xx市房管局数据交换平台解决方案v2

xx市房管局数据交换平台解决方案v2内容摘要：

地址、协议类型、源端口、目标端口以及网络 协议 等对数据包进行访问控制。 防火墙还保证了平台内部的主机地址不被外部终端直接获得。 入侵检测系统 （ IDS） 是实时 对网络入侵行为 自动识别和响应 的 系统。 它通过实时监听网络数据流，识别 和 记录入侵 行为 ，该系统安装于防火墙后，可以对穿透防火墙进行攻击的 数据流进行响应。 . 应用服务区 根据实际业务需求，应用服务区放置了房管局互联网上的前置服务器（包括应用服务器、 WEB 服务器、数据库服务器、文件服务器等）。 作为外部终端网络连接的终点，提供给终端用户应用代理、数据暂存等功能服务。 . 安全隔离区 该区域主要实现 房管局 局域网与应用服务区网络隔离和数据的安全交换 , 它通过高可信的方式，实现异构系统、数据源之间安全、灵活、有效、快速的数据交换。 XX 市房管局数据交换平台建设方案 10 XX 合众信息工程有限公司 . 安全数据交换系统 内 网 数 据交 换 对 象外 网 数 据交 换 对 象内 网 交 换 服 务 器外 网 交 换 服 务 器网 闸合 众 安 全 数 据 交 换 系 统 安全数据交换系统的安全设备主要是内外网数据交换服务 器和网闸。 它是在隔离环境下构建的完整的数据交换平台，它由外网交换服务器、网闸和内网交换服务器三部分组成。 它将网络边界分为数据获取、隔离交换和数据装载三个区域。 每个区域承担相应的安全职责。 将三种不同的安全技术手段（内容检查、网络隔离、监控审计）有机地组成在一起，提供给用户一个统一的安全管理界面，最大程度的提升网络边界的安全保护能力和用户的管理能力。 . 系统 安全功能 本系统实现以下安全功能：  网络隔离： 系统支持网络隔离，即通过专用隔离设备阻断内外网之间所有基于网络协议的连接，使外部终端无法访问内部网络，确保内外网 之间网络隔离。  身份认证： 系统支持对内外网交换服务器基于硬件设备证书进行双向身份认证，保证基于硬件的可信任计算体系。 如果认证失败，则数据交换过程马上终止。  数据加密： 数据交换基于加密认证通道，能够有效的对抗信息篡改和端口侦听，防止信息泄密。  格式过滤： 系统根据用户事先定义的业务规则对数据进行全面的格式 XX 市房管局数据交换平台建设方案 11 XX 合众信息工程有限公司 检查，支持对每个业务单独设置检查规则。  内容过滤： 系统根据用户事先设置的黑名单过滤所有交换的数据，如果出现黑名单中的内容则阻断交换并报警。  防病毒： 内置杀毒引擎能够过滤交换数据中的病毒和木马。  防 SQL 注入： 系 统识别交换内容中 SQL 语句，有效防范 SQL 提交攻击，保护内网数据库和业务系统。  URL 过滤： 系统根据用户事先设定的 URL 过滤规则，只允许合法的URL 请求通过。  内容审计： 系统提供完整的内容审计保证交换行为事后可以追溯。  流量监控： 系统实时监控每个业务的流量，并根据事先设置的阀值判断业务是否超限并报警。  监控管理： 登记接入业务的基础信息、链路信息、协议信息、使用单位信息；对系统运行状况进行实时监控（包括安全策略监控、状态监控和流量监控）；对系统运行信息进行安全审计和异常行为的责任认定（包括内容审计和事件审计）。 . 系统 应用功能 在保证安全的前提下，本系统实现以下应用功能：  数据库同步交换： 数据库同步模块，独立自主开发完成，支持六种同步方式：全表镜像、触发器模式、奉献模式（内网入库后外网删除）、有序同步（时间戳或其他自增量字段标识）、快照日志和同表双向。  文件同步交换： 系统支持文件夹的新增同步、文件夹的镜像同步、文件完全同步、文件同步后源端删除、双向文件同步五种模式等；系统支持采用 SMB CLIENT、 FTP 和 AGENT 模式三种文件获取手段。  异构数据交换： XX 市房管局数据交换平台建设方案 12 XX 合众信息工程有限公司  异构数据库交换，支持多种数据库类型（如 SQL Server、 Oracle、 Sybase 等）异构数据库之间的交换。  异构数据的转换，支持文件到数据库、数据库到文件等多种数据格式的转换。  支持异构表、异构字段名、异构字段类型。  支持异构的字符类型、异构的数据库字符集。  支持 BLOB、 CLOB、 LONG、 TEXT、 IMAGE 等大字段的异构。  支持通过公用函数实现字段值转化， 异构转换支持表 /字段级的规则设置。  支持 格式转换 ， 允许用户对数据字段进行转换，如类型转换、对应关系转换 、代码 /字典转换 等。  支持内容转换，支持逻辑运算、数学运算、日期运算处理、数据合并、数据分离等多 种内容转换方式。  支持调度： 支持实时调度和定时调度。 实时调度是指每间隔多少时间同步一次；定时调度是指每天的什么时间同步一次。  支持数据分发： 系统支持将源数据库中的记录分发到不同的目标库，针对每个分发目标库都可以设置分发的条件。  支持按需交换： 系统支持按需交换，源数据可以按照某一特定条件进行同步（支持采用 WHERE 语句编程）。  列过滤和行过滤： 系统可以自由选择需要同步的数据表中的字段，每个字段中的值可以事先定义缺省值。  提供可靠传输机制： 系统通过底层消息队列提供数据可靠传输机制，当发生网络阻塞，链路故障等时保 障数据交换可靠性。  提供数据完整性保证： 系统通过底层消息队列提供数据传输完整性保证，当发生网络阻塞 /异常，链路故障等时保障交换数据的完整性。  支持断点续传： 系统支持将一个大的消息切分成多个小块发送，在目的节点重新组合成完整的消息。 因为在传输时实现了消息切分，所以系统能够支持断点续传。  支持数据压缩： 方便用户在收发消息时对消息进行压缩和解压缩，以 XX 市房管局数据交换平台建设方案 13 XX 合众信息工程有限公司 提高消息传输效率。  支持用户设置消息优先级： 根据消息优先级的高低安排消息的发送次序。  方便的管理功能：  所有业务都集中在管理界面上运维管理，系统采用全中文的 Web 方 式进行远程网络管理，界面友好，操作方便。  系统上的业务配置全部在内网进行，管理者不再需要内网、外网两头跑。 管理者可以通过本地浏览器远程起停所有业务。  能够实现单个业务起停，其他业务不受任何影响。  使用丰富的系统日志，可以及时定位故障，并实施远程维护。 . 安全监测与管理区 安全监测与管理区内包括：集中监控与管理系统（简称集控系统），集中监控与管理系统由集控系统服务器和集控探针组成。 . 集控探针 由于处于内部局域网的集控服务器无法直接监管处于外网的各种设备，所以需要在边界保护区安装集控探针。 集控探针是构建在工控机 基础上的专用硬件设备，采集外网各种设备（如防火墙、三层交换机、 VPN 网关、 IDS、外网交换服务器、各种业务前置机）的日志信息，同时监听外网设备的使用状态、流量、异常报警事件等等。 . 集控服务器 位于内部局域网的集控服务器上部署集中监控与管理系统，集控系统功能包括：  注册信息管理功能 XX 市房管局数据交换平台建设方案 14 XX 合众信息工程有限公司 根据安全规范要求提供信息注册和管理功能。 包括对平台的基础信息、建设情况、运维情况、链路情况、设备情况进行注册；对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行注册。  运行监控管理功能 集控系统能够实时查看业 务当前状态、当日流量、总流量等；能够根据链路、归属单位、操作方式、接入对象来统计任意时间段内的流量、交换次数、审计次数、报警次数等重要信息；能够实时监控各种设备当前运行状况；能够提供用户行为监控，对用户的登录状态、操作行为、访问资源进行监控并提供查询统计。  报警管理功能 集控系统的报警分为三种：设备报警、业务报警和事件报警。 设备报警是对设备故障状态的报警；业务报警是对业务异常运行状态的报警；事件报警是对各种设备产生的安全事件的报警。 系统 支持短信报警和邮件报警。  安全审计功能 系统提供用户行为审计，即用户信息 、用户访问的资源、访问的时间等信息；系统提供业务应用审计，即业务应用系统信息、数据传输流量、传输时间、传输具体内容等等；系统提供设备状态审计：即设备的启停时间、次数、流入流出流量、设备资源使用状况等等；系统提供异常行为审计：即异常发生时间、业务信息、设备信息、异常具体内容等等。 . 方案优势 . 合规性 安全数据交换系统符合《信息系统安全等级保护基本要求 GB/T 22239— 2020》《应用软件系统安全等级保护通用技术指南 GA/T 7112020》的要求，已经通过公安部测试并获得等级保护三级销售许可证。 XX 市房管局数据交换平台建设方案 15 XX 合众信息工程有限公司 . 全面性 整体方案及产品选择符合《计算机信息系统安全保护等级划分准则》（ GB178591999）、《信息系统安全等级保护基本要求》 (GB/T222392020)、《信息安全技术信息系统安全管理要求》（ GB/T202692020）等规范的要求，能够全面满足国家等级保护评测中的各项安全要求。 杭州合众公司是首家通过公安部指定的检测机构－国家计算机等级保护测评中心全面检测的单位。 我公司提供的解决方案和各项产品通过公安部的严格测试和认证，确保我公司为用户承建的平台能够在投产后通过等级保护的检测。 合众的产品包括多种不同 配置不同性能的型号可供不同需求的用户自主选择，能够很好的满足全国不同发展水平的各个用户单位的要求。 . 安全性 传统安全设备如防火墙、 IPS、网闸、网关都是可控性产品，都属于网络安全保护的范畴，用户在实现跨内外网数据交换还需要符合机密性、完整性、可用性、可审查性的产品，合众安全数据交换系统就是属于这个类型的安全交换产品。 从安全功能角度上看，合众安全数据交换系统分别有几大功能对应上述安全要求：  机密性要求：安全数据交换系统采用加密算法对传输的数据进行加解密。  完整性要求：安全数据交换系统采用数字签名保证所传输数 据不被篡改和破坏。  可用性要求：安全数据交换系统通过格式检查、内容过滤机制保证所传输数据可用。  可审查性要求：安全数据交换系统通过审计能够满足交换行为的可审查。 XX 市房管局数据交换平台建设方案 16 XX 合众信息工程有限公司 因此，安全数据交换系统的加密、签名、过滤、审计能够弥补原有可控性产品对于跨内外网数据交换安全防护的不足，更好的保证用户数据传输和网络边界的安全。 . 稳定性 合众的产品在很多用户单位已经稳定运行已达四年以上，每天负载着多达数十个业务同时在运行、很多节点的数据交换日流量达到 500GB 以上，适用于用户单位各个部门、各种不同架构的应用业务程序（包括 B/S 架构 和 C/S 架构，两层或三层的应用程序）。 . 产品介绍 . 合众安全数据交换系统 . 产品定位 合众安全数据交换系统是专门为政府部门和大型企事业单位实现内外网数据交换需求而研发的产品。 合众安全数据交换系统解决不同网络之间、异构操作系统、异构数据库之间的数据交换。 系统基于等级保护三级要求的三权分立管理体系，具备等级保护三级要求的强制访问控制和安全标记管理等功能。 该系统的主要用途如下：  弥补传统安全设备的不足  适用于等级保护要求高的用户  存在大量交换业务的用户  需要异构交换的用户  需要对交换加强管理的用户 XX 市房管局数据交换平台建设方案 17 XX 合众信息工程有限公司  正在使用网闸 ，但对于网闸的功能不够满意的用户 . 系统功能 接 接 接 接 接接 接 接 接接 接 接 接接 接 接 接 接接 接 接 接 接 接 接 接接 接 接 接接 接 接 接接 接 接 接 接 接 接 接接 接 接 接接 接 接 接接 接 接 接接 接接 接 接 接接 接 接 接接 接 接 接 接 接接 接 接 接接 接 接 接  安全功能 系统的安全功能主要有： 身份认证：基于设备证书提供对数据源的认证；基于设备证书提供对交换服务器的双向认证。 加密和数据完整性保护：系统支持国产商密算法对交换数据进行加密；系统通过数字签名保证交换数据完整性。 数据过滤：系统数据过滤功能包括格式过滤、内容过滤（即病毒过滤）、URL 过滤、防 SQL 注入过滤等。 数据标记与强制访问控制：系统支持对主要主、。