天君数据链路安全交换平台白皮书.doc

《天君数据链路安全交换平台白皮书.doc》由会员分享，可在线阅读，更多相关《天君数据链路安全交换平台白皮书.doc（20页珍藏版）》请在咨信网上搜索。

1、数据链路安全交换平台白皮书数据链路安全交换平台白皮书安徽天君信息科技股份有限公司2017年目录一、项目背景3二、系统架构3三、数据安全交换平台介绍63.1数据安全接入链路平台架构63.2数据边界接入平台主要功能7（1）文件交换功能7（2）数据库交换功能9（3）授权访问功能10（3）数据交换系统功能参数11（3）数据交换系统性能参数133.3集控探针14（1）功能14（2）性能143.4安全隔离网闸设备143.5集中控制系统15（1）功能16（2）性能18四、主要设备清单19一、 项目背景随着计算机和网络技术在政府及相关行业的广泛应用，为了更好地服务政府管理、服务现实斗争需要，这就要求政府机关加

2、强政府部门之间的信息交换与共享。公安部于2007年制订了公安信息通信网边界接入平台安全规范（以下简称安全规范），为实现政府部门之间数据交换及社会信息采集，按照公安部安全规范的要求，结合政府实际工作的需要，设计建设政府边界接入平台，为开展信息交换共享提供高效、安全的网络接入和数据交换服务。二、 系统架构根据边界接入的业务需求及相关规范的要求，信息通信网接入平台在体系结构上由路由接入区、边界保护区、应用服务区、安全隔离区、安全监测与管理区等五部分组成。u 路由接入区该区域实现各个外部链路与接入平台间连接。该区域主要安全功能为：实现路由访问控制，将来自不同接入对象或不同外部链路的数据流按照接入平台的

3、安全策略加以区分。u 边界保护区该区域主要实现对接入平台的边界保护。该区域主要安全功能为：实现网络级身份认证、访问控制和权限管理，数据机密性和完整性保护，防御网络攻击和嗅探。u 应用服务区该区域主要处理各类与应用相关的操作，是信息通信网对外信息发布、信息采集、数据交换的中间区域。该区域主要安全功能为：作为外部终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能，防止对信息通信网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保护，应具有病毒、木马防护功能，防止病毒传播与非法控制。u 安全隔离区该区域实现信息通信网与应用服务区的安全隔离与信息交 换。该区域主要安全

4、功能为：实现信息通信网与应用服务区的安全网络隔离，根据安全策略，对出入信息通信网的数据分别进行协议剥离、格式检查和过滤，实现信息通信网和应用服务区之间的安全数据交换，保障信息通信网的安全。u 安全监测与管理区该区域实现整个接入平台的安全监测、管理与维护。该区域主要安全功能为：对接入平台运行情况进行安全监测与审计，对接入平台及业务信息进行注册管理、各种安全策略管理、流量监测、统计分析、安全审计等。接入平台内网络设备、安全设备的配置管理及日常运行维护。补丁升级、漏洞扫描与病毒防范。该区域对接入平台运行安全监测与审计的功能统一由“集中监控与审计系统”实现。三、 数据安全交换平台介绍3.1数据安全接入

5、链路平台架构 系统设计主要在中心机房设置1套数据边界平台用于在两网之间的数据交换。通过安全隔离网闸将采集到的图像数据信息同步到信息网中。所有数据边界平台设备均纳入现网安全边界管理系统，实现现有边界管理系统对这些安全边界设备的统一管理。通过数据隔离网闸实现内外网间TCP/IP网络的完全断开，并对隔离网闸剥离协议后的纯数据块进行内容检查过滤；同时实现由内部监管系统对外部网络、应用、设备的监管，以及日志收集和网络隔离。数据交换系统是交换平台与外部网络业务交换数据的唯一入口。在数据隔离网闸上部署数据库、文件、数据流等应用服务接口。数据交换代理软件会根据外部接入方式、数据交换类型和现有数据流量，选择合理

6、的数据交换方式和网闸安全通道。如下图所示：3.2数据边界接入平台主要功能数据交换平台包含数据库数据交换、文件数据交换和授权代理三个模块体系。 （1）文件交换功能图12：文件交换功能设计文件传输主要由文件探针模块、平台接口包括文件输入（InputPlugin）、文件输出（OutPlugin）接口组成。文件探针模块实现文件的读取、传输、接收等功能，文件输入接口接收文件探针模块传输的数据流，并通过平台传输给文件输出接口，输出接口将数据流传输给目标端的文件探针模块，文件探针模块接收数据流后保存文件。文件探针主要由传输配置、输入、输出三部分组成使用JSP页面设置传输参数，可配置并可在探针上实现多个文件传

7、输应用。参数包括：传输IP地址、传输端口、传输方式、应用名、是否可用、源文件目录、是否删除源目录文件、传输频率、文件目标目录。传输步骤：文件探针应用启动先进行源端机器和目标端机器的时戳校准，即探针源端发送一个当前时钟给探针目标端，以源端时间为基准进行校准，目标端时间为源端值的正值或负值。源端探针将内存结构中的所有信息发送到目标端，目标端根据接收的信息去对应的目标文件目录比对文件名及时戳，如果存在文件：则查看源比目标早或者晚，早则查看下一个文件，晚则查看操作类型，如果为删除操作，则直接删除目标文件，如果操作为修改则设置为需要传输，将其写入目标端新的内存结果中；如果文件不存在也设置为需要传输，且将

8、其写入目标端新的内存结果中。返回所有需要传输的文件信息给源端。源端开始传输文件及文件时戳目标端接收文件后，查找是否存在该文件，如果目标端存在该比对源端文件时戳和目标文件时戳，如果源端时间早，则放弃处理；如果源端时间晚则替换文件；如果不存在则直接写文件。（2）数据库交换功能数据库传输主要由文件传输模块、平台接口包括文件输入（InputPlugin）、文件输出（OutPlugin）接口组成。数据库传输模块实现文件的读取、传输、接收等功能，数据库输入接口接收数据库传输模块传输的数据流，并通过平台传输给数据库输出接口，输出接口将数据流传输给目标端的数据库传输模块，数据库传输模块接收数据流后保存数据。数

9、据库同步支持三种方式：全表复制、触发同步、标记同步1、全表复制程序使用JDBC驱动连接到数据库，定时扫描数据库中指定表或字段，读取其中的内容以文件的方式通过平台传输模块。此种方式适合数据量小，实现简单的同步方式。2、触发同步程序在用户配置以后自动在需要被同步的数据表上建立触发器，监控该表的数据变化。一旦表中出现数据变化，触发器将捕获到数据的变化，并将其提取出来。数据通过平台被同步到对方数据库中。3、标记同步程序依靠数据库表中指定的字段标识数据的变化，用户的程序在修改数据库内容时，在该字段中写入相应的内容标识该条记录的变化。此种方式，需要修改数据库原有的结构。（3）授权访问功能天君使用了线程池技

10、术及通道复用技术，减少系统资源浪费，有效实现高性能的负载。支持常见协议的授权代理功能包括：TCP、HTTP、FTP、TNS、UDP、SOCKS协议。授权访问模块默认情况下是关闭的，及在管理员没有做配置时是不允许内外网之间有访问的，此处可以根据需要单独启动，l HTTP应用代理可对页面内容进行脚本、内容、URL、控制；支持交互式动态页面访问；支持对用户的认证功能在HTTP代理服务启动的情况下，同时需要有相应的http资源，代理用户，并且资源和代理用户之间以配置关联关系，用户需要在IE中加入代理服务器IP和端口，才能访问到平台另外一端的http服务。l TCP代理支持双向tcp代理：内-外或外-内

11、，支持原地址黑白名单控制。l TNS代理支持数据库应用代理，包括SQL Server、Oracle、Sybase、DB2等数据库的数据应用代理功能，实现对数据库的安全访问，支持原地址黑白名单控制，并彻底保障数据库本身的安全。l FTP代理文件传输应用代理，支持通过FTP进行文件安全传输，支持原地址黑白名单控制。l SOCKS代理支持基于Socks的应用代理，满足多种基于Socks的应用需求。包括Socket4、Socket5的支持，支持对用户的身份认证，支持原地址黑白名单控制。（3）数据交换系统功能参数l 两台主机分别部署在两个网络之间，连接两个网络中应用服务器传输数据，主机之间部署安全隔离网

12、闸实现隔离环境下的数据安全交换；l 能够识别DOC、DOCX、XLS、XLSX、TXT、BMP、MP3、S48、AVI-divx、AVI-JPEG、WMV等文件的格式，防止伪造后缀名或增加二进制执行代码的恶意文件传输，提供公安部三所检测报告。l 具备应用进程认证功能，能够根据设置的应用程序的白名单限制非法程序通过网闸访问服务器。l 每台设备具备2个千兆高速以太网网络接口；l 每台设备具备8GB的服务器专用内存；l 每台主机包含1块120G硬盘；l 支持WEB方式管理配置，通过内网侧主机统一配置管理；l 使用安全加固的Linux操作系统；l 数据交换系统对数据通信内容进行加密及数字签名，保证数据

13、通信的机密性和完整性；l 数据库同步：支持SQLServer、Oracle、Sybase、DB2、Mysql等的单、双向数据交换；可同时发送和接收多个数据库中多个表；支持多种增量方式；根据指定字段值进行条件传输；支持大字段数据同步交换；支持异构数据库安全传输；l 数据库支持多种同步方式：触发器方式，全表采集方式，同表双向的数据同步，主从表的数据同步，删除源数据方式等同步方式；l 数据库支持不同类型数据库之间及异构数据库的数据类型转换（表名、表字段、表字段类型、表主键、表外部键不同）；支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构；l 文件同步：支持多种文件传输方式，高可靠

14、文件传输，文件完整性校验；文件内容识别检查过滤和文件格式特征检查；支持增量文件同步，实现内外网两个目录之间的文件一致性；小文件传输可使用多线程并发提高传输效率；l 支持断点重传功能，在出现断电或传输中断等情况下，能够保证系统恢复时，交换的数据能重传或续传且不出数据丢失现象；l 数据交换系统连接内外网数据服务器，根据系统管理员配置进行数据获取及摆渡，同时对数据内容进行深层次细粒度的过滤检查；l 支持SYSLOG、SNMP V2/V3，可扩展支持WEBService管理方式；l 能够在同步过程发生错误时，会重试或报警。报警可以按要求以多种形式发送；l 能与集中监控与审计系统无缝对接，支持将审计信息

15、或报警信息发送到集中监控与审计系统统一管理；（3）数据交换系统性能参数l 稳定性运行时间（MTBF）：50000小时；l 可实现600Mbps的交换能力，20000个并发会话；数据库到数据库交换最大并发数据表1024；l 数据库到数据库交换记录数（100Kb/记录）200个/秒；l 数据文件处理吞吐量300 Mbps；l 最大数据文件10G；l 任务调度粒度为秒级；l 目录监控触发时间1秒；最大传输延时50000小时；四、 主要设备清单序号型号描述数量产品型号价格1防火墙12边界安全接入网关13IDS14数据安全交换系统包括安全数据交换前置服务器、安全数据交换后置服务器15隔离网闸16集控系统监视平台及网络设备的运行情况，并可级联上级平台17集控探针监控网络设备运行状况1模板版次：1.0第 19 页 共 20 页COPYRIGHT 1999-2017 安徽天君信息科技股份有限公司 版权所有