反電信網(wǎng)絡(luò)詐騙信息化平臺項目建設(shè)方案

反電信網(wǎng)絡(luò)詐騙信息化平臺項目建設(shè)方案.1.2接入原大數(shù)據(jù)實戰(zhàn)應用平臺警務(wù)云平臺監(jiān)控需求本次采購的20臺物理服務(wù)器及7臺交換機須納入原大數(shù)據(jù)實戰(zhàn)應用平臺警務(wù)云平臺進行監(jiān)控。具體需求包括：1、 主機監(jiān)控：提供主機監(jiān)控功能，針對運行狀態(tài)、運行時間、CPU使用率、內(nèi)存使用率、磁盤使用率、磁盤總量和使用量、網(wǎng)卡發(fā)送和接收速率等進行監(jiān)控;提供主機所運行的服務(wù)自動發(fā)現(xiàn)和狀態(tài)監(jiān)控的功能；支持windows.IBMAix、Red-hatLinux>HPUnix^SunSolaris、NovelISUSE、CentOSFreeBSDRedflagLinux等主機操作系統(tǒng)；支持自動獲取主機的配置信息，精準、有效、及時地錄入IT系統(tǒng)，詳情直接展示資產(chǎn)配置信息，無需彈框，界面更直觀，且在詳情界面可直接修改配置信息，對象列表同步更新內(nèi)容；支持主機自定義監(jiān)控指標的添加、刪除等操作；提供服務(wù)器的進程信息，包括進程的線程ID、CPU和內(nèi)存的使用率等信息；提供當前服務(wù)器的所有指標的詳情信息，包括文本歷史、圖表的展示；支持監(jiān)控概要面板小部件化自定義，可拖拽。2、 云平臺監(jiān)控:支持監(jiān)控所有主流云平臺；提供如云服務(wù)器的運行狀態(tài)、CPU使用率、內(nèi)存使用率、磁盤使用率、磁盤總量和使用量、10速率等監(jiān)控指標；全方位覆蓋計算、存儲、網(wǎng)絡(luò)、數(shù)據(jù)庫等云平臺產(chǎn)品的負載和性能監(jiān)控指標；支持混合云監(jiān)控，多云、云上、云下多重環(huán)境基礎(chǔ)監(jiān)控；支持自定義監(jiān)控指標添加、刪除功能，用戶可以自行設(shè)置在詳情界面展示的指標趨勢圖。3、 網(wǎng)絡(luò)設(shè)備監(jiān)控：提供網(wǎng)絡(luò)設(shè)備監(jiān)控功能，針對運行狀態(tài)、CPU使用率、內(nèi)存使用率、端口發(fā)送和接收總流量、端口發(fā)送和接收速率、端口發(fā)送和接收丟包率等指標進行監(jiān)控；提供端口發(fā)送和接收速率、端口發(fā)送和接收丟包率、對比圖標顯示；支持網(wǎng)絡(luò)設(shè)備包括交換機、防火墻、負載均衡等，以及設(shè)備上的所有網(wǎng)絡(luò)端口，用戶可以對網(wǎng)絡(luò)資源進行管理上的分組；支持手動單個和批量關(guān)閉、啟用端口監(jiān)控，查看端口管理界面支持一目了然看到所有已監(jiān)控和未監(jiān)控的端口號；支持自動獲取網(wǎng)絡(luò)設(shè)備的配置信息，精準、有效、及時地錄入IT系統(tǒng)，詳情直接展示資產(chǎn)配置信息，無需彈框，界面更直觀，且在詳情界面可直接修改配置信息，對象列表同步更新內(nèi)容；支持自定義網(wǎng)絡(luò)通訊設(shè)備監(jiān)控指標的添加、刪除功能，用戶可以自行設(shè)置在詳情界面展示的指標趨勢圖；支持監(jiān)控概況面板小部件化自定義，可拖拽；支持關(guān)聯(lián)資產(chǎn)信息，監(jiān)控能讀取到的信息會自動填寫。3.2全息建模子系統(tǒng)建設(shè)需求3.2.1整體流程設(shè)計需求全息建模子系統(tǒng)主要包括數(shù)據(jù)資源、算子集、建模畫板、任務(wù)發(fā)布、任務(wù)運行、模板及模型APP生成、可視化組件、及結(jié)果數(shù)據(jù)保存與可視化呈現(xiàn)等功能模塊。同時全息建模子系統(tǒng)需要與原大數(shù)據(jù)實戰(zhàn)應用平臺功能實現(xiàn)互聯(lián)互通，包括接入融合大數(shù)據(jù)實戰(zhàn)應用平臺數(shù)據(jù)資源等。3.2.2數(shù)據(jù)資源管理需求1、 原始資源設(shè)計原始資源是指接入的原始數(shù)據(jù)資源，全息建模子系統(tǒng)需與大數(shù)據(jù)平臺進行對接，從而獲取資源數(shù)據(jù)，作為模型的輸入資源，并以樹形結(jié)構(gòu)進行展現(xiàn)。（1） 對接設(shè)計：數(shù)據(jù)資源對接、數(shù)據(jù)資源配置對接、字典數(shù)據(jù)對接。（2） 調(diào)用設(shè)計：支持按照樹形結(jié)構(gòu)展示原始資源，通過權(quán)限控制用戶可以操作的原始資源列表，支持通過搜索方式查找、關(guān)聯(lián)查看所需資源。用戶可以在權(quán)限范圍內(nèi)拖拽資源節(jié)點到畫布上作為數(shù)據(jù)節(jié)點，并且可以對所選數(shù)據(jù)資源進行預覽、刷新。2、 中間庫設(shè)計中間庫是相對于原始數(shù)據(jù)而言的，一般為模型的運算結(jié)果，也可以是外部模塊數(shù)據(jù)導入，外部文件導入生成。中間庫也可以作為模型的輸入數(shù)據(jù)資源。支持類型為txt、xls、csv格式的文件導入為中間庫，并支持導入性能調(diào)優(yōu)。中間庫資源同樣以列表形式，與建模畫板對接支持拖拽方式供其調(diào)用。支持用戶對中間庫的搜索、預覽、刷新等功能。3.2.3建模管理需求建模管理針對具有較高水平的數(shù)據(jù)分析能力的用戶，出于對案件較深層次可自定義分析模型的需求，平臺提供數(shù)據(jù)建模功能，支持用戶自定義分析模型。系統(tǒng)提供建模工具，基于安全訪問權(quán)限實現(xiàn)數(shù)據(jù)集的自由定義，根據(jù)用戶業(yè)務(wù)要求進行各種過濾、轉(zhuǎn)換、并交補等操作，并通過可視化的方式提供給用戶操作平臺。1、建模畫板提供可視化建模畫板組件，將數(shù)據(jù)處理邏輯圖形化，將建模步驟可視化，提供導航、新建、重置、縮放功能，支持節(jié)點拖拽方式添加節(jié)點、移動節(jié)點、刪除節(jié)點、添加連線及刪除連線等操作。2、 算子運算算子集展示當前支持的所有算子，包括一元運算算子、二元運算算子、多元運算算子及SQL工具。其中一元運算包括過濾算子、排除算子、數(shù)據(jù)統(tǒng)計算子、重組算子、去重算子、字段替換算子、時間處理算子；二元運算包括關(guān)聯(lián)算子、關(guān)系分析算子、非或算子、左連接算子、右連接算子、內(nèi)連接算子、外連接算子;多元運算包括交集算子、并集算子、差集算子、碰撞算子。3、 模板管理模板用于保存已經(jīng)設(shè)計好的模型。分為個人可見模板，所有人可見模板，自定義模板三種。支持模板命名及分類保存，支持樹形結(jié)構(gòu)展示當前用戶已經(jīng)預先設(shè)置好的模板，支持模板刷新、模板搜索操作。4、 建模成效根據(jù)業(yè)務(wù)場景的要求進行復雜的多數(shù)據(jù)源聯(lián)合分析，即通過一定的業(yè)務(wù)模型在海量數(shù)據(jù)中一步步的找出我們關(guān)心的目標信息，使用建模工具即可自動化、信息化的快速定制分析模型。3.2.4任務(wù)管理需求1、 模型創(chuàng)建在畫板上能夠根據(jù)業(yè)務(wù)分析場景，自行選擇數(shù)據(jù)資源及算子，創(chuàng)建個性化的分析模型。模型創(chuàng)建過程中支持生成模板，模型創(chuàng)建后生成任務(wù)進行相關(guān)分析運算。任務(wù)運行可分為兩種形式：實時任務(wù)與定時任務(wù)。實時任務(wù)：在任務(wù)下達時即開始執(zhí)行任務(wù)；定時任務(wù)：可以設(shè)置任務(wù)執(zhí)行的周期。2、 任務(wù)列表對創(chuàng)建生成的任務(wù)支持表格展示歷史任務(wù)信息，支持任務(wù)消息接收并實時動態(tài)更新界面任務(wù)狀態(tài)，支持支持根據(jù)任務(wù)名稱、任務(wù)狀態(tài)、任務(wù)創(chuàng)建時間進行檢索任務(wù)列表，支持查看模型、查看任務(wù)結(jié)果、任務(wù)結(jié)果保存、結(jié)果點擊跳轉(zhuǎn)可視化呈現(xiàn)、過期時間提示、任務(wù)刪除、任務(wù)停止等操作。3、 任務(wù)運行運行任務(wù)的目的是把當前需要展示數(shù)據(jù)的模板，以任務(wù)形式放到后臺運行。支持設(shè)置單次任務(wù)的超時時間，支持選擇是否永久保存任務(wù)結(jié)果數(shù)據(jù)（默認保存45天），支持點擊運行按鈕開始運行全息建模任務(wù)。支持解析各種資源及算子組合后的建模，并生成任務(wù)指令集合；支持根據(jù)任務(wù)解析后的任務(wù)指令集合按任務(wù)邏輯執(zhí)行指令并生成任務(wù)結(jié)果。支持多任務(wù)下任務(wù)的運行調(diào)度，支持任務(wù)狀態(tài)變更通知。4、任務(wù)結(jié)果以列表形式展示任務(wù)運行結(jié)果，支持分頁展示。支持對接已有資源字段配置及展示任務(wù)結(jié)果處理，支持時間字段轉(zhuǎn)換處理，支持字典字段翻譯處理，且支持對接己有字典數(shù)據(jù)。列表信息展示定時任務(wù)的運行歷史信息，并支持點擊查看任務(wù)結(jié)果詳情。支持導出任務(wù)結(jié)果數(shù)據(jù)，最大導出條數(shù)、導出字段可根據(jù)權(quán)限控制。3.2.5可視化展現(xiàn)需求針對一個任務(wù)結(jié)果可以創(chuàng)建多個維度的可視化展示，具體設(shè)計如下：1、 畫板列表根據(jù)發(fā)布狀態(tài)、創(chuàng)建時間、畫布名稱作為條件查詢結(jié)果篩選結(jié)果，結(jié)果中包含畫布名稱、創(chuàng)建人、創(chuàng)建時間、發(fā)布狀態(tài)等關(guān)鍵字段。支持創(chuàng)建空白可視化畫布，支持根據(jù)當前畫布id跳轉(zhuǎn)到畫布頁面繼續(xù)創(chuàng)作之前保存的畫布。支持已經(jīng)保存好的畫布進行發(fā)布，發(fā)布彈窗表單中應用名稱和英文名稱必填，應用圖標和描述可選填。支持畫布下線、刪除等操作。2、 可視化畫布可視化畫布支持創(chuàng)建柱狀圖，折線圖，餅圖，玫瑰圖，明細表，交叉表等圖表，并支持圖表的搜索；支持畫布的保存、亮/暗主題切換。支持編輯和預覽模式選擇。其中編輯模式中，畫布中的圖形可以刪除，可以編輯查詢條件，圖形布局位置可以調(diào)整，可以打開右側(cè)編輯面板；預覽模式中，以上編輯模式中允許的操作都不可以操作。支持獨立模式和內(nèi)嵌模式的圖形結(jié)果篩選，其中獨立模式有自己的圖形板塊，可以同時對所有的數(shù)據(jù)圖形的有效關(guān)聯(lián)字段進行篩選；內(nèi)嵌模式的圖形篩選只對自己所在數(shù)據(jù)圖形的數(shù)據(jù)源字段進行篩選。提供頭部組件支持輸入標題，和logo圖片。提供圖形交互功能，支持聯(lián)動的圖表點擊對應的熱區(qū)，可以觸發(fā)被聯(lián)動的數(shù)據(jù)圖表數(shù)據(jù)更新。如果是同數(shù)據(jù)源的圖表創(chuàng)建交互聯(lián)動，不需要手動選擇被關(guān)聯(lián)圖表的條件字段，不同數(shù)據(jù)源的圖表需要手動指定關(guān)聯(lián)圖表的條件字段。3、可視化組件提供柱狀圖、折線圖、餅圖、玫瑰圖、字符云、雷達圖、關(guān)系圖、樹圖、矩形樹圖、旭日圖等可視化組件。按照用戶選擇的字段信息，進行可視化話呈現(xiàn)。柱狀圖、折線圖等支持平列和堆疊的圖表類型，支持圖例方位、支持滾動條、支持標題設(shè)置、支持限制展示結(jié)果數(shù)量。餅圖、玫瑰圖等支持實心餅圖和環(huán)餅兩種圖表類型，支持圖例方位，支持標題，支持限制展示結(jié)果數(shù)量。明細表/交叉表可視化組件展示的同時，支持聯(lián)動的明細表/交叉表的同步展示。行、列字段均支持新增、刪除，支持多字段選擇，支持排序，支持分頁數(shù)量配置和限制展示結(jié)果數(shù)量等表格配置，支持導出為Excelo3.3邊界鏈路建設(shè)需求3.3.1完善跨域安全交換平臺建設(shè)需求針對本項目采購安全數(shù)據(jù)共享系統(tǒng)、安全數(shù)據(jù)交換系統(tǒng)、網(wǎng)閘等設(shè)備，完善擴容跨域安全交換平臺，實現(xiàn)文件交換能力。3.3.1.1安全數(shù)據(jù)共享系統(tǒng)通過符合SOAP技術(shù)規(guī)范的WebService在各種應用之間進行基于業(yè)務(wù)服務(wù)的集成過程。除了支持標準的WebService類型的服務(wù)外，為保證跨業(yè)務(wù)系統(tǒng)協(xié)同能力的建設(shè)，對于己建設(shè)完成而不能改造為WebService重要公安內(nèi)部系統(tǒng)，可以通過安全服務(wù)總線系統(tǒng)所支持的其他連通協(xié)議的完成服務(wù)集成。3.3?仁2安全數(shù)據(jù)交換系統(tǒng)安全數(shù)據(jù)交換系統(tǒng)由兩臺專用的數(shù)據(jù)交換服務(wù)器組成，系統(tǒng)皺件內(nèi)部采用高可靠性設(shè)計，硬件設(shè)備內(nèi)部采用特殊的認證機制，保證基于硬件的可信任計算體系。安全數(shù)據(jù)交換系統(tǒng)根據(jù)業(yè)務(wù)配置建立業(yè)務(wù)數(shù)據(jù)通道，并對業(yè)務(wù)數(shù)據(jù)通道上傳輸?shù)臄?shù)據(jù)進行過濾和審計。只允許符合安全策略的業(yè)務(wù)數(shù)據(jù)進行交換，不允許任何其它的數(shù)據(jù)傳輸。安全數(shù)據(jù)交換系統(tǒng)具備如下安全功能：1、 系統(tǒng)能夠?qū)崿F(xiàn)對數(shù)據(jù)交換對象的身份認證；2、 系統(tǒng)能夠保證數(shù)據(jù)交換內(nèi)容的機密性和完整性；3、 系統(tǒng)能夠區(qū)分連接內(nèi)外網(wǎng)鏈路的接口；4、 系統(tǒng)根據(jù)安全策略主動獲取來自前置機群的數(shù)據(jù)；5、 系統(tǒng)能夠驗證數(shù)據(jù)源和數(shù)據(jù)完整性；6、 系統(tǒng)能夠根據(jù)業(yè)務(wù)規(guī)則檢查數(shù)據(jù)類型、格式、內(nèi)容，過濾不符合安全策略的數(shù)據(jù)；7、 系統(tǒng)能夠保證非法數(shù)據(jù)交換行為可追溯。身份認證、數(shù)據(jù)加密、區(qū)分內(nèi)外網(wǎng)鏈路、單向通道主動獲取數(shù)據(jù)、驗證數(shù)據(jù)源、數(shù)據(jù)過濾。網(wǎng)閘通過網(wǎng)閘切斷所有基于網(wǎng)絡(luò)協(xié)議的連接，使外部終端無法直接訪問公安信息通信網(wǎng)，確保公安信息通信網(wǎng)與VPN跨域?qū)＞W(wǎng)隔離。該設(shè)備采用了三部件架構(gòu)，采用專用的硬件和安全芯片，采用專用通信協(xié)議進行數(shù)據(jù)擺渡。并且保證對所有過往的流量都剝離了通信協(xié)議，保證所有協(xié)議剝離和再生過程都接受安全審計，并且具有防范各種網(wǎng)絡(luò)協(xié)議攻擊的能力（如DDOS、LAND、滴淚攻擊等）。3.3?仁4請求服務(wù)系統(tǒng)請求服務(wù)模塊安裝部署在安全數(shù)據(jù)交換系統(tǒng)內(nèi)外主機上，對接前端安全數(shù)據(jù)共享系統(tǒng)的統(tǒng)一接口平臺，對內(nèi)對接公安信息網(wǎng)內(nèi)的反詐業(yè)務(wù)系統(tǒng)平臺，實現(xiàn)高效、安全可靠的運行。服務(wù)請求轉(zhuǎn)文件、信息提交功能、簡項查詢功能、批量比對功能、文件上傳功能、文件下載功能。3.3.2新建黨政軍鏈路建設(shè)需求3.3.2.1路由接入?yún)^(qū)1、 通信鏈路：政務(wù)外網(wǎng)機關(guān)單位外部通信鏈路釆用專線（裸光纖）與邊界接入平臺連接。2、 終端安全:政務(wù)外網(wǎng)機關(guān)接入終端安全主要體現(xiàn)在如下幾個方面：終端用戶身份識別（必須采用數(shù)字證書方式）、終端設(shè)備認證、終端訪問控制、傳輸保護。3、 終端身份識別：政務(wù)外網(wǎng)機關(guān)單位用戶只能通過公安定制的數(shù)字證書來標識用戶身份，可信邊界安全網(wǎng)關(guān)對用戶持有的數(shù)字身份進行完整認證，包括驗證數(shù)字證書的信任域、有效期、證書狀態(tài)。4、 終端設(shè)備識別：客戶端收集終端硬件信息，并提交給可信邊界網(wǎng)關(guān)，可信邊界網(wǎng)關(guān)根據(jù)終端軟硬件特征確保只有經(jīng)過注冊的合法終端才能與平臺連接，保證接入設(shè)備的合法性。5、 終端訪問控制;在終端與平臺完成連接認證時，通過設(shè)置細粒度訪問控制策略，確保非法用戶不能訪問，合法用戶不能越權(quán)訪問。6、 傳輸保護:終端客戶端與可信邊界網(wǎng)關(guān)之間使用SSL協(xié)議對通信過程進行加密和完整性保護，保證數(shù)據(jù)傳輸?shù)陌踩浴?.3.2.2邊界保護區(qū)邊界保護區(qū)主要設(shè)備包括：防火墻、可信邊界安全網(wǎng)關(guān)、三層交換機、入侵防御設(shè)備、集控探針等。1、 防火墻:防火墻的首要功能是根據(jù)數(shù)據(jù)包的源地址、目標地址、協(xié)議類型、源端口、目標端口以及網(wǎng)絡(luò)協(xié)議等對數(shù)據(jù)包進行訪問控制。防火墻還保證了邊界接入平臺內(nèi)部的主機地址不被外部終端直接獲得。2、 三層交換機:利用三層網(wǎng)絡(luò)交換機的IP路由和虛網(wǎng)功能，根據(jù)接入應用進行路由選擇和虛網(wǎng)劃分，保證不同業(yè)務(wù)應用通道之間的相互隔離。三層交換機根據(jù)不同業(yè)務(wù)設(shè)置不同的VLAN,每個VLAN連接這個業(yè)務(wù)的前置機、數(shù)據(jù)庫或者文件服務(wù)器，每個VLAN之間不能互相訪問。這樣的配置即能保證每個業(yè)務(wù)之間相對獨立，一旦某個業(yè)務(wù)的前置機感染病毒木馬不能通過內(nèi)部局域網(wǎng)迅速傳播，又能實現(xiàn)所有業(yè)務(wù)的數(shù)據(jù)交換。3、 入侵檢測系統(tǒng):入侵檢測系統(tǒng)（IDS）是實時對網(wǎng)絡(luò)入侵行為自動識別和響應的系統(tǒng)。它通過實時監(jiān)聽網(wǎng)絡(luò)數(shù)據(jù)流，識別和記錄入侵行為，該系統(tǒng)安裝于防火墻后，可以對穿透防火墻進行攻擊的數(shù)據(jù)流進行響應。4、 可信邊界安全網(wǎng)關(guān):政務(wù)外網(wǎng)機關(guān)單位的用戶通過公安頒發(fā)的定制類型數(shù)字證書來訪問公安內(nèi)網(wǎng)，這個證書由誰來認證其合法性，又通過那種設(shè)備對訪問進行授權(quán)控制。在這里，公安部安全規(guī)范要求采用可信邊界安全網(wǎng)關(guān)來實現(xiàn)對客戶端身份認證、訪問控制、授權(quán)管理的作用。可信邊界安全網(wǎng)關(guān)基于SSL安全通信協(xié)議，支持PKI證書認證和數(shù)字簽名機制，為接入點授權(quán)訪問業(yè)務(wù)提供基于公安PKI/PMI體系的數(shù)字證書身份認證、應用授權(quán)和細粒度訪問控制、數(shù)據(jù)加密和完整性保護、抗否認等安全服務(wù)。（1） 身份認證：網(wǎng)關(guān)對用戶持有的數(shù)字身份進行完整認證，包括驗證數(shù)字證書的信任域、有效期、證書狀態(tài)。（2） 策略服務(wù)：網(wǎng)關(guān)通過地域?qū)傩苑?wù)和資源服務(wù)控制對用戶開放資源,從而實現(xiàn)細粒度訪問控制。（3） 應用授權(quán)與訪問控制：網(wǎng)關(guān)采用了基于角色的應用授權(quán)和訪問控制機制，依據(jù)“最小授權(quán)”的原則，對用戶的應用服務(wù)訪問權(quán)限進行嚴格控制，有效避免了發(fā)生超越權(quán)限的訪問行為。（4） 應用數(shù)據(jù)安全傳輸：一旦客戶端與網(wǎng)關(guān)之間建立了SSL安全通道，所有應用數(shù)據(jù)的傳輸都在SSL記錄協(xié)議的安全保護下進行。（5） 安全審計：網(wǎng)關(guān)對管理員維護網(wǎng)關(guān)操作進行詳細記錄，對用戶身份請求進行詳細記錄。網(wǎng)關(guān)支持標準日志輸出，可將日志信息發(fā)送到集控系統(tǒng)，進行集中、統(tǒng)一審計管理，為事后鑒定提供有效數(shù)據(jù)。5、入侵防御系統(tǒng):入侵防御系統(tǒng)（IPS）部署在可信邊界安全網(wǎng)關(guān)之后，其目標旨在準確監(jiān)測網(wǎng)絡(luò)異常流量，自動對各類攻擊進行實時阻斷。即IPS接收到外部數(shù)據(jù)流量時，如果檢測到攻擊企圖，就會自動地將攻擊包丟掉或采取措施將攻擊源阻斷，而不把入侵攻擊放進內(nèi)部網(wǎng)絡(luò)。IPS自動攔截黑客攻擊、蠕蟲、網(wǎng)絡(luò)病毒、DDoS等惡意流量，使攻擊無法到達目的主機，這樣即使沒有及時安裝最新的安全補丁，公安內(nèi)部網(wǎng)絡(luò)仍然不會受到損失。3.3.2.3應用服務(wù)區(qū)政務(wù)外網(wǎng)機關(guān)單位的應用服務(wù)區(qū)一般是在政務(wù)外網(wǎng)機關(guān)單位內(nèi)部，主要是相關(guān)業(yè)務(wù)應用的前置服務(wù)器（數(shù)據(jù)庫前置機和文件前置機）。建議政務(wù)外網(wǎng)機關(guān)單位對用于數(shù)據(jù)交換的前置機進行安全加強，加強手段包括采用安全加固的操作系統(tǒng)、安裝殺毒軟件和防火墻軟件、定時更新漏洞補丁、關(guān)閉不必要的服務(wù)和端口等等。3.3.2.4安全隔離區(qū)該區(qū)域主要實現(xiàn)公安信息通信網(wǎng)與應用服務(wù)區(qū)網(wǎng)絡(luò)隔離和數(shù)據(jù)的安全交換,它通過高可信的方式，實現(xiàn)異構(gòu)系統(tǒng)、數(shù)據(jù)源之間安全、靈活、有效、快速的數(shù)據(jù)交換。該區(qū)域主要實現(xiàn)以下安全功能：1、 網(wǎng)絡(luò)隔離：切斷外網(wǎng)與公安信息通信網(wǎng)的網(wǎng)絡(luò)連接，剝離所有通過本系統(tǒng)交換的通信協(xié)議，保證在內(nèi)外網(wǎng)之間只能通過裸數(shù)據(jù)進行有限交換；2、 格式過濾：數(shù)據(jù)交換系統(tǒng)可根據(jù)用戶自定義的源數(shù)據(jù)規(guī)則對經(jīng)數(shù)據(jù)交換系統(tǒng)交換的數(shù)據(jù)進行深度格式過濾，與源數(shù)據(jù)格式不匹配的數(shù)據(jù)過濾掉，只交換與源數(shù)據(jù)格式匹配的數(shù)據(jù)；3、 內(nèi)容檢查：數(shù)據(jù)交換系統(tǒng)可根據(jù)用戶自定義的源數(shù)據(jù)規(guī)則對經(jīng)數(shù)據(jù)交換系統(tǒng)交換的數(shù)據(jù)進行深度內(nèi)容檢查，與源數(shù)據(jù)內(nèi)容不匹配的數(shù)據(jù)過濾掉，只交換與源數(shù)據(jù)內(nèi)容匹配的數(shù)據(jù)；4、 信息安全：采用標準的SSL協(xié)議進行數(shù)據(jù)的加密傳輸；5、 單道訪問：數(shù)據(jù)交換系統(tǒng)對前置機/后置機采用單道訪問設(shè)計，數(shù)據(jù)交換系統(tǒng)主動從前置機獲取數(shù)據(jù)，不接受前置機主動向數(shù)據(jù)交換系統(tǒng)發(fā)送數(shù)據(jù)；6、 數(shù)據(jù)對象認證：通過設(shè)備證書方式對數(shù)據(jù)交換對象進行雙向身份認證;7、 安全審計：對經(jīng)數(shù)據(jù)交換系統(tǒng)進行交換的所有行為安全審計，保證數(shù)據(jù)交換行為事后可追溯。該區(qū)域的主要設(shè)備包括：網(wǎng)閘、安全數(shù)據(jù)交換系統(tǒng)。1、 網(wǎng)閘通過網(wǎng)閘切斷所有基于網(wǎng)絡(luò)協(xié)議的連接，使外部終端無法直接訪問公安信息通信網(wǎng)，確保公安信息通信網(wǎng)與外部網(wǎng)絡(luò)隔離。該設(shè)備采用了三部件架構(gòu)，采用專用的硬件和安全芯片，采用專用通信協(xié)議進行數(shù)據(jù)擺渡。并且保證對所有過往的流量都剝離了通信協(xié)議，保證所有協(xié)議剝離和再生過程都接受安全審計，并且具有防范各種網(wǎng)絡(luò)協(xié)議攻擊的能力（如DDOS、LAND、滴淚攻擊等）。2、 安全數(shù)據(jù)交換系統(tǒng)安全數(shù)據(jù)交換系統(tǒng)由兩臺專用的數(shù)據(jù)交換服務(wù)器組成，系統(tǒng)硬件內(nèi)部采用高可靠性設(shè)計，硬件設(shè)備內(nèi)部采用特殊的認證機制，保證基于硬件的可信任計算體系。安全數(shù)據(jù)交換系統(tǒng)根據(jù)業(yè)務(wù)配置建立業(yè)務(wù)數(shù)據(jù)通道，并對業(yè)務(wù)數(shù)據(jù)通道上傳輸?shù)臄?shù)據(jù)進行過濾和審計。只允許符合安全策略的業(yè)務(wù)數(shù)據(jù)進行交換，不允許任何其它的數(shù)據(jù)傳輸。安全數(shù)據(jù)交換系統(tǒng)具備如下安全功能：系統(tǒng)能夠?qū)崿F(xiàn)對數(shù)據(jù)交換對象的身份認證；系統(tǒng)能夠保證數(shù)據(jù)交換內(nèi)容的機密性和完整性；系統(tǒng)能夠區(qū)分連接內(nèi)外網(wǎng)鏈路的接口；系統(tǒng)根據(jù)安全策略主動獲取來自前置機群的數(shù)據(jù)；系統(tǒng)能夠驗證數(shù)據(jù)源和數(shù)據(jù)完整性；系統(tǒng)能夠根據(jù)業(yè)務(wù)規(guī)則檢查數(shù)據(jù)類型、格式、內(nèi)容，過濾不符合安全策略的數(shù)據(jù)；系統(tǒng)能夠保證非法數(shù)據(jù)交換行為可追溯。具體描述如下：身份認證：系統(tǒng)內(nèi)部通過硬件數(shù)字證書進行雙向身份認證，如果一旦系統(tǒng)內(nèi)部的硬件數(shù)字證書被拔走，則數(shù)據(jù)交換過程馬上終止。如果外網(wǎng)端其他服務(wù)器冒用地址向內(nèi)網(wǎng)發(fā)送數(shù)據(jù)交換請求，則直接會被系統(tǒng)拒絕。數(shù)據(jù)加密：系統(tǒng)根據(jù)認證產(chǎn)生的會話密鑰對傳輸數(shù)據(jù)進行加密。區(qū)分內(nèi)外網(wǎng)鏈路：系統(tǒng)能夠自動區(qū)分連接內(nèi)外網(wǎng)鏈路的不同接口，外網(wǎng)接口保證數(shù)據(jù)源的合法性和數(shù)據(jù)的完整性，內(nèi)網(wǎng)接口對數(shù)據(jù)進行檢查、過濾、審計和分發(fā)等處理。單向通道主動獲取數(shù)據(jù)：安全數(shù)據(jù)交換系統(tǒng)采用了特有的單向通道技術(shù)，確保除了所配置的接入業(yè)務(wù)以外，沒有任何其它軟件能夠利用數(shù)據(jù)通道傳輸數(shù)據(jù)，也沒有任何其它軟件能夠自行建立數(shù)據(jù)傳輸通道。系統(tǒng)主動獲取