数据共享交换平台-设计方案
对信息交换平台自身运行状态的查询和监控,是为了确认信息交换平台自身的运行是否正常。查询和监控的对象主要是构成共享平台的各类软件运行实体(例如进程、队列等)。以进程为例,监控的主要操作包括查询进程状态、停止进程、重新启动进程等。
对信息交换平台的远程监控,是指通过监控命令的交换,对系统中的远端信息交换平台部件进行上述监控。
由于信息交换平台的运行记录不仅是进行监控的重要依据,还是进行审计的重要基础,因此根据监控的功能设计,必须实现相应的日志机制。
6.5.2 前置节点运行监控
中心数据交换平台通过网络连接了许多不同的节点,通过监控系统能对分布在不同物理位置的前置交换系统状态进行必要的监控,及时发现异常的监控节点。
6.5.3 数据库运行监控
数据交换平台涉及中心数据库,前置节点数据库等多套数据库系统,通过监控系统能实时了解各节点数据运行的状态,能通过图示的方式进行提醒。
6.5.4 适配器监控
监控平台对桥接服务实行数据传输量监控,速率监控,历史数据统计等监控管理,对有关交换的各种组件运行状态及日志情况,可以非常方便的进行监控及查询。
6.6 系统管理
6.6.1 接入编码管理
接入点编号是由交换信息平台统一分配给各个使用单位或部门。各个使用单位或部门要接入信息交换平台,必须先申请接入点编号。获得接入点编号后,必须要先进行接入点注册,然后才可以通过接入点接入到交换信息平台。
接入点编号规则参考如下:
A.编号长度为九位(数据的长度预留20位:如果以后要加市的,在原来基础上前面加多俩位,依此类推:加省、);
B.位数的意义:第一、二位代表区;第三、四位代表单位类型;最后五位流水号。比如:
00 00
00000
- 21 -
数据共享交换平台-设计方案
区 单位类型 流水号
6.6.2 数据备份及恢复
数据交换平台涉及大量数据的存储,需要有良好的数据存储机制确保数据的安全,避免数据丢失。
6.6.3 用户管理
数据交换平台作为一套专门的信息交换系统,具有完善的用户管理体系,能创建不同权限、不同角色的用户帐号,对系统内的信息进行查看和访问。
6.6.4 日志管理
管理员能查看系统不同类型的日志,对系统的运行状态进行监控,及时发现运行过程中出现的问题。并提供日志审核的功能。
- 22 -
数据共享交换平台-设计方案
第七章 交换平台安全设计
7.1 威胁与风险分析
交换系统的业务特点和信息的敏感性决定了系统可能承受来自各个方面的攻击,如犯罪团伙的破坏,黑客的恶意攻击。
信息交换平台系统的安全性应从政府专网的网络安全中总体考虑,包括入侵检测、防病毒系统、防火墙系统在内的安全措施由XX市政府专网统一考虑。本实施方案中重点考虑系统在应用、数据交换、数据管理以及系统管理方面的安全问题。
(1)信息安全
信息安全指信息内容在采集、存取、处理、使用和传输中的机密性、完整性、可用性和不可否认性,以及确保信息在系统主体的可控性和可审计性等特征的系统辨别、控制、策略和过程。主要威胁和风险包括:伪装、系统入侵、通信监听、数据篡改、否认和拒绝服务等。
(2)安全管理
安全管理主要威胁和风险包括:
(1)管理不当造成的口令及密钥丢失和泄露; (2)制度遗漏造成的系统无序运行、系统灾难; (3)人员管理漏洞;安全审计不力或无审计等。
7.2 安全需求分析
为了使数据系统能够有效应对以上所描述的安全威胁和风险,切实保障系统的安全,必须从组织管理、技术保障、政策环境、标准体系、人才培养等方面着手,形成有效的安全防护能力、隐患发现能力和应急反应能力,为系统建立可靠的安全运行环境,切实保障系统的安全。
从应用安全和信息安全需求来分析,重要的是要解决全网统一的身份鉴别,要解决数据的完整性、数据的访问控制和授权,以及敏感信息的机密性。
从安全管理需求来分析,要考虑规章制度的完善、安全策略的制定、系统人员的安全培训等,特别要考虑到基层人员计算机应用水平还不高,必须加强安全
- 23 -
数据共享交换平台-设计方案
管理和人员培训,与技术保障紧密结合,形成一套比较完备的交换系统的安全保密体系。
因此,系统应用安全要重点做好以下几方面的工作,同时也是安全方案需要解决的问题:
(1)解决信息的备份问题。
(2)解决信息交换平台的统一身份鉴别问题。
(3)解决信息交换平台的信息资源管理,信息分类访问控制和分组共享(即什么人可以访问什么信息和哪些人可以共享哪些信息)问题,实现全系统的有效访问控制。
(4)解决系统敏感数据的加密问题,特别是重要信息的多级安全保护;采用数字签名和各种安全审计手段,解决关键操作的抗抵赖问题。
(5)解决内部人员滥用权力,有意犯罪,越权访问机密信息或恶意篡改等问题。
(6)解决系统安全运行的管理问题。
7.3 身份认证和授权管理设计
为了保证信息的合法访问,建立统一的认证网关和授权管理系统。在本系统中,主要有两类操作涉及到身份认证和授权访问控制:
一种是对接入的业务系统(即接入用户)的身份认证和授权访问控制,当一个业务系统,通过应用适配器或者调用交换系统的JAVA API,向信息交换平台发送数据或者从交换平台读取数据时,必须要提供身份信息(用户名/口令、CA证书),交换平台进行身份认证和权限检查,被授权的合法用户才能将操作完成。
另一类是对系统管理人员的身份认证和访问控制,用户登录到管理平台,进行系统管理,必须经过系统的身份认证和授权访问控制。
这两类身份认证和授权管理都可以通过eStar ESS提供的安全管理模块来实现。
eStar ESS支持两种身份凭证:用户名/口令和数字证书两类技术体系的电子身份凭证。
用户名/口令认证的实现方式是:
(1)系统管理员利用系统超级用户登录到系统管理平台,建立多个用户,并授予不同的权限,密码加密后保存在用户数据库中;
- 24 -
数据共享交换平台-设计方案
(2)将这些用户分别赋给不同的业务系统,业务系统连接信息交换平台时,提供预先配置的用户名和密码;
(3)对业务系统提供的用户名/口令进行认证和权限检验。
系统管理员登陆系统的过程类似,只是管理员每次登陆时都要输入用户名和口令,而不是向业务系统那样,用户名和口令预先被配置。
7.4 数字证书认证
系统支持内部的CA证书系统,也可以和外部独立的CA认证系统连接。 具体的实现方式是:
(1)向不同的业务系统颁发CA证书;
(2)业务系统访问信息交换平台时,提供CA证书;
(3)系统的安全认证接口进行身份认证,授权管理系统进行权限检查。 在交换平台中,数据被保存在消息队列中,不同的用户对消息队列的访问权限是不一样的,给每个用户分别授予不同的权限,从而实现对数据资源的保护。具体的实现方法是:
(1)对于共享的信息,可以发送到公共的队列中,将该队列的访问权限赋予所有的用户,则所用的用户登陆后,都可以访问该队列的信息。
(2)对于私有信息,保存到私有队列中,将权限授予特定的用户,则只有该用户可以访问该队列中的消息,其他用户则不能访问。
7.5 数据交换过程的安全保障
数据交换过程的安全保障主要指信息在交换过程中不能被非法篡改、不能被非法访问、数据交换后不能抵赖等功能。
提供了两种方法实现上述功能:
一种是支持HTTPS传输协议,通过SSL实现数据防篡改、数据加密等功能。 另一种是通过支持对消息内容的数字签名、数字摘要和信息加密,来实现上述的安全功能。
上述两种安全传输实现方式,都需要数字证书的支持,在交换系统中,利用系统提供的证书,也可统一使用外部CA系统颁发CA证书。
- 25 -