边界接入平台的方案内容
发布网友
共1个回答
热心网友
接入平台方案安全机制主要集中在两个安全系统:数据交换系统和授权访问系统。
1、数据交换系统
数据交换系统主要实现单位内网与应用服务区之间数据安全交换,通过高可信方式,实现异构系统、数据源之间安全、灵活、有效、快速数据交换。本系统实现以下安全功能:
数据交换对象身份认证
系统对数据交换对象进行身份认证,认证失败则数据交换马上终止。
数据格式过滤
系统能根据用户事先定义业务规则对数据进行全面过滤,支持对每个业务单独设置过滤规则,过滤规则粒度细化到每个字段,包括类型、范围、长度、枚举、缺省值、特殊字段、字符编码、图像字段许可等。
数据内容过滤
系统集成流杀毒引擎,能识别交换内容中SQL语句,能有效防范所有SQL提交攻击。
数据加密
系统根据认证产生的会话密钥对传输数据进行加密。
安全审计
系统提供对整个数据交换行为完整审计,包括数据来源、交换发生时间、数据交换目标、数据交换内容、是否得到授权、是否遵守交换规则、交换行为是否成功、交换结束时间等。
单道访问
主动从前置机获取数据,不接受前置机主动向系统发送数据。
安全隔离
切断单位内网与应用服务区一切网络连接。
监控管理
对运行状况进行实时监控(包括安全策略监控、状态监控和流量监控);对平台运行信息进行安全审计和异常行为责任认定(包括内容审计和事件审计)。
2、授权访问系统
授权访问系统目的是实现驻外办公人员身份认证、访问控制、权限管理和信息传输过程中数据机密性和完整性保护。本系统实现以下安全功能:
身份认证
包括用户身份标识和身份鉴别,只有通过身份认证的合法用户才能进入系统,进行后续操作。
终端认证
确保只有经过注册审核的终端才可访问被保护内网服务器。
授权与访问控制
根据“最小授权”的基本原则,保证用户只具备完成工作所需的最小操作权限,杜绝超越合法授权的操作行为。
数据加密
采用密码学算法,对重要数据进行加密保护,避免数据中所包含敏感信息泄露。
数据完整性保护
采用密码学算法,对数据完整性进行校验,发现可能存在的数据内容非法篡改。
数字签名
采用公钥密码算法,对操作行为进行签名确认,提供数字化证据,避免抵赖行为发生。
安全审计
网关对管理员维护操作进行详细记录,对用户身份请求进行详细记录。
3、监管系统
实现对接入平台边界接入情况集中监控、管理与审计。本系统安全设备主要是监管服务器和监管探针。本系统在安全上实现以下基本安全功能:
注册管理服务
实现接入业务信息标准注册流程。
监控管理服务
对边界接入平台运行状况进行实时监控。
审计管理服务
对平台运行信息进行安全审计和异常行为责任认定。
监管探针
实现流量数据实时监听,安全事件实时监听与初步分析,定期将流量数据与安全事件信息发送给监管服务器。
