一、项目背景
社保行业的网络系统,主要是指劳动和社会保障单位的办公业务网络系统。其中分为由单位办公大楼各部门网络系统组成专网的信息共享网络系统(简称“内网”)和对企业和个人开放的网络系统(简称“外网”)两个部分。在这里,内网是指专网,外网是公共信息网络。
社保行业网络系统内网主要是针对内部人员办公使用,存在一些行业敏感数据,但是外网是针对企业和个人提供各类服务,直接或间接与互联网相连向人民群众提供各种业务服务。在网络安全威胁日益严重的大背景下,考虑到外网会直接面临来自互联网的黑客入侵和攻击,安全方案的设计必须依据国家有关法规与保密标准,对系统进行安全保密设计,以求达到国家保密局文件《中华人民共和国保密指南--涉及国家秘密的计算机信息系统保密技术要求》规定的设计指标。
二、需求分析
目前社保单位的网络是两套完全独立网络架构没有任何的连接,既要求通过安全隔离有效的保证内网安全,同时两网之间必须进行相关数据交换。以往采用手工拷贝的方式或者隔离卡技术实现数据交换,这样的工作方式不仅费时费力工作量很大,而且带来很大的时间延迟,往往造成一些不必要的人为延迟和操作失误。一方面造成社保系统工作效率低下,另一方面不能满足社保单位互联网公开业务系统对实时性要求。
用户需求如下:
1)在内网和外网之间采用网络隔离技术,切断所有的TCP/IP协议,阻断一切来自外网和互联网的攻击和威胁,保障社保行业内网的安全。
2)在内网和外网网络隔离的基础之上,实现外网web服务器实时调取内网数据库数据,从而面向互联网提供服务。
三、解决方案
根据社保行业用户的要求,本方案主要在社保单位内外网络之间进行网络隔离以确保内网的安全,阻挡任何黑客可能和潜在的、已知和未知的网络攻击,同时根据实际情况的需要,实现两个网络之间适度安全的信息交换。天融信公司建议用户采用天融信安全隔离与信息交换系统(简称天融信网闸)来满足这一需求,我们提供如下两套技术方案,并且针对两套技术方案的优劣势进行详细对比,供用户参考。
1.方案一拓扑
针对外网web服务器调用内网数据库数据的需求,天融信网闸基于数据库服务开放专用安全通道,并且在安全通道上绑定数据库特征值,过滤不符合特征值的非法数据流。首先Web服务器的访问请求交给网闸,网闸代理访问请求到内网数据库,内网数据库数据回馈给网闸,网闸以数据摆渡的形式再将数据返回给web服务器,在网络隔离的基础之上由天融信网闸来负责实现摆渡形式的数据库数据记录交换。
3.方案二拓扑