中标软件有限公司
全国客服电话:400-089-1870
上海总部
电话:021-51098866
上海市番禺路1028号数娱大厦10层
北京分公司
电话:010-51659955
北京市北四环西路9号银谷大厦20层
产品综述
产品综述
应用场景
案例列表
随着电子政务信息化的深入开展,电子政务应用的资源整合、数据共享及政务服务需求日益强烈,电子政务系统也需要获取互联网上的大量数据用于自身的信息化服务,需要采用安全的数据传输方式获取完整、及时、准确的数据。同时,电子政务外网也将面临来自其他网络的攻击、入侵、病毒、木马、探头等各种类型的安全威胁,存在很大的安全风险。确保自身正常开展业务信息共享的同时,又保证整体电子政务外网及关键业务数据的安全,成为当前急需解决的问题。
围绕电子政务外网与互联网网络安全接入和“互联网+惠民服务”的业务发展要求,麒麟软件有限公司研发中标麒麟可视化隔离交换一体机可提供安全、可靠、易用的可视化单向安全接入能力以满足电子政务应用服务发展的要求。
中标麒麟可视化隔离交换一体机集成于一体化设计,全国产软硬件构建,内部核心默认集成安全数据交换、安全请求服务等核心组件,通过光单向传输技术满足物理隔离、防隐私数据夹带及传输数原始化的要求,满足跨网隔离的合规性要求,能够解决大规模、超频次的数据交换业务需求,同时2U/4U机柜空间即可满足跨网、跨域接入的安全隔离及数据交换服务需求,同比同类方案功耗更低,绿色环保。
中标麒麟可视化隔离交换一体机的核心技术主要体现在可视化、单向隔离、安全数据交换三个方面:
可视化技术:信息专网或内网一直采用单向光闸产品作为接入平台的关键单向传输设备,但始终无法解决的是对新病毒的清除及有效隔离,无法有效避免隐私数据的夹带,虽然单向光闸在测评标准中有严格的要求,比如文件落地、防病毒、防隐私数据夹带,多因为考虑性能原因和应用支持问题,安全功能基本形同虚设。采用传统的技术手段要实现较好性能及更高的安全性,显然需要对实现的技术进一步创新才能解决面临的安全与性能平衡发展的问题。为了解决这一难题,我们提出了一种与传统的单向光闸系统截然不同的数据处理及传输技术,通过模拟人操作屏幕进行可视信息审核的模式,设立虚拟显示缓冲区,将待交换数据的可视信息进行截屏处理,只提取显示部分的信息。获取数据的可视信息后,仅将截图信息作为载体进行单向传输。这一方式区别于简单的将整个或部分数据信息通过数据包的方式进行传输的机制,既能保障信息完整,同时还避免了非法信息夹带。
单向隔离:设备采用超融合技术,在一体机中内置两个独立的计算单元,计算单元之间的连接采用可验证的单向光纤卡进行数据的单向传输,以确保设备两端的单向隔离特性,确保网络间通过设备实现单向连接,以满足网络物理隔离的要求。
安全数据交换: 产品还默认提供安全数据交换模块,安全数据交换模块包括导入前置和导入后置系统。导入前置系统用于实现对应用的无缝接入,对请求数据的格式化处理并实现与单向传输链路对接。导入后置系统主要完成接收格式化后的请求数据并转换为请求服务发送给应用系统。支持基于WEBSERVICE的SOAP、REST两种方式。
除以上核心技术外,产品还支持可信计算技术,并行处理技术、可提供对核心应用及资源的防篡改、可信度量及应用白名单。产品基于国产安全操作系统进行架构,同时支持高可用技术,实现链路的容灾备份。独立开发的单向传输协议及传输服务,避免产品实际使用时脱离安全管控要求等。
中标麒麟可视化隔离交换一体机网络数据流向图:
安全隔离交换一体机围绕跨网、跨域数据传输的业务场景需求开展设计,重点解决在跨网、跨域数据传输中实现对接入应用、传输过程、传输链路及传输数据实现安全、可管理、可识别、防夹带、防病毒等控制能力,产品通过应用可视化技术、软硬一体的耦合设计及横向可扩展性,提供更高性能、低延时的网络安全接入能力。
快(传输速度提高):
(1)文件到达通知进行文件摆渡,响应速度快
(2)可视化文件摆渡,无需启动杀毒软件
(3)多线程处理技术实现高并发
(4)NFS服务替代FTP服务,提高性能
防(多层安全防护):
(1)事前审批:可信接口、业务服务注册,文件内容格式检查
(2)事中审查:可视化传输防数据、病毒夹带,数据以转换成图像的形式(原数据不出网络)通过光闸从网络的一端传送到另一端,再将数据还原。
(3)事后审计:数据备份审计系统对数据进行备份和后续审计
易(统一管理,高效运维):
(1)WebService业务应用接入简单,无需修改应用和增加接口
(2)多系统集成部署,运维管理方便
简(操作过程简单):
(1)2U4节点超融合一体机,占用空间小
(2)只需要串行接入即可,部署简单
稳(可持续服务):
(1)自服务修复:产品设置服务探针,针对系统核心服务健康状态进行探测,发现异常后在不影响业务服务的情况下,自动恢复核心组件的错误状态,确保产品持续稳定运行。
(2)高可靠设计:产品提供基于状态文件的心跳探测与容错技术,当一路隔离链路出现故障时,可自动切换到备份隔离链路,以实现安全隔离交换链路的高可靠容错能力。
技术应用场景
应用场景一:文件摆渡服务接入
产品支持网络单向隔离场景下的高并发、准实时的文件摆渡服务。低延时方面与传统光闸基于轮询的方式相比,通过采用文件达到通知接口极大的缩短了文件摆渡的延时周期,也确保了大文件的数据一致性;数据安全方面通过采用可视化技术,可以实现隐私数据的防夹带及防病毒功能;便捷的设备接入方式,摆渡文件的发送端与接收端与设备通过网络连接,一体机设备默认提供了FTP、Samba、NFS 等文件传输服务,文件传输过程中提供基于 MD5 校验确保文件传输完整性和一致性。
设备采用一体化设计,在进行跨网单向隔离接入实现文件摆渡时,发送端与一体机的TCN端通过网络连接,只需要通过一体机默认提供的文件传输服务(如NFS服务)进行文件传输,发送端需要安装NFS客户端或者采用系统默认的NFS Client工具挂装一体机共享目录,实现文件的发送;同时接收端与RSW端通过网络连接,一体机可以通过系统自带的NFS Client工具挂装接收端共享的NFS目录,并将获取的传输文件保存到接收端共享的NFS目录中,完成跨网单向隔离的文件摆渡服务 。
应用场景二:基于WebService业务应用无需二次开发,无缝实现单向接入
支持两种WebService请求安全接入方式。默认提供类似API网关接入支持,业务应用请求需要按照REST规范进行API接口调用的开发,规范外部接口调用,并实现数据访问的严格管控及安全访问。另一种是针对原有应用已经部署的场景下,客户应用无需进行二次开发即可实现跨网的安全隔离及应用请求的无缝接入。
API网关的WebService请求接入,可以确保网络的单向隔离特性的同时,对应用调用的API接口及数据进行严格管控,业务应用请求需要基于REST规范进行API接口的定制开发。业务应用请求端发送WebService请求到设备,经过设备内置的API网关模块对调用接口进行处理,将WebService请求通过单向传输到接收端,通过内置的服务引擎将请求发送到接收端的业务系统。返回的请求数据采用相同的机制,通过单独的反向单向传输链路返回给发送端,完成WebService请求的接口调用处理。
WebService请求的无缝接入方式主要针对已有业务应用无需进行二次开发即可实现业务应用的无缝接入的场景。内置的WebService请求卸载引擎,将请求端发送的WebService请求格式化并落地为文件(XML/JSON)单向传输到接收端,通过内置的服务引擎将XML/JSON文件还原为请求数据发送到接收端的业务系统。返回的请求数据采用相同的机制,通过单独的反向单向传输链路返回给发送端,完整WebService请求的处理。在系统部署过程中仅需要配置发送端的IP地址和端口指向,无需对发送端的业务应用进行二次开发,即可实现WebService请求的无缝接入。WebService请求的无缝接入方式支持基于SOAP、REST两种方式,同时支持附件分离功能。
提供应用注册服务以实现对业务应用的接入准入,同时针对请求数据进行格式检查,以确保出入网数据可根据预先定义的规则进行格式检查,以确保业务传输数据的合规性。针对异常数据将采用自动抛弃、自动终止该数据传输或者预警方式等异常数据传输的处理。
应用场景三:数据库单向(推送)服务接入
实现数据的单向导入服务,支持Oracle、Mysql、SQLServer等主流数据库交换服务。也可支持达梦、神州通用等国产数据库产品。数据库单向同步模块可支持数据表、数据库的增量、差量的数据同步。
数据库单向同步需要在源数据端设置触发器,当源数据端的数据库发生数据变化时,触发器自动捕获数据库操作,并触发数据库数据同步机制,内置了数据库同步代理服务,通过单向链路发送同步数据,目的数据端的同步代理服务接收到同步数据后进行数据完整性校验,确保数据无误后发送到接收端,并完成同步数据的数据库更新。数据库单向同步服务只需要源数据端配置所需的触发器,利用内置的数据库同步代理服务即可实现源端数据库到目的端数据库的准实时数据同步服务。
应用场景四:特定网络服务接入
可支持基于Socket的长连接服务,并可设定指定的网络接入服务,非设定的网络服务无效。
业务应用场景
应用场景一:互联网与电子政务外网/专网的接入
应用场景二:业务专网延伸的边界接入
蚂蚁金服接入服务项目
政务服务中心自助服务设备隔离接入解决方案
能源领域跨网隔离接入解决方案
面向交管平台的边界接入平台解决方案
公共安全领域跨网隔离接入解决方案
KAFKA集群数据跨网安全交换解决方案