时间:2023-08-14 16:28:43 来源:奇安信网神信息技术(北京)股份有限公司
[法安导读] 一、 方案设计 法院专网与互联网、法院专网与外部专网间的网络信息交换,必须采用基于单向光导技术的隔离交换传输平台;使用双向隔...
一、 方案设计
法院专网与互联网、法院专网与外部专网间的网络信息交换,必须采用基于单向光导技术的隔离交换传输平台;使用双向隔离网闸等不符合规定交换设备的,须停止使用;严禁直接连接,严禁边界端口映射,严禁使用通用网络协议穿透;在光闸上采用协议穿透模式(除文件交换和数据库同步模式外)的应用立即关闭应用通道。
1. 互联网安全交换
在边界防护区部署安全防护设备,增强边界防护区的安全能力。
在安全隔离区采用针对不同的类型业务特点,涉及不同的数据交换平台。文件、数据库类型数据,通过单向导入和单向光闸,完成数据的单向导入和单向导出。音视频数据交换通过部署数据交换平台和双单向光闸进行部署,完成音视频数据双向传输。
2. 外部专网安全交换
在边界防护区部署防火墙等安全防护设备,使边界防护区具备入侵防御、抗DDOS攻击、SSLVPN等安全能力,增强边界防护区的安全能力。
在安全隔离区针对不同的类型业务特点,涉及不同的数据交换平台。文件、数据库类型数据,通过单向导入平台和单向光闸,完成数据的单向导入和单向导出。音视频数据交换通过部署数据交换平台和双单向光闸进行部署,完成音视频数据单向、双向传输。服务类通过服务调用平台和双单向光闸,完成WebService接口调用。
3. 数据全生命周期安全管控
在数据交换过程中,需要做好跨网交换数据中夹带破坏指令的安全检测和防护措施。一旦夹带破坏指令的数据或具有破坏性的数据进入到法院专网中,会造成网络内所有IT资产信息泄露、网络瘫痪,严重情况下甚至会造成法院专网中的重要数据被加密勒索而无法恢复,对法院的正常业务会造成影响。
为了避免对法院专网造成任何影响,面向在线法院的跨网数据交换平台可以通过全生命周期的安全管控,确保跨网数据的安全。
4. 集中监控与数据分析设计
在多个网络间数据相互交换场景下,提出的面向各种不同应用的网络间面向在线法院的跨网数据交换平台,可实现安全隔离区所有隔离交换产品的管理和监控,利用强大的信息内容过滤、日志审计功能、网络防病毒等多种安全策略综合应用监控功能。
此外,为了确保数据的一致可用,面向在线法院的跨网数据交换平台建立了有效的数据统计机制和数据比对机制。通过数据统计机制,科学的对平台数据进行完整统计,准确掌握平台同步全流程中各环节节点的数据量;通过对统计数据进行多维度的智能比对分析,确保数据同步的一致性。
二、 适用业务
当前,人民法院信息化建设正稳健步入‘十四五’新时期,法院信息化建设进入4.0版,如何进行安全的在线数据交换,精准施策发力,为新时代上海智慧法院建设提供助力。该方案可适用于所有需要跨网数据交换的业务,不同网络对法院专网进行数据交换的需求如下:
1. 互联网链路业务接入需求
互联网和法院专网之间通过面向在线法院的跨网数据交换平台进行信息交换时,业务系统(如司法公开、诉讼调解、律协系统、文书传送等)需要采用文件数据接入方式或数据库数据接入方式接入法院专网。针对庭审直播、数字法庭、12368业务、视频会议业务等网络流媒体数据的接入,仅允许采用音视频接入方式接入法院专网。用于文件和数据库同步的前/后置服务器和用于音视频接入的前后/置服务器需要采用独立部署方式。
2. 外部专网链路业务接入需求
外部专网和法院专网之间通过面向在线法院的跨网数据交换平台进行信息交换时,业务系统(如执行查控、减刑假释办理、道路交通事故纠纷处理平台、失信名单、智慧政法、政法大数据平台等)需要采用文件同步接入方式、数据库同步接入方式、服务数据交换接入方式及音视频接入方式。用于文件和数据库同步的前/后置服务器、用于服务数据的前/后置服务器和用于音视频接入的前后/置服务器需要采用独立部署方式。
三、 核心技术
1. 单向光导,合规跨网数据交互
面向在线法院的跨网数据交换平台在采用数据交换系统+单向光闸基础上应用新技术,利用新技术在单向无反馈的跨网数据交换通道中实现复杂业务场景下大数据量的安全交换,实现文件、数据库、服务、视频四类数据的实时跨网交换。
2. 跨网数据全生命周期安全管理
数据交换前,进行身份认证、协议剥离、格式过滤、内容检查;数据交换过程中,对文件解构分析、安全检测和重建,精准剔除危险元素;数据交换后,进行安全装载、协议重组、完整性校验,并提供业务统计和日志审计,实现全生命周期的闭环安全管理。
3. 面向事务的数据同步
对数据库相关事务智能的进行合并,简化数据查找方式,减少两侧数据库I/O操作;按照模糊同步方式,减少对数据库修改数据的查找时间,在同等条件下可将数据库同步性能提升数十倍。
4. 创新型的跨网文件重建
对文档、图片进行解构,精准识别解构后各个数据功能及含义,剔除潜在风险元素,重构文件后进行跨网交换,保障了跨网交换的文件安全。
四、 适用技术平台
面向在线法院的跨网数据交换全生命周期安全管理解决方案所涉及产品为软硬件一体化产品,操作系统为麒麟操作系统+飞腾处理器。方案中涉及纯软件的跨网交换管理系统,可麒麟等国产化操作系统上,处理器可使用飞腾等处理器,实现自主可控。
五、 可解决的问题
1. 跨网数据交换平台建设实现了法院专网与其他网络在线实时同步从无到有的飞跃,有效解决了以往业务数据需要长达1-2天的定时同步等待,简化了工作流程,解决了人工同步耗时费力效率低的问题,直接提升了业务的实效性,提高了业务服务能力。
2. 人工数据同步过程中,只能通过传统的杀毒引擎查杀,时常会发生夹带破坏指令的文档所导致的安全问题,通过对文档解构,进行多维度的数据检查和分析,识别剔除可执行的危险元素,保证了跨网数据的安全。
3. 在传统的同步过程中,一旦出现同步错误,需要协同业务人员共同进行排查,需耗费大量精力方能解决,通过对数据进行了实时监控和告警,可以快速对异常错误进行快速定位排障,实现可视管理和高效运维。
六、 运用成效
奇安信集团依据最高法院指导文件和行业规范,结合上海高院实际业务需求,与上海高院共同开展技术调研论证,通过产品优化适配和实际部署应用,基本达到以下效果:
1. 实时同步,支撑跨网业务和服务
在以往的使用管理中,业务数据是通过运维人员手动同步,无法实现实时在线同步,跨网数据安全交换平台打破了传统光盘摆渡和人工定时集中同步的手段,改变了数据同步方式,实现数据库、文件、音视频和服务调用数据实时在线跨网安全交换,保障了上海法院诉讼服务网、法官办理平台等业务的开展。
2. 高效交换,强力提升业务时效
据统计,平台日均可完成千万级数据条目、数十万个文件同步,上百GB数据总量交换,通过高性能的数据同步,保障了线上业务的时效性。在此次上海疫情防控期间,线上访问、申请和诉讼服务业务量激增,高效的数据同步支撑线上各类业务数据的交换需要,有效保障在线法院整体运行。
3. 双向并进,全生命周期安全管控
跨网数据安全交换平台安全有效的隔离不同网络,提供多层次安全机制防护外部风险;对交换的文档、图片进行解构、病毒防护、内容过滤、格式过滤等多维度数据检查,精准识别并剔除危险元素;对数据交换过程进行全面记录、安全日志审计和回溯,实现数据安全可控。以此,实现业务与安全的双向并进和跨网交换数据的全生命周期安全管控。平台上线使用至今,未发生含有病毒、破坏指令的数据通过跨网交换进入内网,导致业务破坏、数据被恶意删除的问题,安全管控能力经过了实践检验。
4. 可视化运营,推动运维由繁化简
跨网数据安全交换平台采用B/S架构界面,可通过平台所记录数据交换的详细信息和异常告警,对交换数据进行实时监控和追踪排查,掌握数据交换情况,实现可视可控和精简运维,大幅降低运维管理难度。
七、 可复制推广性
平台符合最高人民法院发布的安全隔离与信息交换平台的建设和管理要求,并在要求的基础上实现了能力增强和技术创新,且在上海法院经过了实践检验,有效解决法院业务数据跨网交换的各类问题,可复制和推广性较强。
责任编辑:广汉
声明:
本网站图片,文字之类版权申明,因为网站可以由注册用户自行上传图片或文字,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。
征稿启事
品牌推荐更多>>