HJC黄金城

项目背景

电子政务（wù）移动OA办公安全（quán）隔离（lí）防护: 党的十八大提出，要（yào）进（jìn）一步转变政（zhèng）府职能，改进管理方式，提高行政效率，形成（chéng）行（háng）为规范、运转协调、廉（lián）洁高（gāo）效的行政管理体制（zhì），运用多种手段提高行（háng）政审（shěn）批效率，注重民生服（fú）务。; 近年（nián）来随着网络信息技术的（de）高速发展，政务信息更加公开，公众对政府（fǔ）服务水平的要求也不（bú）断提（tí）高，各政府机关加强了内部管理，不断（duàn）提高工作效（xiào）率，使（shǐ）行政审（shěn）批更加便捷、有效，落实公众信息服务工作。; 因此，各地（dì）政府都（dōu）加快（kuài）了（le）以行政办（bàn）公为主的信息（xī）化建设，不（bú）断推进政府（fǔ）职能转变，提升服务（wù）水平（píng），自动化办公系统（OA）等信（xìn）息化系统也陆续（xù）被（bèi）引入到（dào）政府单位日常办公中（zhōng）。

现（xiàn）状分析

政府部门众（zhòng）多，分管（guǎn）发改，财政、统（tǒng）计（jì）等工作，各部门及各科室在（zài）信息化建设的过程，为满足（zú）自身（shēn）需求引进了众多系统，造（zào）成了政（zhèng）府（fǔ）各部门分散式管理的现象，无法（fǎ）有（yǒu）效、统一管理（lǐ）各（gè）部（bù）门（mén）事务。

同时，各部门（mén）、各科（kē）室信息化（huà）系统的彼此孤立，导致信息（xī）数据分散，大量重（chóng）复工（gōng）作出现，严重阻碍了行政审批效率的提高，无法为（wéi）领导分析决策提（tí）供科学、有效的信息（xī）化数据，行政（zhèng）办公一体化的重要性进一（yī）步凸（tū）显，一体化建设已是（shì）大势所（suǒ）趋。

需求分（fèn）析

构建一个具（jù）有强大扩展（zhǎn）与融合（hé）能力、同时满足（zú）单位行政办公、移动办公需求（qiú）的协（xié）同办公系（xì）统，成为（wéi）了政（zhèng）府信息化建（jiàn）设考虑的重点，借此来实现本单位与上下级单位间（jiān）的互联互（hù）通，为决（jué）策分析提供及时有效的信息支持（chí），协助政府打造阳光政务。

自动化办公系（xì）统、电子政（zhèng）务应用中势（shì）必存在内网与专网、外网间的信（xìn）息交换需求，然而（ér）基于内网（wǎng）数据保密性的考（kǎo）虑，我们又不（bú）希望（wàng）内网（wǎng）暴露在对（duì）外（wài）环境中。解决该问题的有（yǒu）效方式（shì）是设置“安全岛”，通过安（ān）全（quán）岛来实现内外（wài）网间信（xìn）息的过滤和两个网络间的物理隔离，从而在内外（wài）网间实（shí）现安全的数据（jù）交换。安全岛是独（dú）立于电子政务内、外网的一个特殊（shū）的过渡“网络”，它被（bèi）置于内网、专网和外网相交的边界位置，将内网与（yǔ）外网物理断开，防止黑客利用漏洞等攻（gōng）击手段进入（rù）内网（wǎng），又（yòu）可完成数据的（de）中转，在其安（ān）全策略的控制下进行（háng）内外（wài）网间（jiān）的数据交换。

方案设计

隔离网闸(GAP)技术是实（shí）现（xiàn）安全（quán）岛的关键技术，它如（rú）同（tóng）一个高速开关在内外网间来回切换，同一时刻内外网间没有连接，处于物理隔离状态。在（zài）此基础（chǔ）上，隔离网闸（zhá）作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网，完成数据中转。在中转过程中，隔（gé）离网闸会（huì）对（duì）抽取的数（shù）据（jù）做（zuò）应用层的协议检查、内容检测，也会对IP包地址实施过滤控（kòng）制，由于（yú）隔离网闸采用了独特的开关切换机（jī）制，因此，在进（jìn）行这（zhè）些检查时网络实际上处于（yú）断开状态，只（zhī）有（yǒu）通过严格（gé）检查的数（shù）据才有可能进（jìn）入内网，即使黑客强行（háng）攻击了隔离网闸，由于攻击发（fā）生（shēng）时内外网始（shǐ）终（zhōng）处于物理断开状态，黑客也无法进入内网。另一方（fāng）面（miàn），由（yóu）于隔离网（wǎng）闸仅（jǐn）抽取（qǔ）数据交（jiāo）换进内网，因此，内网不会受到网络层的攻击，这就在物（wù）理隔（gé）离的（de）同时实（shí）现（xiàn）了数据（jù）的安全交换。

中铁HJC黄金城和信安安全隔离网闸采用“双主（zhǔ）机+隔离硬件”的硬件架构，实现网络间的“摆（bǎi）渡”形（xíng）式数据交换。在数据交换过（guò）程（chéng）中自身对外不（bú）提（tí）供任何服务端口，弥补了传统防火墙抵御各种已（yǐ）知和未知攻击能（néng）力不足（zú）的问（wèn）题。

网闸（zhá）为远程移（yí）动（dòng）APP办公、电子公文管理（公文交换、归档查询、领导审核审批、电子（zǐ）签章）等业务应（yīng）用提供了安全防护。

方案总结（jié）

标准（zhǔn）防护：依据国际最高安全等（děng）级设计（jì），采（cǎi）取三（sān）权分立，满（mǎn）足等（děng）级保（bǎo）护需要。

合（hé）规防护：中心业务系统与（yǔ）外部对接系统（tǒng）之间形成物理级安全（quán）隔离（lí）。

细（xì）粒度（dù）防护：方案实施过程中（zhōng），中铁信（xìn）安安全专家会依据不同应（yīng）用类型（xíng），在设备上实现细粒度信令控制。

高安全系统架构：采（cǎi）用“双主机+隔（gé）离硬件”的硬件架（jià）构，结合专业定制的网络（luò）安（ān）全操作系统和高强（qiáng）度的协议（yì）分析控制功能（néng），中铁HJC黄金城和信安安全隔（gé）离网闸构建（jiàn）了一（yī）个在网（wǎng）络边界处抵（dǐ）御已知（zhī）和未知攻击行（háng）为的高安全（quán）屏障。

极（jí）强的网络适（shì）应性：中铁HJC黄金城和信安安全隔离网闸（zhá）支持透明代理、代理（lǐ）及（jí）路由三种模式，可以适应（yīng）用户各（gè）种（zhǒng）网络环境。支持（chí）与主（zhǔ）、备交换机负载冗（rǒng）余互（hù）联。