青島OA軟件的安全島是獨(dú)立于電子政務(wù)內(nèi)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

安全島
　　　由于青島XX存在內(nèi)網(wǎng)與專(zhuān)網(wǎng)、外網(wǎng)間的信息交換需求，然而基于內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮，我們又不希望內(nèi)網(wǎng)暴露在對(duì)外環(huán)境中。解決該問(wèn)題的有效方式是設(shè)置安全島，通過(guò)安全島來(lái)實(shí)現(xiàn)內(nèi)外網(wǎng)間信息的過(guò)濾和兩個(gè)網(wǎng)絡(luò)間的物理隔離，從而在內(nèi)外網(wǎng)間實(shí)現(xiàn)安全的數(shù)據(jù)交換。青島OA軟件的安全島是獨(dú)立于電子政務(wù)內(nèi)、外網(wǎng)的一個(gè)特殊的過(guò)渡網(wǎng)絡(luò)，它被置于內(nèi)網(wǎng)、專(zhuān)網(wǎng)和外網(wǎng)相交的邊界位置，一方面將內(nèi)網(wǎng)與外網(wǎng)物理隔離斷開(kāi)防止外網(wǎng)中黑客利用漏洞等攻擊手段進(jìn)入內(nèi)網(wǎng)，另一方面又完成數(shù)據(jù)的中轉(zhuǎn)，在其安全策略的控制下安全地進(jìn)行內(nèi)外網(wǎng)間的數(shù)據(jù)交換。
　　　隔離網(wǎng)閘(GAP)技術(shù)是實(shí)現(xiàn)安全島的關(guān)鍵技術(shù)，它如同一個(gè)高速開(kāi)關(guān)在內(nèi)外網(wǎng)間來(lái)回切換，同一時(shí)刻內(nèi)外網(wǎng)間沒(méi)有連接，處于物理隔離狀態(tài)。在此基礎(chǔ)上，隔離網(wǎng)閘作為代理從外網(wǎng)的網(wǎng)絡(luò)訪(fǎng)問(wèn)包中抽取出數(shù)據(jù)然后通過(guò)反射開(kāi)關(guān)轉(zhuǎn)入內(nèi)網(wǎng)，完成數(shù)據(jù)中轉(zhuǎn)。在中轉(zhuǎn)過(guò)程中，隔離網(wǎng)閘會(huì)對(duì)抽取的數(shù)據(jù)做應(yīng)用層的協(xié)議檢查、內(nèi)容檢測(cè)，也會(huì)對(duì)IP包地址實(shí)施過(guò)濾控制，由于隔離網(wǎng)閘采用了獨(dú)特的開(kāi)關(guān)切換機(jī)制，因此，在進(jìn)行這些檢查時(shí)網(wǎng)絡(luò)實(shí)際上處于斷開(kāi)狀態(tài)，只有通過(guò)嚴(yán)格檢查的數(shù)據(jù)才有可能進(jìn)入內(nèi)網(wǎng)，即使黑客強(qiáng)行攻擊了隔離網(wǎng)閘，由于攻擊發(fā)生時(shí)內(nèi)外網(wǎng)始終處于物理斷開(kāi)狀態(tài)，黑客也無(wú)法進(jìn)入內(nèi)網(wǎng)。另一方面，由于隔離網(wǎng)閘僅抽取數(shù)據(jù)交換進(jìn)內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會(huì)受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的安全交換。
　　　青島OA系統(tǒng)以隔離網(wǎng)閘技術(shù)為核心，通過(guò)添加VPN通信認(rèn)證、加密、入侵檢測(cè)和對(duì)數(shù)據(jù)的病毒掃描，就可構(gòu)成一個(gè)在物理隔離基礎(chǔ)上實(shí)現(xiàn)安全數(shù)據(jù)交換的信息安全島。關(guān)于網(wǎng)閘與VPN的詳細(xì)方案請(qǐng)參考附件一《青島省XX網(wǎng)絡(luò)改造 建議》
網(wǎng)絡(luò)域
　　　青島OA辦公自動(dòng)化系統(tǒng)應(yīng)該處于嚴(yán)格的控制之下，只有經(jīng)過(guò)認(rèn)證的設(shè)備可以訪(fǎng)問(wèn)網(wǎng)絡(luò)，并且能明確地限定其訪(fǎng)問(wèn)范圍，這對(duì)于電子政務(wù)的網(wǎng)絡(luò)安全而言同樣十分重要。然而現(xiàn)今絕大部分網(wǎng)絡(luò)是基于TCP/IPV4網(wǎng)絡(luò)協(xié)議的，它本身不具備這種控制能力。要加強(qiáng)電子政務(wù)網(wǎng)絡(luò)的控制與管理能力，可以采用基于802.1x帶網(wǎng)絡(luò)接入認(rèn)證功能的交換機(jī)來(lái)實(shí)現(xiàn)。802.1x協(xié)議能夠?qū)尤朐O(shè)備實(shí)現(xiàn)認(rèn)證，從而控制網(wǎng)絡(luò)的設(shè)備訪(fǎng)問(wèn)，它可以利用第三方的認(rèn)證系統(tǒng)加強(qiáng)認(rèn)證的安全強(qiáng)度，如Radius、TACACS以及CA等系統(tǒng)。802.1x協(xié)議使得辦公自動(dòng)化系統(tǒng)處于中心可管理的狀態(tài)，從而使得各種網(wǎng)絡(luò)域管理策略得以實(shí)現(xiàn)。
時(shí)間源
　　　時(shí)間在辦公自動(dòng)化系統(tǒng)安全應(yīng)用上具有其特定的重要意義。政務(wù)文件上的時(shí)間標(biāo)記是重要的政策執(zhí)行依據(jù)和憑證，政務(wù)信息傳遞過(guò)程中的時(shí)間標(biāo)記又是防止網(wǎng)絡(luò)欺詐行為的重要指標(biāo)，同時(shí)，時(shí)間也是各處室協(xié)同辦公的參照物，因此，辦公自動(dòng)化系統(tǒng)需要建立全系統(tǒng)可信、統(tǒng)一的時(shí)間源，這是保證辦公自動(dòng)化系統(tǒng)不致出現(xiàn)混亂的關(guān)鍵因素。
　　
信息加密
　　　泛普OA辦公自動(dòng)化平臺(tái)應(yīng)用涵蓋政府內(nèi)部辦公和下屬地市企業(yè)數(shù)據(jù)上報(bào)以及項(xiàng)目填報(bào)兩大方面。就內(nèi)部辦公而言，辦公自動(dòng)化系統(tǒng)涉及到處室與處室之間、上下級(jí)之間、地區(qū)與地區(qū)間的公文流轉(zhuǎn)，這些公文的信息往往涉及到機(jī)密等級(jí)的問(wèn)題，所有的數(shù)據(jù)之間傳遞信息應(yīng)該杜絕明文傳遞，數(shù)據(jù)庫(kù)設(shè)計(jì)采用主流的加密方式進(jìn)行加密。
操作系統(tǒng)
　　　辦公網(wǎng)絡(luò)安全的重要基礎(chǔ)之一是安全的操作系統(tǒng)，因?yàn)樗械男枨髴?yīng)用和安全措施(包括防火墻、防病毒、入侵檢測(cè)等)都依賴(lài)操作系統(tǒng)提供底層支持。操作系統(tǒng)的漏洞或配置不當(dāng)將有可能導(dǎo)致整個(gè)安全體系的崩潰。在操作系統(tǒng)安全方面，本次辦公自動(dòng)化系統(tǒng)采用開(kāi)源的封裝系統(tǒng)LINUX，確保安全性與降低被攻擊的可能性。
數(shù)據(jù)備份與容災(zāi)
　　　辦任何的安全措施都無(wú)法保證數(shù)據(jù)萬(wàn)無(wú)一失，硬件故障、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失。因此，在本次辦公自動(dòng)化平臺(tái)中必須包括數(shù)據(jù)的容災(zāi)與備份，本次主要考慮采用雙擊熱備或者高可用的方式來(lái)進(jìn)行，確保當(dāng)一臺(tái)服務(wù)器因?yàn)楦鞣N原因宕機(jī)后備份服務(wù)器可以無(wú)縫對(duì)接，并且以后預(yù)留異地備份的空間，當(dāng)條件滿(mǎn)足時(shí)可以采用異地備份的方式。