必威电竞|足球世界杯竞猜平台

安全隔離網(wǎng)閘產(chǎn)品具有不錯(cuò)的業(yè)務(wù)性能和高安全性，能滿足一些場(chǎng)景的數(shù)據(jù)交換需求。數(shù)據(jù)交換系統(tǒng)不僅需要高安全性，還需要滿足高穩(wěn)定性、高性能而全面的業(yè)務(wù)支持能力。

基本介紹

一、什么是數(shù)據(jù)交換系統(tǒng)？

數(shù)據(jù)交換系統(tǒng)，英文簡(jiǎn)稱DTP，是部署于不同安全級(jí)別網(wǎng)絡(luò)/安全域之間，專門用于業(yè)務(wù)數(shù)據(jù)檢查，存取控制及分發(fā)的軟硬件系統(tǒng)。

數(shù)據(jù)交換系統(tǒng)由兩臺(tái)獨(dú)立主機(jī)組成：TAS（數(shù)據(jù)交換系統(tǒng)信任端）、UAS（數(shù)據(jù)交換系統(tǒng)非信任端）。

適用于政府、金融、大型企業(yè)等需要大批量數(shù)據(jù)高效率、高安全、高可靠傳輸?shù)木W(wǎng)絡(luò)應(yīng)用環(huán)境。

二、數(shù)據(jù)交換系統(tǒng)的產(chǎn)生

實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)交換的產(chǎn)品，典型的有兩類：ETL產(chǎn)品、安全隔離網(wǎng)閘。

ETL產(chǎn)品：Extraction-Transformation-Loading，即負(fù)責(zé)將分布的、異構(gòu)數(shù)據(jù)源中的數(shù)據(jù)如關(guān)系數(shù)據(jù)、平面數(shù)據(jù)文件等抽取到臨時(shí)中間層后進(jìn)行清洗、轉(zhuǎn)換、集成，最后加載到數(shù)據(jù)倉(cāng)庫(kù)或數(shù)據(jù)集市中，成為聯(lián)機(jī)分析處理、數(shù)據(jù)挖掘的基礎(chǔ)。

利用ETL技術(shù)來(lái)實(shí)現(xiàn)不用應(yīng)用系統(tǒng)、不同數(shù)據(jù)系統(tǒng)之間進(jìn)行數(shù)據(jù)交換的解決方案很多，如IBM公司的DataStage，Informatica公司的PowerCenter就是其中典型的代表。

ETL產(chǎn)品具有強(qiáng)大的數(shù)據(jù)交換業(yè)務(wù)處理能力，但不足之處在于，其沒(méi)有安全處理能力，一般需要借助第三方安全產(chǎn)品，成本上，極大提升。

安全隔離網(wǎng)閘：也簡(jiǎn)稱“網(wǎng)閘”。網(wǎng)閘最早出現(xiàn)在美國(guó)、以色列、俄羅斯等國(guó)家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。俄羅斯的Ry Jones，以色列的Buky Carmeli，Elad Baron，Daniel Steiner等人都是該領(lǐng)域的先驅(qū)。隨著電子政務(wù)的發(fā)展，我國(guó)也逐漸有了這種需求，2000年，天行網(wǎng)安公司發(fā)明了國(guó)內(nèi)的第一臺(tái)網(wǎng)閘（Topwalk-GAP）。

安全隔離網(wǎng)閘一般采用雙主機(jī)架構(gòu)和專用隔離硬件切斷TCP/IP協(xié)議通信，形成網(wǎng)絡(luò)間數(shù)據(jù)隔離，以保證數(shù)據(jù)傳輸?shù)母甙踩浴?/p>

在業(yè)務(wù)支持上，以安全隔離技術(shù)為基礎(chǔ)，提供各類應(yīng)用模塊，適應(yīng)不同的業(yè)務(wù)應(yīng)用，如數(shù)據(jù)庫(kù)模塊、文件模塊、消息模塊、郵件模塊和瀏覽模塊等來(lái)滿足具有時(shí)效性的數(shù)據(jù)交換需求。

除了國(guó)內(nèi)網(wǎng)閘的領(lǐng)導(dǎo)者天行網(wǎng)安，還有網(wǎng)御星云、國(guó)保金泰、網(wǎng)御神州、金電網(wǎng)安等廠家。

安全隔離網(wǎng)閘產(chǎn)品具有不錯(cuò)的業(yè)務(wù)性能和高安全性，能滿足一些場(chǎng)景的數(shù)據(jù)交換需求。

但隨著電子政務(wù)的深入發(fā)展，業(yè)務(wù)需求的復(fù)雜和數(shù)據(jù)量的高并發(fā)等情形日益彰顯，單獨(dú)使用安全隔離網(wǎng)閘的穩(wěn)定性、效率和性能等不足逐漸顯露。

為了滿足對(duì)業(yè)務(wù)性能方面的高穩(wěn)定性、高效率，以及安全方面的高安全的綜合需求，數(shù)據(jù)交換系統(tǒng)應(yīng)運(yùn)而生。

三、功能特性

數(shù)據(jù)交換系統(tǒng)用于不同安全級(jí)別的網(wǎng)絡(luò)之間進(jìn)行安全采集、傳輸數(shù)據(jù)問(wèn)題，并提供可審計(jì)、過(guò)程可視化、內(nèi)容級(jí)安全過(guò)濾檢查等功能保證數(shù)據(jù)交換安全性，同時(shí)提供多種數(shù)據(jù)庫(kù)、文件的采集和交換，滿足多種應(yīng)用場(chǎng)景需求的一套成熟的解決方案。

1、安全功能：

A. 安全數(shù)據(jù)采集

以從低安全網(wǎng)絡(luò)/域（簡(jiǎn)稱之為“外網(wǎng)”）向高安全網(wǎng)絡(luò)/域（簡(jiǎn)稱之為“內(nèi)網(wǎng)”）為例，數(shù)據(jù)采集的方式，常見(jiàn)的C/S架構(gòu)中，一般都在Server端開(kāi)放固定的端口，然后由Client端主動(dòng)推送數(shù)據(jù)，以達(dá)到數(shù)據(jù)采集的目的。

但在安全上，開(kāi)放端口，就意味著被攻擊、被入侵，木馬、病毒感染等危害，故我們一般認(rèn)為，一個(gè)系統(tǒng)上，開(kāi)放的端口數(shù)量和它的安全性是成反比的。

為保證安全性，數(shù)據(jù)交換系統(tǒng)一般采用主動(dòng)方式獲取數(shù)據(jù)，即以Client端的身份主動(dòng)向相應(yīng)的服務(wù)器獲取數(shù)據(jù)，這樣避免開(kāi)放固定端口，安全性得到了保證。

B. 安全的數(shù)據(jù)傳輸

為保證數(shù)據(jù)交換系統(tǒng)UAS和TAS之間數(shù)據(jù)交換的保密性，一般通過(guò)兩類方式，一種是UAS和TAS之間使用私有協(xié)議傳輸數(shù)據(jù)，由于私有協(xié)議不對(duì)外公布，只是內(nèi)部使用，其安全性能得到保證。

另外，使用對(duì)稱加密算法，如DES、3DES、AES等加密算法對(duì)數(shù)據(jù)加密傳輸，即使數(shù)據(jù)被竊取，也沒(méi)有可讀性，保證安全性。但加密會(huì)較大影響速度，增加延遲，故適應(yīng)交換數(shù)據(jù)量適中、延遲敏感性不太強(qiáng)的場(chǎng)景。

C. 細(xì)粒度的安全檢查

為保證內(nèi)網(wǎng)安全，對(duì)傳輸至內(nèi)網(wǎng)的數(shù)據(jù)要進(jìn)行細(xì)粒度的安全檢查，常見(jiàn)的有數(shù)據(jù)落地病毒查殺，細(xì)粒度的內(nèi)容過(guò)濾、安全格式檢查等，保證應(yīng)用數(shù)據(jù)傳輸?shù)陌踩浴?/p>

這樣保證了僅傳輸規(guī)定的數(shù)據(jù)類型、數(shù)據(jù)格式，并保證傳輸?shù)臄?shù)據(jù)的安全性。如果內(nèi)部串聯(lián)安全隔離網(wǎng)閘，將剝離所有的通訊協(xié)議，使得攻擊、木馬等失去是生存的空間，安全性得到極大的提升。

D. 細(xì)粒度的審計(jì)管理能力

安全產(chǎn)品一般都提供一定的審計(jì)功能，數(shù)據(jù)交換系統(tǒng)也不例外，系統(tǒng)提供詳細(xì)的深度日志審計(jì)功能，細(xì)粒度到行級(jí)日志的記錄，嚴(yán)密把關(guān)對(duì)數(shù)據(jù)庫(kù)的操作，深度發(fā)掘誤操作或SQL注入等應(yīng)用安全威脅。

一般還可提供完善的業(yè)務(wù)統(tǒng)計(jì)能力及報(bào)表展現(xiàn)功能，不同廠家的側(cè)重點(diǎn)不一。但功能一般都具有。

2、業(yè)務(wù)功能

數(shù)據(jù)交換系統(tǒng)不僅需要高安全性，還需要滿足高穩(wěn)定性、高性能而全面的業(yè)務(wù)支持能力。

a) 高性能、高穩(wěn)定性

數(shù)據(jù)交換系統(tǒng)為適應(yīng)高性能、高穩(wěn)定性的數(shù)據(jù)支持，除了在硬件上采用64位技術(shù)，多核CPU等支持，在操作系統(tǒng)上進(jìn)行精簡(jiǎn)優(yōu)化，經(jīng)一步提升效率，在軟件層面上采用帶寬管理、內(nèi)存管理、任務(wù)優(yōu)先級(jí)等技術(shù)提升數(shù)據(jù)交換系統(tǒng)效率和性能。

據(jù)統(tǒng)計(jì)，數(shù)據(jù)交換系統(tǒng)在最典型的數(shù)據(jù)庫(kù)數(shù)據(jù)交換上，能達(dá)到2000條/秒的級(jí)別，為使用純安全隔離網(wǎng)閘的20倍以上，文件交換也能是純安全網(wǎng)閘的兩倍以上，業(yè)務(wù)性能上大幅提升，穩(wěn)定性也得到了保障。

b) 全面的業(yè)務(wù)支持能力

業(yè)務(wù)場(chǎng)景的日益復(fù)雜化，要求數(shù)據(jù)交換系統(tǒng)需要有完善的業(yè)務(wù)支持能力，一般要求對(duì)主流的操作系統(tǒng)（Unix、IBM AIX、Linux、Windows）下的主流的文件服務(wù)器（FTP、Samba等）和數(shù)據(jù)庫(kù)服務(wù)器（Oracle數(shù)據(jù)庫(kù)、SQL Server、DB2、Sybase、Mysql等）。

一般還具有主流協(xié)議的代理功能，如TCP、斷點(diǎn)續(xù)傳、TNS、UDP、SOCKS等協(xié)議的授權(quán)代理功能。

四、典型應(yīng)用

最為典型的使用方案是如下圖：

即：在TAS與UAS之間可部署安全隔離網(wǎng)閘實(shí)現(xiàn)隔離。利用數(shù)據(jù)交換系統(tǒng)的格式檢測(cè)、內(nèi)容過(guò)濾、病毒查殺等安全特性及高效率、高穩(wěn)定性而全面的業(yè)務(wù)支持能力。

Topwalk-DTP是北京天行網(wǎng)安公司2007年研發(fā)的數(shù)據(jù)交換系統(tǒng)產(chǎn)品，它是國(guó)內(nèi)應(yīng)用最廣、部署量最大的數(shù)據(jù)交換產(chǎn)品之一，是國(guó)內(nèi)第一款將不同數(shù)據(jù)格式交換與轉(zhuǎn)換同步實(shí)現(xiàn)的數(shù)據(jù)交換產(chǎn)品；國(guó)內(nèi)第一款任務(wù)級(jí)負(fù)載均衡數(shù)據(jù)交換產(chǎn)品。

此產(chǎn)品由天行網(wǎng)安公司完全自主知識(shí)產(chǎn)權(quán)設(shè)計(jì)開(kāi)發(fā)，使用專用硬件平臺(tái)，繼承了天行網(wǎng)安公司研發(fā)團(tuán)隊(duì)十多年的安全數(shù)據(jù)交換領(lǐng)域多項(xiàng)技術(shù)成果，同類產(chǎn)品中交換性能居國(guó)內(nèi)第一。

參考資料 >