近期热点
·信息网络安全防范的几种措施
·企业网络安全的规划设计与实践
·网络安全之我见
·制造执行系统(MES)的应用与发展
·PDM与CAX、ERP集成技术研究
·微波EDA电磁仿真软件应用
 相关文章
·黑客入侵 Win XP常用七大招数
·安心黄金周 网络攻击防范措施早准备
·全方位的电子文档安全管理系统
·企业网络重在管理
·网络管理员备份与恢复中常用术语表集合
·网络管理的价值观
 相关博客
·网络安全铿锵三人行
·网络安全需要真功夫
·ISA Server在企业网络安全管理中的应用探讨
·院士解读安全创新切入点——从“863”计划“十一五”战略看网络安全创新的切入点
·入侵测试对于企业网络安全必不可少吗?
 相关新闻
·
中国邮电器材集团选择SINFOR AC
·
株洲电厂引进SiteView系列四套产品
·
卓益达与CA合作,共同推出网络管理方案
·
北电成立亚洲网络管理中心
·
物超所值——Qno侠诺FVR420v语音版路由器
·
华硕网络正式推出新一代ACNM中小企业网络管理软件
 相关热贴
·七种最不安全的网络管理员
·深圳联软科技的网络管理系统渠道招募中。。
·认清网络管理的目的
·文章评论:网络管理软件 让“救火员”成“防火员”
·网络管理十一杀招 网管几年经验总结
·网络管理员常见十种错误处理措施
 相关商城商品
 
 
当前位置:基础信息化 -> 网络管理
 
数据隔离怎样才安全(图)
发表时间:2007-3-5    来源:网络
关键字:网络管理 网络安全 隔离 
针对现有的防火墙、网闸和应用网关等各种隔离与交换技术无法适应多系统交互、应用复杂、高实时性、大流量的要求,本文提出一种新的解决办法: 采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台”数据安全交换系统,以满足内部网络隔离与数据交换的需求。

 

    信息技术的广泛应用及信息资源共享和信息安全问题之间的矛盾日益突出。典型的现实情况是,一个部门从自身安全角度考虑,把内部网络与互联网物理断开,但与此同时,从开展业务的需求出发,与其他部门的内部网络连接越来越多,于是,有的部门将内部网络划分为不同安全等级的域,即把内部网络进一步划分为内网和外网,将重要数据和系统置于内网,仅供内部人员授权访问,将与其他部门联网的系统置于外网,形成一种“外网受理、内网处理”的格局,有效保护核心系统和汇总的重要信息的安全,符合国家等级保护的原则。不过,这并不意味着问题就解决了,随之而来的困难是,原来同处一个网络域的信息系统之间有着千丝万缕的联系,系统交互的数据类型复杂(包括数据报文、数据文件、影像文件和数据库表等)、实时性要求高、时延要求低,需要交换的数据量大,而且是不同等级安全域的数据交换。从目前的情况看,能满足这一要求的解决方案,即内外网间安全隔离和数据交换系统鲜有先例。

    综观现有的防火墙、网闸和应用网关等各种网络安全隔离与交换技术,尽管都可以在一定程度上解决网络安全隔离与数据交换的问题,但都不同程度地存在着局限性,特别是不能适应内部网络隔离与交换要求的多系统交互、应用复杂、高实时性、大流量的要求。为此,本文研究提出一种新型的网络安全隔离与数据交换平台架构,它采用松耦合结构的“内网数据交换平台+网闸+外网数据交换平台” 数据安全交换系统,能够有效解决上述问题,满足内部网络隔离与数据交换的需求。

    新型数据安全交换系统

    新的数据安全交换平台架构如附图所示。在该系统中,网闸负责在网络层进行内外网之间的安全隔离和访问控制; 内外网数据交换平台负责在应用层代理内外网之间的数据交换以及数据交换的访问控制与安全审计。网闸、内外网数据交换平台可综合采用并行处理、多机热备和负载均衡等技术,以加强数据交换的吞吐能力,保证数据交换的可靠性、可用性和扩展性,满足当前和未来业务发展对数据交换性能的需求。

    对此架构简单描述如下:

    1、内外网数据交换平台通过专门的应用软件实现数据交换,可运行在各种开放的操作系统(如IBM RISC/6000或其他使用Unix操作系统)的服务器上。它集成了大型数据库系统,采用消息队列中间件作为主要通信方式(BEA Message Q,IBM MQ),同时支持BEA Tuxedo和IBM CICS中间件,支持TCP、SNA、X.25等通信协议,可为内外网交互的各个系统提供统一的格式转换、统一的交换路由、统一的事务管理。交换平台通过Win98端进行管理,具有友好的用户界面。

    2、交换平台采用J2EE架构,提供统一的报文、二进制文件、XML报文、邮件等多种通信接口,内置报文交换、文件交换、数据库交换等多种交换方式。交换平台采用模块化设计,模块之间具有非常弱的偶合性,在功能、性能和安全等方面均具有良好的灵活性和扩展性,能够不断适应信息化发展过程中新的业务及其安全需求。交换平台由业务接入模块、交换引擎模块、通信适配模块、监控管理模块和安全认证模块组成。

    3.与一般常见的安全应用网关不同,本方案在安全隔离网闸的两端分别部署了配置基本一致的内网和外网数据交换平台。不仅为网闸提供单一私有通信协议,并为内外网交互的系统提供统一模式的规范接口,而且分别在应用层负责本端数据外流的合法性检查,即在数据流出内网和外网安全域之前,进行数据外流的合法性检查,在体系结构上保证了数据交换的安全。

    4.内外网数据交换平台基于可靠的消息传递机制,实现报文在各个应用系统之间可配置的格式转换,交换路由和事务完整性保证功能。在提供用户可配置方式使用交换平台的同时,也允许用户扩展交换平台,实现客户化的工作。整个交换平台架构从下到上分为四层:
      * 网络通信协议层,提供系统最底层的通信保证。
      * 消息中间件层,提供系统可靠的消息传递机制。
      * 交换中间件层,提供格式转换、交换路由、事务完整性保证等功能。
      * 客户化层,提供用户扩展接口,实现用户客户化要求。

    5、交换平台应用系统可以分为三层体系,即平台核心层、前置与通信层和外部应用层。

    平台核心层是指交换平台所提供的核心服务和核心API。其中核心服务包括交换主控、格式转换、路由转发、事务管理、任务管理、系统监控、通信服务、系统管理等。核心API是提供给平台使用者在对应用前置和通信服务进行客户化时调用核心服务的接口。本层的服务和API都由系统提供,用户无需开发即可直接调用。

    前置通信层是指与外部应用进行通信,并调用核心服务或者核心API完成交换转发的中间层。本层的应用需要客户根据不同的应用要求和通信协议进行配置和客户化开发,平台核心层提供了强大而完备的核心服务和API以支持并最大限度地减少前置通信层的客户化工作。

    外部应用层是指独立于交换平台的客户应用系统,客户通过定义交换平台对这些外部应用调用的次序,实现报文在这些应用之间的流转,从而实现指定的交换流程。本层的应用完全由客户提供,并通过前置通信层接入交换平台。

    交换平台三层之间的关系是平台核心层提供核心服务和核心API以支持前置通信层的开发,前置通信层调用核心服务和核心API实现交换在各外部应用之间的转发,并负责和外部应用层之间的通信; 外部应用层提供真正实现交换的客户应用系统,并通过前置通信层实现交换报文的转发。外部应用层通过前置通信层接入核心,并不与平台核心层直接发生连接。

 

 
<<首页 <上一页  1  2  3  4  下一页>  末页>>  
4页,当前第1
责任编辑:张宝林