中標軟件有限公司
全國客服電話:400-089-1870
上海總部
電話:021-51098866
上海市番禺路1028號數娛大廈10層
北京分公司
電話:010-51659955
北京市北四環西路9號銀谷大廈20層
產品綜述
產品綜述
應用場景
案例列表
隨著電子政務信息化的深入開展,電子政務應用的資源整合、數據共享及政務服務需求日益強烈,電子政務系統也需要獲取互聯網上的大量數據用于自身的信息化服務,需要采用安全的數據傳輸方式獲取完整、及時、準確的數據。同時,電子政務外網也將面臨來自其他網絡的攻擊、入侵、病毒、木馬、探頭等各種類型的安全威脅,存在很大的安全風險。確保自身正常開展業務信息共享的同時,又保證整體電子政務外網及關鍵業務數據的安全,成為當前急需解決的問題。
圍繞電子政務外網與互聯網網絡安全接入和“互聯網+惠民服務”的業務發展要求,麒麟軟件有限公司研發中標麒麟可視化隔離交換一體機可提供安全、可靠、易用的可視化單向安全接入能力以滿足電子政務應用服務發展的要求。
中標麒麟可視化隔離交換一體機集成于一體化設計,全國產軟硬件構建,內部核心默認集成安全數據交換、安全請求服務等核心組件,通過光單向傳輸技術滿足物理隔離、防隱私數據夾帶及傳輸數原始化的要求,滿足跨網隔離的合規性要求,能夠解決大規模、超頻次的數據交換業務需求,同時2U/4U機柜空間即可滿足跨網、跨域接入的安全隔離及數據交換服務需求,同比同類方案功耗更低,綠色環保。
中標麒麟可視化隔離交換一體機的核心技術主要體現在可視化、單向隔離、安全數據交換三個方面:
可視化技術:信息專網或內網一直采用單向光閘產品作為接入平臺的關鍵單向傳輸設備,但始終無法解決的是對新病毒的清除及有效隔離,無法有效避免隱私數據的夾帶,雖然單向光閘在測評標準中有嚴格的要求,比如文件落地、防病毒、防隱私數據夾帶,多因為考慮性能原因和應用支持問題,安全功能基本形同虛設。采用傳統的技術手段要實現較好性能及更高的安全性,顯然需要對實現的技術進一步創新才能解決面臨的安全與性能平衡發展的問題。為了解決這一難題,我們提出了一種與傳統的單向光閘系統截然不同的數據處理及傳輸技術,通過模擬人操作屏幕進行可視信息審核的模式,設立虛擬顯示緩沖區,將待交換數據的可視信息進行截屏處理,只提取顯示部分的信息。獲取數據的可視信息后,僅將截圖信息作為載體進行單向傳輸。這一方式區別于簡單的將整個或部分數據信息通過數據包的方式進行傳輸的機制,既能保障信息完整,同時還避免了非法信息夾帶。
單向隔離:設備采用超融合技術,在一體機中內置兩個獨立的計算單元,計算單元之間的連接采用可驗證的單向光纖卡進行數據的單向傳輸,以確保設備兩端的單向隔離特性,確保網絡間通過設備實現單向連接,以滿足網絡物理隔離的要求。
安全數據交換: 產品還默認提供安全數據交換模塊,安全數據交換模塊包括導入前置和導入后置系統。導入前置系統用于實現對應用的無縫接入,對請求數據的格式化處理并實現與單向傳輸鏈路對接。導入后置系統主要完成接收格式化后的請求數據并轉換為請求服務發送給應用系統。支持基于WEBSERVICE的SOAP、REST兩種方式。
除以上核心技術外,產品還支持可信計算技術,并行處理技術、可提供對核心應用及資源的防篡改、可信度量及應用白名單。產品基于國產安全操作系統進行架構,同時支持高可用技術,實現鏈路的容災備份。獨立開發的單向傳輸協議及傳輸服務,避免產品實際使用時脫離安全管控要求等。
中標麒麟可視化隔離交換一體機網絡數據流向圖:
安全隔離交換一體機圍繞跨網、跨域數據傳輸的業務場景需求開展設計,重點解決在跨網、跨域數據傳輸中實現對接入應用、傳輸過程、傳輸鏈路及傳輸數據實現安全、可管理、可識別、防夾帶、防病毒等控制能力,產品通過應用可視化技術、軟硬一體的耦合設計及橫向可擴展性,提供更高性能、低延時的網絡安全接入能力。
快(傳輸速度提高):
(1)文件到達通知進行文件擺渡,響應速度快
(2)可視化文件擺渡,無需啟動殺毒軟件
(3)多線程處理技術實現高并發
(4)NFS服務替代FTP服務,提高性能
防(多層安全防護):
(1)事前審批:可信接口、業務服務注冊,文件內容格式檢查
(2)事中審查:可視化傳輸防數據、病毒夾帶,數據以轉換成圖像的形式(原數據不出網絡)通過光閘從網絡的一端傳送到另一端,再將數據還原。
(3)事后審計:數據備份審計系統對數據進行備份和后續審計
易(統一管理,高效運維):
(1)WebService業務應用接入簡單,無需修改應用和增加接口
(2)多系統集成部署,運維管理方便
簡(操作過程簡單):
(1)2U4節點超融合一體機,占用空間小
(2)只需要串行接入即可,部署簡單
穩(可持續服務):
(1)自服務修復:產品設置服務探針,針對系統核心服務健康狀態進行探測,發現異常后在不影響業務服務的情況下,自動恢復核心組件的錯誤狀態,確保產品持續穩定運行。
(2)高可靠設計:產品提供基于狀態文件的心跳探測與容錯技術,當一路隔離鏈路出現故障時,可自動切換到備份隔離鏈路,以實現安全隔離交換鏈路的高可靠容錯能力。
技術應用場景
應用場景一:文件擺渡服務接入
產品支持網絡單向隔離場景下的高并發、準實時的文件擺渡服務。低延時方面與傳統光閘基于輪詢的方式相比,通過采用文件達到通知接口極大的縮短了文件擺渡的延時周期,也確保了大文件的數據一致性;數據安全方面通過采用可視化技術,可以實現隱私數據的防夾帶及防病毒功能;便捷的設備接入方式,擺渡文件的發送端與接收端與設備通過網絡連接,一體機設備默認提供了FTP、Samba、NFS 等文件傳輸服務,文件傳輸過程中提供基于 MD5 校驗確保文件傳輸完整性和一致性。
設備采用一體化設計,在進行跨網單向隔離接入實現文件擺渡時,發送端與一體機的TCN端通過網絡連接,只需要通過一體機默認提供的文件傳輸服務(如NFS服務)進行文件傳輸,發送端需要安裝NFS客戶端或者采用系統默認的NFS Client工具掛裝一體機共享目錄,實現文件的發送;同時接收端與RSW端通過網絡連接,一體機可以通過系統自帶的NFS Client工具掛裝接收端共享的NFS目錄,并將獲取的傳輸文件保存到接收端共享的NFS目錄中,完成跨網單向隔離的文件擺渡服務 。
應用場景二:基于WebService業務應用無需二次開發,無縫實現單向接入
支持兩種WebService請求安全接入方式。默認提供類似API網關接入支持,業務應用請求需要按照REST規范進行API接口調用的開發,規范外部接口調用,并實現數據訪問的嚴格管控及安全訪問。另一種是針對原有應用已經部署的場景下,客戶應用無需進行二次開發即可實現跨網的安全隔離及應用請求的無縫接入。
API網關的WebService請求接入,可以確保網絡的單向隔離特性的同時,對應用調用的API接口及數據進行嚴格管控,業務應用請求需要基于REST規范進行API接口的定制開發。業務應用請求端發送WebService請求到設備,經過設備內置的API網關模塊對調用接口進行處理,將WebService請求通過單向傳輸到接收端,通過內置的服務引擎將請求發送到接收端的業務系統。返回的請求數據采用相同的機制,通過單獨的反向單向傳輸鏈路返回給發送端,完成WebService請求的接口調用處理。
WebService請求的無縫接入方式主要針對已有業務應用無需進行二次開發即可實現業務應用的無縫接入的場景。內置的WebService請求卸載引擎,將請求端發送的WebService請求格式化并落地為文件(XML/JSON)單向傳輸到接收端,通過內置的服務引擎將XML/JSON文件還原為請求數據發送到接收端的業務系統。返回的請求數據采用相同的機制,通過單獨的反向單向傳輸鏈路返回給發送端,完整WebService請求的處理。在系統部署過程中僅需要配置發送端的IP地址和端口指向,無需對發送端的業務應用進行二次開發,即可實現WebService請求的無縫接入。WebService請求的無縫接入方式支持基于SOAP、REST兩種方式,同時支持附件分離功能。
提供應用注冊服務以實現對業務應用的接入準入,同時針對請求數據進行格式檢查,以確保出入網數據可根據預先定義的規則進行格式檢查,以確保業務傳輸數據的合規性。針對異常數據將采用自動拋棄、自動終止該數據傳輸或者預警方式等異常數據傳輸的處理。
應用場景三:數據庫單向(推送)服務接入
實現數據的單向導入服務,支持Oracle、Mysql、SQLServer等主流數據庫交換服務。也可支持達夢、神州通用等國產數據庫產品。數據庫單向同步模塊可支持數據表、數據庫的增量、差量的數據同步。
數據庫單向同步需要在源數據端設置觸發器,當源數據端的數據庫發生數據變化時,觸發器自動捕獲數據庫操作,并觸發數據庫數據同步機制,內置了數據庫同步代理服務,通過單向鏈路發送同步數據,目的數據端的同步代理服務接收到同步數據后進行數據完整性校驗,確保數據無誤后發送到接收端,并完成同步數據的數據庫更新。數據庫單向同步服務只需要源數據端配置所需的觸發器,利用內置的數據庫同步代理服務即可實現源端數據庫到目的端數據庫的準實時數據同步服務。
應用場景四:特定網絡服務接入
可支持基于Socket的長連接服務,并可設定指定的網絡接入服務,非設定的網絡服務無效。
業務應用場景
應用場景一:互聯網與電子政務外網/專網的接入
應用場景二:業務專網延伸的邊界接入
螞蟻金服接入服務項目
政務服務中心自助服務設備隔離接入解決方案
能源領域跨網隔離接入解決方案
面向交管平臺的邊界接入平臺解決方案
公共安全領域跨網隔離接入解決方案
KAFKA集群數據跨網安全交換解決方案
