合众安全数据交换系统白皮书4.0 - 图文(3)

合众安全数据交换系统白皮书

事实上，数据交换的具体内容只是短暂存放在网闸的内存之中，一旦交换行为结束，则根本无迹可寻，用户失去了对抗抵赖和事后纠错的主要武器。这根本的原因还是网闸的存储能力不够，要存放全部审计日志，需要增加其他的存储介质。

由于网闸无法提供给用户有关交换内容的完整审计，造成管理人员其实根本不知道交换了那些数据，出现了那些异常，是否有垃圾数据进入了内网。审计能力的缺失使得网闸大大降低了事后处理能力。

2.3. 应对方法

正是由于网闸交换的不稳定、不可靠、对异构支持性差、低效率和不安全，所以安全隔离交换虽然具有很好的理论基础，但实用性较差，难于满足用户需求和大面积推广。

为了解决上述的问题，应对内外网间越来越复杂的安全威胁，合众公司在多年研究内外网交换安全和应用的基础上，研发了新一代安全交换产品，专门弥补和解决现有设备和解决方案的缺陷。

它通过消息队列解决了内外网交换的可靠性、稳定性问题；通过异构数据转换工具集解决了异构支持性差的问题；通过加强运算能力和存储能力解决了交换效率低下的问题；通过完善加强内容检查机制和限制使用代理功能解决了安全性问题。

总之它能够有效的提升安全隔离交换领域的可用性、可靠性和安全性，是目前防火墙方案和网闸方案的实用价值的替代方案。

杭州合众信息工程有限公司 11

合众安全数据交换系统白皮书

3. 产品概述

3.1. 产品简介

合众安全数据交换系统是专门针对内外网数据交换需求开发的，是新一代的安全隔离交换产品。它由外网交换服务器、网闸和内网交换服务器三部分组成。从拓扑上，将网络边界分为数据获取、隔离交换和数据装载三个区域。每个区域承担相应的安全职责，将三种不同的安全技术手段（内容检查、网络隔离、监控审计）有机地组成在一起，提供给用户一个统一的安全管理界面，容纳用户所有的内外网交换业务，最大程度的提升网络边界的安全保护能力和用户的管理能力。

外网交换服务器的作用是实现对数据的安全获取，具体表现为实现对数据交换对象的身份认证、对数据格式的过滤、对数据内容的检查，最终将获取的数据存入消息队列传给网闸。

网闸的作用是采用专用防篡改硬件隔断从物理层到应用层所有网络层次的协议通信，保证网络隔离的有效性。即使外部主机被攻击，也可以保证内部主机的安全。

内网交换服务器的作用是实现对数据的安全装载，具体表现为实现数据的异构转换、数据对照关系的匹配、对交换内容的审计、对交换行为的实时监控等等，它接收消息队列的数据并最终装载到目标系统。

外网数据交换对象外网交换服务器网闸内网交换服务器合众安全数据交换系统内网数据交换对象

合众安全数据交换系统已经在很多省级、市级党政军机关投入了应用。经过3年的应用实践，证明了该系统达到了安全、可控、可靠、稳定、高性能的建设

杭州合众信息工程有限公司 12

合众安全数据交换系统白皮书

要求。该产品经公安部的检测认可，完全符合《公安信息通信网边界接入平台安全规范》。该产品也已获得国家保密局的《涉密信息系统产品检测证书》、解放军的《军用信息安全产品认证证书》、信息产业部的《国家信息安全产品认证证书》。该产品通过了解放军总参56所和公安部信息安全等级保护评估中心严格的攻防测试，测试表明，该产品具有非常高的网络安全防御能力，抵御各种来自外部和内部的网络攻击，保护内网中的信息安全。

3.2. 产品原理

运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运运

上图所示为合众安全数据交换系统。系统由外网交换服务器、网闸、内网交换服务器三部分组成。外网交换服务器、网闸、内网交换服务器都是合众公司提供的专用硬件设备（网闸可以采用用户已有设备或者其他第三方厂商设备）。

合众安全数据交换系统采用内外网交换服务器将数据获取、数据转化、内容检查和数据装载功能从网闸上接管。

外网交换服务器首先认证数据源的合法性，然后通过各种适配器读取数据源上的所需交换的数据。当数据到达外网交换服务器后根据事先制定的格式策略和内容检查策略判断该数据是否符合，如果符合则进行交换，否则直接将数据丢弃。数据通过检查后外网交换服务器将数据压入消息队列传输出去。

当数据通过网闸传输到内网交换服务器后，内网交换服务器首先从消息队列中将数据抽取出来，然后根据事先制定的转换规则对数据进行异构转换，并将数据通过事先制定的匹配对照关系映射到目标数据上，然后通过批量装载最终交换至目标端。在整个过程中，内网交换服务器提供装载内容的完整审计并实时受到

运运运运运运运运运运运运运运运运杭州合众信息工程有限公司 13

合众安全数据交换系统白皮书

管理员的监控。

通过以上分析可以看到，网闸在安全数据交换系统中起到的主要作用是网络隔离作用，即通过硬件交换模块保证隔断从物理层到应用层所有网络层次的协议通信，内外网交换服务器与网闸都通过直连线连接，保证这是网络交换的唯一通道。

合众安全数据交换系统从技术上融合目前最为流行的三种安全技术：内容检查技术、安全隔离技术和安全审计技术。其中内容检查技术依靠格式过滤、防病毒过滤等检测技术保证安全；安全隔离技术依靠无协议的数据摆渡隔离内外网络；安全审计技术依靠内容审计来实现亡羊补牢。合众安全数据交换系统融合了这三种技术的优点，并且在网络上依照“花瓶模型”的安全保障体系建设，全面、立体地保障业务的安全性，所以其安全性应该是比较好的。从技术方面总结起来有三点：

1、事前的内容检查：合众安全数据交换系统通过严格的格式和内容检查，将数据交换过程中绝大部门的安全威胁排除在外。

2、事中的安全隔离：合众安全数据交换系统通过网闸实现了不同网络间的隔离，保证只有纯数据摆渡而没有网络连接。

3、事后的安全审计：合众安全数据交换系统通过内容审计留下所有网络进入者的“脚印”。

3.3. 产品优势

合众安全数据交换系统的主要优势如下：

3.3.1. 采用消息队列保证交换的可靠性和稳定性

合众安全数据交换系统内置了消息队列实现内外交换服务器之间的可靠传输。

消息队列技术是分布式应用间交换信息的一种技术。消息队列可驻留在内存或磁盘上,队列存储消息直到它们被应用程序读走。通过消息队列，应用程序可独立地执行--它们不需要知道彼此的位置、或在继续执行前不需要等待接收程序接收此消息。在分布式计算环境中，为了集成分布式应用，开发者需要对异构网

杭州合众信息工程有限公司 14

合众安全数据交换系统白皮书

络环境下的分布式应用提供有效的通信手段。为了管理需要共享的信息，对应用提供公共的信息交换机制是重要的。

消息队列为构造以同步或异步方式实现的分布式应用提供了松耦合方法。消息队列的API调用被嵌入到安全数据交换系统中，通过消息发送到内存或基于磁盘的队列或从它读出而提供信息交换。

消息队列实现从一个（或多个）交换节点的数据传输到另外一个（或多个）交换节点上，支持TCP、HTTP、SSL及HTTPS等传输协议。具体功能如下：

? 消息切分：支持将一个大的消息切分成多个小块发送，在目的节点重新

组合成完整的消息。

? 断点续传：因为在传输时实现了消息切分，所以安全数据交换系统能够

支持断点续传。。

? 消息压缩：提供数据压缩功能，方便用户在收发消息时对消息进行压缩

和解压缩，以提高消息传输效率。

? 消息优先级：支持用户设置消息优先级。根据消息优先级的高低安排消

息的发送次序。

? 对大文件传输的支持：具有不限制传输文件大小、断点续传、多线程传

输、高可靠性、简单易用等特点。

总而言之，安全数据交换系统底层通过消息队列保证数据交换非常可靠和稳定，当网闸出现故障、阻塞时，数据绝对不会出现丢失，只会存储在队列中直到传输链路恢复正常，数据被接收端读走为止。

由于采用了消息队列技术，使得安全数据交换系统在隔离交换环境下依然能够保证交换的可靠性、稳定性、准确性和完整性。

3.3.2. 内置数据转换工具支持数据异构性

上文我们分析认定在内外网之间一定要保证数据的同构交换是不太现实的。今天，越来越多的的应用需要访问各种异构数据源。数据交换的异构包括很多的方面：有操作系统的异构、数据库（DMBS）自身的异构、数据结构的异构、数据格式的异构等等。

杭州合众信息工程有限公司 15

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库合众安全数据交换系统白皮书4.0 - 图文(3)在线全文阅读。