合众安全数据交换系统白皮书40.docx

资源描述

《合众安全数据交换系统白皮书40.docx》由会员分享，可在线阅读，更多相关《合众安全数据交换系统白皮书40.docx（28页珍藏版）》请在三一办公上搜索。

1、合众安全数据交换系统白皮书Version 4.0杭州合众信息工程有限公司2009年10月内容目录1-背景32.需求分析42.1. 安全威胁42.2. 传统防御技术及其缺点52.2.1. 防火墙防御技术52.2.2. 防火墙防御技术的缺点62.2.3. 网闸防御技术 62.2.4. 网闸防御技术的缺点 72.3. 应对方法113- 产品概述123.1. 产品简介123.2. 产品原理133.3. 产品优势143.3.1. 采用消息队列保证交换的可靠性和稳定性 143.3.2. 内置数据转换工具支持数据异构性153.3.3. 通过批量获取和批量装载提升数据交换效率173.3.4. 深度的内容检查保

2、证数据交换安全 173.3.5. 认证通道技术保证交换通道的安全 183.3.6. 内容审计技术保证交换行为可追溯193.3.7. 自主服务容错技术支持数据交换集群204- 产品特点224.1. 安全性224.2. 可靠性224.3. 兼容性234.4. 高性能244.5. 可管理性244.6. 高性价比245- 产品型号及指标256- 产品资质251.背景为保护重要内部系统的安全，目前国内各个政府单位和大型企事业单位都采用物理隔离的方式人为隔离外网和单位内网，这种情况符合2000年1月颁布的计算机信息系统国际互联网保密管理规定和2002年第17号文件国家信息化领导小组关丁我国电子政务建设

3、指导意见的要求，保证了国家机关的计算机信息系统与国际互联网或其他公共信息网络之间的物理隔离。但是随着中国政府向着服务性政府的方向转化，各级政府机关和大型企事业单位都需要依托信息化手段向外采集更多的信息，对外提供更多的信息服务。向社会企事业单位和民众米集更多信息非常有利丁政府部门及时了解民情、做好统计分析、提供更准确的决策依据。而对外提供信息服务将给普通民众带来更透明、更高效的政府形象，是一件有利国计民生的好事。目前各级政府部门都在全力推进政务信息服务水平，构筑高效便捷的政务公开网络和利民便民信息服务平台，为政府部门与老白姓之间畅通自如的信息交流开拓渠道，营造全社会政通人和的和谐

4、分（围。与此同时，随着国民经济和社会信息化的发展，特别是电子政务建设的推动，各级党政军机关、企事业单位及其它社会组织都积累了大量信息资源。整合共享这些社会信息资源，对丁推进电子政务信息化建设、维护社会稳定和更好地为社会服务具有十分重要的意义。随着网络安全技术的成熟和应用的不断完善，VPDN IPSEC VPN等虚拟专用网的大面积运用和PKI等身份认证技术的成熟，也为进行跨内外网的数据交换提供足够的技术准备条件，可以这么说，在保证安全的前提下，政府部门与企事业单位和社会公众之间实现可控、有限制、隔离状态下的数据交换正是当时。开放系统的安全问题与系统本身相生相伴。随着系统的规模和复杂性

5、的增大，系统运行中的安全问题随之增多增强。作为保障系统正常运行的必要措施，安全手段的应用不仅应该随着系统的规模的增大而增多，而且要随着复杂程度的增大而增强。当前，作为主流的安全防御手段，防火墙、防病蠹和入侵检测这网络安全的“老三样”至今为止还是安全市场的主流。而日渐增多的“木马”和“蠕虫”的流行，对传统防御手段提出了挑战。2.1.安全威胁人们为了解决资源的共享而建立了网络，然而当计算机真的联成了网络，安全却成了问题，因为在网络上，你不活楚对方在哪里，泄密、攻击、病蠹，越来越多的不安全因素让人难以安宁。信息网络上的安全威胁随着网络和信息系统的产生而产生，也随着其发展而发展。从

6、DOS寸代的病蠹，到现在的网络黑客攻击、能够自动复制蔓延和攻击的蠕虫病蠹、到各种各样的“特洛伊木马”，以及各种内部人员的恶意泄密或破坏。信息网络安全所面临的问题种类越来越多，内容越来越复杂。以下是一些事件统计：1996年4月因特网上平均每20秒发生一起入侵计算机的事件（英国金融时报）1997年几乎所有世界排名前一千家的大公司都曾被黑客们成功地闯入，有56%的公司被闯入过3040次；美国国防部、空军、司法部、商务部、中央情报局都曾经被黑客入侵2000年1月Yahoo等网站遭受DDOS攻击，陷入瘫痪2003年8月MS Blaster蠕虫在仅数天之内就使国内200万台以上的计算机陷入瘫

7、痪2004年1月MyDoom蠕虫，入侵和感染了数十万计算机；产生和发送了数以千万计的病蠹邮件，在全球直接造成了261亿美元的损失，蠕虫发作时的攻击使得SCO网站被迫关闭2006年8月光大证券网站多款软件被捆绑木马，威胁用户工商银行网上银行的帐号密码安全2006年12月爆发的熊猫烧香”病蠹，导致至少上白万人受此病蠹威胁从以上的事例可以看出，目前，危害最广、破坏性最大的安全威胁当届“木马”和“蠕虫”。如上所歹 U 的 CodeRed Nimda SQLSlammer MSBlaster、MyDoom Sasser都届此列。这一现象与用户所采用的安全防御技术有关：目前主流的防御技术不能有效防止

8、“木马”和“蠕虫”。2.2.传统防御技术及其缺点通过以上的分析，我们知道只要存在网络边界就存在安全威胁，但是网络边界互通的需求是如此迫切，我们只能在采用各种边界保护技术手段的基础上，与各种安全威胁做博弈。随着用户对网络安全的重视，作为安全防御手段的各类网络安全产品得到了越来越广泛的使用。从防火墙到网闸，网络边界一直在重复着攻击者与防护者的博弈。2.2.1防火墙防御技术网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技术，也就出现了防火墙。防火墙防御技术包括包过滤、状态检测、应用代理等技术。包过滤技

9、术根据IP报文的包头信息（如源地址、目的地址、目的端口）等信息对所通过的IP包是否能够通过进行判定，届丁网络层的安全防御手段。状态检测技术可以根据IP报文之间的关系区分出不同会话，可以基丁会话进行访问控制，届丁会话层的安全防御手段。应用代理为防火墙增加了认证机制，并可以对应用数据进行简单、静态的检查，识别有害数据，进行防御。综上所述的防火墙防御技术并不针对任何特定的网络、信息系统，非常通用，无论何种网络、信息系统，都可以采用这种技术，发现安全威胁然后进行阻止，保证网络、信息系统的正常运行。防火墙防御技术的共同特点是采用“黑名单” 方式进行防御，即定义征的数据的为禁止、否则允许。这样的

10、访问控制列表成为可简称为“黑名单”。对这种防御手段最简单的描述是：“兵来将挡，水来上掩”，发现一种新的攻击行为或者新的病蠹、蠕虫，就将其列入“黑名单”，进行防范。2.2.2. 防火墙防御技术的缺点防火墙防御技术打个形象的比喻是亡羊补牢、事后防御，不能防患丁未然。安全威胁是变化多端的动态、持续的过程。当一种最新的攻击技术出现时，这些技术手段都难以在第一时间进行防御，只能起到“亡羊补牢”的作用。从安全威胁的发展趋势上看，新的攻击手段和新木马、蠕虫才是对网络和信息系统的最大威胁。新的恶意代码的形成和新型攻击行为的发生永远早丁 “黑名单”的形成。因此，防火墙防御技术无法有效防止针对未知漏

11、洞的攻击和针对巳知漏洞的新型攻击。作为目前安全威胁的主流，80恕上的有效攻击是新型恶意代码和新型攻击行为导致。因此，防火墙防御技术不能抵挡80% 勺攻击，其防御能力令人置疑。由丁防火墙防御技术本身的实现机制，一种新型攻击的出现时间和这种防御技术具备防御能力的时间存在一个时间差。这个时间差我们暂时称为“攻击一防御”时间差。由丁这些原因，虽然网络安全的投入快速增长(34%,IDG统计数据)，甚至超过了信息网络系统规模的增长速度(20%)，但网络安全威胁和事件发生频度没有得到有效抑制 (50%-100%)。2.2.3. 网闸防御技术网闸的安全思路来自丁 “不同时连接”。不同时连接两个网络，通

12、过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能性就小多了。网闸采用“ 2+T结构设计，即外主机、内主机和隔离交换模块。内、外网主机具有独立运算单元和存储单元，分别连接可信及不可信网络。内外网主机问不存在任何网络连接，因此不存在基丁网络协议的数据转发。隔离交换模块是内外网主机问数据交换的唯一通道，本身没有操作系统和应用编程接口，所有的控制逻辑和传输逻辑固化在硬件中，自主实现内外网数据的交换和验证。网闸的安全核心是对协议的剥离，网闸的内外主机作为各自网络的终点。将杭州合众信息工程有限公司网络上传送的数据还原为应用层数据并通过网闸私有的协议进行数据摆渡。当然

13、网闸只是阻断了内外主机之间的TCP话，网闸内外主机与各自网络终端的TCP会话并没有被终止。为了追求数据摆渡的效率，网闸两个主机之间的数据摆渡也经历了文件、数据块、私有协议等多次技术的变革。网闸防御技术与防火墙防御技术最大不同点是网闸阻断了内外网之间的TCP会话，如果说防火墙防御技术是一种基丁代理的黑名单防御技术的话，则网闸防御技术是一种基丁交换的白名单防御技术。所以可以这么说，网闸能够比防火墙更大程度防止未知的攻击，安全性更高一些。2.2.4网闸防御技术的缺点网闸的安全基础是基丁交换的白名单防御技术。其核心是通过数据交换过程中的协议剥离、内容检查来保证内部网络的安全，这也就是网闸学名

14、叫“网络隔离和信息交换系统”的缘由。隔离和交换是网闸的两个最基本的功能，从网闸自2000年进入市场以来，虽经过近十年的发展，但是普遍使用的情况并不理想，分析其原因有如下几点：2.2.4.1网闸交换的不稳定性交换与代理不同，交换对稳定性的要求很高，代理如果失败客户端会重新发起，交换一旦失败，则很有可能数据就会因此彻底丢失。所以交换对可靠性、准确性和完整性的要求很高。但是网闸交换本身就是不稳定的，目前网闸通过私有协议在两台主机间进行数据摆渡，交换可靠性的唯一保证就是数据自身的CRO验，当传输中出现抖动、阻塞甚至是硬件故障时，数据丢包甚至是整个数据块丢失都是非常正常的事情，网闸自身是没有任

15、何机制保证交换绝对可靠稳定的。事情上要保证交换系统的稳定，目前国际国内主流的做法就是通过消息队列来传输数据，这样即便是出现网络抖动、阻塞甚至是断网，数据始终存放在队列中，直到确定到接收端巳经受到数据包。消息队列是在不可靠网络中保证数据一致性、完整性的有效方法，而且它夭生就是异步的，因为将消息发送到队列和从队列中接收消息是在不同的主机上完成的。由丁网闸交换的不稳定性，而关键业务对交换可靠性、一致性、完整性乂有着非常高的要求，所以很多用户只能在网闸两端部署消息中问件系统，通过消息中问件系统的消息队列来保证交换的可靠性。2.2.4.2. 网闸对异构交换的不兼容性在内外网之间一定要保证数据的同

16、构交换是不太现实的。信息化的繁荣发展使得越来越的应用系统出现数据的异构。这种数据的异构有些是由丁IT技术的不断变革进步造成的，有些乂是由丁不同的开发公司、开发团队采用不一致的标准造成的，总之人为强制要求内外网数据交换必须是同构是不可能的，网闸交换必须保证对数据异构的支持性。数据的异构性是非常复杂的，它不仅有相对比较简单的操作系统异构（如源数据操作系统是WINDOWS目标数据操作系统是LINUX等），也有较为复杂的数据结构的异构（如源数据格式与目标数据格式不一致、源数据类型与目标数据类型不一致等），还有更为复杂的数据转换问题（如源数据M/F在目标数据中需要转换为性别男/女等）。另外

17、有时候还需要面对文件和数据库之间的数据交换（如文件交换至数据库或数据库交换至文件等），以上这些都是目前网闸所不兼容的。由丁网闸对异构交换的不兼容性，当关键业务需要对异构数据进行转换、转义、匹配时，有些用户只能在网闸两端部署手工开发的应用系统，将网闸摆渡进来的数据进行二次处理，然后才进入到目标数据库中。2.2.4.3. 网闸交换的低效率其实现在的网闸其数据传输的效率很高，一般都能达到400Mbps以上，延时也由丁采用私有协议交换越来越短，有些基本上只有几个微妙。但是数据传输效率并不等同丁交换的效率，因为我们知道数据交换是由数据获取、数据传输和数据装载三部分组成的。由丁网速是越来越快

18、，数据传输的速度也就越来越高，在整个数据交换延时中，数据传输的延时所占比重最小，几乎是可以忽略不计的。所以可以这么说，数据交换的效率主要看数据获取的效率和数据装载的效率。我们知道，要想提高数据获取和装载的效率，只能选择数据的批量获取和批量装载，而数据批量获取和批量装载的效率，除了与用户存储数据的数据库和文件系统的性能有关以外，也与网闸内外主机的处理能力、内存大小有着直接的关系。通过测试证明，网闸主机的处理能力越强、内存越大，则批量获取和批量装载的速度越快，数据交换的效率也就越高。但是现有的网闸往往都是采用工控机作为原型来设计，其CPUft理能力和内存大小受到工控设备的限制，甚至比

19、普通的服务器也差距不小。通过测试证明，网闸的数据获取和数据装载是其交换过程的两块短板，网闸的配置越低，则其交换能力越差，大多数根本不能承受大数据量交换的压力。由丁网闸交换的低效率，有些用户在面临大数据量、大并发量交换的时候，往往不敢用网闸，只能采用交换机、防火墙等设备来代替网闸。还有些用户在网闸两端部署交换服务器，将数据获取和数据装载工作由交换服务器完成，网闸只负责数据传输来加快数据交换效率，满足用户业务的需要。2.2.4.4网闸交换的不安全性1）通过网闸进行代理会带来更大的不安全性正是由丁网闸交换的不稳定、不可靠；网闸对异构交换的不兼容和网闸交换的低效率，很多单位在使用网闸时，其实

20、没有用网闸的交换功能，而是直接使用网闸的代理功能。网闸本身是基丁交换的，它怎么乂会支持代理呢？这是因为为了加强网闸对不同应用的适应性，网闸厂商将内外主机的程序进行了改进。内外主机接收到各自网络的TC或 UDF议会话时，并不真正终端这些会话，而是将会话内容打成数据包后通过网闸自身的私有协议摆渡到另一端，由另一端将数据包再重新生成为协议会话发出去。这样一来，从应用的角度来看，协议依然存在而且能够在内外网中传递。网闸通过这种方式能够支持HTTR数据库客户端协议（如TNS TDS、FTR POP3 SMTPUDPMMS?各种协议代理，对应用提供了适用性。但是网闸不是防火墙，防火墙用的是基丁

21、代理的黑名单防御技术，通过黑名单规则规定那些协议、那些网段、那些端口甚至那些内容不能进。网闸采用的是基丁交换的白名单防御技术，它的本意是定义那些数据可以进，没有定义那些数据不能进。可以这么说，对丁代理的防御能力防火墙远远强丁网闸，网闸一旦使用代理就是一道不设防的防线，基本上任何数据都可以进入内网。2）网闸的内容检查并无太大作用上面分析过网闸是采用白皮单进行安全防御的，其实质是规定那些数据可以交换。所以网闸就必须提供内容检查功能，内容检查是保证交换安全的核心。我们知道，数据交换最大的安全问题就是所交换的数据是否干净、是否不含木马和病蠹、交换内容是否不越权等等。而内容检查机制是保证上

22、述问题得到解决的唯一途径。现在提到安全的时候我们总说应用层安全，而内容检查就是保证应用层安全最有效的手段。但是，网闸在数据交换时其实巳经力有不逮，交换本身就用去了网闸所有的处理能力和内存，网闸做内容检查其实巳经是心有余而力不足。所以很多用户发现其实网闸是不能防病蠹和木马的，我们希望网闸过滤掉的数据网闸其实根本过滤不掉。当然不能说网闸的所有内容检查功能都是摆设，但是绝大多数网闸是无法过滤病蠹和木马这一点是事实。所以很多人认为对丁交换而言，网闸也是不安全的，并不能真正保护内网主机和应用系统的安全。3）网闸交换缺乏必要的内容审计我们知道没有任何安全设备能够保证做到100%勺有效

23、，好的安全策略总是事先考虑到事后弥补的方法。一旦安全设备被突破了，总是能够通过入侵者留下的蛛丝马迹发现攻击的过程，分析攻击造成的损失，弥补攻击造成的后果，并追究攻击者的责任，这也是安全防护体系中需要重点考虑的环节。网闸作为安全隔离交换的唯一通道和关键设备，用户当然希望网闸能够将所交换的内容全部审计下来，万一出现问题可以作为事后凭证加以分析。事实上，数据交换的具体内容只是短暂存放在网闸的内存之中，一旦交换行为结束，则根本无迹可寻，用户失去了对抗抵赖和事后纠错的主要武器。这根本的原因还是网闸的存储能力不够，要存放全部审计日志，需要增加其他的存储介质。由丁网闸无法提供给用户有关交换内

24、容的完整审计，造成管理人员其实根本不知道交换了那些数据，出现了那些异常，是否有垃圾数据进入了内网。审计能力的缺失使得网闸大大降低了事后处理能力。2.3.应对方法正是由丁网闸交换的不稳定、不可靠、对异构支持性差、低效率和不安全，所以安全隔离交换虽然具有很好的理论基础，但实用性较差，难丁满足用户需求和大面积推广。为了解决上述的问题，应对内外网间越来越复杂的安全威胁，合众公司在多年研究内外网交换安全和应用的基础上，研发了新一代安全交换产品，专门弥补和解决现有设备和解决方案的缺陷。它通过消息队列解决了内外网交换的可靠性、稳定性问题；通过异构数据转换工具集解决了异构支持性差的问题；通过

25、加强运算能力和存储能力解决了交换效率低下的问题；通过完善加强内容检查机制和限制使用代理功能解决了安全性问题。总之它能够有效的提升安全隔离交换领域的可用性、可靠性和安全性，是目前防火墙方案和网闸方案的实用价值的替代方案。3.产品概述3.1.产品简介合众安全数据交换系统是专门针对内外网数据交换需求开发的，是新一代的安全隔离交换产品。它由外网交换服务器、网闸和内网交换服务器三部分组成。从拓扑上，将网络边界分为数据获取、隔离交换和数据装载三个区域。每个区域承担相应的安全职责，将三种不同的安全技术手段（内容检查、网络隔离、监控审计）有机地组成在一起，提供给用户一个统一的安全管理界面，容纳用户所有

26、的内外网交换业务，最大程度的提升网络边界的安全保护能力和用户的管理能力。外网交换服务器的作用是实现对数据的安全获取，具体表现为实现对数据交换对象的身份认证、对数据格式的过滤、对数据内容的检查，最终将获取的数据存入消息队列传给网闸。网闸的作用是采用专用防篡改硬件隔断从物理层到应用层所有网络层次的协议通信，保证网络隔离的有效性。即使外部主机被攻击，也可以保证内部主机的安全。内网交换服务器的作用是实现对数据的安全装载，具体表现为实现数据的异构转换、数据对照关系的匹配、对交换内容的审计、对交换行为的实时监控等等，它接收消息队列的数据并最终装载到目标系统。外网交换服务器网闸内网交换

27、服务器外网数据交换对象内网数据交换对象合众安全数据交换系统巳经在很多省级、市级党政军机关投入了应用。经过3年的应用实践，证明了该系统达到了安全、可控、可靠、稳定、高性能的建设合众安全数据交换系统白皮书要求。该产品经公安部的检测认可，完全符合公安信息通信网边界接入平台安全规范。该产品也巳获得国家保密局的涉密信息系统产品检测证书、解放军的军用信息安全产品认证证书、信息产业部的国家信息安全产品认证证书。该产品通过了解放军总参56所和公安部信息安全等级保护评估中心严格的攻防测试，测试表明，该产品具有非常高的网络安全防御能力，抵御各种来自外部和内部的网络攻击，保护内网中的信息安全。I产品原理

28、运运运运运运运运运运运运运运运运上图所示为合众安全数据交换系统。系统由外网交换服务器、网闸、内网交换服务器三部分组成。外网交换服务器、网闸、内网交换服务器都是合众公司提供的专用硬件设备（网闸可以采用用户巳有设备或者其他第三方厂商设备）。合众安全数据交换系统采用内外网交换服务器将数据获取、数据转化、内容检查和数据装载功能从网闸上接管。外网交换服务器首先认证数据源的合法性，然后通过各种适配器读取数据源上的所需交换的数据。当数据到达外网交换服务器后根据事先制定的格式策略和内容检查策略判断该数据是否符合，如果符合则进行交换，否则直接将数据丢弃。数据通过检查后外网交换服务器将数据压入消息

29、队列传输出去。当数据通过网闸传输到内网交换服务器后，内网交换服务器首先从消息队列中将数据抽取出来，然后根据事先制定的转换规则对数据进行异构转换，并将数据通过事先制定的匹配对照关系映射到目标数据上，然后通过批量装载最终交换至目标端。在整个过程中，内网交换服务器提供装载内容的完整审计并实时受到管理员的监控。通过以上分析可以看到，网闸在安全数据交换系统中起到的主要作用是网络隔离作用，即通过硬件交换模块保证隔断从物理层到应用层所有网络层次的协议通信，内外网交换服务器与网闸都通过直连线连接，保证这是网络交换的唯一通道。合众安全数据交换系统从技术上融合目前最为流行的三种安全技术：内容检查技

30、术、安全隔离技术和安全审计技术。其中内容检查技术依靠格式过滤、防病蠹过滤等检测技术保证安全；安全隔离技术依靠无协议的数据摆渡隔离内外网络；安全审计技术依靠内容审计来实现亡羊补牢。合众安全数据交换系统融合了这三种技术的优点，并且在网络上依照花瓶模型”的安全保障体系建设，全面、立体地保障业务的安全性，所以其安全性应该是比较好的。从技术方面总结起来有三点：1、事前的内容检查：合众安全数据交换系统通过严格的格式和内容检查，将数据交换过程中绝大部门的安全威胁排除在外。2、事中的安全隔离：合众安全数据交换系统通过网闸实现了不同网络问的隔离，保证只有纯数据摆渡而没有网络连接。3、事后的安全审计：合众

31、安全数据交换系统通过内容审计留下所有网络进入者的 “脚印”。3 . 3 .产品优势合众安全数据交换系统的主要优势如下：3. 3. 1.采用消息队列保证交换的可靠性和稳定隹合众安全数据交换系统内置了消息队列实现内外交换服务器之间的可靠传输。消息队歹0技术是分布式应用问交换信息的一种技术。消息队歹0可驻留在内存或磁盘上，队列存储消息直到它们被应用程序读走。通过消息队列，应用程序可独立地执行它们不需要知道彼此的位置、或在继续执行前不需要等待接收程序接收此消息。在分布式计算环境中，为了集成分布式应用，开发者需要对异构网络环境下的分布式应用提供有效的通信手段。为了管理需要共享的信息，对应用提

32、供公共的信息交换机制是重要的。消息队列为构造以同步或异步方式实现的分布式应用提供了松耦合方法。消息队列的API调用被嵌入到安全数据交换系统中，通过消息发送到内存或基丁磁盘的队列或从它读出而提供信息交换。消息队列实现从一个（或多个）交换节点的数据传输到另外一个（或多个）交换节点上，支持TCP、HTTP、SSL及HTTPS等传输协议。具体功能如下：消息切分：支持将一个大的消息切分成多个小块发送，在目的节点重新组合成完整的消息。断点续传：因为在传输时实现了消息切分，所以安全数据交换系统能够支持断点续传。消息压缩：提供数据压缩功能，方便用户在收发消息时对消息进行压缩和解压缩，以提高消息传输效

33、率。消息优先级：支持用户设置消息优先级。根据消息优先级的高低安排消息的发送次序。对大文件传输的支持：具有不限制传输文件大小、断点续传、多线程传输、高可靠性、简单易用等特点。总而言之，安全数据交换系统底层通过消息队列保证数据交换非常可靠和稳定，当网闸出现故障、阻塞时，数据绝对不会出现丢失，只会存储在队列中直到传输链路恢复正常，数据被接收端读走为止。由丁采用了消息队列技术，使得安全数据交换系统在隔离交换环境下依然能够保证交换的可靠性、稳定性、准确性和完整性。3.3.2.内置数据转换工具支持数据异构性上文我们分析认定在内外网之间一定要保证数据的同构交换是不太现实的。今天，越来越多的的应用需

34、要访问各种异构数据源。数据交换的异构包括很多的方面:有操作系统的异构、数据库（DMBS）自身的异构、数据结构的异构、数据格式的异构等合众安全数据交换系统内置了数据转换工具，可以将一种数据库系统中定义的模型转化为另一种数据库中的模型，然后根据需要再装入数据。数据转换工具首先进行类型转换，访问源数据库系统，将源数据库的数据定义模型转换为目标数据库的数据定义模型，然后进行数据重组，即将源数据库系统中的数据装入到目的数据库中。合众安全数据交换系统支持操作系统的异构，可以支持WINDOWS LINUX、UNIX、SOLARIS AIX、HP UNIX 等各种操作系统。合众安全数据交换系统支持数

35、据库（DMBS）自身的异构，可以支持ORACLE 8I/9I/10G/11G、SQL SERVER 2000/2003/2007 SYABSE 10/11 等数据库。合众安全数据交换系统支持数据结构的异构，包括：命名冲突：即源模型中的标识符可能是目的模型中的保留字，这时就需要重新命名。格式冲突：同一种数据类型可能有不同的表示方法和语义差异，这时需要定义两种模型之间的变换函数。结构冲突：如果两种数据库系统之间的数据定义模型不同，如分别为关系模型和层次模型，那么需要重新定义实体届性和联系，以防止届性或联系信息的丢失。合众安全数据交换系统支持数据格式的异构，包括：数据类型转换：支持表名不同、表字段

36、不同、表字段类型不同、表主键不同、表外部键不同、表索引字段不同；支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构，而且能够支持不同字符集的异构。系统涵盖了数据在语法以及语义层面的转化功能。允许用户对数据字段进行常规的转换，如类型转换、对应关系转换、代码/字典转换，还提供更复杂的转换，包括：字符申加工处理、数学运算、逻辑运算、日期运算处理等。系统提供可视化的操作界面，建立转换关系、映射关系等拓扑图。提供自动映射和灵活映射两种操作方式。自动映射适合元数据结构简单的场合，系统根据元数据的字段名直接映射。灵活映射方式允许用户通过对图标的拖放操作完成。为了实现复

37、杂的业务逻辑。总之，在进行数据转换后，一方面源数据库模式中所有需要共享的信息都转换到目的数据库中，另一方面这种转换乂不能包含冗余的关联信息。3.3.3 .通过批量获取和批量装载提升数据交换效率安全数据交换系统硬件上依托服务器架构，其CPU运算处理能力和内存容量都不是普通工控机可以比拟。系统在数据获取和数据装载上全部采用批量方式，在外网交换服务器上，可以批量获取数据源的数据，如一次性抽取500条数据记录等，以提高数据获取效率。在内网交换服务器上采用批量装载技术，如一次性将500条记录压入数据库，能够大大提升数据在目标端装载的效率。批量获取和批量装载可以在原来网闸的数据交换效率上提升至少5至

38、10倍，在大容量字段（如BLOB等）数据交换甚至可以提高数十倍。正是由丁这样的技术设计，网闸作为数据传输通道，其数据传输通量能力才能得到正常的发挥，而不出现原来网闸交换时传输极快而数据获取、数据装载很慢的状态，拖累了整个数据交换的效率。总之，数据交换效率的提升是建立在安全数据交换系统更高性能的硬件环境的基础上，而且可以根据用户的实际需要，非常方便的提高安全数据交换系统的硬件配置，而不需要重新购买。3.3.4. 深度的内容检查保证数据交换安全传统的网络设备能够提供网络层的合法性检查，因为它们届丁基丁代理的黑名单防御技术，通过网络层的合法性检查防止不符合安全策略的协议、IP地址、计

39、算机端口的数据进入。但是安全隔离交换是采用白名单进行安全防御的，实质是规定那些数据可以交换。所以就必须提供内容检查功能，内容检查是保证交换安全的核心。我们知道，数据交换最大的安全问题就是所交换的数据是否干净、是否不含木马和病蠹、交换内容是否不越权等等。而内容检查机制是保证上述问题得到解决的唯一途径。可以这么说，数据交换如果没有深度的内容检查，则数据交换本身的合法性、准确性就无法得到保证。比如针对某个业务交换的身份证字段，用户需要检查它是否是合法的长度和类型，乂比如针对某个性别字段，用户需要检查它是否在合法的枚举范围（男/女）之内等等。合众安全数据交换系统了解用户每个业务的具体数据交

40、换格式，系统能够根据用户事先定义的业务规则对数据进行全面检查过滤，支持对每个业务单独设置过滤规则，过滤规则粒度细化到每个字段，包括类型、范围、长度、枚举、缺省值、特殊字段、字符编码、图像字段许可等等。除了以上的格式检查功能，合众安全数据交换系统还采用了世界领先的流杀蠹引擎，对所交换的所有数据进行杀蠹。确保进入可信网络的文件不包含木马、病蠹及Java/JavaScript/Active-X 等恶意代码。合众安全数据交换系统可对所传输的所有内容进行黑/白名单关键字过滤，进行单词及短句的智能匹配，禁止包含特定关键字的敏感信息泄漏，或只允许包含相应关键字的文件通过系统传递。合众安全数据交换系统可对传

41、输的文件进行类型检查，只允许符合安全策略的文件通过系统传递。避免传输二进制文件可能带来的病蠹和敏感信息泄露等问题。合众安全数据交换系统还具有获得专利的防SQL注入攻击功能，能够有效的对抗各种SQL注入攻击，保证用户的业务系统免受注入攻击的伤害。总之一点，合众安全数据交换系统通过丰富完善的内容检查功能保证内外网数据交换的安全。内容病毒过滤器内容过滤SQL&入过滤URL过滤内容（干净内容）AJfTkVIRUS数据库流媒体交付已过滤的内容3.3.5. 认证通道技茉保证交换通道的安全网闸在使用其代理功能将外网访问请求摆渡到内网时，存在以下的安全隐患：一是必须在网闸外网侧打开接收端口，供外网请求者使

42、用。网闸开放的端口在外网可以直接访问，非常容易招致黑客的攻击。由丁有些应用协议采用可变端口协商机制，网闸必须根据协议要求打开一系列外网端口，打开的端口越多，可能招致的攻击就越多，对网闸自身的安全和内网安全形成严重的威胁。二是网闸不是防火墙，网闸采用的是基丁交换的白名单防御技术，它的本意是定义那些数据可以进，没有定义那些数据不能进。可以这么说，对丁代理的网闸的防御能力远远弱丁防火墙，网闸一旦使用代理就是一道不设防的防线，基本上任何终端、任何数据都可以进入内网。很容易出现冒充或者伪造的终端火杂在合法终端中进入受保护的内网，给内网造成严重的破坏。为了避免上述问题的出现，所以安全数据交

43、换系统通过加强数据交换能力和适用性来限制代理业务的使用。为了进一步保证内外网之间交换通道的安全，安全数据交换系统还在底层消息队列中引入了认证通道技术，认证通道在外网交换服务器、网闸和内网交换服务器之间建立。在通道建立前，外网交换服务器和内网交换服务器通过各自的硬件设备证书双向进行身份认证。认证通过后，内外网交换服务器之间就建立了通信的会话密钥。所有通信内容都可以采用经国家密码管理局批准的SCB2密码算法（现巳命名为SM1B法）进行加密并加上完整性标记，该机密算法的最高加解密速度可达14Gbps。认证通道技术是保护内外网数据交换通道安全的一个重要的机制，它的思想是对内外网交换服务器身份

44、进行认证，通过认证的服务器被认为是合法的，否则被认为是非法的，只有合法的服务器才能使用内外网交换通道进行时数据交换。、运运运运运运运、一、一运运、运运运运运运、运运运运运运运、运运运运3.3.6. 内容审计技术保证交换行为可追溯数据交换安全性的一个重要的标志是抗抵赖性。上文我们分析到网闸交换缺乏必要的内容审计，是网闸安全性上一个非常明显的缺陷。内闸缺少内容审计的主要原因是由丁网闸的存储能力不够，无法存放全部审计日志。安全数据交换系统相比网闸拥有更大的存储空间，并且可以非常方便的进行升级，所以安全数据交换系统提供对整个数据交换行为的完整审计，包括数据来交、交换发生时间、数据交

45、换的目标、数据交换的内容、是否得到了授权、是否遵守交换规则、交换行为是否成功、不成功进行了几次尝试、交换结束时间等等。例如在数据库交换时，对交换的记录做内容审计。这样用户就可以查询在某某时间段那些数据库的那些表插入、更新或者删除了多少条。在文件交换时，系统支持对文件交换流量、源目标地址、交换时间、交换文件夹或文件名的审计。安全数据交换系统针对海量的审计记录，提供主键追踪功能，即根据某条记录的主键或者某个文件的文件名追踪它从新增到每次修改，以致删除的所有审计记录。安全数据交换系统还提供变更查询功能，即可以查询某条记录或者某个文件变更前后的数据变化。3.3.7, 白主服务容错技术支持数据交换

46、集群数据交换集群在实现关键业务的内外网数据交换中非常必要的，因为任何设备都有可能出现故障，数据交换的集群即实现了多套数据交换系统之间的容错，也能在单套数据交换系统通量不够的情况下实现负载均衡。网闸不能真正支持负载均衡，绝大多数网闸的所谓集群功能其实就是容错功能，也就是在两台或多台网闸之间通过心跳线连接HA 口，如果一台网闸故障后备用网闸就自动替代工作。要真正实现负载均衡，也就是客户端可以将访问请求根据设备的负载权重分发到不同的设备，则最起码需要一个负载均衡仲裁器，才能决定不同设备的负载权重。传统客户机/服务器应用中，请求总是由客户端发起，请求被发送到负载均衡器上。负载均衡器在收到这

47、一请求后，根据它所维护的各个服务的状态，决定将请求转发到一个正常工作的服务中，服务在完成所请求的工作后，把响应发送给客户端。但是这个方式显然并不适合数据交换应用，数据交换应用是典型的自主服务式应用，在数据交换系统中，数据交换服务从数据源中读取数据增量，而把这些增量数据复制到目标端。这其中数据交换系统可能有多个，但源数据只有一个，有负载均衡器根据数据交换系统的历史负载绝对将源数据交给那个数据交换系统。所以说，客户机/服务器应用是一个客户端对多个服务，由负载均衡器决定这个客户端访问那个服务。而数据交换应用是多个服务对一个客户端，由负载均衡器决定那个服务有权访问这个客户端。客户机/服务器负载均衡数据交换系统负载均衡合众安全数据交换系统通过专门研发的负载均衡器LBS-3000真正支持数据交换的负载均衡，负载均衡器LBS-3000内置数据交换仲裁器，能够

展开阅读全文