电子政务安全保障体系设计
来源:中国电子政务网 更新时间:2012-04-14

1.1 安全保障体系设计

1.1.1 概述

电子政务内网所涉及的信息/数据涉及国家秘密,其机密性和完整性尤为重要,是信息安全保护的重点对象。因此,电子政务内网平台的安全建设应符合国家保密局的《涉及国家秘密的计算机信息系统保密技术要求》和《涉及国家秘密的计算机信息系统安全保密方案设计指南》及其他安全管理部门发布的一系列规定和规范的要求。电子政务内网安全设计应体现:

 全局和整体上的考虑。

 应用深度防御的战略,注重防内和整体防外。

 适应信息系统安全的动态性、复杂性和长期性特点。

 便于实施和考核。

本设计方案遵循中华人民共和国《涉及国家秘密的计算机信息系统安全保密方案设计指南》和《电子政务试点示范工程技术规范》的要求,依据本期电子政务内网的安全建设目标,提出了电子政务内网的安全策略和安全保障体系,强调了统筹规划,针对内网网络和边界安全、局部计算环境与应用安全,主要从信息安全基础设施、基础安全防护技术和安全监察与管理方面设计具体的建设任务,包括CA认证设施、密钥管理系统、可信时间戳服务系统、密码服务系统、授权服务系统,防火墙系统、加密系统、入侵检测系统、安全扫描系统、防病毒系统、安全审计系统和安全监管系统等等。

1.1.2 安全建设目标和原则

1.1.2.1  总体目标

电子政务内网安全建设的总体目标是:针对电子政务内网可能遇到的各种安全威胁和风险,着重加强信息安全基础设施、基础安全防护系统和安全监察与管理系统的建设,形成有效的政务内网安全保障体系,保证涉密信息在产生、存储、传递和处理过程中的保密性、完整性、高可用性、高可控性和抗抵赖性,确保电子政务内网能够安全、稳定、可靠地运行,为实现电子政务建设的目标提供安全保障。

1.1.2.2  具体目标

针对主要的威胁和风险,本期电子政务内网安全建设的具体需求和目标概括如下:

1、    确保“电子政务内网”网络传输过程中数据的保密性和完整性。

电子政务内网定位为机密级的涉及国家秘密的系统,需要采用国家许可的普密级(核密)加密设备来保证网络传输过程中数据的保密性和完整性。

2、    确保“电子政务内网”与各副省级以上单位接口处的网络访问控制与隔离。

3、    建立隶属于国家根CA的电子政务内网CA中心,统一身份鉴别,为安全应用系统的运行提供安全基础平台。

4、    实现网络防病毒。

采用网络防病毒系统,并与单机防病毒软件相结合,构建一套完整的防病毒体系。

5、    加强对数据交换中心、CA中心和密钥管理中心的安全保护。

电子政务内网数据交换中心、CA中心和密码管理中心涉及大量国家秘密的敏感度信息,与之相关的软硬件设施,应从物理环境安全,安全运营管理和数据安全保密等方面采取有效的技术手段,保证数据和设施的安全。

6、    实现多级的访问控制。

对网络中的主机及通信设施进行基于地址的粗粒度访问控制或基于用户及文件的细粒度访问控制。访问控制措施对内部、外部访问者同样有效。

7、    进行网络安全评估。

采用网络安全性分析系统,定期评估网络的安全性,以便及时发现网络或系统漏洞,并建议提高网络安全强度的策略。

8、    加强主机的信息安全保障功能,包括基于主机的入侵检测和响应,域名系统安全,恶意代码消除。

9、    强化安全管理。

建立完善的安全管理机构及安全管理制度,安全管理培训制度化,制定有效措施,保证系统安全措施的执行,强化安全管理。

10、   采取措施抵抗拒绝服务攻击。

1.1.2.3  安全建设原则

电子政务内网安全建设应遵循以下原则:

1、    统一规划、分级保护

电子政务内网安全建设应从安全体系的角度,在主管部门的统一领导和组织下进行整体规划,有计划分阶段建设和完善电子政务内网安全保障体系。重点突出信息/数据的安全,保证政务内网的整体安全;根据政务内网不同应用的特点、安全需求、重要性和风险性,参照国家有关标准,科学划分网络与信息系统安全等级,实施安全等级保护策略,提高政务内网安全体系的有效性。

2、    面向发展,务求实用

随着电子政务内网及应用的规模和水平的不断发展变化,新的需求不断增加,电子政务内网安全建设既要考虑未来的安全需求和安全技术的发展因素,使选用的安全技术和设备应具备良好的可升级性、可扩展性;同时,更要立足电子政务内网的实情,注重实用性、可操作性和适度性。在安全系统的设计和建设过程中,要尽量采取成熟的、有成功先例的技术,合理选用安全设备和安全软件,优化系统性能价格比,精心设计、科学施工,避免采用过高和华而不实的技术、设备和软件,避免失误和重复劳动,本着实事求是的原则,在安全风险和成本之间寻找平衡点,在使用最好的技术方案同时,降低成本,从而达到最佳的效果,求得资金投入最大效益。

3、坚持标准与规范化原则

我国相关部门已经制定了一系列的保护信息安全的法律、法规和规定。电子政务内网的安全建设应严格符合这些安全标准和规定。具体要求如下:

1)    电子政务内网涉及国家秘密,在具体工程实施中要遵从国家保密法和涉密信息系统的有关法规和指南进行。

2)    电子政务内网配置安全服务和机制的强度应符合中保委1998年6号文件  《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》的要求。

3)    何符合要求的局域网或系统连接到电子政务内网时必须按照国家对涉密系统的安全建设要求采取足够强度的安全措施。

4)    整个电子政务内网范围内采用统一的安全保障体系框架。

5)    由国家有关管理部门牵头成立国家PKI/PMI建设协调管理委员会,统筹负责内网PKI/PMI体系的建设。

6)    由国家有关管理部门统一领导密钥管理基础设施(KMI)的建设,为密码和密钥的有效管理提供服务。

需要指出的是在电子政务内网的主干网络接入到六大系统后,六大系统需要连接到电子政务内网主干网络的内网系统建设也应遵循这里的安全建设原则。

1.1.3 安全策略

1.1.3.1  安全建设方针

电子政务内网安全建设采取的方针是:

应用纵深防御战略,统一规划安全支撑平台建设,从政务内网骨干网络设施、网络区域边界、各主机环境与应用安全等方面,分层多处设防。以党务和政务业务数据,特别是机密数据为核心,注重从局部计算环境防止内部的威胁和从各种不同类型的边界区域,联合采用多种安全技术整体防御外部威胁。采取减轻风险的技术途径也就是尽可能减少安全漏洞、尽可能阻止安全威胁、尽可能减小安全事件造成的损失,尽可能加强安全防范手段,通过保护、检测和响应和强化安全管理等行为把安全风险减轻到最低程度。

1.1.3.2  网络与边界安全保密策略

电子政务内网采取的网络与边界安全保密策略主要包括:

1、    电子政务内网网络安全建设应采用符合国家保密要求的网络安全设备与技术和普密级密码设备

2、    网络管理数据与用户数据分离,以提高电子政务内网的可用性;

3、    采取严格的安全措施保护电子政务内网的CA中心、密钥管理中心、网络管理中心、数据交换中心和备份中心;

4、    应对电子政务内网的网络管理系统实施良好的配置管理策略,以便有助于灾后的迅速恢复和使用新的安全措施。

5、    建立完善的应急响应和灾难恢复机制,提高电子政务在遭遇网络恐怖活动或其他网络突发事件时的生存和恢复能力

6、    多层防御:部署多种防御机制,每一种机制应该包括“保护”和“检测”措施;对于各网络信息中心或其他重要的局部网络,划VLAN分区保护。

7、    加强防止内部威胁的措施。

8、    必须采取措施使系统能够及时检测到安全漏洞和入侵,并能够及时作出反应。

1.1.3.3  主机环境安全策略

电子政务内网采取的主机环境安全保密策略主要包括:

1、    充分利用主机操作系统的安全机制,防止未授权使用客户机、服务器;对于特别重要的数据库服务器和综合服务网站服务器,可适当采用访问控制增强技术。

2、    确保客户机、服务器遵守安全配置指南并安装了所有适当的安全补丁;

3、    采取恰当的措施防止内部人员和系统的误操作

1.1.3.4  应用系统安全策略

电子政务内网采取的应用系统安全保密策略主要包括:

1、    信息的分类保护策略:

电子政务内网涉及的信息/数据的敏感度分为三类:

 机密

 秘密

 普通

对这三类数据和系统要采取相应的保护策略:机密类数据敏感度最高,与之相关的软硬件设施均是重点的安全防护的对象,应用系统应严格控制访问数据的对象;对其它数据,应用系统应建立完善的访问控制策略,对各类用户或角色要按照“知其所必需”(“需知”)和“最低特权”的原则分配访问信息的权限。

2、    应用系统的分类保护策略:

依据应用系统处理的数据的敏感度和安全性可靠性的要求,电子政务内网涉及的应用系统分为三类:

 特别重要

 重要

 普通

应根据应用系统的不同类别,采取不同程度的安全保护措施。

3、    鉴别/认证策略

用户可采用口令或智能卡之类的措施进行用户身份鉴别;对通过网络传输特别重要的(如机密类)信息应采用安全证书(CA)进行用户鉴别和授权管理。

1.1.3.5  信息存储和传输的安全策略:

1、    特别重要类的电子政务内网应用系统的信息/数据在存储和传输过程中必须采用密码进行保护,所采用的密码算法必需经国家主管部门批准。要对密码设备进行集中管理和密钥管理分发。

2、    机密信息的传输实施端到端加解密、完整性保护策略,防止数据被窃听、修改、删除、替换或重发,保证合法用户接收和使用该数据的真实性。

3、    对于存储在计算机系统中的特别重要信息(如数据库、文件系统和涉密信息)要充分利用操作系统和数据库管理系统的安全控制策略进行保护,同时对重要数据可根据需要采取相应的密码进行加密保护。

1.1.4 安全保障体系设计

电子政务内网安全保障体系将实现安全服务所有的安全保障措施和行动按人、技术和运作三个要素划分为三个层面,如下图所示。人、技术和实施运作是电子政务内网安全保障体系中的三个重要组成部分:人利用各种技术来对网络和信息系统进行运作,从而达到保护网络和信息系统安全性的目的。网络信息系统安全毫无疑问需要以信息安全保障技术为基础来解决。获得信息安全性强烈地依赖于人的要素,电子政务内网安全保障体系强调信息安全保障需要人、技术和运作三种要素的均衡。信息安全是过程,安全管理必然不可缺少。安全管理涉及人与环境、安全技术以及安全运作的各个方面,良好的安全管理机制和措施是各种要素取得均衡的关键。安全标准化将确保各种安全技术和措施能够协同工作和实现整体效能。

电子政务内网安全保障体系具有以下特点:

1、    体现了安全管理是纲,安全技术是基础,安全的人和运作是保障(确保);

2、    强调信息安全保障需要人、技术和运作三种要素的均衡;

3、    强调安全的过程性和动态性以及防护、检测和反应(PDR)模型的应用;

4、    强调多处防御和分层防御的原则          图:电子政务内网安全保障体系框架图
 
依据上述的安全保障体系框架,结合电子政务内网网络结构,本方案主要从技术层面进行设计。电子政务内网安全建设涉及的信息安全保障技术总体视图见。图:电子政务内网安全方案总体视图图:局部计算环境与边界安全保障示意图
 
1.1.4.1  信息安全保障
如上面两个图所示,整个电子政务内网的信息安全保障技术体系由四大方面构成:

1、    安全支撑平台:作为电子政务内网的安全基础设施,基本内容包括:密码管理中心,基于PKI技术的CA认证系统、可信时间戳服务;基于PMI的授权管理设施;政务内网的安全监测与应急响应设施。

2、    针对局部计算环境所采用的防护措施:政务内网的局部计算环境主要有中央六大机构(中办、国办、人大、政协、高检和高法)内网局部计算环境;住京各部委和北京市内网局部计算环境;京外各副省级以上单位内网局部计算环境;各大机构政务内网运作中心(如认证中心、密码管理中心数据交换中心和网络管理中心等等)局部计算环境。政务内网各局部计算环境的安全保障措施应根据各种局部计算环境的具体安全要求进行设计。基本内容应包括:应用系统安全、基于主机的安全防护与检测系统(主要应用于政务内网各局部计算环境中的Web服务器、DNS域名服务器和邮件服务器),数据库安全增强工具、系统安全增强工具等安全措施。

3、    针对区域边界所采用的安全保障措施:政务内网的区域边界主要有上述各局部计算环境的边界。内网边界安全保障措施应根据各种区域边界的具体情况进行设计。基本内容应包括:防火墙、加密机、网络防病毒系统、基于网络的入侵检测与脆弱性扫描和安全审计等安全措施。

4、    针对政务内网骨干网络设施所采用的安全保障措施:内网骨干网络设施的安全保障措施应根据其具体配置进行设计。基本内容应包括:保护数据的机密性和完整性设施,保障网络可用性的设施和节点设备的安全措施(主要是路由器的安全)。

1.1.4.2  网络运行安全

网络运行安全涉及日常维持网络安全态势的所有活动。电子政务内网的网络运行安全主要包括:

1、    安全状态维护: 管理信息保障的技术的安全态势(例如,安装安全补丁、更新病毒库、维护访问控制表)。维护系统安全策略及时更新并为大家所知。认证和认可对信息技术基线的更改。

2、    提供密钥管理服务并保护这一基础设施。

3、    政务内网的安全监管。

4、    定期完成系统安全评估

5、    保证系统的电磁兼容

6、    保证系统和数据的可用性,实现灾后的恢复和重构。

1.1.4.3  物理环境安全

物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。电子政务内网的物理安全主要包括三个方面:

1、    环境安全:对系统所在环境的安全保护,如区域保护和灾难保护。

2、    设备安全:主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等。

3、    介质安全:包括介质数据的安全及介质本身的安全。必须采取措施将存放政务相关数据的介质(磁盘、磁带等)妥善保管。

1.1.4.4  安全管理

电子政务内网必须加强安全保密管理,设置安全保密管理机构,制定严格的安全保密管理制度,采用适当的安全保密管理技术将电子政务内网中的各种安全保密产品进行集成,并加强对涉密人员的管理,形成完整的安全管理体系。

1.1.5 信息安全保密技术和措施

信息安全保障技术是电子政务内网安全保障体系的重要组成部分。按多处防御和分层防御的原则,依据电子政务内网安全保障体系框架,本方案将信息安全保障技术分为安全支撑性基础设施、基础安全防护系统和安全管理与监控三个方面进行设计。

1、    安全支撑性基础设施

电子政务内网的安全支撑性基础设施的建设任务包括:

(1)政务内网PKI设施

由中办机要局等国家密码管理部门牵头建立隶属于国家政务根CA的电子政务内网CA系统、证书查询验证服务系统和可信时间戳系统。

(2)密钥/密码管理基础设施。

密钥/密码管理基础设施可以为密钥/密码的管理提供基本的服务。根据“党管密码”的原则,密钥管理基础设施的建设应该由中办机要局等密码管理部门统一领导,统一规划,统一建设。

(3)授权服务系统。

在条件成熟的情况下建立基于PMI的电子政务内网电子政务授权服务系统。授权管理基础设施主要提供分布式计算环境中应用系统的访问控制功能。授权管理基础设施以扩展的PKI技术为基础,对资源的访问授权由资源的管理者进行控制分配。授权管理基础设施可以对外提供授权管理服务,资源管理者根据授权管理服务为资源使用者分配资源访问权限,并加以签名。应用系统检查资源使用者的访问权限,达到资源安全访问的目的。

(4)密码服务系统。

提供加解密、签名及验证签名、数字信封、密钥管理操作和数字证书操作等服务。

2、    基础安全防护系统

电子政务内网的基础安全防护系统负责网络安全、区域边界安全、局部计算环境安全。基础安全防护系统的部署参考实现见图图6-4-4所示。
(1)网络边界的安全防护

网络边界的安全防护设施包括:路由器、防火墙系统、入侵监测系统、漏洞扫描系统和网络防病毒系统等,其设计实现或选型、配置应在技术方案中详细说明。其中内边界防护和外边界防护中的防火墙系统应选用不同厂家的产品。

(2)局部计算环境安全防护

局部计算环境安全防护包括:操作系统安全、主机安全检测与响应、Web防篡改系统、DNS服务器安全、数据库安全和安全审计等,其设计实现或选型、配置应在技术方案中详细说明。

(3)网络运作中心的分区防护

对于中央级网络运作中心或其他重要的网络环境,按业务性质和应用系统的重要程度分区划VLAN,设置各自的边界保护。例如,分为信息/数据区,服务区和管理区等。图:基础安全防护系统的部署参考实现
 
电子政务内网基础安全防护系统具体建设任务包括:

1)防火墙系统

2)入侵检测系统

3)脆弱性扫描系统

4)加密系统

5)防病毒系统

6)安全审计系统

7)WEB防篡改系统

3、安全监察与管理系统

在电子政务内网建立安全保密管理系统和安全监控系统,提供自动化的安全资产管理、安全策略管理、安全状态管理和安全监察手段,实现系统、网络、应用和数据的安全监管能力,有效提高政务内网的可控性和可管理性。具体建设内容包括:

(1)  安全保密管理系统

(2)  安全监控系统

1.1.5.1  政务内网PKI设施

政务内网PKI设施包括:电子政务内网CA系统、证书查询验证服务系统和可信时间戳系统。

1.1.5.1.1  电子政务内网CA系统

中办发[2002]17号文件《我国电子政务建设指导意见》将CA认证系统的建设放到了一个很重要的位置,所以CA认证系统的建设对于保障电子政务内网的安全将起到非常重要的作用。电子政务内网CA认证系统的建设需要由中办机要局等密码管理部门牵头进行统筹安排,电子政务内网的CA认证系统的建设将遵照有关部门的统一部署,与其他CA认证系统的关系如下图所示:图:电子政务内网CA关系图

说明:

(1)、如图所示,政务内网根CA与国家根CA进行逻辑上的连接,在安全策略等方面接受国家根CA的指导。

   (2)、政务内网根CA与其他CA系统(包括政务外网根CA)物理分离,采用不同的安全策略和不同的安全保障措施。

1、政务内网CA系统的特殊性

相对普通的商业CA认证系统而言,电子政务内网CA认证系统有其特殊性,这主要表现在电子政务内网CA认证系统在安全性尤其是可靠性和可用性方面存在很高的要求。

 普通的商业CA认证系统体系松散,以个人的安全目标为导向,而电子政务内网的认证系统要求统一安排、统一建设。

 普通的商业CA认证系统使用环境不安全,用户秘密密钥的安全性得不到保障;政务认证系统有很高的环境安全方面的需求。

 普通的商业CA认证系统在对PKI机构的管理,使用安全性较弱的WEB方式;政务认证系统在PKI机构管理方面要求具备可靠的安全性。

 商业软件的安全功能不值得信赖,如通用的浏览器、服务器等使用证书的软件均为国外的商业产品,可能存在密码功能上的缺陷,甚至有些存在着后门或漏洞。电子政务内网CA认证系统所使用的软件应满足国家有关认证机构的基本要求。

作为涉及国家秘密的系统,在电子政务内网的建设中,应充分考虑政务认证系统的特殊性,避免安全风险,采用严格的集中管理运行方式,并在系统内使用严格、一致的安全政策,包括:

 通过电子政务内网认证中心注册/注销用户,任何用户的注册都需要经过严格的审核过程,从而保证安全管理人员可以有效控制系统的用户构成;

 通过认证中心发放、更新、撤销用户的密钥和证书,从而有效界定用户证书的使用范围和使用时间,管理中心和客户端软件都支持CRL和OCSP,保证用户对证书撤销情况的及时掌握;

 采用单一的CA认证系统,系统中进行证书验证时,使用本系统的根证书作为唯一的根证书,保证通过验证的实体均是本系统认可的有效实体;

 系统关键部分统一采用完全自主开发的安全软件,密钥使用、证书验证等安全处理过程均由自主开发的安全软件完成,保证安全功能的正确实现和安全政策的一致性;

 采用硬件密码设备保护密钥和证书,有效保证用户秘密密钥的机密性、CA公开密钥的完整性;

2、C A的总体结构图:电子政务内网认证系统总体结构

如上图所示,证书业务服务系统包括以下几大部分:

 CA

为保障CA系统的安全,根CA配备有加密机,并需要配有数据库产品,用来存放最终用户的数字证书及其它系统。CA系统采用双机热备,以保证系统的稳定性。

 CA 管理工具

作为CA系统的管理界面,可以定制CA的管理策略,监控CA的运行状况,管理审计日志。

 RA

RA是CA产品中的一个模块。它是证书的申请注册系统,最终用户申请证书时提交的注册信息将存放在RA系统后台的数据库中。

 目录服务系统LDAP

LDAP是目录服务器,完成证书系统的发布功能,负责存放用户证书、CRL、授权信息及其他用户信息。在 PKI系统中,系统的超级管理员和目录管理员对 LDAP目录服务系统进行管理。

根据电子政务内网的实际需要,可以考虑在电子政务内网根CA的下层引入二级CA,RA的下层引入LRA。RA与CA之间通过安全协议连接。LRA和RA之间采用SSL安全代理软件连接,通过安全协议保护。LRA只需要一台PC机即可。

整个系统采用防火墙,以保证系统的安全。同时配置入侵检测产品,检测本地网段,查找每一数据包内隐藏的恶意入侵,并对发现的入侵做出及时的响应。

3、CA体系结构方面的要求

1、CA体系结构方面的要求

根据CA准备覆盖的信任域和整个行业的组织结构,目前所有建成的CA系统中,主要采用单层CA、双层CA以及多层CA。

对于机构较小或者应用较单一的,一般采用单层结构就可满足系统要求;而组织机构较庞大、或支持应用类型较多的,可以采用双层或多层CA。由于电子政务内网的体系结构较复杂,单层CA不太适合电子政务内网的实际情况。

电子政务内网CA认证系统基本体系结构如下图:图6:信任系统体系结构

如上图所示:建立二级CA认证体系。

电子政务内网根CA负责整个认证系统的建设和安全管理,在国家根CA的统一指导下,制定统一安全策略等问题。

在六大系统内部建立二级CA认证体系,遵循根CA的安全策略,负责本部门本系统内部的安全认证。

(2)系统采用两道防火墙

CA系统需要有足够的安全性,但同时CA系统要与外界进行较多的通信,它既要为用户签发证书,又要支持用户对CRL、CPS等的查询,并且很多工作都要求实时完成,这样它受到外界攻击的机会就甚多。实践表明,网络布局的不合理和系统配置的不当往往是遭受黑客入侵的主要原因。因此,在网络和系统架构一级采取了一系列保护措施,利用两道防火墙的双层防护,在外部至CA之间设置了两个控制点,从而将整个系统划分为外部区、停火区(DMZ)、CA安全区。两道防火墙可以采用不同安全机制的防火墙,一道采用硬件防火墙,另一道则采用软件防火墙,不同机制的防火墙采用不同的安全机制,它们互为补充,即使黑客攻破了第一道防火墙,进入DMZ区,还有第二道防火墙来保护CA核心系统。

(3)CA系统采用硬件加密机

在CA系统里,最高级别的安全是保护CA系统私钥的不外泄。因为所有证书的信用都是来自第一层CA(Root CA,也称根CA)的信用。证书之所以可以被信赖,是由于CA使用自己的私钥对证书上面的用户信息进行有效的数字签名,每次进行身份认证的时候,都通过验证证书上面CA的数字签名来保证用户身份的真实性。

因此,如何保证根CA的私钥是CA系统里最核心的安全问题。采用加密机的好处是加密机本身是一个独立的硬件设备,在根CA密钥的形成过程中,所有运算仅仅在加密机内完成,所有需要由根CA签发的证书都被读取到加密机内进行签名,然后再把签发完成的证书送出加密机,加密机可以设置为不允许访问来维护它的安全。因此,在电子政务内网CA认证系统中,采用加密机完成CA的密钥生成和存放。

安全操作方式

鉴于根CA发证量小、不经常使用且安全需求较高的特点,根CA以离线方式操作。证书申请、证书的传递均以软盘/光盘为媒介,并按PKCS#7/10标准进行加密和保护。

2、RA体系结构方面的要求

CA系统负责签发和管理证书,同时负责CRL列表的维护和更新,但CA系统并不直接面对证书申请者,CA需要借助于注册机构(RA)及证书发放部门(LRA)来为他们的办公员提供证书服务。有关证书申请者的信息是通过RA系统传递到CA系统的。有关证书的申请、撤消、废止等管理操作是在电子政务内网开设的密钥管理中心办理的。

有关方的申请信息通过各LRA系统的操作员进行录入,并通过LRA系统的审核员审核后,上传到办公厅的RA服务器,进行相应的处理后,送入CA系统,CA接到该申请信息后,进行响应的初始化处理,在密钥管理中心为该申请者生成密钥、然后签发证书,并存放到证书的存储介质中,下放到有关方手中。一切完成后,就可以使用证书来完成政务业务。

4、    CA系统的功能

政务内网CA系统的功能应包括:

1、证书和证书废止列表

2、证书管理的基本功能

3、证书的归档

4、证书的备份和不可抵赖性

5、证书的废止

6、证书的更新

7、证书的发放

8、CA的管理功能

5、CA系统的安全

作为其安全基础设施的安全认证中心,其自身安全的重要性是不言而喻的。在设计电子政务内网CA认证系统过程中,更需要把握“确保系统安全”这一至关重要的原则,对威胁系统安全的各方面因素进行综合分析,制定了切实可行的安全策略和防范手段,并在方案中系统、充分地提供了一套安全机制和安全服务,来保障整个系统的安全。

针对整个安全认证系统的安全体系结构如下:图:安全认证系统的安全体系结构
 
在上面的安全体系结构之外,还要考虑灾难恢复的问题,即当出现影响系统安全运行的情况之后,应该迅速作出反应,在尽可能短的时间里恢复系统的运行。对安全问题的讨论主要可分为安全策略、网络和系统安全、应用安全、密钥管理等部分来进行。

6、CA系统对应用开发的支持

对于应用系统正在建设的单位,可以通过在应用系统适当的地方调用安全认证系统的API,实现业务/办公系统与安全平台的紧密结合。针对电子政务内网的实际情况,CA认证系统必须有为其他应用系统提供可供第三方应用开发的模块。要有良好的应用接口,以各种连接库的形式出现,针对WINDOWS平台以DLL模块出现,针对UNIX平台以.SO的形式出现。支持各种主流操作平台(WINDOWS系列、SOLARIS和LINUX)。

在应用系统的开发建设时,安全认证系统的API应满足以下的安全特性:系统具有安全的身份认证机制,确保用户的真实性;各类用户对各业务、数据和资源的访问权利和访问权限受到严格控制;对于特定的系统、数据、资源的访问,系统应具有完整的安全记录和严格的审计能力;涉及到机密或秘密信息时,需要进行加密传输;关键数据定期进行备份。

1.1.5.1.2  证书查询验证服务系统

1、    系统内部逻辑结构

图:证书查询验证服务系统逻辑结构图

证书查询验证服务系统的主要业务单元包括LDAP服务单元和OCSP服务单元。LDAP服务单元基于LDAP协议,提供证书撤销列表的目录发布,主要针对非实时的证书状态查询应用或服务器端应用。OCSP服务单元基于OCSP协议,提供证书状态的在线智能查询。

2、    证书查询验证服务系统功能/性能要求

1) 目录管理与证书查询服务:目录管理服务可根据系统网络设置要求,采用集中式与分布式两种方式进行构建。用户或应用系统利用数字证书中标识的CRL地址,利用LDAP目录服务技术下载CRL,检查证书有效性。

2) 基于OCSP技术的证书再现状态查询服务:用户或应用系统采用OCSP协议,在线查询证书的实时状态。

3) 证书查询验证服务系统应根据实际需要满足基本的LDAP查询和OCSP查询的并发数。证书查询验证服务系统应具备可伸缩配置及动态平滑扩展能力。

1.1.5.1.3  可信时间戳服务系统

可信时间戳系统基于国家权威时间源和公钥技术,为电子政务系统提供精确可信的时间戳,保证处理数据在某一时间的存在性及相关操作的相对时间顺序,为业务处理的不可抵赖性和可审计性提供有效支持。

可信时间戳服务系统必须服从国家权威的时间源获得全系统统一的时间,即从国家授时中心获取权威的时间。

在性能上,可信时间戳的时间精度满足10-1秒;满足基本的时间戳并发请求,适应业务量的发展。

1.1.5.2  密钥管理系统

1、总体描述

密钥管理系统是数字证书认证系统中的一个重要组成,主要负责向密码服务系统提供密钥管理服务,为密码技术和产品的大规模应用提供支持。密钥管理中心按照国家有关密码管理政策和法规为密码服务提供加密密钥的产生、登记、认证、分发、查询、注销、归档及恢复等管理服务。密钥管理中心按照与数字证书认证中心统一规划、同步建设、有机结合、独立设置、分别管理的原则建设和管理。

密码服务系统应配置经国家密码主管部门审批的公钥加密算法、公钥参数生成算法、对称密钥加密算法、随机数生成算法和数据摘要算法等密码算法,所有密码算法都必须在经国家密码主管部门审批的密码设备上运行。密码服务系统按照国家有关密码管理政策和法规统一管理密码设备。

2、体系结构

密钥管理中心由密钥生成、密钥管理、数据库管理、密码服务、密钥恢复、安全认证、系统审计等子系统组成。

图:秘钥服务系统体系结构图

3、功能要求

密钥管理中心的主要功能是:

 密钥管理策略的制定与本系统的安全维护

 密钥的生成

 密钥的发送

 密钥的存储

 密钥库的管理

 密钥的查询

 密钥的撤销

 密钥的恢复

 密钥管理中心的运行管理

 密钥管理中心的安全管理

4、性能要求

密钥管理中心应根据实际需要满足基本的业务受理点连接数、签发在用证书数目、密钥保存期、密钥发放并发请求数。密钥管理中心应具备系统所需要的最大量的密钥生成、存储、传送、发布、归档等密钥管理功能。

KM中心的处理性能应具备可伸缩配置及动态平滑扩展能力;同时还需要考虑双机备份等灾难备份方式。

1.1.5.3  密码服务系统

1、总体描述

密码服务系统由应用层密码设备、网络层密码设备组成。

应用层密码设备包括服务器端密码设备和客户端密码设备,配置在各应

用服务器、Web服务器、数据库服务器以及各客户端,其主要功能是:

(1)数据加解密;

(2) 数字签名和验证;

(3)数据摘要和完整性验证;

(4)数字信封;

(5)不同密级的会话密钥生成和存储。

 网络层密码设备根据不同的需要,配置相应的VPN密码机、IP密码

机、帧中继密码机等,完成网络通信信道的传输数据加密。

 2、体系结构

密码服务系统要构建一个相对独立的可信计算环境,进行安全密码算法处理。基本体系结构图如下:图:密码服务系统体系结构图

3、    功能要求

 基础加解密服务

提供基础加解密服务是密码服务系统的核心功能,主要包括:

1) 数据加解密运算

2) 数字签名运算

3) 数字证书运算

4) 数字信封

5) 数据摘要和完整性功能

6) 会话密钥生成和存储

 统一的安全接口

 多算法支持功能

 分布式计算功能

4、    性能要求

 应用层的服务器端密码设备应根据具体情况满足基本的公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加解密速度、可存储的密钥对数目。

 应用层的客户端密码设备应根据具体情况满足基本的公钥密码算法签名速度、公钥密码算法验证速度、对称密钥密码算法加解密速度、可存储的密钥对数目。

 密码服务系统的处理功能应具备可伸缩配置及动态平滑扩展能力。

1.1.5.4  授权服务系统

授权服务系统主要是为应用提供针对资源的授权管理及访问控制服务。授权服务系统根据资源的具体特点和应用的实际需要,采用两种工作模式:集中式授权服务和分布式授权服务。

授权服务系统通过在数字证书的扩展项增加用户的属性和权限信息,在服务器端构建授权服务系统提供授权服务管理。授权服务系统提供用户管理、审核管理、资源管理、角色管理。

授权服务系统提供细粒度的基于角色的访问控制机制,对于电子政务内网而言,引入授权服务系统是非常有必要性的。针对电子政务内网的主干网络,在授权服务方式上可以采用集中式授权服务;针对六大系统的局部计算环境,在授权方式上可以采用分布式授权服务。

集中式授权系统的主要功能有用户管理、审核管理、资源管理、角色管理等。

分布式授权系统的主要功能有资源访问的签名授权、授权管理等。

授权管理服务系统应根据电子政务内网的实际业务需要,满足基本的授权服务并发数。

1.1.5.5  基本安全防护系统

1、防火墙系统

在电子政务内网网络中,由于各结点在整个系统中的地位和作用各不相同,管理角色各不相同,可提供的信息资源也不相同,使用防火墙对各结点进行隔离,防范从系统外部和系统内部发起的攻击从而使系统整体的安全性大大提高。防火墙的配备对于增强内网网络与边界的安全会起到重要的作用。防火墙的具体配备应根据网络和应用的具体情况进行配备。在防火墙的选型上根据具体业务数据流量和业务安全性要求的不同,采购具体的防火墙。

2、入侵检测系统

入侵检测是网络安全非常重要的一个环节,主要是通过从计算机网络系统中的若干关键点收集信息,并分析这些信息,以监控网络中是否有违反安全策略的行为或者是否存在入侵行为。入侵侦测系统作为安全侦测的最后一道防线,能提供安全审计、监视、攻击识别和反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必要补充,在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部分。

建议采用具有高级分析技术的入侵检测系统,例如多个相关事件、相关协议的综合分析。

当入侵检测系统检测到攻击时,自动记录攻击,并通知网络管理人员,与防火墙进行联动,及时阻断网络攻击。

3、脆弱性扫描系统

脆弱性扫描系统通过将网络或主机的配置信息与扫描系统本身的漏洞库进行分析,从而达到扫描出系统脆弱性的目的。引入脆弱性扫描设备将对增强整个系统的安全性起到重要的作用。

4、加密系统

电子政务内网网络作为涉及国家秘密的网络,需要采用国家许可的加密设备来保证系统的安全性。因此在加密设备的选购上必须严格按照国家有关规定,选用通过国家许可的加密设备。

加密系统的作用是对在广域网上传输的数据进行加密,以保证数据的机密性和完整性,防止不法分子窃取和篡改数据。加密系统可以分为二个部分,包括加密机、管理中心。

5、防病毒系统

病毒问题是网络安全中一直存在的问题,当前随着网络建设的发展和各种网络应用的推广,病毒的扩散具有了新的特征,因此在电子政务内网的建设中,需要着重考虑病毒防治的问题,并且要与整个安全保障体系相结合,构建立体的防护体系。对于电子政务内网,重点考虑网络防病毒系统。

6、安全审计系统

安全审计系统是安全保障体系的一个重要组成部分。它对合理的搭配安全防范措施起到很好的指导作用。

 支持基于PKI的应用审计,能在有策略配置的指导下实时或定时采集信息系统产生的数据,并进行有效的转换和整合。

 支持基于XML的审计数据采集协议。

 提供灵活的自定义审计规则。

 提供系统审计和网络审计服务。

7、WEB信息防篡改系统

WEB信息防篡改系统是基本安全防护系统的重要组成部分,它监控WEB服务器和应用服务器上的文件目录,并通过可信部署进行合法更新。

在功能上,必须能够支持多种操作系统,例如:windows系列、UNIX系列、linux系列等。必须具备非常高效的信息扫描速率,同时不影响服务器的工作效率。具有集成发布与监控功能,使系统能够区分合法更新与非法篡改。

1.1.5.6  安全保密管理系统

在电子政务内网建立安全保密管理系统,提供自动化的安全资产管理、安全策略管理、安全状态管理和技术规范管理等功能,有效提高政务内网的可控性和可管理性。

安全保密管理系统应包括:

i. 安全资产管理

       对政务内网涉及的安全设备建立数据库,自动化管理安全设备的配置状况、操作规范、技术支持信息和与设备相关的人员信息。

ii.    安全策略管理

    建立安全策略管理系统,维护和管理政务内网的安全策略。

iii.   安全状态管理

    建立安全状态管理系统,对政务内网涉及的系统和网络设施的安全状态变化进行管理。

iv.    安全规章管理

   建立安全规章管理系统,对影响政务内网的法律、法规、制度与技术规范进行统一管理,明确各安全规章与有关设备、系统和环境的关系,保证安全规章的变化能在安全策略中得到体现。

1.1.5.7  安全监控系统

针对通用操作系统环境存在的安全隐患,采取主动的操作系统行为监管的方法,利用系统引导固件技术、操作系统底层技术和智能软件代理(Agent)技术等,设计并实现一个面向主流通用操作系统的安全监测与管制平台,通过在系统引导层、操作系统核心层,应用层等多个层面,对操作系统启动前、操作系统启动过程中和操作系统运行中的操作行为(特别是输入/输出信息流)实行安全监测和管制,达到保障信息系统安全的目的。

安全监控系统的功能主要包括:

1.系统输入/输出监管功能

系统输入/输出监管能够对现有的大多数输入/输出设备实施监控,这些设备包括:键盘,鼠标,有线或无线网络接口卡、Modem 、IDE设备或SCSI设备(硬盘、可读写光盘)、磁带设备、软盘驱动设备、串口、并口、音频设备、USB设备、1394设备、网络设备、蓝牙设备、红外设备,显示设备、打印设备等。

所具有的监管功能如下:

1)针对输入/输出设备的监管功能

2)对输入/输出设备上的用户行为的监管功能

3)能够对特定设备的输入、输出数据进行记录和存储,对某些可能通过设备输出数据导致信息泄漏的行为具有详细的控制、监督和记录审计功能

1.    安全配置监管

对系统的配置状态进行安全检查和监控。它以脆弱性检查为基础,根据检查结果及系统安全类别将系统自动配置为可接受的安全状态。

3.外流信息监管功能

   在系统的输入/输出和网络实施监管的基础之上,对敏感信息的外流加以严格的控制,主要的功能如下:

a) 够对有权进行信息输出的I/O设备和网络设备加以严格的认证和识别,封堵任何企图通过未授权设备的信息外流;

b) 够对授权设备发出的外流信息的目的进行判断,允许或者禁止信息发往特定的目的地;

c) 够对通过特定设备(如USB移动硬盘等)向主机外部输出的信息进行文件类型和文件内容的分析和识别,对于违反规定的文件类型,无法解析的文件,以及在文件内容中涉及到敏感内容的信息加以禁止、告警和记录;

4)能够对通过特定网络协议(如FTP、SMTP等协议)向外传送的信息进行信息类型和传输内容的分析和识别,对于违反规定的信息类型,无法解析的信息,以及在内容中涉及到敏感内容且接收方不为授权目的地的信息加以阻塞、告警和记录;

1)    够对外流信息的时间、设备、信息类型和内容概要,以及相关的系统进程信息等进行记录。

4.应用系统完整性监管功能

应用系统完整性将能够对应用系统中数据和应用服务等进行检查,保障其完整性不受破坏。

1.1.6 安全保密管理措施

安全保密管理在电子政务内网的安全保密中占有非常重要的地位,即使有了较完善的安全保密技术措施,如果管理的力度不够,将会造成很大的安全隐患。因此,电子政务内网的安全保密方案应特别强调不能忽视安全保密管理,并提供安全保密管理的具体措施。

1.1.6.1  安全保密管理制度

电子政务内网应提出明确的安全保密管理制度。在安全保密管理制度中包括:

 场地与设施安全管理;

 出入控制管理;

 设备管理;

 存储介质管理;

 密钥和口令管理;

 数据备份管理;

 计算机病毒防治管理;

 安全审计管理;

 应急措施等方面。

1.1.6.2  安全保密管理机构

为了增强安全保密管理,在电子政务内网中必须建立安全保密管理机构。由有关部门负责建立安全保密机构的安全策略,建立完善的管理网络,统一进行管理。下一级安全保密管理机构接受并执行上一级安全保密管理机构地策略。安全保密管理网络覆盖电子政务内网各个部门。

1.1.6.3  安全保密管理技术

电子政务内网应部署对网络用户、网络资源和安全保密产品进行统一管理的安全保密管理系统。对能采用辅助管理工具进行安全保密管理要采用相应的管理产品,如相应的网管工具等。

1.1.6.4  涉密人员管理

对涉密人员应该加强安全管理的措施。

1、    人员审查:对涉及安全敏感材料的人员应该进行严格地审查工作。对能接触到保密材料的人员进行严格地控制。从人员配备的角度把好关。在人员要调离时,要求涉密人员严格地执行涉密人员管理条例。

2、    人员培训:建设一支既熟悉机关业务又掌握计算机技术的高素质的骨干队伍。

3、    人员考核:对所有涉密人员要定期进行安全考核。通过考核的结果来决定涉密人员是否具备相应的保密资格。

1.1.7 物理安全措施

保证电子政务内网中物理环境的安全是整个电子政务内网安全得以保障的前提。物理安全是为了保护网络设备、设施、介质和信息免受自然灾害、环境事故以及人为物理操作失误或错误及各种以物理手段进行违法犯罪行为导致的破坏、丢失。电子政务内网需要具备环境安全、设备安全和介质安全等功能。

1.1.8 网络运营安全措施

为了保证系统安全、正常地运行,需要采取以下技术措施来保证网络运营安全:

1、    日常的数据备份机制:对电子政务内网中的数据进行日常的备份。普通数据1天作一次增量备份,一星期作一次完全备份;重要数据采用高级存储技术保证可用性,并且每天做一次完全备份。

2、    双机备份:对于电子政务内网数据中心中的重要主机提供双机备份,保证系统的可用性。

3、    保证系统的电磁兼容:应采取相应的措施来保证电磁兼容性,选购安装符合电磁兼容要求的设备。

4、    安全保密系统和安全保密软件的维护与升级:包括两个方面:首先是系统数据的更新,如病毒库和入侵检测特征代码的升级,这部分工作由管理员手工完成或者利用相应软件提供的自动升级功能完成;其次是软件本身的升级和维护,这部分工作由管理员手工完成或者利用系统管理/网络管理软件提供的软件分发功能来完成。

1.1.9 安全管理和网络管理

前面提到了很多关于安全管理的方法,主要表现在行政措施和技术措施上。但是安全管理绝不是孤立的。    安全管理要和网络管理相结合,强调安全管理和网络管理的联动性。具体关于网络管理方面的基本要求,请见本方案6.2.9节的有关部分。

1.1.10 工程建设安排

在工程实施进度安排上,可以从三个阶段进行考虑:

1. 第一阶段

1) 进行安全基础设施的建设:PKI、KMI建设。初步建立起政务信任体系。初步建立密码/密钥管理中心。

2) 在基本安全防护系统的建设上,建立初步的防火墙系统,针对重要数据服务器引入基于主机的入侵检测、漏洞扫描系统。全面配备网络防病毒系统。配备链路加密机。采取安全审计技术。

3) 初步建立安全保密管理体制,部署安全监管系统。

2. 第二阶段

1) 在一期建设的基础上,进一步完善PKI、KMI安全基础设施的建设,为安全信任体系、密码管理提供更充分的保障。开展PMI建设的试点工作,为进一步的业务应用提供安全服务。

2) 根据一期政务内网各个业务的实际情况,改善防火墙的配置,在进一步增强安全性的基础上提高防火墙的服务性能;完善基于主机的入侵检测、漏洞扫描系统,同时针对政务内网网络系统的运营引入基于网络的入侵检测、漏洞扫描系统;改进网络防病毒系统;提高链路加密机的服务性能。改进审计信息的可用性和完善性。完善安全监管系统。

3) 针对政务认证系统的特殊需求,深入建设安全信任体系,扩大认证系统的建设范围。

4) 针对对称密钥和非对称密钥的不同特点,完善密码/密钥管理中心的建设。

5) 强化安全保密管理制度的实施。

3.    第三阶段

1) 在PMI试点的基础上,根据业务的实际情况建设符合政务内网要求的授权系统。

2) 调配各种安全设备,在保证安全设备正常运转的情况下,引入联动机制,强调联合防御和深度防御。

3) 针对政务认证系统的特殊性,全面展开政务信任体系的建设。

4) 进一步完善密码管理中心的职能。

5) 建立切实可行的安全保密管理制度。

6) 实现网络管理和安全管理的联合。

1.2 容灾系统设计

本部分给出了政务内网容灾系统设计以及实施建议方案,提出建设网络及数据备份的设计指导和实施要求,提高政务内网的可靠性,减少灾难发生时或发生后造成的损失。

基于政务内网上的业务系统的特殊性,政务内网的建设必须保证在发生战争、严重自然灾害等情况时数据、信息资源的可靠以及业务数据交换的正常运行。在特殊情况发生时,能够最大限度地保障计算机信息系统提供正常的服务,从根本上保障数据的安全与完整。

1.2.1 容灾备份设计要求

    无论是设计政务内网信息中心本地备份系统,还是建设异地灾难备份中心,或者设计六大系统以及47个副省级节点信息中心备份系统,都要从全局进行考虑,进行周密设计。

1.2.1.1  灾难备份的要求

    根据《国家信息化领导小组关于我国电子政务建设指导意见》中关于建立应急支援中心和数据灾难备份基础设施的要求,确定政务内网系统可靠性的要求如下:

1、    容灾与灾难恢复

在不可抗拒的灾难(比如地震、水灾、火灾、战争等)发生时,主干计算机网络具有一定的自愈能力或快速切换能力。

2、    网络拓扑结构设计

网络系统设计中要考虑到线路容灾备份和故障切换要求,保证各接入节点到信息中心和备份中心的线路冗余。这样就避免了由于线路故障引起服务中断的几率。

3、    政务内网网络中心的容灾备份

政务内网的各网络管理中心在一级主干网络中增加一个节点作为应急支援和备份中心。该中心有能力单独承担该系统网络的管理控制能力,采用镜像技术使得两个中心的网管数据保持一致。一旦灾难发生,应急支援和备份中心可以立刻取代相应网管中心位置,保障该系统网络的正常运行。

4、    信息中心重要数据的容灾备份

政务内网的业务系统重要数据在要在本地及异地备份信息中心进行备份,这种容灾备份的方式将大大提高网络和系统的可靠性和容灾能力.

从信息系统的高可靠性设计角度考虑,像政务内网信息系统这样一个国家安全运行保障的关键性业务系统,必须保障国家机关内部办公的连续和稳定,必须在本地或在异地建立应急系统和灾难备份中心,以提高应对意外灾害(重大自然灾害、社会动乱、战争)的能力。

必须要求明确区分政务内网信息灾难备份中心的设计要求与其他备份、安全、可靠性的要求。这种区分要求,不但适用于政务内网信息中心的容灾备份中心的建设,也可以用于指导六大系统、在京各大部委以及其他副省级城市网络信息中心建设容灾备份中心。

1.2.1.2  信息中心和灾难备份中心建设

无论是设计政务内网信息中心容灾备份系统,还是设计六大系统以及47个副省级城市信息中心容灾备份系统,首先要区分灾难备份和一般的应用备份、数据备份、系统可靠性管理、系统的安全管理。后者是属于应用系统建设、系统管理、网络和应用安全设计的内容。要在设计灾难备份系统之前,首先在各自系统的建设工作中实现上述基本的可靠性设计,然后再设计容灾备份系统。基本的系统可靠性设计、备份设计、安全设计是容灾备份系统建设之前要完成的工作,或者说,是我们设计容灾备份系统时要具备的基本条件。

1.2.1.3  信息中心建设

根据目前规划的政务内网信息系统的基本架构,要结合多层体系结构的思想,来总体规划政务内网网络系统、安全系统和应用服务器。

优化数据库服务器的部署方式,适应未来应用系统计算资源的共享需求,同时提高信息中心整体的可靠性和开放性。数据库服务器建议适当考虑采用多种品牌的硬件服务器和不同厂家的数据库管理系统,以便提高将来的扩展能力,且不会受制于同一个厂家。

改善存储基础设施,建立以SAN为核心的存储系统,为数据的安全性和访问效率提供有力保障。

规划好政务内网基本服务服务器的配置,包括DNS,电子邮件和目录服务等。

规划和设计网络管理和网络安全的系统硬、软件。将全部设备、服务、应用融入统一的管理和安全平台中。

1.2.1.4  备份中心建设

要在建设容灾备份系统之前,先完成政务内网的网络系统、应用系统、数据库、网络基本服务(DNS、电子邮件、目录服务等)、网络管理、数据中心本身的可靠性设计。

仔细分析建设政务内网信息容灾备份系统的必要性,充分考虑费用、技术条件、可管理性、可操作性方面的因素,认真建设。而且要提出实事求是的建设目标。

以下提出的政务内网信息容灾备份系统的功能要求,作为建设容灾备份系统的建议。

完整的政务内网信息中心备份系统具备以下系统功能:

1、    对来自全国政务内网各系统访问的异地备份支持,即网络路由和网络管理的支持。

2、    对全部二级信息中心政务内网应用业务和网络服务的异地备份支持,包括基本网络服务 如 DNS.电子邮件目录服务等;以及其他应用服务。

3、    安全访问控制支持(主要是认证中心);

4、    运行管理的行政及技术支持。

综合以上要求,建立完备的信息中心容灾备份系统本身就是一项系统工程,涉及高带宽要求的广域网络、高性能计算机支持的数据库、复杂的系统结构、高素质的管理和维护人员等综合要求。

1.2.2 灾难备份数据分类

从数据用途角度分析一般建议将需要备份的数据分为系统数据、基础数据、应用数据、临时数据;根据数据存贮与管理方式又可分为数据库数据、非数据库数据、孤立数据、遗失数据。

系统数据(SYSTEM DATA):

系统数据主要是指操作系统、数据库系统安装的各类软件包和应用系统执行程序。系统数据在系统安装后基本上不再变动,只有在操作系统、数据库系统版本升级或应用程序调整时才发生变化。系统数据一般都有标准的安装介质(软盘、磁带、光盘)。

基础数据(INFRASTRUCTURE DATA):

基础数据主要是指保证业务系统正常运行所使用的系统目录、用户目录、系统配置文件、网络配置文件、应用配置文件、存取权限控制等。基础数据随业务系统运行环境的变化而变化,一般作为系统档案进行保存。

应用数据(APPLICATION DATA):

应用数据主要是指业务系统的所有业务数据,对数据的安全性、准确性、完整性要求很高而且变化频繁。

临时数据(TEMPORARY DATA)

主要是指操作系统、数据库产生的系统运行记录、数据库逻辑日志和应用程序在执行过程中产生的各种打印、传输临时文件,随系统运行和业务的发生而变化。临时数据对业务数据的完整性影响不大,增大后需要定期进行清理。

数据库数据(DATABASE DATA):

是指通过数据库管理系统(DBMS)来进行存取和管理的数据。

非数据库数据(NON-DATABASE DATA):

是指通过文件等非数据库管理系统来进行存取和管理的数据。

孤立数据(ORPHAN DATA):

指从最后一次业务数据备份后到灾难发生、系统运行停止前未备份的数据。这部分数据通常需要通过人工等方法重新录入到系统中。一般情况下,孤立数据越多,系统恢复的时间就越长,业务的停顿时间也就越长。孤立数据的多少与数据备份的周期有很大关系。

对数据库数据可通过逻辑日志来恢复全部或部分孤立数据,对非数据库数据则需通过其它方法如缩短备份周期来减少孤立数据。

遗失数据(LOST DATA):

是指无法恢复或重建的数据。在灾难备份系统的设计与实施中,要重点考虑的就是防止遗失数据的产生或减少遗失数据的数量,以及如何快速查找遗失数据等等。

从各种数据的数据量增长速度、数据变化频率等方面考虑,应用数据、临时数据、基础数据、系统数据都具有不同的特点,如图所示。图数据量增长速度、数据变化频率关系示意图


因此从数据备份角度讲,建议各大系统以及其他节点对上述各种不同的数据类型需采取不同的备份策略,如采取相应的数据备份技术及不同的备份周期,重点保护应用数据等。
1.2.3 政务内网容灾系统设计

根据以上分析,我们建议在设计和建设政务内网信息中心容灾备份系统时,应遵循以下建设原则;

1、    慎重建设的原则

总结国家各部委以及类似网络信息系统多年建设的经验和教训,特别是近几年的成功经验很重要的一条就是:建设任何系统,必须注重效益,说到底,也就是“实事求是“的原则。这里特别要强调应反对技术至上。只有政务内网的发展达到相当水平,特别是各项应用己充分开发,主要的核心数据已汇集至政务内网信息中心,网络通信、路由、可管理性等技术条件已具备,且国内外的政治形势迫切需要时建设政务内网信息容灾备份系统才会有很好的效益和迫切的必要性。

2、    分步设计和实施

同任何其他类似网络应用一样,政务内网的容灾系统也应分步设计和实施。网络产品、计算机产品、软件产品乃至整个IT技术,都有更新快、贬值快的特点。过早地一步到位,只能带来浪费。分步实施的第一步可以先建立政务内网本地的备份系统,再利用数据同步和复制技术在异地建立网络、关键应用和关键数据的备份系统。

3、    灾难备份必须为应用和内容服务

各项应用和数据库的建设必须为容灾系统提供技术和运行方式上的准备。从信息系统技术发展的趋势看,运行在应急支援和容灾备份上的全国性应用系统,都应该是一个集中与分布式相结合的系统,如 DNS、目录服务、政务信息、邮件系统等。

1.2.3.1  网络建设

必须保证容灾系统的在网络线路上与主信息中心之间的高速连通,建议将容灾系统部分要尽量放在核心层上,核心层的高速数据转发能力,可以保证数据传输的高速处理能力,并能保证该中心能与其他各网络节点的路由冗余。

容灾系统的网络部分将增加多层交换和拨号服务器等冗余措施,保证容灾系统的可靠切换。

容灾系统中的服务器等设备的IP地址规划根据全网规划原则进行规划。图:容灾中心网络拓扑图
1.2.3.2  存储系统建设

对在线数据灾难备份恢复的实现,有四个层次可以提供不同的灾备实现方案:

1) 磁盘存储系统层的灾备实现;

2) 操作系统层的灾备实现;

3) 数据库层的灾备实现;

4) 应用层的灾备实现。

以上各种灾难备份和恢复方式在实现的条件、过程、复杂程度、效果方面各有所长,具体内容总结于下表:

   数据备份   DATA GUARD 磁盘存储   数据复制   应用系统

对备份系统的要求 /   与主系统相同  与主系统相同  /   /

恢复时间  长  短  短  短  短

丢失数据  两次备份之间的数据   /   /   未及复制的数据    如果IP Monitor出现故障可能丢失大量数据

主系统性能开销   低  低  I/O系统开销大 高  额外的IP Monitor系统

备份系统是否可用 /   否/只读    否  是  是

对应用的影响  无  无  无  小  重新装载应用

系统成本  低  高(备份主机)    很高(备份主机+特殊存储设备)   高(备份主机)    高(备份主机)

配置过程  简单   简单   复杂   复杂   复杂

日常维护  简单   简单   简单   简单   复杂

根据以上从备份数据分类、灾难备份恢复的层次和实现机制等各方面的分析,结合政务内网各系统的具体情况。在存储系统的建设中,建议采用目前最先进的网络存储技术-SAN技术来实现。

在此基础上采用如下的容灾备份实现方案:

1、    采用磁带介质备份

采用磁带机和磁带库将重要数据备份到磁带介质上,送到异地或在本地进行安全保存,以实现基本的数据灾难备份要求。

2、    数据灾难备份方案

一个完整的容灾系统包括数据容灾和应用容灾两个部分,就存储系统的容灾方案而言,主要是实现异地的数据实时复制,保证在灾难发生时数据的完整性和对应用系统的可持续提供性。

数据备份需要保证数据的完整性、可靠性和一致性。对于提供实时服务的信息系统,客户端的服务请求在灾难中可能会中断,应用备份能提供不间断的应用服务,保证信息系统提供的服务完整、可靠、一致。数据备份是容灾系统的基础,也是容灾系统正常工作的保障;应用备份则是容灾系统的终极目标,它必须建立在可靠的数据备份的基础之上。

一般的容灾系统分为两个层面,磁盘设备硬件数据复制技术和系统虚拟磁盘卷的软件数据复制技术。

硬件复制技术是指存储系统支持硬件一级的数据快照(Snap Shot)和数据镜像(Data Mirroring),通过专线,能实现物理存储设备之间的数据交换,一般称为同步数据容灾系统。软件的数据复制技术,是指通过逻辑磁盘的复制技术实现本地逻辑磁盘和远程逻辑磁盘的数据同步,通过第三方数据复制软件, 可建立基于磁盘存储系统和SAN交换机的软件容灾系统,一般称为异步数据容灾系统。基于存储硬件系统的容灾方案将数据容灾与应用容灾相对分离,数据复制实时性高,安全系数高,但相对的成本较高。软件数据复制技术基于操作系统实现,成本较低,对传输网络要求不是很高,该种方式对主机的开销略大,数据复制的实时性稍弱。

政务内网的容灾系统建设建议使用硬件复制技术:

容灾系统本身灾备的方式采用磁盘存储系统层的模式。

采用企业级存储设备提供点到点的远程数据拷贝功能实现同步远程镜像的解决方案,可以保障数据库的数据一致性、完整性,提供灾难恢复功能。通过企业级存储设备实现远程的数据高速同步镜像,把数据损失的可能性降到最低,而且可以支持多达4个的远程数据镜像连接。可以实现各个备份中心的互为备份,并且可以将选定的数据进行拷贝的距离达到全国各地。

这种方式灵活性比较强,特别适合混合异构的主机环境,与服务器类型、操作系统、数据库以及应用系统完全无关,易于实现与管理。政务内网将提供广线或高速数据链路,用于连接容灾系统和数据中心,而且便于将来的扩展。

1.2.3.3  故障切换机制

当国办信息中心、数据中心等主要系统运行异常,或者网络线路中断时,通过手动或者自动机制,快速切换到容灾备份系统,接替主中心的工作,所有的客户端访问请求将自动切换至备份运行系统。切换方式如下图所示:主运行系统与备份运行系统的切换示意图

在灾难恢复后,通过手动或自动机制将所有数据同步复制回主运行系统,启动主运行系统。