2014电子政务外网跨网数据安全交换技术要求与实施指南

国家电子政务外网跨网数据安全交换技术要求与实施指南目 次前言 I引言 II范围 1规性用件 1术和义 1技框架 3统构 3跨数安交统架构 3跨数安交象和换式 3跨数安交统组成 3能构 3技要求 4能求 4数库据换 4文数交换 5流体据换 5请命与应交换 5全求 5隔性求 5设认要求 6访控要求 6内安要求 6可性求 6安管与计求 6实指南 7署求 7据换案择 7据换式择 7数库据换件数交换 7流体据换求命与应据换 10能求 10数库据换 10文数交换 流体据换 请命与应交换 理求 附录A资性）据换求表 12附录B资性）务置息求表 13附录C资性）置信表 15PAGEPAGE11PAGEPAGE10国家电子政务外网跨网数据安全交换技术要求与实施指南范围其他政务部门物理隔离的局域网之间有数据安全交换需求的可参照使用。GE178±9 ²0²69GB/T²0²70GB/T²0²71GB/T²0²7²GB/T²0²73信息安全技术数据库管理系统安全技术要求GB/T²0²79信息安全技术网络和终端设备隔离部件安全技术要求GB/T²0²8²信息安全技术信息系统安全工程管理要求GB/T²²²39信息安全技术信息系统安全等级保护基本要求GB/T²²²40信息安全技术信息系统安全等级保护定级指南GB/T²8181安全防范视频监控联网系统信息传输、交换、控制技术要求《公安信息通信网边界接入平台安全规范》（公信通[²007]191号）下列术语和定义适用于本指南。3.1跨网A×ro››RegionalNetwork›政务外网城域网内采用VPN技术逻辑隔离且无协议通信的网络之间，或者是物理隔离的网络之间。3.2数据库数据Databa›eData3.3计算机文件数据FileData0££ice3.4请求命令与响应数据Reque›tandRe›pon›eData3.5流媒体数据GtreamingMediaData采用流式传输的方式在网络中播放的媒体格式数据。3.6协议转换Proto×olConver›ion3.7信息摆渡InformationFerry3.8网闸Gap3.9单向光闸٧nilateralOpti×alGap3.10前置机GtagingGerver跨网数据安全交换系统是基于网闸和单向光闸技术,综合利用设备认证、格式检查等安全措施实现两个不同网络业务区服务器之间数据同步的平台。系统架构如图1所示：图1 跨网据全换统构示图根据交换对象种类的不同，可分为数据库数据、文件数据、流媒体数据、请求命令与响应数据。根据交换数据流向的不同，可分为单向数据传输、双向数据传输。跨网数据安全交换系统功能结构如图²所示:图2 跨网据全换统能结图各子模块应具备如下功能：IP£) g) £) FTPSMB£) 流媒体网闸应具备流媒体协议转换、流媒体控制信令的过滤和检查功能，并适应快速信息摆渡。IPSNMP支持对不同视频系统的协议进行识别和过滤，支持白名单保护机制。£) SYSL0GSNMP²)根据业务需要选择数据交换流向，如单向数据交换、双向数据交换；3)数据责任主体单位通过填写数据交换需求表（见附录A）及业务配置信息需求表（见附录B）来明确业务需求、数据交换方向、交换对象信息等。²)²)3)（C.3。（C.C.图3 双前模示图（图4 单前模示图（跨网数据安全交换系统负责对数据库服务器和文件服务器进行设备认证。图5 无前模示图跨网数据安全交换系统直接连接信息系统抽取数据，并将数据交换到另一端信息系统中。跨网数据安全交换系统负责对流媒体服务器以及其他应用服务器进行设备认证。图6 流媒数交和求令与应据换式意图跨网数据安全交换系统直接连接信息系统，并将数据交换到另一端信息系统中。根据并发量、日均数据交换量的不同需求，性能要求分为A类、B类两档，详见表1。以下性能指标都是在单一数据交换对象进行交换时对跨网数据安全交换系统的性能要求。表1 性要分基表级别数据交换对象A类B类数据库数据日交换量2亿条、200GB，并发表数4000日交换量1亿条、100GB，并发表数2000文件数据日交换量5千万个、500GB，并发文件个数60日交换量3千万个、300GB，并发文件个数30流媒体数据日交换量5TB，并发连接数300日交换量3TB，并发连接数200请求命令与响应数据3500日交换量3TB，并发连接数2000A类400Mbp›；²)1±00条/B类²00Mbp›；²)1000条/A类10KB/）±00/秒；²)±00Mbp›。B类10KB/）300/秒；²)300Mbp›。A类100m›；²) 300（D1²Mbp›）；²0Kbp›8Mbp›；0.±‰。B类²00m›；²) ²00（D1²Mbp›）；²0Kbp›8Mbp›；0.8‰。A类100m›；²) 3±003) 700Mbp›。B类²00m›；²)²0003)400Mbp›。部署集中监控与管理系统应满足如下管理功能要求：£) g) SYSL0GSNMP附录A（资料性附录）数据交换需求表表A.1 据换求表业务系统名称业务种类□数据库数据□文件数据□流媒体数据□请求命令与响应数据数据流向种类□双向□单向业务单位名称联系人及电话业务接入拓扑图在拓扑中标识服务器等设备联网方式。如：互联网、VPDN、MPLSVPN、专线等。填写内容说明和要求1. ². HTTP、S0AP）；±. （10）；（：MB）；数据库数据交换所涉及的数据库类型及版本或者文件数据交换所涉及的操附录B（）表B.1 据数交业务置息求表业务名称：需求描述交换方式选择传输需求：□外向内单向传输□双向交换数据操作方式□保留□不保留业务需求单位联系人及联系电话数据库连接配置（ ）IP（ ）IP字符集字符集库类型及版本库类型及版本数据库所有者/SID数据库所有者/SID库名库名业务表同步对应关系内向外单向同步源表：目标表：外向内单向同步源表：目标表：双向同步源表：目标表：业务表的主从关系填写人（）表B.2 件据换务配信需表业务名称：需求描述同步方式选择步求：□向单向步 □向单向步数据操作方式数据同后源是保留始据？ □保留 □留业务需求单位联系人及联系电话文件服务器配置外端IP内端IP操作系统类型及版本操作系统类型及版本数据文件目录数据文件目录（/xML通过源端文件操作方式□删除 □是否扫描病毒□是 否发现病毒操作方式□隔离 □离报警同步模式(选择其中一种)□mount方式：业务服务器不允许安装客户端的情况下，应通过共享业务服务器的数据目录实现数据的同步。□agent方式：业务服务器允许安装客户端，通过客户端与数据交换系统之间建立可信加密通道，实现数据的同步。填写人（）附录C（资料性附录）前置机信息表表C.1 置需表由需单负填）业务名称：需求表编号(如²014/²/²0/001)：交换方式□内向外单向传输□双向交换数据管理软件文件务型：□FTP□SMB□AGENT其他 IP1：连接服务器IP列表IP²：IP3：前置模式□双前置□单前置存储时间文件在前置机上修改时间为判断依据，超过此时间文件将被删除□1天□7天默）□30天其 其他需求描述填写人（）表C.2 置反表由建单负反）业名： 应需表号如²014/²/²0/001)：反馈表编号(如²014/²/²0/001)：数据管理软件文件务型：□FTP□SMB□AGENT其他 IP：用户名：连接服务器IP列表IP1：IP²：IP3：前置模式□双前置□单前置存储时间文件在前置机上修改时间为判断依据，超过此时间文件将被删除□1天□7天默）□30天□他 存储要求文