當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 南昌OA系統(tǒng) > 南昌OA信息化
安全的數(shù)據(jù)隔離與交換系統(tǒng)
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
文章來源:泛普軟件針對(duì)現(xiàn)有的防火墻、網(wǎng)閘和應(yīng)用網(wǎng)關(guān)等各種隔離與交換技術(shù)無法適應(yīng)多系統(tǒng)交互、應(yīng)用復(fù)雜、高實(shí)時(shí)性、大流量的要求,本文提出一種新的解決辦法: 采用松耦合結(jié)構(gòu)的“內(nèi)網(wǎng)數(shù)據(jù)交換平臺(tái)+網(wǎng)閘+外網(wǎng)數(shù)據(jù)交換平臺(tái)”數(shù)據(jù)安全交換系統(tǒng),以滿足內(nèi)部網(wǎng)絡(luò)隔離與數(shù)據(jù)交換的需求。
信息技術(shù)的廣泛應(yīng)用及信息資源共享和信息安全問題之間的矛盾日益突出。典型的現(xiàn)實(shí)情況是,一個(gè)部門從自身安全角度考慮,把內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)物理斷開,但與此同時(shí),從開展業(yè)務(wù)的需求出發(fā),與其他部門的內(nèi)部網(wǎng)絡(luò)連接越來越多,于是,有的部門將內(nèi)部網(wǎng)絡(luò)劃分為不同安全等級(jí)的域,即把內(nèi)部網(wǎng)絡(luò)進(jìn)一步劃分為內(nèi)網(wǎng)和外網(wǎng),將重要數(shù)據(jù)和系統(tǒng)置于內(nèi)網(wǎng),僅供內(nèi)部人員授權(quán)訪問,將與其他部門聯(lián)網(wǎng)的系統(tǒng)置于外網(wǎng),形成一種“外網(wǎng)受理、內(nèi)網(wǎng)處理”的格局,有效保護(hù)核心系統(tǒng)和匯總的重要信息的安全,符合國(guó)家等級(jí)保護(hù)的原則。不過,這并不意味著問題就解決了,隨之而來的困難是,原來同處一個(gè)網(wǎng)絡(luò)域的信息系統(tǒng)之間有著千絲萬縷的聯(lián)系,系統(tǒng)交互的數(shù)據(jù)類型復(fù)雜(包括數(shù)據(jù)報(bào)文、數(shù)據(jù)文件、影像文件和數(shù)據(jù)庫表等)、實(shí)時(shí)性要求高、時(shí)延要求低,需要交換的數(shù)據(jù)量大,而且是不同等級(jí)安全域的數(shù)據(jù)交換。從目前的情況看,能滿足這一要求的解決方案,即內(nèi)外網(wǎng)間安全隔離和數(shù)據(jù)交換系統(tǒng)鮮有先例。
綜觀現(xiàn)有的防火墻、網(wǎng)閘和應(yīng)用網(wǎng)關(guān)等各種網(wǎng)絡(luò)安全隔離與交換技術(shù),盡管都可以在一定程度上解決網(wǎng)絡(luò)安全隔離與數(shù)據(jù)交換的問題,但都不同程度地存在著局限性,特別是不能適應(yīng)內(nèi)部網(wǎng)絡(luò)隔離與交換要求的多系統(tǒng)交互、應(yīng)用復(fù)雜、高實(shí)時(shí)性、大流量的要求。為此,本文研究提出一種新型的網(wǎng)絡(luò)安全隔離與數(shù)據(jù)交換平臺(tái)架構(gòu),它采用松耦合結(jié)構(gòu)的“內(nèi)網(wǎng)數(shù)據(jù)交換平臺(tái)+網(wǎng)閘+外網(wǎng)數(shù)據(jù)交換平臺(tái)” 數(shù)據(jù)安全交換系統(tǒng),能夠有效解決上述問題,滿足內(nèi)部網(wǎng)絡(luò)隔離與數(shù)據(jù)交換的需求。
新型數(shù)據(jù)安全交換系統(tǒng)
新的數(shù)據(jù)安全交換平臺(tái)架構(gòu)如附圖所示。在該系統(tǒng)中,網(wǎng)閘負(fù)責(zé)在網(wǎng)絡(luò)層進(jìn)行內(nèi)外網(wǎng)之間的安全隔離和訪問控制; 內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)負(fù)責(zé)在應(yīng)用層代理內(nèi)外網(wǎng)之間的數(shù)據(jù)交換以及數(shù)據(jù)交換的訪問控制與安全審計(jì)。網(wǎng)閘、內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)可綜合采用并行處理、多機(jī)熱備和負(fù)載均衡等技術(shù),以加強(qiáng)數(shù)據(jù)交換的吞吐能力,保證數(shù)據(jù)交換的可靠性、可用性和擴(kuò)展性,滿足當(dāng)前和未來業(yè)務(wù)發(fā)展對(duì)數(shù)據(jù)交換性能的需求。
對(duì)此架構(gòu)簡(jiǎn)單描述如下:
1. 內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)通過專門的應(yīng)用軟件實(shí)現(xiàn)數(shù)據(jù)交換,可運(yùn)行在各種開放的操作系統(tǒng)(如IBM RISC/6000或其他使用Unix操作系統(tǒng))的服務(wù)器上。它集成了大型數(shù)據(jù)庫系統(tǒng),采用消息隊(duì)列中間件作為主要通信方式(BEA Message Q,IBM MQ),同時(shí)支持BEA Tuxedo和IBM CICS中間件,支持TCP、SNA、X.25等通信協(xié)議,可為內(nèi)外網(wǎng)交互的各個(gè)系統(tǒng)提供統(tǒng)一的格式轉(zhuǎn)換、統(tǒng)一的交換路由、統(tǒng)一的事務(wù)管理。交換平臺(tái)通過Win98端進(jìn)行管理,具有友好的用戶界面。
2. 交換平臺(tái)采用J2EE架構(gòu),提供統(tǒng)一的報(bào)文、二進(jìn)制文件、XML報(bào)文、郵件等多種通信接口,內(nèi)置報(bào)文交換、文件交換、數(shù)據(jù)庫交換等多種交換方式。交換平臺(tái)采用模塊化設(shè)計(jì),模塊之間具有非常弱的偶合性,在功能、性能和安全等方面均具有良好的靈活性和擴(kuò)展性,能夠不斷適應(yīng)信息化發(fā)展過程中新的業(yè)務(wù)及其安全需求。交換平臺(tái)由業(yè)務(wù)接入模塊、交換引擎模塊、通信適配模塊、監(jiān)控管理模塊和安全認(rèn)證模塊組成。
3.與一般常見的安全應(yīng)用網(wǎng)關(guān)不同,本方案在安全隔離網(wǎng)閘的兩端分別部署了配置基本一致的內(nèi)網(wǎng)和外網(wǎng)數(shù)據(jù)交換平臺(tái)。不僅為網(wǎng)閘提供單一私有通信協(xié)議,并為內(nèi)外網(wǎng)交互的系統(tǒng)提供統(tǒng)一模式的規(guī)范接口,而且分別在應(yīng)用層負(fù)責(zé)本端數(shù)據(jù)外流的合法性檢查,即在數(shù)據(jù)流出內(nèi)網(wǎng)和外網(wǎng)安全域之前,進(jìn)行數(shù)據(jù)外流的合法性檢查,在體系結(jié)構(gòu)上保證了數(shù)據(jù)交換的安全。
4.內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)基于可靠的消息傳遞機(jī)制,實(shí)現(xiàn)報(bào)文在各個(gè)應(yīng)用系統(tǒng)之間可配置的格式轉(zhuǎn)換,交換路由和事務(wù)完整性保證功能。在提供用戶可配置方式使用交換平臺(tái)的同時(shí),也允許用戶擴(kuò)展交換平臺(tái),實(shí)現(xiàn)客戶化的工作。整個(gè)交換平臺(tái)架構(gòu)從下到上分為四層:
● 網(wǎng)絡(luò)通信協(xié)議層,提供系統(tǒng)最底層的通信保證。
● 消息中間件層,提供系統(tǒng)可靠的消息傳遞機(jī)制。
● 交換中間件層,提供格式轉(zhuǎn)換、交換路由、事務(wù)完整性保證等功能。
● 客戶化層,提供用戶擴(kuò)展接口,實(shí)現(xiàn)用戶客戶化要求。
5. 交換平臺(tái)應(yīng)用系統(tǒng)可以分為三層體系,即平臺(tái)核心層、前置與通信層和外部應(yīng)用層。
平臺(tái)核心層是指交換平臺(tái)所提供的核心服務(wù)和核心API。其中核心服務(wù)包括交換主控、格式轉(zhuǎn)換、路由轉(zhuǎn)發(fā)、事務(wù)管理、任務(wù)管理、系統(tǒng)監(jiān)控、通信服務(wù)、系統(tǒng)管理等。核心API是提供給平臺(tái)使用者在對(duì)應(yīng)用前置和通信服務(wù)進(jìn)行客戶化時(shí)調(diào)用核心服務(wù)的接口。本層的服務(wù)和API都由系統(tǒng)提供,用戶無需開發(fā)即可直接調(diào)用。
前置通信層是指與外部應(yīng)用進(jìn)行通信,并調(diào)用核心服務(wù)或者核心API完成交換轉(zhuǎn)發(fā)的中間層。本層的應(yīng)用需要客戶根據(jù)不同的應(yīng)用要求和通信協(xié)議進(jìn)行配置和客戶化開發(fā),平臺(tái)核心層提供了強(qiáng)大而完備的核心服務(wù)和API以支持并最大限度地減少前置通信層的客戶化工作。
外部應(yīng)用層是指獨(dú)立于交換平臺(tái)的客戶應(yīng)用系統(tǒng),客戶通過定義交換平臺(tái)對(duì)這些外部應(yīng)用調(diào)用的次序,實(shí)現(xiàn)報(bào)文在這些應(yīng)用之間的流轉(zhuǎn),從而實(shí)現(xiàn)指定的交換流程。本層的應(yīng)用完全由客戶提供,并通過前置通信層接入交換平臺(tái)。
交換平臺(tái)三層之間的關(guān)系是平臺(tái)核心層提供核心服務(wù)和核心API以支持前置通信層的開發(fā),前置通信層調(diào)用核心服務(wù)和核心API實(shí)現(xiàn)交換在各外部應(yīng)用之間的轉(zhuǎn)發(fā),并負(fù)責(zé)和外部應(yīng)用層之間的通信; 外部應(yīng)用層提供真正實(shí)現(xiàn)交換的客戶應(yīng)用系統(tǒng),并通過前置通信層實(shí)現(xiàn)交換報(bào)文的轉(zhuǎn)發(fā)。外部應(yīng)用層通過前置通信層接入核心,并不與平臺(tái)核心層直接發(fā)生連接。
安全控制機(jī)制
內(nèi)外網(wǎng)數(shù)據(jù)交換的安全控制機(jī)制主要包括通信主體的身份控制、通信過程的安全控制、通信數(shù)據(jù)的合法性和安全性控制等三方面。本系統(tǒng)在網(wǎng)絡(luò)、應(yīng)用和數(shù)據(jù)等三個(gè)層次上建立內(nèi)外網(wǎng)數(shù)據(jù)交換的安全信任體系,從而實(shí)現(xiàn)內(nèi)外網(wǎng)在OSI七層網(wǎng)絡(luò)模型上的安全訪問控制。
平臺(tái)還提供字符串運(yùn)算、邏輯運(yùn)算、提取報(bào)文域等功能,允許外網(wǎng)數(shù)據(jù)交換平臺(tái)通過網(wǎng)閘與內(nèi)網(wǎng)進(jìn)行網(wǎng)絡(luò)通信,其中包括執(zhí)行應(yīng)用層通信的內(nèi)容過濾,只允許內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)之間的合法通信報(bào)文穿越,進(jìn)行網(wǎng)絡(luò)物理隔離等措施,有效防范各類網(wǎng)絡(luò)入侵和病毒攻擊。
1. 網(wǎng)絡(luò)層的安全控制
網(wǎng)閘負(fù)責(zé)進(jìn)行內(nèi)外網(wǎng)安全隔離,只允許內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)通過專有單一協(xié)議進(jìn)行直接跨網(wǎng)通信,而對(duì)其他非授權(quán)通信一律阻斷,以防范從外網(wǎng)對(duì)內(nèi)網(wǎng)的各類非法網(wǎng)絡(luò)入侵和攻擊,包括漏洞攻擊、DDoS攻擊和帶寬攻擊等。具體實(shí)現(xiàn)方式包括:
會(huì)話終止: 在外網(wǎng)的計(jì)算機(jī)通過網(wǎng)閘與內(nèi)網(wǎng)建立連接時(shí),網(wǎng)閘的外部網(wǎng)絡(luò)接口會(huì)通過模擬應(yīng)用的服務(wù)器端,終止網(wǎng)絡(luò)之間的會(huì)話連接,這樣可確保在不可信和可信網(wǎng)絡(luò)之間沒有一條激活的會(huì)話連接;
協(xié)議安全檢查: 對(duì)來自連接的數(shù)據(jù)包進(jìn)行基于內(nèi)部RFC的協(xié)議分析,也可以對(duì)某些協(xié)議進(jìn)行動(dòng)態(tài)分析,檢查是否有攻擊成分;
數(shù)據(jù)抽取和內(nèi)部封裝: 在協(xié)議檢查同時(shí),將協(xié)議分析后的數(shù)據(jù)包中的數(shù)據(jù)提取出來,然后將數(shù)據(jù)和安全協(xié)議一起通過特定的格式壓縮、數(shù)據(jù)封裝轉(zhuǎn)化成網(wǎng)閘另一端能接受的格式;
基于安全策略的決策審查: 安全策略決策是運(yùn)行在內(nèi)部服務(wù)器,由系統(tǒng)管理員定義。它分析外部來的數(shù)據(jù),主要是源地址、目的地址以及協(xié)議等信息,并且和規(guī)則庫進(jìn)行匹配,看是否允許通過或丟棄;
編碼與解碼: 對(duì)靜態(tài)的數(shù)據(jù)塊進(jìn)行編碼,編碼是相對(duì)復(fù)雜而且基于隨機(jī)關(guān)鍵字的。一旦編碼,則打亂了數(shù)據(jù)或命令的原有格式,使數(shù)據(jù)中可能攜帶的可執(zhí)行惡意代碼失效,阻止惡意程序執(zhí)行。一旦數(shù)據(jù)經(jīng)過了內(nèi)容檢測(cè)且確認(rèn)是安全的,它就被解碼,準(zhǔn)備發(fā)送到內(nèi)部網(wǎng)絡(luò); 會(huì)話生成內(nèi)部服務(wù)器模擬應(yīng)用的客戶端,將經(jīng)檢測(cè)過的數(shù)據(jù)發(fā)送到內(nèi)部網(wǎng)絡(luò),和內(nèi)部網(wǎng)絡(luò)上真正的應(yīng)用服務(wù)器建立一個(gè)新的連接,接著生成符合RFC協(xié)議的新通信包。
同時(shí),通過外部集成入侵檢測(cè)系統(tǒng)IDS,對(duì)內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)通信進(jìn)行安全審計(jì),及時(shí)發(fā)現(xiàn)和追蹤各類非法網(wǎng)絡(luò)通信行為; 通過外部集成的負(fù)載均衡設(shè)備,為訪問用戶提供虛擬IP地址,保證物理服務(wù)器對(duì)用戶不可見,避免非法用戶對(duì)真實(shí)服務(wù)器的直接訪問,避免對(duì)真實(shí)服務(wù)器的可能操作動(dòng)作。
2. 應(yīng)用層的安全保證
內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)通過下述方式實(shí)現(xiàn)應(yīng)用層的安全控制:
協(xié)議與格式屏蔽: 內(nèi)外網(wǎng)之間的任何數(shù)據(jù)交換都通過兩個(gè)交換平臺(tái),兩個(gè)交換平臺(tái)使用內(nèi)部約定的格式及與網(wǎng)閘適配的單一私有協(xié)議,無論在應(yīng)用還是在網(wǎng)絡(luò)上都保證了安全;
單項(xiàng)訪問控制: 交換平臺(tái)內(nèi)部的路由配置功能能夠有效地控制請(qǐng)求的轉(zhuǎn)發(fā),因此可以配置單向路由,即某些系統(tǒng)只允許內(nèi)網(wǎng)訪問外網(wǎng),不允許外網(wǎng)主動(dòng)發(fā)起對(duì)內(nèi)網(wǎng)數(shù)據(jù)的請(qǐng)求;
合法性審查: 當(dāng)內(nèi)外網(wǎng)應(yīng)用系統(tǒng)進(jìn)行單向或雙向數(shù)據(jù)交換時(shí),內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)在本方安全域內(nèi),根據(jù)發(fā)送方應(yīng)用系統(tǒng)的身份和所發(fā)送數(shù)據(jù)的類別及密級(jí),按照預(yù)先定義的數(shù)據(jù)交換安全策略,對(duì)數(shù)據(jù)交換的主體、內(nèi)容和方向進(jìn)行合法性檢查,只允許經(jīng)授權(quán)的內(nèi)外網(wǎng)應(yīng)用系統(tǒng)之間進(jìn)行必要的數(shù)據(jù)交換,且相互驗(yàn)證對(duì)方通信報(bào)文的合法性;
安全管理: 通過內(nèi)外網(wǎng)交互系統(tǒng)的注冊(cè)、端口管理(通信層、中間件層、應(yīng)用層、人工處理層)和系統(tǒng)監(jiān)控(對(duì)象、流水、自定義消息)等細(xì)粒度安全監(jiān)控管理功能,靈活實(shí)現(xiàn)安全控制策略;
雙向認(rèn)證: 內(nèi)外網(wǎng)應(yīng)用系統(tǒng)在進(jìn)行數(shù)據(jù)交換時(shí),必須與內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)進(jìn)行雙向身份認(rèn)證。
此外,通過內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)和集成第三方的安全審計(jì)系統(tǒng),在數(shù)據(jù)交換過程中,將對(duì)數(shù)據(jù)交換的主體、類型、數(shù)據(jù)類別及密級(jí)、日期和結(jié)果等相關(guān)信息進(jìn)行安全審計(jì),及時(shí)發(fā)現(xiàn)和追蹤各類非法數(shù)據(jù)交換行為。
3. 數(shù)據(jù)層的安全保證
內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)對(duì)發(fā)送方應(yīng)用系統(tǒng)數(shù)據(jù)報(bào)文(或文件)中的CA信息進(jìn)行透明轉(zhuǎn)發(fā),確保接收方應(yīng)用系統(tǒng)可對(duì)數(shù)據(jù)報(bào)文(或文件)的CA信息進(jìn)行合法性驗(yàn)證。當(dāng)使用文件交換模式時(shí),數(shù)據(jù)文件采用統(tǒng)一的文本格式,且在進(jìn)行文件交換時(shí)對(duì)文件進(jìn)行惡意代碼過濾。特別是,平臺(tái)提供字符串運(yùn)算、邏輯運(yùn)算、提取報(bào)文域等功能,允許外網(wǎng)數(shù)據(jù)交換平臺(tái)通過網(wǎng)閘與內(nèi)網(wǎng)之間的網(wǎng)絡(luò)通信,其中包括執(zhí)行應(yīng)用層通信的內(nèi)容過濾,只允許內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)之間的合法通信報(bào)文穿越,進(jìn)行網(wǎng)絡(luò)物理隔離等措施,有效防范各類網(wǎng)絡(luò)入侵和病毒攻擊。
4. 系統(tǒng)本身的安全
數(shù)據(jù)安全交換系統(tǒng)是內(nèi)外網(wǎng)隔離的關(guān)鍵,其安全性必須得到保障,具體包括: 為內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)劃分獨(dú)立虛網(wǎng),并實(shí)施嚴(yán)格的訪問控制,只對(duì)外開放最少的必要的服務(wù),減少對(duì)外暴露系統(tǒng)漏洞的可能性,防范漏洞攻擊; 內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)采用非X86 CPU和非Windows操作系統(tǒng)的主機(jī)平臺(tái); 對(duì)內(nèi)外網(wǎng)數(shù)據(jù)安全交換平臺(tái)的訪問進(jìn)行嚴(yán)格的身份控制等措施,以防范對(duì)內(nèi)外網(wǎng)數(shù)據(jù)交換通道的各類非法訪問和網(wǎng)絡(luò)攻擊。
數(shù)據(jù)交換機(jī)制
本系統(tǒng)的數(shù)據(jù)交換機(jī)制是基于消息總線的交換,能夠?qū)崿F(xiàn)報(bào)文、數(shù)據(jù)文件、圖像、數(shù)據(jù)庫等各種類型實(shí)時(shí)、批量交換。內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)由消息隊(duì)列和核心交換處理兩大部分構(gòu)成。核心交換處理可將各個(gè)系統(tǒng)有機(jī)結(jié)合在一起。同時(shí)交換平臺(tái)之間能夠相互連接,實(shí)現(xiàn)交換平臺(tái)的互聯(lián)。
交換過程 交換過程通過交換主控模塊實(shí)現(xiàn),所有交換進(jìn)程發(fā)給其他進(jìn)程的報(bào)文都通過交換主控進(jìn)行集中、分發(fā)。對(duì)于進(jìn)入交換平臺(tái)的每筆交換,交換主控模塊會(huì)自動(dòng)賦予一個(gè)內(nèi)部交換流水號(hào),作為此筆交換的惟一標(biāo)識(shí)。此筆交換每次通過交換主控,都會(huì)進(jìn)行交換步驟的累加。對(duì)于需要進(jìn)行報(bào)文格式轉(zhuǎn)換和進(jìn)行交換路由判斷的報(bào)文,交換主控會(huì)自動(dòng)調(diào)用相應(yīng)的格式管理模塊和智能化路由模塊進(jìn)行相應(yīng)的處理。對(duì)進(jìn)入交換平臺(tái)的每次交換,交換主控模塊都會(huì)自動(dòng)記錄交換日志文件,交換日志文件可以作為審計(jì)的源數(shù)據(jù)文件。對(duì)于所有應(yīng)進(jìn)行沖正的交換,交換主控模塊都會(huì)記錄源報(bào)文數(shù)據(jù),可以進(jìn)行將來沖正時(shí)進(jìn)行沖正包的組織。
報(bào)文交換 報(bào)文的格式轉(zhuǎn)換是第一步。交換平臺(tái)使用FML(自描述語言)報(bào)文作為內(nèi)部的數(shù)據(jù)交換標(biāo)準(zhǔn),能在ISO8583格式、有分隔符格式、無分隔符定長(zhǎng)格式、FML格式等4種格式類型之間進(jìn)行任意的報(bào)文格式轉(zhuǎn)換,而且格式轉(zhuǎn)換方式可以由用戶進(jìn)行設(shè)置,然后進(jìn)行智能路由,根據(jù)用戶設(shè)置的路由腳本,進(jìn)行交換路由的選擇和目標(biāo)端口的定位,指揮報(bào)文信息的流轉(zhuǎn)。根據(jù)需要,可進(jìn)行事務(wù)沖正管理,通過用戶設(shè)置,交換平臺(tái)能進(jìn)行沖正包的組包和解包,支持多種沖正方式。存儲(chǔ)轉(zhuǎn)發(fā)(SAF)處理不但支持沖正報(bào)文的SAF處理,而且支持通知報(bào)文的SAF處理。在前置層可以通過交換控制腳本來實(shí)現(xiàn)對(duì)于報(bào)文的特殊交換處理,可以進(jìn)行格式轉(zhuǎn)換、存取報(bào)文頭、數(shù)據(jù)庫操作等多種處理。
數(shù)據(jù)庫交換 交換平臺(tái)中內(nèi)置對(duì)于用戶數(shù)據(jù)庫的操作,用戶可以在路由腳本中插入數(shù)據(jù)庫操作語句以達(dá)到這一目的。交換平臺(tái)支持對(duì)所有數(shù)據(jù)庫產(chǎn)品的操作,而且數(shù)據(jù)庫產(chǎn)品之間的差別由交換平臺(tái)進(jìn)行屏蔽,用戶只需要使用標(biāo)準(zhǔn)的SQL語句。
文件傳輸 交換平臺(tái)中內(nèi)置對(duì)文件操作的支持,用戶可以在路由腳本中插入文件操作語句以實(shí)現(xiàn)交換平臺(tái)內(nèi)部或者交換平臺(tái)之間的文件傳輸。交換平臺(tái)中支持兩種文件操作方式: FTP方式和Message Q方式。另外,還提供了用于文件傳輸?shù)腁PI函數(shù),可以方便靈活地實(shí)現(xiàn)文件傳輸。
實(shí)現(xiàn)數(shù)據(jù)交換還需要任務(wù)管理、消息監(jiān)控、端口管理、平臺(tái)函數(shù)、用戶API調(diào)用接口等一些核心功能的支持。
任務(wù)管理負(fù)責(zé)監(jiān)控所有在系統(tǒng)中運(yùn)行的任務(wù),包括核心進(jìn)程、前置進(jìn)程、通信進(jìn)程等都處于任務(wù)管理的監(jiān)控下,可使交換平臺(tái)成為不停機(jī)系統(tǒng)。
在交換平臺(tái)中,用戶可以自已定義交換監(jiān)控的內(nèi)容和格式,并支持在Windows環(huán)境下和終端環(huán)境下進(jìn)行交換的流水監(jiān)控。
交換平臺(tái)對(duì)端口實(shí)現(xiàn)了智能管理,可以自動(dòng)感知并維護(hù)系統(tǒng)各端口狀態(tài),并根據(jù)端口狀態(tài)決定對(duì)該端口操作的方式。在端口管理的對(duì)方應(yīng)用層中交換平臺(tái)采用了ECHOTEST機(jī)制: 對(duì)每一個(gè)接入平臺(tái)的端口,交換平臺(tái)會(huì)根據(jù)配置來發(fā)送端口測(cè)試報(bào)文,并根據(jù)是否有響應(yīng)來對(duì)該端口的狀態(tài)進(jìn)行處理。平臺(tái)根據(jù)端口狀態(tài)和負(fù)載統(tǒng)計(jì)數(shù)據(jù)實(shí)現(xiàn)交換拒絕機(jī)制。
交換平臺(tái)含有內(nèi)置的平臺(tái)函數(shù),平臺(tái)函數(shù)中的用戶函數(shù)提供字符串運(yùn)算、邏輯運(yùn)算、碼制轉(zhuǎn)換、域加解密、提取報(bào)文域等功能,用于格式管理、智能化路由、事務(wù)管理等,平臺(tái)函數(shù)可以根據(jù)用戶的實(shí)際需求,由用戶自行對(duì)開發(fā)接口進(jìn)行擴(kuò)充。
交換平臺(tái)對(duì)一些結(jié)構(gòu)和變量進(jìn)行系統(tǒng)約定,并且提供一系列的API函數(shù),包括郵箱操作、交換控制、FML報(bào)文處理、跟蹤調(diào)試等各方面的函數(shù),為用戶二次開發(fā)提供了接口。通過調(diào)用這些函數(shù),用戶可以比較輕松地進(jìn)行前置進(jìn)程的開發(fā),而不用十分了解交換平臺(tái)的內(nèi)部運(yùn)行機(jī)制。交換平臺(tái)提供了開發(fā)前置進(jìn)程的模板程序,而且有大量的開發(fā)案例可供參考。
交換平臺(tái)的設(shè)備接口和通信接口是彼此分離的,獨(dú)特的設(shè)備接口方法使得能很容易地在網(wǎng)絡(luò)上連接一些不同的系統(tǒng)設(shè)備,模塊化結(jié)構(gòu)也方便了在系統(tǒng)中增加新設(shè)備,一個(gè)新的簡(jiǎn)單的應(yīng)用可以在幾周內(nèi)完成編碼、測(cè)試并實(shí)現(xiàn)。(作者單位: 北京西城經(jīng)濟(jì)科學(xué)大學(xué))
鏈接:數(shù)據(jù)安全交換平臺(tái)的特點(diǎn)
1.對(duì)業(yè)務(wù)的適應(yīng)性
該數(shù)據(jù)安全平臺(tái)具有滿足現(xiàn)有業(yè)務(wù)方面的能力。對(duì)于一種業(yè)務(wù),在交換平臺(tái)上只需增加一個(gè)注冊(cè),并記錄其基本信息、路由信息。如果采用單純的網(wǎng)閘,必然涉及大量開發(fā)(業(yè)務(wù)中涉及的協(xié)議大多需要開發(fā),通常網(wǎng)閘只支持http、ftp等少數(shù)幾種常用協(xié)議,對(duì)于MQ之類的應(yīng)用一般無法通過),導(dǎo)致網(wǎng)閘很難支持如此多的不同種類的應(yīng)用。
業(yè)務(wù)之間數(shù)據(jù)交換內(nèi)容改變時(shí)只需要增加新的數(shù)據(jù)結(jié)構(gòu)即可,不會(huì)影響其他業(yè)務(wù),不影響現(xiàn)有結(jié)構(gòu)和工作流程。非常便利。
數(shù)據(jù)交換的路由發(fā)生變化時(shí)也只需要調(diào)整路由表策略即可。同樣不會(huì)影響其他業(yè)務(wù),不影響現(xiàn)有結(jié)構(gòu)和工作流程。非常便利。
2.?dāng)?shù)據(jù)交換的安全性
內(nèi)網(wǎng)和外網(wǎng)的安全措施由內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)和網(wǎng)閘共同保證,在業(yè)務(wù)層面增加安全措施,大大提高了整體的安全性,具體表現(xiàn)在:
數(shù)據(jù)交換平臺(tái)只接收注冊(cè)業(yè)務(wù)的特定格式,對(duì)其他數(shù)據(jù)包均拒絕,大大減少被攻破的威脅;
將不同業(yè)務(wù)的特定格式轉(zhuǎn)換為私有數(shù)據(jù)格式FML,即使被截獲,也能保證數(shù)據(jù)的相對(duì)安全;
網(wǎng)閘間的傳遞通過私有協(xié)議xFTP,在保證效率的同時(shí)也提高安全性;
交換平臺(tái)維護(hù)統(tǒng)一的路由表,拒絕無關(guān)業(yè)務(wù)之間可能發(fā)生的數(shù)據(jù)訪問,提高了跨業(yè)務(wù)攻擊的安全性;
對(duì)于現(xiàn)有數(shù)字證書進(jìn)行透明傳輸,減少了對(duì)原有業(yè)務(wù)系統(tǒng)的影響,同時(shí)也不降低原有業(yè)務(wù)的安全性,從而在整體上提高業(yè)務(wù)的安全。
3.良好的擴(kuò)展性
新業(yè)務(wù)擴(kuò)容時(shí)只需要在交換平臺(tái)上增加注冊(cè)新業(yè)務(wù)即可,具有極大的便利。
對(duì)于業(yè)務(wù)容量的擴(kuò)大,交換平臺(tái)可以在負(fù)載均衡設(shè)備的支持下,通過增加硬件設(shè)備實(shí)現(xiàn)平滑擴(kuò)容,而不改變?cè)屑軜?gòu)和工作流程,具有很好的適應(yīng)性。
另外,該系統(tǒng)還降低了維護(hù)工作量和維護(hù)難度。無論增加多少業(yè)務(wù),均只需要擴(kuò)充交換平臺(tái)即可,無論實(shí)現(xiàn)多么復(fù)雜的數(shù)據(jù)交換,均只需要調(diào)整交換平臺(tái)的策略即可。部署起來同樣非常方便,只需要調(diào)整策略,就可以擴(kuò)展部署。還便于網(wǎng)內(nèi)跨業(yè)務(wù)的數(shù)據(jù)交換。內(nèi)網(wǎng)業(yè)務(wù)之間可以通過內(nèi)網(wǎng)交換平臺(tái)實(shí)現(xiàn)數(shù)據(jù)交換,而外網(wǎng)業(yè)務(wù)之間則可以通過外網(wǎng)交換平臺(tái)實(shí)現(xiàn)數(shù)據(jù)交換。 (ccw)
- 1SSL VPN的概念與選型
- 2警惕軟件不可見缺陷
- 3城域網(wǎng)匯聚層安全控制
- 4怎樣提高NCPI的可用性
- 5應(yīng)用軟件成為黑客“潛在武器”
- 6幾種流行的數(shù)據(jù)庫系統(tǒng)
- 7泛普軟件:OA軟件業(yè)進(jìn)入“加強(qiáng)版”競(jìng)爭(zhēng)階段
- 8談協(xié)同OA辦公系統(tǒng)普及化的重大意義
- 9挖出存儲(chǔ)網(wǎng)絡(luò)的瓶頸
- 10用iptable來提高網(wǎng)絡(luò)安全用
- 11警惕十類虛假安全警告
- 12支招OA管理制度制定
- 13數(shù)字校園信息化標(biāo)配 OA辦公系統(tǒng)
- 14市規(guī)劃局投入使用辦公OA系統(tǒng)
- 15讓身份驗(yàn)證更智能
- 16數(shù)據(jù)集市技術(shù)應(yīng)用一瞥
- 17物流行業(yè)引進(jìn)OA 加強(qiáng)協(xié)同辦公
- 18網(wǎng)站交互式功能利弊談
- 19挖掘精細(xì)化管理 OA助力正當(dāng)時(shí)
- 20數(shù)字資產(chǎn)管理技術(shù)及其應(yīng)用前景
- 21沒有OA系統(tǒng),企業(yè)信息化普及會(huì)受阻
- 22協(xié)同辦公平臺(tái) 覆蓋全區(qū)工作部門
- 23衡量TCO的標(biāo)準(zhǔn)體系
- 24構(gòu)建P2P下載服務(wù)
- 25移動(dòng)OA帶來辦公效率質(zhì)的提升
- 26大部分企業(yè)“內(nèi)部攻擊”的來源
- 27EJB 3.0的三大類型
- 28OA從業(yè)價(jià)值觀:百年老店還是畫地為牢
- 29正確使用“網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)”
- 30動(dòng)態(tài)VPN技術(shù)
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓