天君数据链路安全交换平台白皮书.doc

1、数据链路安全交换平台白皮书 数据链路安全交换平台 白皮书 安徽天君信息科技股份有限公司  2017年 目录 一、 项目背景 3 二、 系统架构 3 三、 数据安全交换平台介绍 6 3.1数据安全接入链路平台架构 6 3.2数据边界接入平台主要功能 7 （1）文件交换功能 7 （2）数据库交换功能 9 （3）授权访问功能 10 （3）数据交换系统功能参数 11 （3）数据交换系统性能参数 13 3.3集控探针 14 （1）功能 14 （2）性能 14 3.4安全隔离网闸设备 14

2、 3.5集中控制系统 15 （1）功能 16 （2）性能 18 四、 主要设备清单 19 一、 项目背景 随着计算机和网络技术在政府及相关行业的广泛应用，为了更好地服务政府管理、服务现实斗争需要，这就要求政府机关加强政府部门之间的信息交换与共享。公安部于2007年制订了《公安信息通信网边界接入平台安全规范》（以下简称《安全规范》），为实现政府部门之间数据交换及社会信息采集，按照公安部《安全规范》的要求，结合政府实际工作的需要，设计建设政府边界接入平台，为开展信息交换共享提供高效、安全的网络接入和数据交换服务。 二、 系统

3、架构 根据边界接入的业务需求及相关规范的要求，信息通信网接入平台在体系结构上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成。 u 路由接入区 该区域实现各个外部链路与接入平台间连接。 该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。 u 边界保护区 该区域主要实现对接入平台的边界保护。 该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。 u 应用服务区 该区域主要处理各类与应用相关的操作，是信息通信网对外信息发布、

4、信息采集、数据交换的中间区域。 该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对信息通信网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。 u 安全隔离区 该区域实现信息通信网与应用服务区的安全隔离与信息交 换。 该区域主要安全功能为：实现信息通信网与应用服务区的安全网络隔离，根据安全策略，对出入信息通信网的数据分别进行协议剥离、格式检查和过滤，实现信息通信网和应用服务区之间的安全数据交换，保障信息通信网的安全。 u 安全监测与管理区 该区域实现整个接入

5、平台的安全监测、管理与维护。 该区域主要安全功能为：对接入平台运行情况进行安全监测与审计，对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等。接入平台内网络设备、安全设备的配置管理及日常运行维护。补丁升级、漏洞扫描与病毒防范。 该区域对接入平台运行安全监测与审计的功能统一由“集中监控与审计系统”实现。 三、 数据安全交换平台介绍 3.1数据安全接入链路平台架构 系统设计主要在中心机房设置1套数据边界平台用于在两网之间的数据交换。通过安全隔离网闸将采集到的图像数据信息同步到信息网中。 所有数据边界平台设备均纳入现网安全边界管理系统，实现现有边界管理系

6、统对这些安全边界设备的统一管理。通过数据隔离网闸实现内外网间TCP/IP网络的完全断开，并对隔离网闸剥离协议后的纯数据块进行内容检查过滤；同时实现由内部监管系统对外部网络、应用、设备的监管，以及日志收集和网络隔离。数据交换系统是交换平台与外部网络业务交换数据的唯一入口。在数据隔离网闸上部署数据库、文件、数据流等应用服务接口。数据交换代理软件会根据外部接入方式、数据交换类型和现有数据流量，选择合理的数据交换方式和网闸安全通道。如下图所示： 3.2数据边界接入平台主要功能 数据交换平台包含数据库数据交换、文件数据交换和授权代理三个模块体系。 （1）文件交换功能 图12：文

7、件交换功能设计 文件传输主要由文件探针模块、平台接口包括文件输入（InputPlugin）、文件输出（OutPlugin）接口组成。文件探针模块实现文件的读取、传输、接收等功能，文件输入接口接收文件探针模块传输的数据流，并通过平台传输给文件输出接口，输出接口将数据流传输给目标端的文件探针模块，文件探针模块接收数据流后保存文件。 文件探针主要由传输配置、输入、输出三部分组成 使用JSP页面设置传输参数，可配置并可在探针上实现多个文件传输应用。参数包括：传输IP地址、传输端口、传输方式、应用名、是否可用、源文件目录、是否删除源目录文件、传输频率、文件目标目录。 传输步骤： 文件探针应用

8、启动先进行源端机器和目标端机器的时戳校准，即探针源端发送一个当前时钟给探针目标端，以源端时间为基准进行校准，目标端时间为源端值的正值或负值。 源端探针将内存结构中的所有信息发送到目标端，目标端根据接收的信息去对应的目标文件目录比对文件名及时戳，如果存在文件：则查看源比目标早或者晚，早则查看下一个文件，晚则查看操作类型，如果为删除操作，则直接删除目标文件，如果操作为修改则设置为需要传输，将其写入目标端新的内存结果中；如果文件不存在也设置为需要传输，且将其写入目标端新的内存结果中。返回所有需要传输的文件信息给源端。源端开始传输文件及文件时戳目标端接收文件后，查找是否存在该文件，如果目标端存在该比

9、对源端文件时戳和目标文件时戳，如果源端时间早，则放弃处理；如果源端时间晚则替换文件；如果不存在则直接写文件。 （2）数据库交换功能 数据库传输主要由文件传输模块、平台接口包括文件输入（InputPlugin）、文件输出（OutPlugin）接口组成。数据库传输模块实现文件的读取、传输、接收等功能，数据库输入接口接收数据库传输模块传输的数据流，并通过平台传输给数据库输出接口，输出接口将数据流传输给目标端的数据库传输模块，数据库传输模块接收数据流后保存数据。 数据库同步支持三种方式：全表复制、触发同步、标记同步 1、全表复制 程序使用JDBC驱动连接到数据库，定时扫描数据库中指定

10、表或字段，读取其中的内容以文件的方式通过平台传输模块。此种方式适合数据量小，实现简单的同步方式。 2、触发同步 程序在用户配置以后自动在需要被同步的数据表上建立触发器，监控该表的数据变化。一旦表中出现数据变化，触发器将捕获到数据的变化，并将其提取出来。数据通过平台被同步到对方数据库中。 3、标记同步 程序依靠数据库表中指定的字段标识数据的变化，用户的程序在修改数据库内容时，在该字段中写入相应的内容标识该条记录的变化。此种方式，需要修改数据库原有的结构。 （3）授权访问功能 天君使用了线程池技术及通道复用技术，减少系统资源浪费，有效实现高性能的负载。支持常见协议的授权代理功能

11、包括：TCP、HTTP、FTP、TNS、UDP、SOCKS协议。 授权访问模块默认情况下是关闭的，及在管理员没有做配置时是不允许内外网之间有访问的，此处可以根据需要单独启动， l HTTP应用代理 可对页面内容进行脚本、内容、URL、控制；支持交互式动态页面访问；支持对用户的认证功能在HTTP代理服务启动的情况下，同时需要有相应的http资源，代理用户，并且资源和代理用户之间以配置关联关系，用户需要在IE中加入代理服务器IP和端口，才能访问到平台另外一端的http服务。 l TCP代理 支持双向tcp代理：内->外或外->内，支持原地址黑白名单控制。 l TNS代理 支持数据库应

12、用代理，包括SQL Server、Oracle、Sybase、DB2等数据库的数据应用代理功能，实现对数据库的安全访问，支持原地址黑白名单控制，并彻底保障数据库本身的安全。 l FTP代理 文件传输应用代理，支持通过FTP进行文件安全传输，支持原地址黑白名单控制。 l SOCKS代理 支持基于Socks的应用代理，满足多种基于Socks的应用需求。包括Socket4、Socket5的支持，支持对用户的身份认证，支持原地址黑白名单控制。 （3）数据交换系统功能参数 l 两台主机分别部署在两个网络之间，连接两个网络中应用服务器传输数据，主机之间部署安全隔离网闸实现隔离环境下的数据安全交

13、换； l 能够识别DOC、DOCX、XLS、XLSX、TXT、BMP、MP3、S48、AVI-divx、AVI-JPEG、WMV等文件的格式，防止伪造后缀名或增加二进制执行代码的恶意文件传输，提供公安部三所检测报告。 l 具备应用进程认证功能，能够根据设置的应用程序的白名单限制非法程序通过网闸访问服务器。 l 每台设备具备2个千兆高速以太网网络接口； l 每台设备具备8GB的服务器专用内存； l 每台主机包含1块120G硬盘； l 支持WEB方式管理配置，通过内网侧主机统一配置管理； l 使用安全加固的Linux操作系统； l 数据交换系统对数据通信内容进行加密及数字签名，保证

14、数据通信的机密性和完整性； l 数据库同步：支持SQLServer、Oracle、Sybase、DB2、Mysql等的单、双向数据交换；可同时发送和接收多个数据库中多个表；支持多种增量方式；根据指定字段值进行条件传输；支持大字段数据同步交换；支持异构数据库安全传输； l 数据库支持多种同步方式：触发器方式，全表采集方式，同表双向的数据同步，主从表的数据同步，删除源数据方式等同步方式； l 数据库支持不同类型数据库之间及异构数据库的数据类型转换（表名、表字段、表字段类型、表主键、表外部键不同）；支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构； l 文件同步：支持多种

15、文件传输方式，高可靠文件传输，文件完整性校验；文件内容识别检查过滤和文件格式特征检查；支持增量文件同步，实现内外网两个目录之间的文件一致性；小文件传输可使用多线程并发提高传输效率； l 支持断点重传功能，在出现断电或传输中断等情况下，能够保证系统恢复时，交换的数据能重传或续传且不出数据丢失现象； l 数据交换系统连接内外网数据服务器，根据系统管理员配置进行数据获取及摆渡，同时对数据内容进行深层次细粒度的过滤检查； l 支持SYSLOG、SNMP V2/V3，可扩展支持WEBService管理方式； l 能够在同步过程发生错误时，会重试或报警。报警可以按要求以多种形式发送； l 能与集

16、中监控与审计系统无缝对接，支持将审计信息或报警信息发送到集中监控与审计系统统一管理； （3）数据交换系统性能参数 l 稳定性运行时间（MTBF）：>50000小时； l 可实现600Mbps的交换能力，20000个并发会话；数据库到数据库交换最大并发数据表≥1024； l 数据库到数据库交换记录数（<10Kb/记录）≥2000条/秒； l 数据文件处理文件数（>100Kb/记录）≥200个/秒； l 数据文件处理吞吐量≥300 Mbps； l 最大数据文件≥10G； l 任务调度粒度为秒级； l 目录监控触发时间<1秒；最大传输延时<50ms 3.3集控探针 （1）功

17、能 l 自动扫描网络拓扑或者手动添加，使用Telnet/Ping方式检测设备是否可用 l 接受各网络设备的SYSLOG日志(路由器、防火墙、VPN、安全网关、 l IDS)，并完成过滤。要求支持主要厂商设备。 l 使用SNMP协议监视各个网络设备(路由器、防火墙、VPN、安全网关、IDS)的运行状态。要求支持主要厂商设备。 l 发送日志及网络设备运行状态信息到监控服务端，并维护与监控服务端的网络连接状态。 （2）性能 l 用于平台设备状态获取以及设备管理； l 标准机架式机箱，1U设备； l 2个千兆网络接口； l 稳定性运行时间(MTBF)：≥50000小时； l

18、 支持SYSLOG v2/SNMP v3、Telnet、ICMP协议方式的数据和信息采集； 3.4安全隔离网闸设备 身份认证是指计算机及网络系统确认操作者身份的过程，是信任管理中的关键环节。 可信边界安全网关是基于SSL协议的独立远程接入安全平台，无需改变网络结构和应用模式，为基于B/S和C/S架构的网络应用提供身份认证、传输安全和访问控制等安全服务。完全支持Web应用，以及Exchange、SMB、FTP、Telnet、CRM、ERP、Mail、Oracle和SQL Server等C/S模式应用。 可信边界安全网关支持广泛的身份认证机制，包括第三方的Radius认证系统、第三方动

19、态口令认证系统以及第三方基于PKI的认证系统。 可信边界安全网关与目前市场通用的SSL VPN区别在于它完全采用国产加密算法，采用国产加密卡存储数字证书，该证书不可导出，具有极强的安全性。 3.5集中控制系统 安全集中控制系统部署在安全监测与管理区，安全集中控制系统能对所在区域内所有接入链路进行安全监控、管理与维护，统计与分析；形成对信息通信网全网接入情况的集中管理。 主要实现了以下安全功能： 注册信息管理功能。包括对接入终端、接入设备、接入业务和使用单位的信息注册和管理。 运行监控管理。根据接入平台以及业务注册过程中配置的安全策略提供安全管理功能。主要包括实时监控接入终端的安全状

20、况、网络连接情况、系统和数据业务使用情况、接入平台的运行情况、实时对边界接入平台的监测信息、报警信息、安全事件信息进行统计和查询。监控用户的操作行为，例如登录、退出、视频查询、回放、云台控制等。 安全审计管理。针对用户、数据资源调用、安全设备等的安全审计功能。包括用户行为审计、数据资源调用的应用情况审计（数据流量、传输持续时间、传输单位）、设备运行审计和异常行为审计等。 具体如下： （1）功能 l 标准1U机架式设备； l 现对整个内外网数据交换平台的业务、应用、终端、服务器、网络设备监管；并实现对下级系统的管理和向上级网络的级联上报； l 能够提供边界接入不同层次（接入终端、平台

21、链路、业务、使用单位等）的信息注册和管理功能。包括对接入平台的基础信息、建设情况、运维情况、链路情况、设备情况进行详细登记；对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行详细登记； l 提供对接入终端的注册信息、设备信息、用户信息、安全状况、网络连接情况、业务应用情况的查询统计； l 提供整个平台总拓扑视图，在视图上能够根据链路实时动态监控各种设备当前的运行状况，能显示各个边界接入业务的实时流量，显示整个平台的重要报警信息，要求美观直观，便于汇报演示和管理员查看； l 能够实时看到各种业务当前的运行状态（正常、异常）和当前日流量、总流量等。并能够按需生产网络流

22、量信息的报表，如果流量超过事先设置的阀值则报警给管理员； l 能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等重要信息； l 能够实时监控各种设备当前运行状况（包括CPU使用、内存使用、虚拟内存使用、平均负载率、硬盘容量、网络流量等信息）； l 能够提供用户行为监控，对用户的登录状态、操作行为、访问资源进行监控并提供查询统计； l 连接服务：维护与监控代理的连接服务，能够通过采集安全数据交换系统发送的日志信息来判断业务是否停止、内外网资源是否不可访问等故障信息，一旦故障则启动报警； l 能够通过采集各种设备发送给集控系统的异常事件信息

23、来判断是否出现安全事件，如病毒、木马被发现，未授权访问请求被接受等，一旦事件发生则启动报警； l 报警：对设备故障、网络异常、入侵行为等进行报警，能够支持报警信息对外发送功能，对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置； l 采用syslog服务搜集边界接入平台内各个服务器、前置机和网络设备（如三层交换机，路由器，防火墙，VPN、网关、网闸等）的日志信息； l 入库：对接受得到的SYSLOG日志及SNMP信息进行入库，能够通过被动采集（SYSLOG和SNMPv2、v3）设备日志和网管信息和主动安全策略来判断设备是否故障，一旦故障则启动报警； l 系统提供用户行为审计

24、即用户信息、用户访问的资源、访问的时间等信息； l 系统提供业务应用审计，即业务应用系统信息、数据传输流量、传输时间、传输具体内容等； l 对安全数据交换系统、可信边界安全网关设备进行专门的审计。并且对专有设备的syslog信息的内容部分作了更进一步的扩容，实现根据对syslog内容解析获得这些专有设备业务配置信息、业务审计信息、业务报警信息和实时业务状态信息等； l 系统提供设备状态审计，即设备的启停时间、次数、流入流出流量、设备资源使用状况等； l 系统提供异常行为审计，即异常发生时间、业务信息、设备信息、异常具体内容等； l 导出/迁移：对审计数据进行导出或迁移到其他备份表等

25、 （2）性能 l 支持WEB方式配置管理； l 内置级联上报信息系统，满足后期级联上报数据需求。 l 2-4个千兆高速以太网网络接口； l 包含Intel四核Xeon处理器；不低于4GB的服务器专用内存配置； l 包含1块60G SATA II固态硬盘； l 使用经裁剪安全加固的Linux操作系统； l 最大支持业务数量：≥1500； l 最大监控并发用户数量：≥6000； l 最大审计用户数量：≥20000； l 最大日志存储时间：180天； l 日志审计信息可导入导出； l 自身内置大型关系型数据库，也可使用外部数据库； l 稳定性运行时间（MTBF）：>50

26、000小时； 四、 主要设备清单 序号 型号 描述 数量 产品型号 价格 1 防火墙 1 2 边界安全接入网关 1 3 IDS 1 4 数据安全交换系统 包括安全数据交换前置服务器、安全数据交换后置服务器 1 5 隔离网闸 1 6 集控系统 监视平台及网络设备的运行情况，并可级联上级平台 1 7 集控探针 监控网络设备运行状况 1 模板版次：1.0 第 19 页 共 20 页 COPYRIGHT© 1999-2017 安徽天君信息科技股份有限公司  版权所有