中兴通讯电子政务安全解决方案//http://www.ccw.com.cn

2024-01-15 18:08

本文主要是介绍中兴通讯电子政务安全解决方案//http://www.ccw.com.cn,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

http://www.ccw.com.cn/cio/solution/htm2006/20060622_192641.asp
中兴通讯电子政务安全解决方案

电子政务的安全目标是,保护政务信息资源不受侵犯,保证信息资产的拥有者面临最小的风险和获取最大的安全利益,使政务的信息基础设施、信息应用服务和信息内容抵御上述种种威胁,具有保密性、完整性、真实性、可

<script src="http://ad.ccw.com.cn/adshow.asp?positionID=38&js=1&innerJs=1" language="JavaScript1.1" type="text/javascript"></script>
用性和可控性的能力。

《国家信息化领导小组关于我国电子政务建设指导意见》中规定:电子政务网络由政务内网和政务外网构成, 两网之间物理隔离,政务外网与互联网之间逻辑隔离。国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定:涉及国家秘密的计算机信 息系统,不得直接或间接地与国际互联网或其他公共信息网相联接,必须进行物理隔离。

根据这些规定,中兴电子政务安全解决方案规划出电子政务的总体网络架构如下图所示:

电子政务网络总体结构图

电子政务网络在纵向上分为三级:省级、市级和县级;在横向上将各级的党委、政府、人大、政协等机构及所 属单位联成一个城域网。省一级的政务网以物理隔离的形式分为政务内网和政务外网,政务内网连接省级以上(包括省级)电子政务网络,政务外网连接省级以下电 子政务网络,政务外网又称政务专网。省级以下(如县级)若不具备电子政务专网条件,可以在公网上以VPN设备实现虚拟专用网络来进行连接。

下图是电子政务网络中典型节点的网络安全配置图。针对电子政务网络内外网物理隔离的要求,采用在主机上 安装隔离卡或外接物理隔离设备,实现同一时刻只能连接政务内网和政务外网中的一个网络;政务外网与互联网之间采用防火墙的形式实现逻辑隔离;在Web服务 器、FTP服务器和对外的Email服务器等对公众提供网上办公服务的服务器系统上,除了通过防火墙进行安全保护外,还可安装入侵检测系统、病毒防御系统 等。用户对电子政务业务服务器的访问采用电子钥匙加数字证书的方式进行用户身份识别和权限控制。对于外出办公的移动用户采用VPN进行加密的方式实现对内 网的安全访问。

电子政务网络安全配置图

公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子政务安全实施的基本保障。国际上提出了基于PKI的数字证书解决方 案,目前已被普遍采用。中兴电子政务安全解决方案基于PKI技术,包括六个安全系统,分别是物理隔离系统、证书管理系统、身份认证系统、数据安全通信系 统、网络安全访问系统和病毒防御系统,同时提供风险评估、测试、规划、实施、培训、管理等安全服务。中兴电子政务安全解决方案能够解决电子政务中可能出现 的各种安全问题,从而有效地保证电子政务的安全。

中兴电子政务安全防护体系图

系统简介

1 物理隔离系统

物理隔离系统主要采用在办公电脑中插入物理隔离卡或外接物理隔离设备,实现用户计算机与政务内网和政务 外网两个网络系统中的任何一个网络实现物理连接,并且能够在两个网络系统之间切换。根据物理隔离系统切换软件,用户可通过发送切换指令来设置物理隔离设备 的工作状态。重新开机后通过串行通信口,读取物理隔离设备的工作状态,来实现工作站与指定网络系统的物理连接。两个硬盘分别有独立的操作系统,并独立导入,两个硬盘不会同时激活。

2 证书管理系统

数字证书(Certificate) 提供的是网络上的身份证明,是采用安全加密技术对网络上的数据发送方、接收方进行身份认证,以保证参与电子政务业务操作各方身份的真实性。数字证书拥有者 可以将其证书提供给其他人、Web站点及网络资源,并且与对方建立加密的、可信的通信。证书除了用来向其它实体证明自己的身份外,还同时起着公钥分发的作 用,每份证书都携带着持有人的公钥。

在PKI体系中,证书授证(Certificate Authority)中心,简称CA中心,作为网络信息交换中受信任和具有权威性的第三方,承担PKI体系中公钥合法性检验的责任,是公正的数字证书发放 和管理机构。证书管理系统为每个使用公开密钥的用户发放数字证书,CA中心的数字签名使得第三者不能伪造和篡改证书。CA证书管理系统负责产生、分配并管 理所有参与网上信息交换各方所需的数字证书,因此是电子政务网络信息安全交换的核心,是实现整个网络安全解决方案的关键和基础。

证书管理系统支持多层次的分级结构。根CA建立在政务内网上,作为整个系统的信任源。在根CA下派生出内网和外网两个子CA,其中内网子CA负责给政务内网上的用户和服务器发证书;外网子CA负责给政务外网上的用户和服务器发证书。

3 身份认证系统

身份认证系统基于数字证书和PKI体系,在终端用户和电子政务业务服务器之间建立双向身份认证过程,保 证了终端用户和电子政务业务前置机的身份不能够伪造;基于身份认证的访问控制不仅能够有效的防止内部人员的恶意破坏,还能够防止外部攻击;身份认证系统将 用户对各项业务的操作权限与代表用户身份的数字证书相关联,进行集中的用户权限管理。

与证书管理系统相一致,身份认证系统分别在政务内网和政务外网上建立两个认证服务器,认证服务器上保存根CA和内网、外网子CA的证书。由于属于一个根CA,具有相同的信任源,所以不论内网用户或外网用户,在内网和外网认证服务器上都可以得到认证。

4 数据安全通信系统

数据安全通信系统包括网络层加密产品和应用层加密产品。

网络层加密采用VPN设备,在不安全的互联网上建立安全的加密通信通道,有效防止网络窃听与泄密,保证电子政务业务数据通信安全。
应用层加密采用高速加密卡或加密机,将电子政务业务明文数据高强度高效率的加密后以密文形式送出,将接收到的密文数据高速解密还原成明文数据。

5 网络安全访问系统

网络安全访问系统包括防火墙、入侵检测、漏洞扫描等安全产品。

防火墙可将电子政务办公网与互联网有效隔离,保障内部可有效访问外网资源,而阻止外网对内网的恶意访问。

入侵检测是一种主动保护自己免受攻击的一种网络安全技术,可认为是防火墙之后的第二道安全闸门。入侵检测技术通过分析各种攻击的特征,可以全面快速地识别探测攻击、拒绝服务攻击、缓冲区溢出攻击、电子邮件攻击、浏览器攻击等各种常用攻击手段,并做相应的防范或向管理员发出告警。

漏洞扫描可自动检测远程或本地主机安全性弱点。通过使用漏洞扫描器,系统管理员能够发现服务器主机上运行的各种服务程序存在的安全漏洞,从而在电子政务网络系统安全保卫战中做到"有的放矢",及时修补漏洞,构筑电子政务安全堡垒的基石。

6 病毒防御系统

病毒防御系统包括邮件网关防病毒系统,主机防病毒系统,网络防病毒系统。

邮件网关防病毒系统对过往邮件服务器的所有邮件进行防病毒扫描。把邮件中携带的病毒阻隔在局域网之外。

主机防病毒系统包括系统查杀病毒和实时病毒扫描监控两个主要功能,一方面对已感染病毒的主机进行全面病毒扫描,包括内存区、硬盘引导区、硬盘文件系统,及时发现并清除病毒;另一方面监控本地硬盘写入的情况,若发现带有病毒活动特征及时阻止。

网络防病毒系统在局域网内部,针对服务器和客户端进行防病毒保护,主要在服务器和客户端安装相应的防病毒软件,同时由一台或多台防病毒服务器通过系统控制中心进行统一、集中、智能的防病毒管理。

系统特点

采用自主研发的、从密码芯片到安全应用系统的全系列密码设备产品

基于公钥基础设施(PKI)体系的授权和认证系统

满足电子政务网络建设中物理隔离和逻辑隔离的需求

 

这篇关于中兴通讯电子政务安全解决方案//http://www.ccw.com.cn的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/609756

相关文章

使用Python实现快速搭建本地HTTP服务器

《使用Python实现快速搭建本地HTTP服务器》:本文主要介绍如何使用Python快速搭建本地HTTP服务器,轻松实现一键HTTP文件共享,同时结合二维码技术,让访问更简单,感兴趣的小伙伴可以了... 目录1. 概述2. 快速搭建 HTTP 文件共享服务2.1 核心思路2.2 代码实现2.3 代码解读3.

Linux samba共享慢的原因及解决方案

《Linuxsamba共享慢的原因及解决方案》:本文主要介绍Linuxsamba共享慢的原因及解决方案,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录linux samba共享慢原因及解决问题表现原因解决办法总结Linandroidux samba共享慢原因及解决

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

MySQL新增字段后Java实体未更新的潜在问题与解决方案

《MySQL新增字段后Java实体未更新的潜在问题与解决方案》在Java+MySQL的开发中,我们通常使用ORM框架来映射数据库表与Java对象,但有时候,数据库表结构变更(如新增字段)后,开发人员可... 目录引言1. 问题背景:数据库与 Java 实体不同步1.1 常见场景1.2 示例代码2. 不同操作

java常见报错及解决方案总结

《java常见报错及解决方案总结》:本文主要介绍Java编程中常见错误类型及示例,包括语法错误、空指针异常、数组下标越界、类型转换异常、文件未找到异常、除以零异常、非法线程操作异常、方法未定义异常... 目录1. 语法错误 (Syntax Errors)示例 1:解决方案:2. 空指针异常 (NullPoi

使用DrissionPage控制360浏览器的完美解决方案

《使用DrissionPage控制360浏览器的完美解决方案》在网页自动化领域,经常遇到需要保持登录状态、保留Cookie等场景,今天要分享的方案可以完美解决这个问题:使用DrissionPage直接... 目录完整代码引言为什么要使用已有用户数据?核心代码实现1. 导入必要模块2. 关键配置(重点!)3.

Jackson库进行JSON 序列化时遇到了无限递归(Infinite Recursion)的问题及解决方案

《Jackson库进行JSON序列化时遇到了无限递归(InfiniteRecursion)的问题及解决方案》使用Jackson库进行JSON序列化时遇到了无限递归(InfiniteRecursi... 目录解决方案‌1. 使用 @jsonIgnore 忽略一个方向的引用2. 使用 @JsonManagedR

最新Spring Security实战教程之Spring Security安全框架指南

《最新SpringSecurity实战教程之SpringSecurity安全框架指南》SpringSecurity是Spring生态系统中的核心组件,提供认证、授权和防护机制,以保护应用免受各种安... 目录前言什么是Spring Security?同类框架对比Spring Security典型应用场景传统

Go语言中最便捷的http请求包resty的使用详解

《Go语言中最便捷的http请求包resty的使用详解》go语言虽然自身就有net/http包,但是说实话用起来没那么好用,resty包是go语言中一个非常受欢迎的http请求处理包,下面我们一起来学... 目录安装一、一个简单的get二、带查询参数三、设置请求头、body四、设置表单数据五、处理响应六、超