• banner1
  • banner2
  • banner3
当前位置:主页 > 产品案例 >

安全数据交换平台建设解决方案

来源:http://www.zzsswlkj.com 责任编辑:环亚ag88 更新日期:2019-07-17 18:54

  计算机网络的开放性产生了许多安全问题,网络攻击、信息泄漏、网上犯罪层出不穷,而采用以防火墙、网闸为核心的网络边界防御体系只能满足信息化建设的一般性安全需求,却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护,我国历来采用物理断开的方法,国家保密局在《计算机信息系统国际联网保密管理规定》中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。按照国家保密局的要求,如果涉密网需要与国际互联网交换数据,只能采用手工拷贝的方式,除此之外,没有其他可行的办法。

  但许多政府部门所需的基础数据往往来自互联网。同时为了满足向服务型政府转型的要求,各级政府部门也必须加强对外服务的力度,需要为社会公众提供信息查询、在线审批、请求服务等新型应用。形势要求在保证安全的前提下,积极探索解决涉密网与互联网数据传输问题的方案。

  为了解决上述问题,需要建设跨网络、跨安全域的数据集成交换平台,将安全保障与数据交换功能有机整合在一起,保障用户在安全的前提下,解决涉密网络与非涉密网络之间的互联问题。

  有很多用户需要从互联网上采集信息或将本单位内部的信息发布在互联网上供其他单位或社会公众获知。为了保护自身网络和应用系统的安全,保证不发生信息泄露安全事件,因此需要采用单向数据传输设备。

  根据国家保密局的规定,非涉密网与涉密网进行数据交换时,绝对禁止高等级网络的涉密数据流向低等级网络。因此,非涉密网与涉密网数据交换只能采用单向传输方式。

  在实现单向数据传输的基础上,还需要符合机密性、完整性、可用性、可审查等安全要求,安全数据交换平台通过加密、签名、过滤、审计等安全功能更好地保证用户数据传输的安全:

  安全数据交换平台是采用分光镜像技术实现的用于单向数据传输的隔离设备,主要用来解决政府部门网络与外部公共网络之间存在的单向数据传输需求。它采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输。

  安全数据交换平台的安全设备主要由单向网闸和数字签名服务器两部分组成:单向光闸是一种基于分光技术的数据还原装置,它由两台计算机、一个分光器等部分组成,采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输。单向光闸有别于传统单向网闸,它在逻辑上由3台主机构成,即处于外网端的源主机上存在两个不同的光卡逻辑上分离成发送主机和接收主机,光信号由发送主机发送至分光器,而接收主机通过分光器接收一路光信号并还原成数据。

  数字签名服务器为单向光闸系统提供数字签名、数据加密功能等安全支撑服务,保证数据传输过程中机密性、完整性及不可抵赖性。

  单向光闸是一种基于分光技术的数据还原装置,它由两台计算机、一个分光器等部分组成,采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输。

  如图2所示,单向光闸由源主机、目标主机和分光器构成。分光器是组建光通道网络的一个组件,是一个连接光缆终端设备(OLT)和光接收节点(ONU)的无源设备,它的功能是分发下行数据。分光器带有一个上行光接口和若干个下行光接口,从上行光接口过来的光信号被分配到所有的下行光接口传输出去。

  单向光闸的源主机安装在外部网络中,目标主机安装在内部网络中。源主机上有两个光通道网卡,目标主机上有一个光通道网卡;分光器的输入端和源主机的一个光卡(称为发送光卡)的输出端用一条单向光纤连接,使光信号可以从发送网卡的发送端发射到分光器的输入端。

  源主机的另一个网卡(称为接收光卡)的输入端和分光器的一个分光输出端连接,接收光卡的输出端与发送光卡的输入端相连接。分光器的另一个输出和目标主机上的光通道网卡(称为目标光卡)的输入端一一相连。

  源主机上运行两个进程:发送进程和接收进程。发送进程通过发送光卡发送数据包,这些数据包被发送光卡转换成光信号,从发送光卡的输出端发出。而这一光信号被分光器分成2束与接收到的光信号相同的光信号,其中一束光信号被源主机的接收光卡接收;另外一束光信号被目标主机的目标光卡接收。

  发送进程将组装好的数据块通过发送光卡的输出端发送,并检查来自接收进程的重发请求。如果没有重发请求,则按照上述方法继续发送下一个数据块;如果收到重发请求,则重发这一块数据块,发送完重发的数据块后再继续发送待发送的其他数据块。在目标主机上安装有光通道网卡,其接受端与分光器的输出端连接,从而可以收到来自分光器的光信号。这些光信号来自分光器输入的光信号的分光,所以其内容与源主机上发送光卡的输出端发送的内容是一致的。目标主机上的目标接收进程将光通道网卡上接收到的光信号还原为数据块,并组装成与源端一致的数据库记录或数据文件。

  单向光闸主要实现数据的单向导人或导出,根据导入导出的数据不同,主要有3种应用功能:静态文件的单向导人、数据库的单向导人、数据恢复。

  静态文件通常是指在物理存储介质(如硬盘、光盘、优盘、软盘等)中创建及使用的文件。这些文件通过FTP、Windows映射等方式可以作为单向光闸导入导出的文件。静态文件单向导入的典型部署场景如图3所示。

  通过单向光闸能实现以下文件单向传输:基于FTP服务的静态文件单向导人导出;基于Windows映射的单向导人导出;文本型数据库文件(如mdb、dbf文件)的单向导入导出。

  比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。

  比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!

  比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。

  比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,2019中国农业银行河南漯河分行校园招聘公告,让您第一时间了解服务器行业的趋势。

  比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。

  比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。

  新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。

  比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。

  比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。

  IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。

  X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。

Copyright © 2013 环亚ag88,环亚娱乐ag88真人版,环亚在线娱乐,环亚娱乐手机下载 All Rights Reserved 网站地图