天君数据链路安全交换平台白皮书
数据链路安全交换平台
白皮书
安徽天君信息科技股份有限公司
2017年
模板版次:1.0 第1页共20页
目录
一、项目背景 (3)
二、系统架构 (3)
三、数据安全交换平台介绍 (6)
3.1数据安全接入链路平台架构 (6)
3.2数据边界接入平台主要功能 (7)
(1)文件交换功能 (7)
(2)数据库交换功能 (9)
(3)授权访问功能 (10)
(3)数据交换系统功能参数 (11)
(3)数据交换系统性能参数 (13)
3.3集控探针 (14)
(1)功能 (14)
(2)性能 (14)
3.4安全隔离网闸设备 (15)
3.5集中控制系统 (15)
(1)功能 (16)
(2)性能 (19)
四、主要设备清单 (20)
模板版次:1.0 第2页共20页
一、项目背景
随着计算机和网络技术在政府及相关行业的广泛应用,为了更好地服务政府管理、服务现实斗争需要,这就要求政府机关加强政府部门之间的信息交换与共享。公安部于2007年制订了《公安信息通信网边界接入平台安全规范》(以下简称《安全规范》),为实现政府部门之间数据交换及社会信息采集,按照公安部《安全规范》的要求,结合政府实际工作的需要,设计建设政府边界接入平台,为开展信息交换共享提供高效、安全的网络接入和数据交换服务。
二、系统架构
根据边界接入的业务需求及相关规范的要求,信息通信网接入平台在体系结构上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成。
模板版次:1.0 第3页共20页
模板版次:1.0
第 4 页 共 20 页
◆ 路由接入区
该区域实现各个外部链路与接入平台间连接。
该区域主要安全功能为:实现路由访问控制,将来自不同接入对象或不同外部链路的数据流按照接入平台的安全策略加以区分。 ◆ 边界保护区
该区域主要实现对接入平台的边界保护。
该区域主要安全功能为:实现网络级身份认证、访问控制和权限管理,数据机密性和完整性保护,防御网络攻击和嗅探。 ◆ 应用服务区
该区域主要处理各类与应用相关的操作,是信息通信网对外信息发布、信息采集、数据交换的中间区域。
该区域主要安全功能为:作为外部终端网络连接的终点,实现应用级身份认证、访问控制、应用代理、数据暂存等功能,防止对信息通信网的非法访问和信息泄露。对此区域,应加强对服务器等设备的安全保护,应具有病毒、木马防护功能,防止病毒传播与非法控制。
◆安全隔离区
该区域实现信息通信网与应用服务区的安全隔离与信息交换。
该区域主要安全功能为:实现信息通信网与应用服务区的安全网络隔离,根据安全策略,对出入信息通信网的数据分别进行协议剥离、格式检查和过滤,实现信息通信网和应用服务区之间的安全数据交换,保障信息通信网的安全。
◆安全监测与管理区
该区域实现整个接入平台的安全监测、管理与维护。
该区域主要安全功能为:对接入平台运行情况进行安全监测与审计,对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等。接入平台内网络设备、安全设备的配置管理及日常运行维护。补丁升级、漏洞扫描与病毒防范。
该区域对接入平台运行安全监测与审计的功能统一由“集中监控与审计系统”实现。
模板版次:1.0 第5页共20页
模板版次:1.0
第 6 页 共 20 页
三、 数据安全交换平台介绍
3.1数据安全接入链路平台架构
系统设计主要在中心机房设置1套数据边界平台用于在两网之
间的数据交换。通过安全隔离网闸将采集到的图像数据信息同步到信息网中。
所有数据边界平台设备均纳入现网安全边界管理系统,实现现有边界管理系统对这些安全边界设备的统一管理。通过数据隔离网闸实现内外网间TCP/IP 网络的完全断开,并对隔离网闸剥离协议后的纯数据块进行内容检查过滤;同时实现由内部监管系统对外部网络、应用、设备的监管,以及日志收集和网络隔离。数据交换系统是交换平台与外部网络业务交换数据的唯一入口。在数据隔离网闸上部署数据库、文件、数据流等应用服务接口。数据交换代理软件会根据外部接入方式、数据交换类型和现有数据流量,选择合理的数据交换方式和网闸安全通道。如下图所示:
模板版次:1.0
第 7 页 共 20 页
3.2数据边界接入平台主要功能
数据交换平台包含数据库数据交换、文件数据交换和授权代理三个模块体系。
数据交换
数据库数据交换
文件交换
数据源配置
触发器机制
全表机制
格式检查内容过滤
数据交换
数据安全和完整
内到外
外到内
双向
内到外外到内
文件源配置
内容过滤格式检查
数据安全和完整
文件交换
同步机制摆渡机制
内到外
外到内
双向
内到外外到内
(1)文件交换功能
InputPlugin
OutPlugin
OutPlugin
InPlugin
数据传输模块
文件探针模块
文件探针模块
图12:文件交换功能设计错误!未找到引用源。
文件传输主要由文件探针模块、平台接口包括文件输入(InputPlugin )、文件输出(OutPlugin )接口组成。文件探针模块实现文件的读取、传输、接收等功能,文件输入接口接收文件探针模
块传输的数据流,并通过平台传输给文件输出接口,输出接口将数据流传输给目标端的文件探针模块,文件探针模块接收数据流后保存文件。
文件探针主要由传输配置、输入、输出三部分组成
使用JSP页面设置传输参数,可配置并可在探针上实现多个文件传输应用。参数包括:传输IP地址、传输端口、传输方式、应用名、是否可用、源文件目录、是否删除源目录文件、传输频率、文件目标目录。
传输步骤:
文件探针应用启动先进行源端机器和目标端机器的时戳校准,即探针源端发送一个当前时钟给探针目标端,以源端时间为基准进行校准,目标端时间为源端值的正值或负值。
源端探针将内存结构中的所有信息发送到目标端,目标端根据接收的信息去对应的目标文件目录比对文件名及时戳,如果存在文件:则查看源比目标早或者晚,早则查看下一个文件,晚则查看操作类型,如果为删除操作,则直接删除目标文件,如果操作为修改则设置为需要传输,将其写入目标端新的内存结果中;如果文件不存在也设置为需要传输,且将其写入目标端新的内存结果中。返回所有需要传输的文件信息给源端。源端开始传输文件及文件时戳目标端接收文件后,查找是否存在该文件,如果目标端存在该比对源端文件时戳和目标文件时戳,如果源端时间早,则放弃处理;如果源端时间晚则替换文件;
模板版次:1.0 第8页共20页
如果不存在则直接写文件。(2)数据库交换功能
数据库
InputPlugin OutPlugin
OutPlugin
InPlugin 数据传
输模块
数据库探针模块数据库探针模块
数据库
数据库传输主要由文件传输模块、平台接口包括文件输入(InputPlugin)、文件输出(OutPlugin)接口组成。数据库传输模块实现文件的读取、传输、接收等功能,数据库输入接口接收数据库传输模块传输的数据流,并通过平台传输给数据库输出接口,输出接口将数据流传输给目标端的数据库传输模块,数据库传输模块接收数据流后保存数据。
数据库同步支持三种方式:全表复制、触发同步、标记同步
1、全表复制
程序使用JDBC驱动连接到数据库,定时扫描数据库中指定表或字段,读取其中的内容以文件的方式通过平台传输模块。此种方式适合数据量小,实现简单的同步方式。
2、触发同步
模板版次:1.0 第9页共20页
程序在用户配置以后自动在需要被同步的数据表上建立触发器,监控该表的数据变化。一旦表中出现数据变化,触发器将捕获到数据的变化,并将其提取出来。数据通过平台被同步到对方数据库中。
3、标记同步
程序依靠数据库表中指定的字段标识数据的变化,用户的程序在修改数据库内容时,在该字段中写入相应的内容标识该条记录的变化。此种方式,需要修改数据库原有的结构。
(3)授权访问功能
天君使用了线程池技术及通道复用技术,减少系统资源浪费,有效实现高性能的负载。支持常见协议的授权代理功能包括:TCP、HTTP、FTP、TNS、UDP、SOCKS协议。
授权访问模块默认情况下是关闭的,及在管理员没有做配置时是不允许内外网之间有访问的,此处可以根据需要单独启动, HTTP应用代理
可对页面内容进行脚本、内容、URL、控制;支持交互式动态页面访问;支持对用户的认证功能在HTTP代理服务启动的情况下,同时需要有相应的http资源,代理用户,并且资源和代理用户之间以配置关联关系,用户需要在IE中加入代理服务器IP和端口,才能访问模板版次:1.0 第10页共20页
到平台另外一端的http服务。
●TCP代理
支持双向tcp代理:内->外或外->内,支持原地址黑白名单控制。
●TNS代理
支持数据库应用代理,包括SQL Server、Oracle、Sybase、DB2等数据库的数据应用代理功能,实现对数据库的安全访问,支持原地址黑白名单控制,并彻底保障数据库本身的安全。
●FTP代理
文件传输应用代理,支持通过FTP进行文件安全传输,支持原地址黑白名单控制。
●SOCKS代理
支持基于Socks的应用代理,满足多种基于Socks的应用需求。包括Socket4、Socket5的支持,支持对用户的身份认证,支持原地址黑白名单控制。
(3)数据交换系统功能参数
●两台主机分别部署在两个网络之间,连接两个网络中应用服务器
传输数据,主机之间部署安全隔离网闸实现隔离环境下的数据安全交换;
●能够识别DOC、DOCX、XLS、XLSX、TXT、BMP、MP3、S48、AVI-divx、模板版次:1.0 第11页共20页
AVI-JPEG、WMV等文件的格式,防止伪造后缀名或增加二进制执行代码的恶意文件传输,提供公安部三所检测报告。
●具备应用进程认证功能,能够根据设置的应用程序的白名单限制
非法程序通过网闸访问服务器。
●每台设备具备2个千兆高速以太网网络接口;
●每台设备具备8GB的服务器专用内存;
●每台主机包含1块120G硬盘;
●支持WEB方式管理配置,通过内网侧主机统一配置管理;
●使用安全加固的Linux操作系统;
●数据交换系统对数据通信内容进行加密及数字签名,保证数据通
信的机密性和完整性;
●数据库同步:支持SQLServer、Oracle、Sybase、DB2、Mysql等
的单、双向数据交换;可同时发送和接收多个数据库中多个表;
支持多种增量方式;根据指定字段值进行条件传输;支持大字段数据同步交换;支持异构数据库安全传输;
●数据库支持多种同步方式:触发器方式,全表采集方式,同表双
向的数据同步,主从表的数据同步,删除源数据方式等同步方式;
●数据库支持不同类型数据库之间及异构数据库的数据类型转换
(表名、表字段、表字段类型、表主键、表外部键不同);支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构;
●文件同步:支持多种文件传输方式,高可靠文件传输,文件完整模板版次:1.0 第12页共20页
性校验;文件内容识别检查过滤和文件格式特征检查;支持增量文件同步,实现内外网两个目录之间的文件一致性;小文件传输可使用多线程并发提高传输效率;
●支持断点重传功能,在出现断电或传输中断等情况下,能够保证
系统恢复时,交换的数据能重传或续传且不出数据丢失现象;
●数据交换系统连接内外网数据服务器,根据系统管理员配置进行
数据获取及摆渡,同时对数据内容进行深层次细粒度的过滤检查;
●支持SYSLOG、SNMP V2/V3,可扩展支持WEBService管理方式;
●能够在同步过程发生错误时,会重试或报警。报警可以按要求以
多种形式发送;
●能与集中监控与审计系统无缝对接,支持将审计信息或报警信息
发送到集中监控与审计系统统一管理;
(3)数据交换系统性能参数
●稳定性运行时间(MTBF):>50000小时;
●可实现600Mbps的交换能力,20000个并发会话;数据库到数据库
交换最大并发数据表≥1024;
●数据库到数据库交换记录数(<10Kb/记录)≥2000条/秒;
●数据文件处理文件数(>100Kb/记录)≥200个/秒;
●数据文件处理吞吐量≥300 Mbps;
●最大数据文件≥10G;
●任务调度粒度为秒级;
模板版次:1.0 第13页共20页
●目录监控触发时间<1秒;最大传输延时<50ms
3.3集控探针
(1)功能
●自动扫描网络拓扑或者手动添加,使用Telnet/Ping方式检测设
备是否可用
●接受各网络设备的SYSLOG日志(路由器、防火墙、VPN、安全网关、● IDS),并完成过滤。要求支持主要厂商设备。
●使用SNMP协议监视各个网络设备(路由器、防火墙、VPN、安全网
关、IDS)的运行状态。要求支持主要厂商设备。
●发送日志及网络设备运行状态信息到监控服务端,并维护与监控
服务端的网络连接状态。
(2)性能
●用于平台设备状态获取以及设备管理;
●标准机架式机箱,1U设备;
●2个千兆网络接口;
●稳定性运行时间(MTBF):≥50000小时;
●支持SYSLOG v2/SNMP v3、Telnet、ICMP协议方式的数据和信息
采集;
模板版次:1.0 第14页共20页
3.4安全隔离网闸设备
身份认证是指计算机及网络系统确认操作者身份的过程,是信任管理中的关键环节。
可信边界安全网关是基于SSL协议的独立远程接入安全平台,无需改变网络结构和应用模式,为基于B/S和C/S架构的网络应用提供身份认证、传输安全和访问控制等安全服务。完全支持Web应用,以及Exchange、SMB、FTP、Telnet、CRM、ERP、Mail、Oracle和SQL Server 等C/S模式应用。
可信边界安全网关支持广泛的身份认证机制,包括第三方的Radius认证系统、第三方动态口令认证系统以及第三方基于PKI的认证系统。
可信边界安全网关与目前市场通用的SSL VPN区别在于它完全采用国产加密算法,采用国产加密卡存储数字证书,该证书不可导出,具有极强的安全性。
3.5集中控制系统
安全集中控制系统部署在安全监测与管理区,安全集中控制系统能对所在区域内所有接入链路进行安全监控、管理与维护,统计与分析;形成对信息通信网全网接入情况的集中管理。
主要实现了以下安全功能:
注册信息管理功能。包括对接入终端、接入设备、接入业务和使模板版次:1.0 第15页共20页
用单位的信息注册和管理。
运行监控管理。根据接入平台以及业务注册过程中配置的安全策略提供安全管理功能。主要包括实时监控接入终端的安全状况、网络连接情况、系统和数据业务使用情况、接入平台的运行情况、实时对边界接入平台的监测信息、报警信息、安全事件信息进行统计和查询。监控用户的操作行为,例如登录、退出、视频查询、回放、云台控制等。
安全审计管理。针对用户、数据资源调用、安全设备等的安全审计功能。包括用户行为审计、数据资源调用的应用情况审计(数据流量、传输持续时间、传输单位)、设备运行审计和异常行为审计等。
具体如下:
(1)功能
●标准1U机架式设备;
●现对整个内外网数据交换平台的业务、应用、终端、服务器、网
络设备监管;并实现对下级系统的管理和向上级网络的级联上报;
●能够提供边界接入不同层次(接入终端、平台、链路、业务、使
用单位等)的信息注册和管理功能。包括对接入平台的基础信息、建设情况、运维情况、链路情况、设备情况进行详细登记;对接入业务的基础信息、扩展信息、协议信息、使用单位信息、终端设备信息进行详细登记;
模板版次:1.0 第16页共20页
●提供对接入终端的注册信息、设备信息、用户信息、安全状况、
网络连接情况、业务应用情况的查询统计;
●提供整个平台总拓扑视图,在视图上能够根据链路实时动态监控
各种设备当前的运行状况,能显示各个边界接入业务的实时流量,显示整个平台的重要报警信息,要求美观直观,便于汇报演示和管理员查看;
●能够实时看到各种业务当前的运行状态(正常、异常)和当前日
流量、总流量等。并能够按需生产网络流量信息的报表,如果流量超过事先设置的阀值则报警给管理员;
●能够根据链路、归属单位、操作方式、接入对象来统计任意时间
段内的流量、交换次数、审计次数、报警次数等重要信息;
●能够实时监控各种设备当前运行状况(包括CPU使用、内存使用、
虚拟内存使用、平均负载率、硬盘容量、网络流量等信息);
●能够提供用户行为监控,对用户的登录状态、操作行为、访问资
源进行监控并提供查询统计;
●连接服务:维护与监控代理的连接服务,能够通过采集安全数据
交换系统发送的日志信息来判断业务是否停止、内外网资源是否不可访问等故障信息,一旦故障则启动报警;
●能够通过采集各种设备发送给集控系统的异常事件信息来判断是
否出现安全事件,如病毒、木马被发现,未授权访问请求被接受等,一旦事件发生则启动报警;
●报警:对设备故障、网络异常、入侵行为等进行报警,能够支持模板版次:1.0 第17页共20页
报警信息对外发送功能,对外报警接口可以进行报警源、报警组件、报警对象和报警规则的配置;
●采用syslog服务搜集边界接入平台内各个服务器、前置机和网络
设备(如三层交换机,路由器,防火墙,VPN、网关、网闸等)的日志信息;
●入库:对接受得到的SYSLOG日志及SNMP信息进行入库,能够通
过被动采集(SYSLOG和SNMPv2、v3)设备日志和网管信息和主动安全策略来判断设备是否故障,一旦故障则启动报警;
●系统提供用户行为审计,即用户信息、用户访问的资源、访问的
时间等信息;
●系统提供业务应用审计,即业务应用系统信息、数据传输流量、
传输时间、传输具体内容等;
●对安全数据交换系统、可信边界安全网关设备进行专门的审计。
并且对专有设备的syslog信息的内容部分作了更进一步的扩容,实现根据对syslog内容解析获得这些专有设备业务配置信息、业务审计信息、业务报警信息和实时业务状态信息等;
●系统提供设备状态审计,即设备的启停时间、次数、流入流出流
量、设备资源使用状况等;
●系统提供异常行为审计,即异常发生时间、业务信息、设备信息、
异常具体内容等;
●导出/迁移:对审计数据进行导出或迁移到其他备份表等。
模板版次:1.0 第18页共20页
(2)性能
●支持WEB方式配置管理;
●内置级联上报信息系统,满足后期级联上报数据需求。
●2-4个千兆高速以太网网络接口;
●包含Intel四核Xeon处理器;不低于4GB的服务器专用内存配置;
●包含1块60G SATA II固态硬盘;
●使用经裁剪安全加固的Linux操作系统;
●最大支持业务数量:≥1500;
●最大监控并发用户数量:≥6000;
●最大审计用户数量:≥20000;
●最大日志存储时间:180天;
●日志审计信息可导入导出;
●自身内置大型关系型数据库,也可使用外部数据库;
●稳定性运行时间(MTBF):>50000小时;
模板版次:1.0 第19页共20页
四、主要设备清单
序号型号描述数量产品型
号
价格1 防火墙 1
2 边界安全
接入网关
1
3 IDS 1
4 数据安全
交换系统
包括安全数据交换前置服务
器、安全数据交换后置服务器
1
5 隔离网闸 1
6 集控系统监视平台及网络设备的运行情
况,并可级联上级平台
1
7 集控探针监控网络设备运行状况 1
模板版次:1.0 第20页共20页
数据共享交换平台解决方案.docx
数据共享交换平台解决方案 1. 概述 在我国,政府职能正从管理型转向管理服务型,如何更好地发挥政府部门宏观管理、综合协调的职能,如何更加有效地向公众提供服务,提高工作效率、打破信息盲区、加强廉政建设 已成为当前各级政府部门普遍关注和亟待解决的问题。国家“十五”计划纲要要求“政府行政管理 要积极运用数字化、网络化技术,加快信息化进程”。各级政府、行政管理部门都面临着利用 信息技术推动政务工作科学化、高效率的新局面。 随着电子政务建设的不断发展,政府拥有越来越多的应用数据,如何建立政府信息资源采集、处理、交换、共享、运营和服务的机制和规程,实现分布在各类政府部门和各级政府机关 的信息资源的有效采集、交换、共享和应用,是电子政务建设的更高级的阶段和核心任务。 信息资源只有交流、共享才能被充分开发和利用,而只有打破信息封闭,消除信息“荒岛” 和“孤岛”,也才能创造价值。目前各级政府都在进行政务资源数据的“整合”,但“整合”什么? 如何“整合”?“整合”后做什么?将是摆在政府各级领导面前的首要问题。 北京华迪宏图信息技术有限公司凭借自身丰富的电子政务建设经验、自主创新的技术研发优势,为各级政府机构的实际需求提供了政务资源整合的综合解决方案——华迪宏图数据共享 交换平台。 2. 电子政务总体框架 华迪宏图数据共享交换平台总体框架如下: 由上图可以看出,华迪宏图数据共享交换平台交换体系共分为六个层次,分别是安全和标准体系、网络基础设施、信息资源中心、共享交换平台、应用层和展示层。 (1)展示层 通过建立综合信息集成门户系统为用户提供统一的用户界面,信息和应用通过门户层实现统一的访问入口和集中展现。 (2)应用层
信息安全-深信服云盾产品技术白皮书
1背景 随着互联网技术的不断发展,网站系统成为了政务公开的门户和企事业单位互联网业务的窗口,在“政务公开”、“互联网+”等变革发展中承担重要角色,具备较高的资产价值。但是另一方面,由于黑客攻击行为变得自动化和高级化,也导致了网站系统极易成为黑客攻击目标,造成篡改网页、业务瘫痪、网页钓鱼等一系列问题。其安全问题受到了国家的高度关注。近年来国家相关部门针对网站尤其是政府网站组织了多次安全检查,并推出了一系列政策文件。 据权威调研机构数据显示,近年来,中国网站遭受篡改攻击呈增长态势。其中2018 年,我国境内被篡改的网站数量达到13.7万次,15.6万个网站曾遭到CC攻击。2018年共有6116个境外IP地址承载了93136个针对我国境内网站的仿冒页面。中国反钓鱼网站联盟共处理钓鱼网站51198个,平均每月处理钓鱼网站4266个。同时,随着贸易战形势的不断严峻,境外机构针对我国政府网站的攻击力度也不断的加强,尤其是在重要活动期间,政府网站的安全防护成为了重中之重。 为了帮助企业级客户及政府机构保障网站的安全,解决网站被攻陷、网页被篡改、加强重要活动期间的网站安全防护能力,深信服云盾提供持续性的安全防护保障,同时由云端专家进行7*24小时的值守服务,帮助客户识别安全风险,提供高级攻防对抗的能力,有效应对各种攻击行为。
2产品体系架构 深信服利用云计算技术融合评估、防护、监测和响应四个模块,打造由安全专家驱动,围绕业务生命周期,深入黑客攻击过程的自适应安全防护平台,帮助用户代管业务安全问题,交付全程可视的安全服务。 客户端无需硬件部署或软件安装,只需将DNS映射至云盾的CNAME别名地址即可。全程专家参与和值守,为用户提供托管式安全防护。安全防护设施部署在深信服安全云平台上,安全策略的配置和调优由深信服安全专家进行,用户仅需要将用户访问的流量牵引至深信服安全云。所有的部署和运维工作全部由深信服安全专家在云上完成,更简单,更安全,更省心。 3用户价值 深信服将网站评估、防护、监测、处置,以及7*24在线的安全专家团队等安全能力整
【数据共享交换平台】政务资源交换平台解决方案v1
方案概要 本方案主要描述湖南省政务资源交换平台的建设要求而制作的。方案充分结合国家政务信息资源目录体系和交换体系标准制订,针对政务资源交换平台的具体需求,利用Java EE应用开发技术、Webservice技术等,提供完整的设计方案。 方案共分为8章,其中: 第2章,项目背景,主要描述本项目的整体应用背景 第3章,需求分析,项目总体实施需求以及各个部分的需求进行了描述 第4章,总体设计,针对系统的实际应用需求,详细说明了整个应用系统的架构以及各个应用子模块的功能,并结合实例分析了应用流程。 第5、6、7章,分别对目录体系管理平台、交换体系管理平台、共享数据库建设等应用系统进行了设计。 第8章,对部门应用系统对接方式进行了设计。 项目背景 电子政务总体框架 国家电子政务总体框架的构成包括服务与应用系统、信息资源、基础设施、法律法规与标准化体系、管理体制。政务信息资源目录体系是国家电子政务总体框架的重要组成部分,是电子政务的基础设施
之一,以政务信息资源为基础,依托技术总体架构,通过提供目录服务,实现部门间信息共享。政务信息资源目录体系与交换体系作为基础设施与电子政务的业务应用相对独立,其在国家电子政务总体框架中的定位如图2-1所示。 图0-1政务信息资源目录体系的定位 依托国家统一的电子政务网络,通过构建覆盖中央、省、市、县的多级政务信息资源目录体系技术总体架构,形成政务信息资源物理分散、逻辑集中的信息共享模式,提供全国范围内跨部门、跨地区的普遍信息共享,方便用户发现、定位和共享多种形态的政务信息资源,支持政府的经济调节、市场监管、社会管理和公共服务。政务信息资源目录服务中心之间通过互访接口实现互联互通。 政务信息资源交换体系的建设与应用以支持跨部门业务协同为目的,实现部门间横向按需信息交换与共享,满足各级政府履行职能的需要。围绕跨部门的业务协同,以部门业务信息为基础,确定部门
数据共享交换平台的设计方案
数据共享交换平台的 设计方案 1.1应用场景 ?场景一:电子业务统一平台与其它单位的信息交换 由于各单位信息化进程不同,特别是一些垂直管理单位已经建立起了自己专门的网上办公系统,这些单位如果要接收市公文,都必须通过手工录入,无法进行信息的自动交换,通过数据交换平台,结合简单的接口开发,能使市电子业务统一平台与已有业务系统之间实现信息的自动对接和交换,提高办事效率,减少人为错误。 ?场景三:基础信息库 基础信息库包括:人口基础信息库、企业基础信息库、宏观经济基础信息库、地理基础信息库。这些基础信息是**重要的信息资源,但这些信息分散在各个部门,各个单位独立存储,信息不全,也不具备权威性. ?场景四:领导决策支持 科学发展观是当前各级**的重要理论指导依据,科学发展观必须要求有科学的决策,正确的决策需要有科学准确的数据作为支撑,但现阶段大量的数据分散在各个单位业务系统中,各自通过纸质进行报送,一方面这些数据缺乏准确性和实效性,另一方面不同单位数据之间无法产生在的联系,不利于正确的决策。要建立有效的数据采集和分析系统,自动从各单位系统中采集数据,然后通过建立相应的模型进行分析,得出相对准确的结论,比如房地产,涉及国土、税务、房管、银行、运输、电力等。利用数据交换平台可很好的从不同系统中采集信息,使开发者不需要关心数据的采集和传输问题,只需要解决与决策有关的业务问题。 ?场景N:…… 随着电子业务的深入,数据交换平台的利用会越来越多,好比是经济发展需要修建高速公路一样……
1.2术语介绍 (1)企业基础信息 工商、国税、地税、质监等部门涉及到企业注册登记、变更、注(吊)销、年检、税务登记、组织机构代码登记等业务容的基础信息,具有跨部门共享需求的特征。 (2)企业基础信息交换平台 工商、国税、地税、质监等部门之间进行企业基础信息交换的通讯、传输与管理系统。 企业基础信息交换平台是指成熟的应用集成和数据交换中间件产品。 (3)交换前置机 企业基础信息交换平台中与工商、国税、地税、质监等交换节点进行信息交换连接的交换前置服务器。 (4)信息交换桥接 工商、国税、地税、质监等部门业务应用信息库与前置交换信息库之间信息安全交换的连接通道。 (5)企业基础信息库 存储、管理企业基础信息的数据库。 (6)前置交换信息库 工商、国税、地税、质监等部门与企业基础信息交换平台之间共享信息双向交换的中转数据库。 (7)业务数据库 业务数据库是指各个委办局保存业务数据的数据库,运行在委办局的网中。如税务部门的税务征管数据库,工商部门以“经济户口”为主要容的工商业务数据。 (8)应用系统 应用系统是指本项目开发的部署在各委办局节点前置机上的桥接系统、中心数据管理系统、数据比对和整合系统等应用的总称。 (9)中心数据管理系统 中心数据管理系统是指本项目开发的实现交换数据查询和管理等功能的应用系统。 (10)数据比对整合系统
数据共享交换平台解决方案#精选.
数据共享交换平台解决方案 1、概述 目前,政府职能正从管理型转向管理服务型,如何更好地发挥政府部门宏观管理、综合协调的职能,如何更加有效地向公众提供服务,提高工作效率、打破信息盲区、加强廉政建设已成为当前各级政府部门普遍关注和亟待解决的问题。国家“十五”计划纲要要求“政府行政管理要积极运用数字化、网络化技术,加快信息化进程”。各级政府、行政管理部门都面临着利用信息技术推动政务工作科学化、高效率的新局面。 随着电子政务建设的不断发展,政府拥有越来越多的应用数据,如何建立政府信息资源采集、处理、交换、共享、运营和服务的机制和规程,实现分布在各类政府部门和各级政府机关的信息资源的有效采集、交换、共享和应用,是电子政务建设的更高级的阶段和核心任务。信息资源只有交流、共享才能被充分开发和利用,而只有打破信息封闭,消除信息“荒岛”和“孤岛”,也才能创造价值。目前各级政府都在进行政务资源数据的“整合”,但“整合”什么?如何“整合”?“整合”后做什么?将是摆在政府各级领导面前的首要问题。 2、电子政务总体框架
由上图可以看出,数据共享交换平台交换体系共分为六个层次,分别是安全和标准体系、网络基础设施、信息资源中心、共享交换平台、应用层和展示层。 (1)展示层 通过建立综合信息集成门户系统为用户提供统一的用户界面,信息和应用通过门户层实现统一的访问入口和集中展现。 (2)应用层 应用层提供满足面向各类用户依据实际需求开展业务的需要。如支撑城市应急联动应用、辅助领导决策应用、城市管理应用、社会救助应用等。 (3)共享交换平台层 共享交换平台层为城市数据共享交换平台所在位置,连接各类应用和应用所需的信息资源,组织和整合各类数据、组件和服务。
ISO27005信息安全技术风险管理白皮书
ISO/IEC 27005:2008 信息技术–安全技术–信息安全风险管理 Information Technology – Security techniques - Information security risk management
目录 前言 (4) 介绍 (5) 1. 范围 (6) 2. 规范性引用文件 (6) 3. 术语和定义 (6) 4. 本国际标准的结构 (8) 5. 背景 (9) 6. 信息安全风险管理过程概述 (10) 7. 确定范畴 (13) 7.1. 总则 (13) 7.2. 基本准则 (13) 7.3. 范围和边界 (16) 7.4. 信息安全的组织架构 (17) 信息安全风险评估 (17) 8.1. 信息安全风险评估综述 (17) 8.2. 风险分析 (18) 8.2.1. 风险识别 (18) 8.2.2. 风险估算 (23) 8.3. 风险评价 (27) 信息安全风险处置 (28) 9.1. 风险处置综述 (28) 9.2. 风险降低 (31) 9.3. 风险保持 (32) 9.4. 风险回避 (32) 9.5. 风险转移 (33) 10. 信息安全风险的接受 (33)
11. 信息安全风险的沟通 (34) 12. 信息安全监视和评审 (35) 12.1. 监视和评审风险因子 (35) 12.2. 风险管理监视、评审和改进 (37) 附录A (资料性)界定信息安全风险管理过程的范围和边界 (38) A.1 对组织进行研究 (38) A.2 影响组织的约束清单 (39) A.3 适用于组织的法律法规的参考清单 (42) A.4 影响范围的约束清单 (42) 附录B (资料性)资产的识别和赋值以及影响评估 (44) B.1 资产识别的例子 (44) B.1.1 基本资产的识别 (44) B.1.2 支持性资产的清单和描述 (45) B.2 资产赋值 (52) B.3 影响评估 (56) 附录C (资料性)典型威胁示例 (57) 附录D (资料性)脆弱点和脆弱性评估方法 (61) D.1 脆弱点示例 (61) D.2 评估技术性脆弱点的方法 (65) 附录E (资料性)信息安全风险评估方法 (66) 1 纲领性信息安全风险评估 (66) E.2 详细的信息安全风险评估 (68) E.2.1 示例1:预定值矩阵 (68) E.2.2 示例2:通过风险值进行威胁评级 (71) E.2.3 示例3:为风险的可能性和可能的后果赋值 (71) 附录F (资料性)降低风险的约束 (73)
数据交换共享整合系统平台技术方案
数据交换共享整合协同平台设计
整合协同平台的主要功能是从其它子系统中提取共享数据,并对多来源渠道的、相互不一致的数据进行数据融合处理;基于数据字典对实时数据和历史数据进行组织,以保证数据间关系的正确性、可理解性并避免数据冗余;以各种形式提供数据服务,采用分层次的方法对各类用户设置权限,使不同用户既能获得各自所需要的数据,又能确保数据传输过程的安全性及共享数据的互操作性和互用性;维护基础信息、动态业务数据以及系统管理配置参数;支撑系统的网络构架、信息安全、网络管理、流程管理、数据库维护和备份等运维能力。整合协同平台根据功能可分为两个部分: 第一部分,基础数据和共享数据的交换服务和路由流程管理,该部分是交换平台的基础,包括:静态交换数据、动态交换数据、图形数据及表格、统计资料等属性数据。 第二部分,各子系统之间的接口实现,根据事先制订好的规范、标准,实现各子系统之间的数据共享和传输操作。在接入中心平台时,应按系统集成要求设计系统结构,各类数据接口遵循系统集成规范。
第一章中心平台设计 1.1 平台功能结构 整合协同平台服务器是公共基础平台的核心部分,XMA整合协同平台提供一整套规范的、高效的、安全的数据交换机制。XMA整合协同平台由部署在数据中心和各业务部门的数据交换服务器、数据接口系统共同组成,解决数据采集、更新、汇总、分发、一致性等数据交换问题,解决按需查询、公共数据存取控制等问题。 各业务子系统都要统一使用XMA整合协同平台进行数据交换。数据中心统一管理和制定数据交换标准。各业务部门通过数据级整合或者应用级整合通过XMA 整合协同平台向数据中心提供数据,也通过XMA整合协同平台访问共享数据。 XMA整合协同平台的基本功能如下: 共享数据库的数据采集、更新、维护。 业务资料库、公共服务数据库的数据采集。 提供安全可靠的共享数据服务。 业务部门之间的业务数据交换。 结合工作流的协调数据服务。
国家数据共享交换平台(政务外网)省级平台接入指南(征求意见稿)
国家数据共享交换平台(政务外网) 省级平台接入指南 (征求意见稿) 国家电子政务外网管理中心 二〇一七年十一月
目 录 一、指南说明 (4) (一)目的 (4) (二)国家数据共享交换平台体系(政务外网)简介 (4) (三)内容概要 (5) (四)术语和定义 (6) (五)编制依据 (6) 二、目录中心接入 (7) (一)逻辑架构 (7) (二)接入准备 (9) (三)接入流程 (9) (四)信息校验 (10) 三、交换级联接入 (11) (一)逻辑结构 (11) (二)接入流程 (13) (三)跨层级库表与文件交换 (14) (四)跨层级服务接口注册与调用 (16) 四、安全措施及要求 (20) (一)国家共享平台级联对接安全措施 (21) (二)省级前置节点安全要求 (22)
(三)省级共享平台安全要求 (22) 附件 (26) 附件一. 目录接入授权密钥申请表 (26) 附件二. 目录接口与样例 (26) 附件三. 服务接口与样例 (35) 附件四. 服务接口注册信息 (39) 附件五. 级联样例 (40)
一、指南说明 (一)目的 为指导省级共享平台与国家共享平台的目录中心接入和交换级联接入,实现国省两级平台之间的目录通和数据通,特制定本指南。 (二)国家数据共享交换平台体系(政务外网)简介 国家数据共享共享平台体系由国家共享平台、省级共享平台、地市级共享平台等多级平台组成,地方共享平台可根据本省市实际情况,选择不同的建设及应用模式,原则上县级及以下不再单独建设共享平台。 国家数据共享交换平台(政务外网)依托电子政务外网建设,是开展非涉密政务信息资源共享交换的窗口和枢纽,满足部门之间、部省之间及跨省数据共享的需求。 国家数据共享交换平台(政务外网)定位为目录中心、资源中心、交换中心。目录中心汇聚全国的政务信息资源目录,支撑基于资源目录的共享交换工作。资源中心实现归集到国家共享平台的政务信息资源的加工、处理与集中管理。交换中心提供集中的共享交换服务,支持库表、文件、服务
信息安全保障体系服务白皮书
信息安全保障体系咨询服务 技术白皮书 杭州安恒信息技术有限公司 二〇二〇年八月
目录 1.公司简介 (2) 2.信息安全保障体系咨询服务 (3) 2.1.概述 (3) 2.2.参考标准 (4) 2.3.信息安全保障体系建设的指导思想 (4) 2.4.信息安全保障体系建设的基本原则 (5) 3.信息安全保障体系的内容 (6) 3.1.信息安全的四个领域 (6) 3.2.信息安全策略体系 (6) 3.2.1.信息安全战略 (7) 3.2.2.信息安全政策标准体系框架 (7) 3.3.信息安全管理体系 (8) 3.4.信息安全技术体系框架 (9) 3.5.信息安全运营体系 (11) 4.信息安全保障体系的建设过程 (13) 4.1.信息安全保障体系的总体建设方法 (13) 4.2.信息安全策略的定义 (13) 4.2.1.信息安全策略的通用性特征 (14) 4.2.2.信息安全策略的建立过程 (15) 4.3.企业信息安全管理体系的建设 (17) 4.3.1.安全管理体系总体框架 (17) 4.3.2.信息安全环境和标准体系框架 (18) 4.3.3.信息安全意识培养 (18) 4.3.4.信息安全组织 (21) 4.3.5.信息安全审计监督 (21) 4.4.企业信息安全运营体系的建设 (25) 4.5.企业信息安全技术体系的建设 (27) 4.5.1.安全技术设计目标 (27) 4.5.2.安全技术体系的建设 (27) 5.为什么选择安恒信息 (28) 5.1.特性 (28) 5.2.优点 (28) 5.3.效益 (28) 1.公司简介 杭州安恒信息技术有限公司(DBAPPSecurity),简称“安恒信息”,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析,核心团队拥有多年应用安全和数据库安全的深厚技术背景以及最佳安全攻防实践经验,以全球领先具有完全自主知识产权的专利技术,致力于为客户提供应用安全、数据库安全、不良网站监测、安全管理平台等整体解决方案。
数据交换与共享平台建设
顺德区数据交换与共享平台建设(SD09050) 采购内容及技术要求 一、现状 我区于2005年开发完成数据共享和交换平台,并于2008年对系统进行更新升级,进一步完善了系统的功能。平台目前运行在区信息中心机房,有公安局、计生局两个节点与之相连,运行正常。 二、建设目标 本项目建设目标是:调研业务部门的数据共享需求,编写《广东省顺德区数据共享规范与接口标准》和《顺德区政府资源目录》;开发和完善数据共享平台系统;建设顺德区数据共享资源体系,推进数据的共享和综合开发利用;实现顺德区各部门信息数据共享和互联互通,使数据共享平台成为电子政务建设的支撑和服务平台。 三、建设内容 本次建设内容分为三部分: 1)对政府重要职能部门开展调研 完成对12个政府重要职能部门数据集成方面的需求调研,完成以数据共享、交换和整合需求的梳理和分析。 2)数据共享规范与标准接口和政府资源目录建设 通过调研业务部门之间的数据共享需求,编写《广东省顺德区数据共享规范与接口标准》和《顺德区政府资源目录》,并逐步完善。 3)数据共享平台开发和完善 提供数据发布、目录维护、系统配置等界面,增强系统易用性;改善数据传输性能,支持不同级别数据量的应用系统的数据传输;集成数据共享申请、申请审核、数据共享目录编制等业务功能;实现全区、区与市之间的数据共享;增加共享数据分析统计功能,监控共享数据的访问量、数据状态、共享数据业务办理状况等。
四、建设原则 (一)开放性 数据源和目标数据可以是文本文件、Excel文档、Word文档、XML文档。通过JDBC、ODBC支持所有JDBC和ODBC数据库,并为部分主流数据库提供了专用的数据库接口。目前应该满足Sybase、Informix、Oracle、DB2、SQL Server等异构数据库双向数据传输的需求,根据实际情况还可以进行扩展。 整体开发遵循J2EE平台标准和XML交换标准,有良好的平台兼容性。可以应用于Windows、Linux和Unix系统。 (二)安全性 数据中心的安全非常重要,因此必须要做好系统的安全设计,防范各种安全风险,确保数据中心能够安全可靠的运行。同时数据中心必须采用成熟的技术和体系结构,采用高质量的产品,并且要具有一定的容灾功能。 (三)实用性 完善友好的定制开发环境支持不同技术层次使用者的使用要求。安装简易,使用简单,有完善的系统参数配置工具和管理控制台。 (四)可伸缩性 可以合理地定制数据共享交换方式。根据不同类型业务特色和技术要求特点,量身定制相应的数据交换解决方案。 (五)可扩展性 能够方便的加入交换节点以及增加交换共享服务。能够根据需要,通过增加硬件配置的方式对交换平台进行扩容。 (六)相对独立性 根据数据共享平台的目标定位,数据共享平台的建设和运作必须保持业务系统的相对独立性。为此采用松散耦合方式,通过在业务部门统一配置部门端数据共享交换管理系统(代理)实现数据资源整合。
注册个人信息保护专业人员白皮书.doc
谢谢观赏 注册个人信息保护专业人员 白皮书 发布日期:2019年 4 月 中国信息安全测评中心 中电数据服务有限公司
注册个人信息保护专业人员(CISP-PIP) 白皮书 咨询及索取 关于中国信息安全测评中心CISP-PIP考试相关信息,请与个人信息保护专业人员考试中心联系。 个人信息保护专业人员考试中心联系方式 【邮箱】xx 【地址】北京市海淀区知春路7号致真大厦C座14层 【邮编】100191 中电数据服务有限公司是中国电子信息产业集团有限公司旗下专注网络安全和人工智能,为国家重点行业、部门提供数据互联互通、数据安全管理及数据智能开放等服务的专业公司,以保障国家重要数据安全、推动行业大数据应用为己任。 2019年初,经中国信息安全测评中心授权,中电数据成立个人信息保护专业人员考试中心,开展注册个人信息保护专业人员(CISP-PIP)知识体系研发与维护、培训体系建立、考试中心组织管理、专项证书推广等工作。CISP-PIP是我国目前唯一的国家级个人信息保护专业人员资质评定。持证人员掌握国家网络安全顶层设计、网络安全体系结构、安全管理与工程、数据安全基础、个人信息安全规范、个人信息保护技术、个人信息保护实践、行业个人信息保护等知识,具备个人信息保护理论基础和实践能力,可在数据保护、信息审计、组织合规与风险管理等领域发挥专长,有效提升相关企业数据安全意识和保护能力,强化我国公民个人信息和国家重要数据安全保护水平。
目录 引言1 一、CISP-PIP知识体系结构2 二、CISP-PIP认证要求 3 三、CISP-PIP注册流程 3 四、CISP-PIP职业准则 4 五、CISP-PIP考生申请资料要求5 六、CISP-PIP收费标准 5 七、个人信息保护专业人员考试中心联系方式6
信息安全产品分级评估业务白皮书
国家信息安全测评 信息安全产品分级评估业务白皮书 版本:4.0 ?版权2013—中国信息安全测评中心 二〇一三年八月
目录 1.简介 (1) 1.1引言 (1) 1.2目的和意义 (1) 1.3业务范围 (1) 2.分级评估业务介绍 (2) 2.1业务特点 (2) 2.1.1国家权威,国际认可 (2) 2.1.2公平、公正、保密 (2) 2.1.3技术成熟 (2) 2.2业务需求 (2) 2.2.1对用户 (2) 2.2.2对企业 (3) 2.2.3对政府 (3) 2.3依据标准 (3) 2.4业务实施 (3) 2.4.1证据需求 (3) 2.4.2业务流程 (5) 2.4.3评估内容 (7) 2.4.4人员及时间 (8) 2.4.5资费标准 (9) 2.4.6业务监督 (9) 2.5业务输出 (9) 2.6 FAQ (9)
1.简介 1.1 引言 目前,众多组织机构开展了针对安全产品的多样化的测评业务,这些测评业务为人们了解产品的功能特点及实现方式提供了良好的途径。 然而,自身功能实现的好坏是否足以衡量一个产品的质量,为用户提供放心的使用环境呢?纵观国内外信息安全界,安全事件屡有发生,产品商业机密遭到泄露,这给用户带来了极大的危害。显然,产品设计是否全面、是否提供了足够的保密措施、保障文档是否完善,都会对用户的使用起到至关重要的作用。 信息安全产品分级评估是指依据国家标准GB/T 18336—2008,综合考虑产品的预期应用环境,通过对信息安全产品的整个生命周期,包括技术,开发、管理,交付等部分进行全面的安全性评估和测试,验证产品的保密性、完整性和可用性程度,确定产品对其预期应用而言是否足够安全,以及在使用中隐含的安全风险是否可以容忍,产品是否满足相应评估保证级的要求。 1.2 目的和意义 信息安全产品分级评估的目的是促进高质量、安全和可控的IT产品的开发,分级评估的具体的目的和意义包括: 1)对信息安全产品依据国家标准进行分级评估; 2)判定产品是否满足标准中的安全功能和安全保证要求; 3)有助于在涉及国家安全的信息安全领域中加强产品的安全性和可控性,维护国家和用户的安全利益; 4)促进中国信息安全市场的优胜劣汰机制的建立和完善,规范市场。 5)对产品、系统、服务等涉及到的漏洞信息进行数据规范性评估与认定。 1.3 业务范围 具有信息技术安全功能的产品,如:防火墙,IDS/IPS、智能卡、网闸、桌面控制、审计等。
信息安全等级保护检查工具箱技术白皮书
信息安全 等级保护检查工具箱系统 技术白皮书 国家信息技术安全研究中心
版权声明 本技术白皮书是国家信息技术安全研究中心研制的信息系统安全等级保护 检查工具箱产品的描述。与内容相关的权利归国家信息技术安全研究中心所有。白皮书中的任何内容未经本中心许可,不得转印、复制。 联系方式: 国家信息技术安全研究中心 地址:北京市海淀区农大南路1号硅谷亮城 2号楼C座4层 电话:0
简介 国家信息技术安全研究中心(以下简称,中心)是适应国家信息安全保障需要批准组建的国家级科研机构,是从事信息安全核心技术研究、为国家信息安全保障服务的事业单位。 中心成立于2005年,是国家有关部门明确的信息安全风险评估专控队伍、等级保护测评单位、国家网络与信息安全应急响应技术支撑团队和国家电子政务非保密项目信息安全专业测评机构。 中心通过系统安全性检测、产品安全性检测、信息安全技术支持、信息安全理论研究、远程监控服务等项目,为国家基础信息网络和重要信息系统及社会各界提供多种形式的信息安全技术服务。 为提高我国基础信息网络和重要信息系统的安全防护水平,中心自主研发了一系列安全防护和检测工具产品。主要有:恶意代码综合监控系统、信息系统等级保护检查/测评工具箱、安全内网管控系统、网上银行安全控件、系统安全检测工具集、网络数据流安全监测系统、商品密码安全性检测工具集、漏洞扫描评估系统等。 中心还积极承担国家“863”、国家发改委专项和密码发展基金等国家重点科研项目;积极承担国家下达的多项信息安全标准制定和研究任务;紧密跟踪国内外信息安全发展,采取多种形式为国家有关部门和行业提供信息安全咨询和培训服务。 经过多年的发展,中心服务的足迹遍及30余个省市自治区,为政府机关、电信、电力、金融、海关、铁路、广电、税务等行业部门的数百个单位、上千个重要信息系统提供了信息安全产品、咨询和测评服务。
软件安全白皮书指标
软件安全白皮书指标 前言 介于我司现阶段对于软件产品项目的质量及安全性要求,特此制作此文,以便日后工作对应开展及提升品牌价值,软件产品质量做出指导性描述。 目的 安全性是软件的质量的一个重要属性。狭义较多关注软件的失效安全性问题,即软件运行不引起系统事故的能力,强调的是一类安全关键软件的安全性失效可能造成重大安全,生产,及核心数据丢失等高风险事故,因此对于失效安全性的度量主要简历在可靠性理论基础的安全度,失效度,平均事故间隔,软件事故率等。对于失效安全性测试,常用测试方法目前有基于故障树的测试基于最小割集测试。对于保密安全性。ISO9126质量模型将其定义为与防止对程序和数据进行非法存储的预防能力有关的质量属性。软件安全性是软件在收到恶意攻击时仍提供所需功能的能力。以此为作为软件自身的一个质量管理重要系数,因此特别指定此指标 1.白皮书格式要求 1.标题标头:包含明确的产品及时间信息 2.前言:包含软件自身的需求关系和基础定义,方向目的等 3.术语定义:文章中出现的对应学术名词或专业名词的一个标准化解释 4.自安全:自身安全逻辑,一般包括组织安全,法规安全,人员安全等 5.数据安全:对于数据的安全体系要求,及配套的保密规则 6.应用安全:软件自身功能是否存在逻辑漏洞,是否存在其他数据被调用转出 7.系统&环境(逻辑)安全:对于软件逻辑,开发系统配置的具体要求 8.环境(物理)安全:对于服务器或端口及使用人的一部分约束要求 9.灾难恢复与业务连续性(容错):对于软件自身的一定管控要求 2.安全测试分类 安全功能测试 1.安全功能目的测试 2.安全漏洞测试 渗透测试 1.信息渗透测试 2.注入渗透测试
国家数据共享交换平台 政务外网 库表交换 文件交换操作指南V
国家数据共享交换平台(政务外网)库表交换、文件交换 操作指南(V2.0) 国家电子政务外网管理中心 二〇一八年一月
目录 一、指南说明 (4) (一)概述 (4) (二)内容概要 (4) (三)角色说明 (5) (四)术语和定义 (5) 二、网络接入 (6) 三、工作流程 (6) (一)资源准备 (6) (二)资源注册 (6) (三)资源申请 (7) (四)资源订阅 (7) 四、库表交换 (8) (一)库表注册、发布 (8) 1、操作流程 (8) 2、操作步骤 (10) (二)库表申请、订阅 (42) 1、操作流程 (46) 2、操作步骤 (48) 五、文件交换 (50) (一)文件注册、发布 (51)
1、操作流程 (51) 2、操作步骤 (52) (二)文件申请、订阅 (97) 1、操作流程 (97) 2、操作步骤 (99)
一、指南说明 (一)概述 为指导资源提供方和资源需求方通过国家数据共享交换平台(政务外网)提供和使用库表资源、文件资源,特制定本指南。 国家政务信息资源共享的形式有服务接口、库表交换、文件交换。本指南主要指导资源提供方和资源需求方在国家共享平台通过库表交换、文件交换形式实现国家政务信息资源共享。服务接口方式的具体操作详见《国家数据共享交换平台(政务外网)服务接口操作指南》(试行)。 (二)内容概要 本指南主要包括网络接入、工作流程、库表交换、文件交换四部分。 网络接入部分主要指导各中央政务部门进行网络整合、接入政务外网的操作。工作流程部分主要指导资源提供方和资源需求方提供和使用库表、文件资源需要做的关键工作。库表交换部分主要指导资源提供方和资源需求方进行库表注册、发布、申请、订阅等具体操作。文件交换部分主要指
注册信息安全专业人员应急响应工程师CISPIRE白皮书.doc
谢谢观赏 注册信息安全专业人员-应急响应工程师 白皮书 发布日期:2019年 1 月 中国信息安全测评中心 网神信息技术(北京)股份有限公司?版权2019-攻防领域考试中心
CISP-IRE白皮书 咨询及索取 关于中国信息安全测评中心CISP-IRE考试相关的更多信息,请与注册信息安全专业人员攻防领域考试中心联系。 注册信息安全专业人员攻防领域考试中心联系方式 【邮箱】xxx 【网址】xxx 【地址】北京市海淀区昆明湖南路51号中关村军民融合产业园D座2层 【邮编】100097 360企业安全集团下属的网神信息技术(北京)股份有限公司是以“保护大数据时代的安全”为企业使命,以“数据驱动安全”为技术思想,专注于为政府和企业提供新一代网络安全产品和信息安全服务的提供商。360企业安全集团与中国信息安全测评中心联合成立注册信息安全专业人员攻防领域考试中心,由360企业安全集团子公司网神信息技术(北京)股份有限公司具体运营,负责注册信息安全专业人员应急响应工程师(CISP-IRE)资质的培训知识体系制定、考试开发维护、业务推广、市场宣传及持证人员的服务。CISP-IRE专注于培养、考核高级实用型网络安全应急响应安全人才,是业界首个理论与实践相结合的网络安全专项技能水平注册考试。
目录 引言1 一、CISP-IRE考试要求 2 二、CISP-IRE考试方向 2 三、CISP-IRE注册流程 4 四、CISP职业准则4 五、CISP-IRE考生申请资料要求5 六、CISP-IRE收费标准 6 七、注册信息安全专业人员攻防领域考试中心联系方式6
引言 当前,信息化社会发展方兴未艾,信息成为一种重要的战略资源。信息的获取、存储、处理及其安全保障能力成为一个国家综合国力的重要组成部分。目前,信息产业已成为世界第一大产业,信息科学与技术正处于空前繁荣的阶段。信息安全是信息的影子,哪里有信息,哪里就有信息安全问题。在信息科学与技术发展欣欣向荣的同时,危害信息安全的事件也不断发生。 基于严峻的网络空间安全形势,国内外多位信息安全领域资深专家、学者指出:不断增长的产业链式网络攻击虽然日趋严重,但是更让人担忧的是,网络安全人才的短缺致使各个层级的网络安全团队难以“扩军”,信息安全领域人才的储备量远远跟不上网络安全风险的增长量。 网络安全人才决定网络安全技术的交替、更迭,而人才的短缺直接影响政府事业机关网络防御能力,也导致中、小型企业很难组建自己的安全团队。网络安全防范能力堪忧,严重影响我国网络安全建设。 《网络安全法》第三条提出“国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。”因此,培养“高素质的网络安全和信息化人才队伍”的工作刻不容缓! 中国信息安全测评中心主导的注册信息安全专业人员攻防领域考试中心推出的“CISP-IRE”(注册信息安全专业人员-应急响应工程师,Certified Information Security Professional - Incident Response Engineer)技能水平注册考试,锻炼考生实际解决网络安全问题的能力,发现人才,有效增强网络安全防御能力,促进
网络与信息安全防范体系技术白皮书
一、前言 随着网络经济和网络时代的发展,网络已经成为一个无处不有、无所不用的工具。经济、文化、军事和社会活动将会强烈地依赖于网络。网络系统的安全性和可靠性成为世界各国共同关注的焦点。而网络自身的一些特点,在为各国带来发展机遇的同时,也必将带来巨大的风险。网络安全威胁主要存在于: 1. 网络的共享性: 资源共享是建立计算机网络的基本目的之一,但是这也为系统安全的攻击者利用共享的资源进行破坏活动提供了机会。 2. 网络的开放性: 网上的任何用户很容易浏览到一个企业、单位,以及个人的敏感性信息。受害用户甚至自己的敏感性信息已被人盗用却全然不知。 3. 系统的复杂性: 计算机网络系统的复杂性使得网络的安全管理更加困难。 4. 边界的不确定性: 网络的可扩展性同时也必然导致了网络边界的不确定性。网络资源共享访问时的网络安全边界被破坏,导致对网络安全构成严重的威胁。 5. 路径的不确定性: 从用户宿主机到另一个宿主机可能存在多条路径。一份报文在从发送节点达到目标节点之前可能要经过若干个中间节点。所以起点节点和目标节点的安全保密性能并不能保证中间节点的不可靠性问题。 6. 信息的高度聚集性: 当信息分离的小块出现时,信息的价值往往不大。只有将大量相关信息聚集在一起时,方可显示出其重要价值。网络中聚集了大量的信息,特别是Internet中,它们很容易遭到分析性攻击。 随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。 二、网络与信息安全防范体系设计
数据交换共享中心设计方案
数据交换共享中心设计方案
整合协同平台的主要功能是从其它子系统中提取共享数据,并对多来源渠道的、相互不一致的数据进行数据融合处理;基于数据字典对实时数据和历史数据进行组织,以保证数据间关系的正确性、可理解性并避免数据冗余;以各种形式提供数据服务,采用分层次的方法对各类用户设置权限,使不同用户既能获得各自所需要的数据,又能确保数据传输过程的安全性及共享数据的互操作性和互用性;维护基础信息、动态业务数据以及系统管理配置参数;支撑系统的网络构架、信息安全、网络管理、流程管理、数据库维护和备份等运维能力。整合协同平台根据功能可分为两个部分: 第一部分,基础数据和共享数据的交换服务和路由流程管理,该部分是交换平台的基础,包括:静态交换数据、动态交换数据、图形数据及表格、统计资料等属性数据。 第二部分,各子系统之间的接口实现,根据事先制订好的规范、标准,实现各子系统之间的数据共享和传输操作。在接入中心平台时,应按系统集成要求设计系统结构,各类数据接口遵循系统集成规范。
第一章中心平台设计 1.1 平台功能结构 整合协同平台服务器是公共基础平台的核心部分,XMA整合协同平台提供一整套规范的、高效的、安全的数据交换机制。XMA整合协同平台由部署在数据中心和各业务部门的数据交换服务器、数据接口系统共同组成,解决数据采集、更新、汇总、分发、一致性等数据交换问题,解决按需查询、公共数据存取控制等问题。 各业务子系统都要统一使用XMA整合协同平台进行数据交换。数据中心统一管理和制定数据交换标准。各业务部门通过数据级整合或者应用级整合通过XMA 整合协同平台向数据中心提供数据,也通过XMA整合协同平台访问共享数据。 XMA整合协同平台的基本功能如下: 共享数据库的数据采集、更新、维护。 业务资料库、公共服务数据库的数据采集。 提供安全可靠的共享数据服务。 业务部门之间的业务数据交换。 结合工作流的协调数据服务。
数据共享交换平台解决方案
数据共享交换平台解决方案 1.概述 在我国,政府职能正从管理型转向管理服务型,如何更好地发挥政府部门宏观管理、综合协调的职能,如何更加有效地向公众提供服务,提高工作效率、打破信息盲区、加强廉政建设已成为当前各级政府部门普遍关注和亟待解决的问题。国家“十五”计划纲要要求“政府行政管理要积极运用数字化、网络化技术,加快信息化进程”。各级政府、行政管理部门都面临着利用信息技术推动政务工作科学化、高效率的新局面。 随着电子政务建设的不断发展,政府拥有越来越多的应用数据,如何建立政府信息资源采集、处理、交换、共享、运营和服务的机制和规程,实现分布在各类政府部门和各级政府机关的信息资源的有效采集、交换、共享和应用,是电子政务建设的更高级的阶段和核心任务。 信息资源只有交流、共享才能被充分开发和利用,而只有打破信息封闭,消除信息“荒岛”和“孤岛”,也才能创造价值。目前各级政府都在进行政务资源数据的“整合”,但“整合”什么?如何“整合”?“整合”后做什么?将是摆在政府各级领导面前的首要问题。 北京华迪宏图信息技术有限公司凭借自身丰富的电子政务建设经验、自主创新的技术研发优势,为各级政府机构的实际需求提供了政务资源整合的综合解决方案——华迪宏图数据共享交换平台。 2.电子政务总体框架 华迪宏图数据共享交换平台总体框架如下: 由上图可以看出,华迪宏图数据共享交换平台交换体系共分为六个层次,分别是安全和标准体系、网络基础设施、信息资源中心、共享交换平台、应用层和展示层。 (1)展示层
通过建立综合信息集成门户系统为用户提供统一的用户界面,信息和应用通过门户层实现统一的访问入口和集中展现。 (2)应用层 应用层提供满足面向各类用户依据实际需求开展业务的需要。如支撑城市应急联动应用、辅助领导决策应用、城市管理应用、社会救助应用等。 (3)共享交换平台层 共享交换平台层为城市数据共享交换平台所在位置,连接各类应用和应用所需的信息资源,组织和整合各类数据、组件和服务。数据共享交换平台层为实现应用层各种应用系统的搭建和运行提供支撑服务,包括目录服务系统、交换服务系统、安全服务系统和平台管理系统等。交换平台还提供了资源目录管理体系。目录服务主要提供目录注册、目录发布、目录查询、目录维护等功能,能够实现各类基础资源和共享资源目录信息的统一汇集和管理 (4)资源层 资源层通过定义数据模型,实现数据组织、存储和管理,为平台层和应用层提供数据服务。 主要包括元数据库、四大基础信息库、平台日志库、各类主题信息库以及其他数据库等。根据应用的深入和信息量的增加需要建设的共享信息库以及数据中心等,都作为资源层为各类应用提供数据支撑。 (5)网络基础设施层 基础设施层提供各类系统的承载网络、所需的系统软件和硬件设备及其运行环境。 (6)安全、标准体系层 信息安全保障体系、法规与标准体系提供电子政务应用系统安全稳定运行的保障。标准规范建设是政务信息资源共享交换平台建设的基础性工作,是接入城市平台的各个节点之间实现互联互通、信息共享、业务协同和安全可靠运行的前提条件
北京市政务信息资源共享交换平台
北京市政务信息资源共享交换平台 信息化的技术正以几何级的速度发展,并成为当今世界关注和竞争的焦点。而数字新技术应用于社会各个领域,也在全面改变社会的组织方式和生活方式。在国内,尤其通过“十五”期间的建设,我国的电子政务建设水平得到了显著提高。以信息化,带动电子政务现代化,促进政务改革和政府职能转变,并努力创造和谐社会,成为当今社会的主题。 在社会发展和政务改革的推动下,北京市电子政务建设逐步走在了全国的前列,各部门和政府机构都基本建立了完善的数据资源体系和业务应用体系。为了更好地实现政府服务社会的职能,保证各项数据在不同部门之间的一致性,实现数据资源在不同部门之间的共享,更好地促进信息资源的深度应用和发展,北京市提出建设电子政务信息资源共享和交换平台。国家对“十一五”期间电子政务建设提出了新的要求,其中首要的就是建立完善的资源共享交换体系。国务院办公厅34号文,北京市政府办公厅17号文,都对此提出了明确要求。那么,通过覆盖全市的电子政务信息资源共享与交换平台,有效连接和共享所有的政务应用和数据资源体系,并为访问者和管理者提供一个统一一致的电子政务基础设施,将对促进北京市电子政务发展,乃至对全国提出一个样板,具有非常重要的战略意义。 北京市通过资源共享与交换平台需要集成61个市级政府职能机构和部门的系统,并覆盖18个区县。 当前,SOA技术思想是实现该系统的广泛集成的理想架构技术,并能够适应系统对未来政务改革和业务发展的需要。东方通科技依靠自身相关的产品和技术,借助SOA / ESB,以松耦合的集成方式,并通过基础传输与数据适配技术,实现北京市的总线结构数据资源共享和交换平台,并能满足所有不同的数据和系统访问的接入。 所采用的关键技术包括: ●J2EE体系:应用实现的标准体系规范; ●Web Service:实现SOA架构中的服务访问与位置透明的通信协议; ●元数据、目录服务技术:支撑目录和导航的实现,最终实现数据与服务的位置透明和无关性; ●XML技术:这是一切语义和数据描述的基础与核心。 系统的体系结构如下图描述: