 服务,可能同时有数百个请求在处理,此时需要较大的连接池大小。可以通过压力测试工具模拟高并发场景,观察系统在不同并发请求下的性能表现,从而

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法

消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法   消除安卓SDK更新时的“https://dl-ssl.google.com refused”异常的方法 [转载]原地址:http://blog.csdn.net/x605940745/article/details/17911115 消除SDK更新时的“

js异步提交form表单的解决方案

1.定义异步提交表单的方法 (通用方法) /*** 异步提交form表单* @param options {form:form表单元素,success:执行成功后处理函数}* <span style="color:#ff0000;"><strong>@注意 后台接收参数要解码否则中文会导致乱码 如:URLDecoder.decode(param,"UTF-8")</strong></span>

Anaconda 中遇到CondaHTTPError: HTTP 404 NOT FOUND for url的问题及解决办法

最近在跑一个开源项目遇到了以下问题,查了很多资料都大(抄)同(来)小(抄)异(去)的,解决不了根本问题,费了很大的劲终于得以解决,记录如下: 1、问题及过程: (myenv) D:\Workspace\python\XXXXX>conda install python=3.6.13 Solving environment: done.....Proceed ([y]/n)? yDownloa