合众安全数据交换系统白皮书40

1、合众安全数据交换系统白皮书Version 4.0杭州合众信息工程有限公司2009年10月内容目录 TOC o 1-5 h z HYPERLINK l bookmark39 o Current Document 背景3 HYPERLINK l bookmark43 o Current Document 需求分析4 HYPERLINK l bookmark47 o Current Document 安全威胁4 HYPERLINK l bookmark58 o Current Document 传统防御技术及其缺点5 HYPERLINK l bookmark61 o Current Document

2、 防火墙防御技术5 HYPERLINK l bookmark64 o Current Document 防火墙防御技术的缺点6 HYPERLINK l bookmark68 o Current Document 网闸防御技术6 HYPERLINK l bookmark72 o Current Document 网闸防御技术的缺点7 HYPERLINK l bookmark87 o Current Document 应对方法11 HYPERLINK l bookmark96 o Current Document 产品概述12 HYPERLINK l bookmark100 o Current D

3、ocument 产品简介12 HYPERLINK l bookmark104 o Current Document 产品原理13 HYPERLINK l bookmark111 o Current Document 产品优势14 HYPERLINK l bookmark115 o Current Document 采用消息队列保证交换的可靠性和稳定性14 HYPERLINK l bookmark119 o Current Document 内置数据转换工具支持数据异构性15 HYPERLINK l bookmark123 o Current Document 通过批量获取和批量装载提升数据交换

4、效率17 HYPERLINK l bookmark127 o Current Document 深度的内容检查保证数据交换安全17 HYPERLINK l bookmark131 o Current Document 认证通道技术保证交换通道的安全18 HYPERLINK l bookmark135 o Current Document 内容审计技术保证交换行为可追溯19 HYPERLINK l bookmark139 o Current Document 自主服务容错技术支持数据交换集群20产品特点22安全性22 HYPERLINK l bookmark149 o Current Docum

5、ent 可靠性22 HYPERLINK l bookmark153 o Current Document 兼容性23 HYPERLINK l bookmark157 o Current Document 高性能24 HYPERLINK l bookmark161 o Current Document 可管理性24 HYPERLINK l bookmark165 o Current Document 高性价比24 HYPERLINK l bookmark169 o Current Document 产品型号及指标25 HYPERLINK l bookmark173 o Current Docum

6、ent 产品资质25背景为保护重要内部系统的安全，目前国内各个政府单位和大型企事业单位都采 用物理隔离的方式人为隔离外网和单位内网，这种情况符合2000年1月颁布的 计算机信息系统国际互联网保密管理规定和2002年第17号文件国家信息 化领导小组关于我国电子政务建设指导意见的要求，保证了国家机关的计算机 信息系统与国际互联网或其他公共信息网络之间的物理隔离。但是随着中国政府向着服务性政府的方向转化，各级政府机关和大型企事业 单位都需要依托信息化手段向外采集更多的信息，对外提供更多的信息服务。向 社会企事业单位和民众采集更多信息非常有利于政府部门及时了解民情、做好统 计分析、提供更准确的决策依据

7、。而对外提供信息服务将给普通民众带来更透明、 更高效的政府形象，是一件有利国计民生的好事。目前各级政府部门都在全力推 进政务信息服务水平，构筑高效便捷的政务公开网络和利民便民信息服务平台， 为政府部门与老百姓之间畅通自如的信息交流开拓渠道，营造全社会政通人和的 和谐氛围。与此同时，随着国民经济和社会信息化的发展，特别是电子政务建设的推动， 各级党政军机关、企事业单位及其它社会组织都积累了大量信息资源。整合共享 这些社会信息资源，对于推进电子政务信息化建设、维护社会稳定和更好地为社 会服务具有十分重要的意义。随着网络安全技术的成熟和应用的不断完善,VPDN、IPSEC VPN等虚拟专用 网的大面

8、积运用和PKI等身份认证技术的成熟，也为进行跨内外网的数据交换提 供足够的技术准备条件，可以这么说，在保证安全的前提下，政府部门与企事业 单位和社会公众之间实现可控、有限制、隔离状态下的数据交换正是当时。需求分析开放系统的安全问题与系统本身相生相伴。随着系统的规模和复杂性的增 大，系统运行中的安全问题随之增多增强。作为保障系统正常运行的必要措施， 安全手段的应用不仅应该随着系统的规模的增大而增多，而且要随着复杂程度的 增大而增强。当前，作为主流的安全防御手段，防火墙、防病毒和入侵检测这网 络安全的“老三样”至今为止还是安全市场的主流。而日渐增多的“木马”和“蠕 虫”的流行，对传统防御手段提出了

9、挑战。安全威胁人们为了解决资源的共享而建立了网络，然而当计算机真的联成了网络，安 全却成了问题，因为在网络上，你不清楚对方在哪里，泄密、攻击、病毒越来 越多的不安全因素让人难以安宁。信息网络上的安全威胁随着网络和信息系统的产生而产生，也随着其发展而 发展。从DOS时代的病毒，到现在的网络黑客攻击、能够自动复制蔓延和攻击的 蠕虫病毒、到各种各样的“特洛伊木马”，以及各种内部人员的恶意泄密或破坏。 信息网络安全所面临的问题种类越来越多，内容越来越复杂。以下是一些事件统 计：1996年4月因特网上平均每20秒发生一起入侵计算机的事件（英国金 融时报）1997年几乎所有世界排名前一千家的大公司都曾被黑

10、客们成功地闯入，有56%的公司被闯入过3040次；美国国防部、空军、司法部、商 务部、中央情报局都曾经被黑客入侵2000年1月Yahoo等网站遭受DDOS攻击，陷入瘫痪2003年8月MS Blaster蠕虫在仅数天之内就使国内200万台以上的计算 机陷入瘫痪2004年1月MyDoom蠕虫，入侵和感染了数十万计算机；产生和发送 了数以千万计的病毒邮件，在全球直接造成了 261亿美元的损失，蠕虫 发作时的攻击使得SCO网站被迫关闭2006年8月光大证券网站多款软件被捆绑木马，威胁用户工商银行网上 银行的帐号密码安全2006年12月爆发的“熊猫烧香”病毒，导致至少上百万人受此病毒威胁从以上的事例可以

11、看出，目前，危害最广、破坏性最大的安全威胁当属“木 马”和“蠕虫”。如上所列的 CodeRed、Nimda、SQL Slammer、MS Blaster、MyDoom、 Sasser都属此列。这一现象与用户所采用的安全防御技术有关：目前主流的防 御技术不能有效防止“木马”和“蠕虫”。22.传统防御技术及其缺点通过以上的分析，我们知道只要存在网络边界就存在安全威胁，但是网络边 界互通的需求是如此迫切，我们只能在采用各种边界保护技术手段的基础上，与 各种安全威胁做博弈。随着用户对网络安全的重视，作为安全防御手段的各类网 络安全产品得到了越来越广泛的使用。从防火墙到网闸，网络边界一直在重复着 攻击者

12、与防护者的博弈。2.2.1.防火墙防御技术网络隔离最初的形式是网段的隔离，因为不同的网段之间的通讯是通过路由 器连通的，要限制某些网段之间不互通，或有条件地互通，就出现了访问控制技 术，也就出现了防火墙。防火墙防御技术包括包过滤、状态检测、应用代理等技术。包过滤技术根据 IP报文的包头信息（如源地址、目的地址、目的端口）等信息对所通过的IP包 是否能够通过进行判定，属于网络层的安全防御手段。状态检测技术可以根据 IP报文之间的关系区分出不同会话，可以基于会话进行访问控制，属于会话层 的安全防御手段。应用代理为防火墙增加了认证机制，并可以对应用数据进行简 单、静态的检查，识别有害数据，进行防御。

13、综上所述的防火墙防御技术并不针对任何特定的网络、信息系统，非常通用， 无论何种网络、信息系统，都可以采用这种技术，发现安全威胁然后进行阻止， 保证网络、信息系统的正常运行。防火墙防御技术的共同特点是采用“黑名单” 方式进行防御，即定义某些数据特征，并将其列入访问控制列表，符合这一特 征的数据的为禁止、否则允许。这样的访问控制列表成为可简称为“黑名单”。 对这种防御手段最简单的描述是：“兵来将挡，水来土掩”，发现一种新的攻击 行为或者新的病毒、蠕虫，就将其列入“黑名单”，进行防范。防火墙防御技术的缺点防火墙防御技术打个形象的比喻是亡羊补牢、事后防御，不能防患于未然。 安全威胁是变化多端的动态、持

14、续的过程。当一种最新的攻击技术出现时，这些 技术手段都难以在第一时间进行防御，只能起到“亡羊补牢”的作用。从安全威胁的发展趋势上看，新的攻击手段和新木马、蠕虫才是对网络和信 息系统的最大威胁。新的恶意代码的形成和新型攻击行为的发生永远早于“黑名 单”的形成。因此，防火墙防御技术无法有效防止针对未知漏洞的攻击和针对已 知漏洞的新型攻击。作为目前安全威胁的主流，80%以上的有效攻击是新型恶意代码和新型攻击 行为导致。因此，防火墙防御技术不能抵挡80%的攻击，其防御能力令人置疑。由于防火墙防御技术本身的实现机制，一种新型攻击的出现时间和这种防御 技术具备防御能力的时间存在一个时间差。这个时间差我们暂

15、时称为“攻击一防 御”时间差。由于这些原因，虽然网络安全的投入快速增长(34%，IDG统计数据)， 甚至超过了信息网络系统规模的增长速度(20%)，但网络安全威胁和事件发生频 度没有得到有效抑制(50%-100%)。网闸防御技术网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通过一个中 间缓冲区来“摆渡”业务数据，业务实现了互通，“不连接”原则上入侵的可能 性就小多了。网闸采用“2+1”结构设计，即外主机、内主机和隔离交换模块。内、外网 主机具有独立运算单元和存储单元，分别连接可信及不可信网络。内外网主机间 不存在任何网络连接，因此不存在基于网络协议的数据转发。隔离交换模块是内 外网主

16、机间数据交换的唯一通道，本身没有操作系统和应用编程接口，所有的控 制逻辑和传输逻辑固化在硬件中，自主实现内外网数据的交换和验证。网闸的安全核心是对协议的剥离，网闸的内外主机作为各自网络的终点。将 网络上传送的数据还原为应用层数据并通过网闸私有的协议进行数据摆渡。当然 网闸只是阻断了内外主机之间的TCP会话，网闸内外主机与各自网络终端的TCP 会话并没有被终止。为了追求数据摆渡的效率，网闸两个主机之间的数据摆渡也 经历了文件、数据块、私有协议等多次技术的变革。网闸防御技术与防火墙防御技术最大不同点是网闸阻断了内外网之间的TCP 会话，如果说防火墙防御技术是一种基于代理的黑名单防御技术的话，则网闸

17、防 御技术是一种基于交换的白名单防御技术。所以可以这么说，网闸能够比防火墙 更大程度防止未知的攻击，安全性更高一些。2.2.4.网闸防御技术的缺点网闸的安全基础是基于交换的白名单防御技术。其核心是通过数据交换过程 中的协议剥离、内容检查来保证内部网络的安全，这也就是网闸学名叫“网络隔 离和信息交换系统”的缘由。隔离和交换是网闸的两个最基本的功能，从网闸自2000年进入市场以来， 虽经过近十年的发展，但是普遍使用的情况并不理想，分析其原因有如下几点：2241.网闸交换的不稳定性交换与代理不同，交换对稳定性的要求很高，代理如果失败客户端会重新发 起，交换一旦失败，则很有可能数据就会因此彻底丢失。所

18、以交换对可靠性、准 确性和完整性的要求很高。但是网闸交换本身就是不稳定的，目前网闸通过私有协议在两台主机间进行 数据摆渡，交换可靠性的唯一保证就是数据自身的CRC校验，当传输中出现抖动、 阻塞甚至是硬件故障时，数据丢包甚至是整个数据块丢失都是非常正常的事情， 网闸自身是没有任何机制保证交换绝对可靠稳定的。事情上要保证交换系统的稳定，目前国际国内主流的做法就是通过消息队列 来传输数据，这样即便是出现网络抖动、阻塞甚至是断网，数据始终存放在队列 中，直到确定到接收端已经受到数据包。消息队列是在不可靠网络中保证数据一致性、完整性的有效方法，而且它天 生就是异步的，因为将消息发送到队列和从队列中接收消

19、息是在不同的主机上完 成的。由于网闸交换的不稳定性，而关键业务对交换可靠性、一致性、完整性又有 着非常高的要求，所以很多用户只能在网闸两端部署消息中间件系统，通过消息 中间件系统的消息队列来保证交换的可靠性。2242.网闸对异构交换的不兼容性在内外网之间一定要保证数据的同构交换是不太现实的。信息化的繁荣发展 使得越来越的应用系统出现数据的异构。这种数据的异构有些是由于IT技术的 不断变革进步造成的，有些又是由于不同的开发公司、开发团队采用不一致的标 准造成的，总之人为强制要求内外网数据交换必须是同构是不可能的，网闸交换 必须保证对数据异构的支持性。数据的异构性是非常复杂的，它不仅有相对比较简单

20、的操作系统异构（如源 数据操作系统是WINDOWS而目标数据操作系统是LINUX等），也有较为复杂的数 据结构的异构（如源数据格式与目标数据格式不一致、源数据类型与目标数据类 型不一致等），还有更为复杂的数据转换问题（如源数据M/F在目标数据中需要 转换为性别男/女等）。另外有时候还需要面对文件和数据库之间的数据交换（如 文件交换至数据库或数据库交换至文件等），以上这些都是目前网闸所不兼容的。由于网闸对异构交换的不兼容性，当关键业务需要对异构数据进行转换、转 义、匹配时，有些用户只能在网闸两端部署手工开发的应用系统，将网闸摆渡进 来的数据进行二次处理，然后才进入到目标数据库中。2243.网闸交

21、换的低效率其实现在的网闸其数据传输的效率很高，一般都能达到400Mbps以上，延时 也由于采用私有协议交换越来越短，有些基本上只有几个微妙。但是数据传输效 率并不等同于交换的效率，因为我们知道数据交换是由数据获取、数据传输和数 据装载三部分组成的。由于网速是越来越快，数据传输的速度也就越来越高，在整个数据交换延时 中，数据传输的延时所占比重最小，几乎是可以忽略不计的。所以可以这么说，MUNIMAS合众安全数据交换系统白皮书 m 数据交换的效率主要看数据获取的效率和数据装载的效率。我们知道，要想提高数据获取和装载的效率，只能选择数据的批量获取和批 量装载，而数据批量获取和批量装载的效率，除了与用

22、户存储数据的数据库和文 件系统的性能有关以外，也与网闸内外主机的处理能力、内存大小有着直接的关 系。通过测试证明，网闸主机的处理能力越强、内存越大，则批量获取和批量装 载的速度越快，数据交换的效率也就越高。但是现有的网闸往往都是采用工控机作为原型来设计，其CPU处理能力和内 存大小受到工控设备的限制，甚至比普通的服务器也差距不小。通过测试证明， 网闸的数据获取和数据装载是其交换过程的两块短板，网闸的配置越低，则其交 换能力越差，大多数根本不能承受大数据量交换的压力。由于网闸交换的低效率，有些用户在面临大数据量、大并发量交换的时候， 往往不敢用网闸，只能采用交换机、防火墙等设备来代替网闸。还有些

23、用户在网 闸两端部署交换服务器，将数据获取和数据装载工作由交换服务器完成，网闸只 负责数据传输来加快数据交换效率，满足用户业务的需要。2244.网闸交换的不安全性1）通过网闸进行代理会带来更大的不安全性正是由于网闸交换的不稳定、不可靠；网闸对异构交换的不兼容和网闸交换 的低效率，很多单位在使用网闸时，其实没有用网闸的交换功能，而是直接使用 网闸的代理功能。网闸本身是基于交换的，它怎么又会支持代理呢？这是因为为了加强网闸对 不同应用的适应性，网闸厂商将内外主机的程序进行了改进。内外主机接收到各 自网络的TCP或UDP协议会话时，并不真正终端这些会话，而是将会话内容打成 数据包后通过网闸自身的私有

24、协议摆渡到另一端，由另一端将数据包再重新生成 为协议会话发出去。这样一来，从应用的角度来看，协议依然存在而且能够在内 外网中传递。网闸通过这种方式能够支持HTTP、数据库客户端协议（如TNS、TDS）、FTP、 POP3、SMTP、UDP、MMS等各种协议代理，对应用提供了适用性。但是网闸不是防火墙，防火墙用的是基于代理的黑名单防御技术，通过黑名 单规则规定那些协议、那些网段、那些端口甚至那些内容不能进。网闸采用的是 基于交换的白名单防御技术，它的本意是定义那些数据可以进，没有定义那些数 据不能进。可以这么说，对于代理的防御能力防火墙远远强于网闸，网闸一旦使 用代理就是一道不设防的防线，基本上

25、任何数据都可以进入内网。2）网闸的内容检查并无太大作用上面分析过网闸是采用白皮单进行安全防御的，其实质是规定那些数据可以 交换。所以网闸就必须提供内容检查功能，内容检查是保证交换安全的核心。我们知道，数据交换最大的安全问题就是所交换的数据是否干净、是否不含 木马和病毒、交换内容是否不越权等等。而内容检查机制是保证上述问题得到解 决的唯一途径。现在提到安全的时候我们总说应用层安全，而内容检查就是保证 应用层安全最有效的手段。但是，网闸在数据交换时其实已经力有不逮，交换本身就用去了网闸所有的 处理能力和内存，网闸做内容检查其实已经是心有余而力不足。所以很多用户发 现其实网闸是不能防病毒和木马的，我

26、们希望网闸过滤掉的数据网闸其实根本过 滤不掉。当然不能说网闸的所有内容检查功能都是摆设，但是绝大多数网闸是无法过 滤病毒和木马这一点是事实。所以很多人认为对于交换而言，网闸也是不安全的， 并不能真正保护内网主机和应用系统的安全。3）网闸交换缺乏必要的内容审计我们知道没有任何安全设备能够保证做到100%的有效，好的安全策略总是 事先考虑到事后弥补的方法。一旦安全设备被突破了，总是能够通过入侵者留下 的蛛丝马迹发现攻击的过程，分析攻击造成的损失，弥补攻击造成的后果，并追 究攻击者的责任，这也是安全防护体系中需要重点考虑的环节。网闸作为安全隔离交换的唯一通道和关键设备，用户当然希望网闸能够将所 交换

27、的内容全部审计下来，万一出现问题可以作为事后凭证加以分析。事实上，数据交换的具体内容只是短暂存放在网闸的内存之中，一旦交换行 为结束，则根本无迹可寻，用户失去了对抗抵赖和事后纠错的主要武器。这根本 的原因还是网闸的存储能力不够，要存放全部审计日志，需要增加其他的存储介 质。由于网闸无法提供给用户有关交换内容的完整审计，造成管理人员其实根本 不知道交换了那些数据，出现了那些异常，是否有垃圾数据进入了内网。审计能 力的缺失使得网闸大大降低了事后处理能力。2.3.应对方法正是由于网闸交换的不稳定、不可靠、对异构支持性差、低效率和不安全， 所以安全隔离交换虽然具有很好的理论基础，但实用性较差，难于满足

28、用户需求 和大面积推广。为了解决上述的问题，应对内外网间越来越复杂的安全威胁，合众公司在多 年研究内外网交换安全和应用的基础上，研发了新一代安全交换产品，专门弥补 和解决现有设备和解决方案的缺陷。它通过消息队列解决了内外网交换的可靠性、稳定性问题；通过异构数据转 换工具集解决了异构支持性差的问题；通过加强运算能力和存储能力解决了交换 效率低下的问题；通过完善加强内容检查机制和限制使用代理功能解决了安全性 问题。总之它能够有效的提升安全隔离交换领域的可用性、可靠性和安全性，是目 前防火墙方案和网闸方案的实用价值的替代方案。产品概述产品简介合众安全数据交换系统是专门针对内外网数据交换需求开发的，是

29、新一代的 安全隔离交换产品。它由外网交换服务器、网闸和内网交换服务器三部分组成。 从拓扑上，将网络边界分为数据获取、隔离交换和数据装载三个区域。每个区域 承担相应的安全职责，将三种不同的安全技术手段（内容检查、网络隔离、监控 审计）有机地组成在一起，提供给用户一个统一的安全管理界面，容纳用户所有 的内外网交换业务，最大程度的提升网络边界的安全保护能力和用户的管理能 力。外网交换服务器的作用是实现对数据的安全获取，具体表现为实现对数据交 换对象的身份认证、对数据格式的过滤、对数据内容的检查，最终将获取的数据 存入消息队列传给网闸。网闸的作用是采用专用防篡改硬件隔断从物理层到应用层所有网络层次的

30、协议通信，保证网络隔离的有效性。即使外部主机被攻击，也可以保证内部主机 的安全。内网交换服务器的作用是实现对数据的安全装载，具体表现为实现数据的异构转换、数据对照关系的匹配、对交换内容的审计、对交换行为的实时监控等等，它接收消息队列的数据并最终装载到目标系统。卜网交换服务器网闸内网交换服务器外外网数据交换对象合众安全数据交换系统内网数据交换对象合众安全数据交换系统已经在很多省级、市级党政军机关投入了应用。经过3年的应用实践，证明了该系统达到了安全、可控、可靠、稳定、高性能的建设要求。该产品经公安部的检测认可，完全符合公安信息通信网边界接入平台安 全规范。该产品也已获得国家保密局的涉密信息系统产

31、品检测证书、解放军 的军用信息安全产品认证证书、信息产业部的国家信息安全产品认证证书。 该产品通过了解放军总参56所和公安部信息安全等级保护评估中心严格的攻防 测试，测试表明，该产品具有非常高的网络安全防御能力，抵御各种来自外部和 内部的网络攻击，保护内网中的信息安全。产品原理运运运运运运运运运运运运运运运运运运运运运运运运运运运运运上图所示为合众安全数据交换系统。系统由外网交换服务器、网闸、内网交 换服务器三部分组成。外网交换服务器、网闸、内网交换服务器都是合众公司提 供的专用硬件设备（网闸可以采用用户已有设备或者其他第三方厂商设备）。合众安全数据交换系统采用内外网交换服务器将数据获取、数据

32、转化、内容 检查和数据装载功能从网闸上接管。外网交换服务器首先认证数据源的合法性，然后通过各种适配器读取数据源 上的所需交换的数据。当数据到达外网交换服务器后根据事先制定的格式策略和 内容检查策略判断该数据是否符合，如果符合则进行交换，否则直接将数据丢弃。 数据通过检查后外网交换服务器将数据压入消息队列传输出去。当数据通过网闸传输到内网交换服务器后，内网交换服务器首先从消息队列 中将数据抽取出来，然后根据事先制定的转换规则对数据进行异构转换，并将数 据通过事先制定的匹配对照关系映射到目标数据上，然后通过批量装载最终交换 至目标端。在整个过程中，内网交换服务器提供装载内容的完整审计并实时受到 管

33、理员的监控。通过以上分析可以看到，网闸在安全数据交换系统中起到的主要作用是网络 隔离作用，即通过硬件交换模块保证隔断从物理层到应用层所有网络层次的协议 通信，内外网交换服务器与网闸都通过直连线连接，保证这是网络交换的唯一通 道。合众安全数据交换系统从技术上融合目前最为流行的三种安全技术：内容检 查技术、安全隔离技术和安全审计技术。其中内容检查技术依靠格式过滤、防病 毒过滤等检测技术保证安全；安全隔离技术依靠无协议的数据摆渡隔离内外网 络；安全审计技术依靠内容审计来实现亡羊补牢。合众安全数据交换系统融合了 这三种技术的优点，并且在网络上依照“花瓶模型”的安全保障体系建设，全面、 立体地保障业务的

34、安全性，所以其安全性应该是比较好的。从技术方面总结起来 有三点：1、事前的内容检查：合众安全数据交换系统通过严格的格式和内容检查， 将数据交换过程中绝大部门的安全威胁排除在外。2、事中的安全隔离：合众安全数据交换系统通过网闸实现了不同网络间的 隔离，保证只有纯数据摆渡而没有网络连接。3、事后的安全审计：合众安全数据交换系统通过内容审计留下所有网络进 入者的“脚印”。产品优势合众安全数据交换系统的主要优势如下：采用消息队列保证交换的可靠性和稳定性合众安全数据交换系统内置了消息队列实现内外交换服务器之间的可靠传 输。消息队列技术是分布式应用间交换信息的一种技术。消息队列可驻留在内存 或磁盘上，队列

35、存储消息直到它们被应用程序读走。通过消息队列，应用程序可 独立地执行-它们不需要知道彼此的位置、或在继续执行前不需要等待接收程序 接收此消息。在分布式计算环境中，为了集成分布式应用，开发者需要对异构网 络环境下的分布式应用提供有效的通信手段。为了管理需要共享的信息，对应用 提供公共的信息交换机制是重要的。消息队列为构造以同步或异步方式实现的分布式应用提供了松耦合方法。消 息队列的API调用被嵌入到安全数据交换系统中，通过消息发送到内存或基于磁 盘的队列或从它读出而提供信息交换。消息队列实现从一个（或多个）交换节点的数据传输到另外一个（或多个） 交换节点上，支持TCP、HTTP、SSL及HTTP

36、S等传输协议。具体功能如下：消息切分：支持将一个大的消息切分成多个小块发送，在目的节点重新 组合成完整的消息。断点续传：因为在传输时实现了消息切分，所以安全数据交换系统能够 支持断点续传。消息压缩：提供数据压缩功能，方便用户在收发消息时对消息进行压缩 和解压缩，以提高消息传输效率。消息优先级：支持用户设置消息优先级。根据消息优先级的高低安排消 息的发送次序。对大文件传输的支持：具有不限制传输文件大小、断点续传、多线程传 输、高可靠性、简单易用等特点。总而言之，安全数据交换系统底层通过消息队列保证数据交换非常可靠和稳 定，当网闸出现故障、阻塞时，数据绝对不会出现丢失，只会存储在队列中直到 传输链

37、路恢复正常，数据被接收端读走为止。由于采用了消息队列技术，使得安全数据交换系统在隔离交换环境下依然能 够保证交换的可靠性、稳定性、准确性和完整性。内置数据转换工具支持数据异构性上文我们分析认定在内外网之间一定要保证数据的同构交换是不太现实的。 今天，越来越多的的应用需要访问各种异构数据源。数据交换的异构包括很多的 方面：有操作系统的异构、数据库（DMBS）自身的异构、数据结构的异构、数 据格式的异构等等。合众安全数据交换系统内置了数据转换工具，可以将一种数据库系统中定义 的模型转化为另一种数据库中的模型，然后根据需要再装入数据。数据转换工具 首先进行类型转换，访问源数据库系统，将源数据库的数据

38、定义模型转换为目标 数据库的数据定义模型，然后进行数据重组，即将源数据库系统中的数据装入到 目的数据库中。合众安全数据交换系统支持操作系统的异构，可以支持WINDOWS、LINUX、UNIX、SOLARIS AIX、HP UNIX 等各种操作系统。合众安全数据交换系统支持数据库(DMBS)自身的异构，可以支持ORACLE 8I/9I/10G/11G、SQL SERVER 2000/2003/2007、SYABSE 10/11 等数据库。合众安全数据交换系统支持数据结构的异构，包括：命名冲突：即源模型中 的标识符可能是目的模型中的保留字，这时就需要重新命名。格式冲突：同一种 数据类型可能有不同的

39、表示方法和语义差异，这时需要定义两种模型之间的变换 函数。结构冲突：如果两种数据库系统之间的数据定义模型不同，如分别为关系 模型和层次模型，那么需要重新定义实体属性和联系，以防止属性或联系信息的 丢失。合众安全数据交换系统支持数据格式的异构，包括：数据类型转换：支持表 名不同、表字段不同、表字段类型不同、表主键不同、表外部键不同、表索引字 段不同；支持BLOB、CLOB、LONG、TEXT、IMAGE等大字段的异构，而且 能够支持不同字符集的异构。系统涵盖了数据在语法以及语义层面的转化功能。允许用户对数据字段进行 常规的转换，如类型转换、对应关系转换、代码/字典转换，还提供更复杂的转 换，包括

40、：字符串加工处理、数学运算、逻辑运算、日期运算处理等。系统提供可视化的操作界面，建立转换关系、映射关系等拓扑图。提供自动 映射和灵活映射两种操作方式。自动映射适合元数据结构简单的场合，系统根据 元数据的字段名直接映射。灵活映射方式允许用户通过对图标的拖放操作完成。 为了实现复杂的业务逻辑。总之，在进行数据转换后，一方面源数据库模式中所有需要共享的信息都转 换到目的数据库中，另一方面这种转换又不能包含冗余的关联信息。通过批量获取和批量装载提升数据交换效率安全数据交换系统硬件上依托服务器架构，其CPU运算处理能力和内存容 量都不是普通工控机可以比拟。系统在数据获取和数据装载上全部采用批量方 式，在

41、外网交换服务器上，可以批量获取数据源的数据，如一次性抽取500条数 据记录等，以提高数据获取效率。在内网交换服务器上采用批量装载技术，如一 次性将500条记录压入数据库，能够大大提升数据在目标端装载的效率。批量获取和批量装载可以在原来网闸的数据交换效率上提升至少5至10倍， 在大容量字段（如BLOB等）数据交换甚至可以提高数十倍。正是由于这样的技术设计，网闸作为数据传输通道，其数据传输通量能力才 能得到正常的发挥，而不出现原来网闸交换时传输极快而数据获取、数据装载很 慢的状态，拖累了整个数据交换的效率。总之，数据交换效率的提升是建立在安全数据交换系统更高性能的硬件环境 的基础上，而且可以根据用

42、户的实际需要，非常方便的提高安全数据交换系统的 硬件配置，而不需要重新购买。深度的内容检查保证数据交换安全传统的网络设备能够提供网络层的合法性检查，因为它们属于基于代理的黑 名单防御技术，通过网络层的合法性检查防止不符合安全策略的协议、IP地址、 计算机端口的数据进入。但是安全隔离交换是采用白名单进行安全防御的，实质是规定那些数据可以 交换。所以就必须提供内容检查功能，内容检查是保证交换安全的核心。我们知 道，数据交换最大的安全问题就是所交换的数据是否干净、是否不含木马和病毒、 交换内容是否不越权等等。而内容检查机制是保证上述问题得到解决的唯一途 径。可以这么说，数据交换如果没有深度的内容检查

43、，则数据交换本身的合法性、 准确性就无法得到保证。比如针对某个业务交换的身份证字段，用户需要检查它 是否是合法的长度和类型，又比如针对某个性别字段，用户需要检查它是否在合 法的枚举范围（男/女）之内等等。合众安全数据交换系统了解用户每个业务的具体数据交换格式，系统能够根 据用户事先定义的业务规则对数据进行全面检查过滤，支持对每个业务单独设置 过滤规则，过滤规则粒度细化到每个字段，包括类型、范围、长度、枚举、缺省 值、特殊字段、字符编码、图像字段许可等等。除了以上的格式检查功能，合众安全数据交换系统还采用了世界领先的流杀 毒引擎，对所交换的所有数据进行杀毒。确保进入可信网络的文件不包含木马、 病

44、毒及 Java/JavaScript/Active-X 等恶意代码。合众安全数据交换系统可对所传输的所有内容进行黑/白名单关键字过滤， 进行单词及短句的智能匹配，禁止包含特定关键字的敏感信息泄漏，或只允许包 含相应关键字的文件通过系统传递。合众安全数据交换系统可对传输的文件进行类型检查，只允许符合安全策略 的文件通过系统传递。避免传输二进制文件可能带来的病毒和敏感信息泄露等问 题。合众安全数据交换系统还具有获得专利的防SQL注入攻击功能，能够有效 的对抗各种SQL注入攻击，保证用户的业务系统免受注入攻击的伤害。总之一点，合众安全数据交换系统通过丰富完善的内容检查功能保证内外网 数据交换的安全。

45、原始传输的全部内容（可能能病毒过滤器原原始传输的全部内容（干净内容）交付已过滤 的内容牛库件内容过滤 ，。1注入过滤URL过滤认证通道技术保证交换通道的安全网闸在使用其代理功能将外网访问请求摆渡到内网时，存在以下的安全隐 患：一是必须在网闸外网侧打开接收端口，供外网请求者使用。网闸开放的端口 在外网可以直接访问，非常容易招致黑客的攻击。由于有些应用协议采用可变端 口协商机制，网闸必须根据协议要求打开一系列外网端口，打开的端口越多，则 可能招致的攻击就越多，对网闸自身的安全和内网安全形成严重的威胁。二是网闸不是防火墙，网闸采用的是基于交换的白名单防御技术，它的本意 是定义那些数据可以进，没有定义

46、那些数据不能进。可以这么说，对于代理的网 闸的防御能力远远弱于防火墙，网闸一旦使用代理就是一道不设防的防线，基本 上任何终端、任何数据都可以进入内网。很容易出现冒充或者伪造的终端夹杂在 合法终端中进入受保护的内网，给内网造成严重的破坏。为了避免上述问题的出现，所以安全数据交换系统通过加强数据交换能力和 适用性来限制代理业务的使用。为了进一步保证内外网之间交换通道的安全，安全数据交换系统还在底层消 息队列中引入了认证通道技术，认证通道在外网交换服务器、网闸和内网交换服 务器之间建立。在通道建立前，外网交换服务器和内网交换服务器通过各自的硬 件设备证书双向进行身份认证。认证通过后，内外网交换服务器

47、之间就建立了通 信的会话密钥。所有通信内容都可以采用经国家密码管理局批准的SCB2密码算 法（现已命名为SM1算法）进行加密并加上完整性标记，该机密算法的最高加解 密速度可达1.4Gbps。认证通道技术是保护内外网数据交换通道安全的一个重要的机制，它的思想 是对内外网交换服务器身份进行认证，通过认证的服务器被认为是合法的，否则 被认为是非法的，只有合法的服务器才能使用内外网交换通道进行时数据交换。运运运运运运运运运运 运运运运运运运内容审计技术保证交换行为可追溯数据交换安全性的一个重要的标志是抗抵赖性。上文我们分析到网闸交换缺 乏必要的内容审计，是网闸安全性上一个非常明显的缺陷。网闸缺少内容审

48、计的 主要原因是由于网闸的存储能力不够，无法存放全部审计日志。安全数据交换系统相比网闸拥有更大的存储空间，并且可以非常方便的进行 升级，所以安全数据交换系统提供对整个数据交换行为的完整审计，包括数据来 源、交换发生时间、数据交换的目标、数据交换的内容、是否得到了授权、是否 遵守交换规则、交换行为是否成功、不成功进行了几次尝试、交换结束时间等等。例如在数据库交换时，对交换的记录做内容审计。这样用户就可以查询在某某 时间段那些数据库的那些表插入、更新或者删除了多少条。在文件交换时，系统支持对文件 交换流量、源目标地址、交换时间、交换文件夹或文件名的审计。安全数据交换系统针对海量的审计记录，提供主键

49、追踪功能，即根据某条记 录的主键或者某个文件的文件名追踪它从新增到每次修改，以致删除的所有审计 记录。安全数据交换系统还提供变更查询功能，即可以查询某条记录或者某个文件 变更前后的数据变化。自主服务容错技术支持数据交换集群数据交换集群在实现关键业务的内外网数据交换中非常必要的，因为任何设 备都有可能出现故障，数据交换的集群即实现了多套数据交换系统之间的容错， 也能在单套数据交换系统通量不够的情况下实现负载均衡。网闸不能真正支持负载均衡，绝大多数网闸的所谓集群功能其实就是容错功 能，也就是在两台或多台网闸之间通过心跳线连接HA 口，如果一台网闸故障后 备用网闸就自动替代工作。要真正实现负载均衡，

50、也就是客户端可以将访问请求根据设备的负载权重分 发到不同的设备，则最起码需要一个负载均衡仲裁器，才能决定不同设备的负载 权重。传统客户机/服务器应用中，请求总是由客户端发起，请求被发送到负载均衡 器上。负载均衡器在收到这一请求后，根据它所维护的各个服务的状态，决定将 请求转发到一个正常工作的服务中，服务在完成所请求的工作后，把响应发送给 客户端。但是这个方式显然并不适合数据交换应用，数据交换应用是典型的自主服务 式应用，在数据交换系统中，数据交换服务从数据源中读取数据增量，而把这些 增量数据复制到目标端。这其中数据交换系统可能有多个，但源数据只有一个， 有负载均衡器根据数据交换系统的历史负载绝

51、对将源数据交给那个数据交换系 统。所以说，客户机/服务器应用是一个客户端对多个服务，由负载均衡器决定这个客户端访问那个服务。而数据交换应用是多个服务对一个客户端，由负载均衡器决定那个服务有权访问这个客户端。客户机/服务器负载均衡数据交换系统负载均衡合众安全数据交换系统通过专门研发的负载均衡器LBS-3000真正支持数据 交换的负载均衡，负载均衡器LBS-3000内置数据交换仲裁器，能够实时获得后 端安全数据交换系统的工作状态，判断各种接入业务的负载情况（包括设备负载、 通道带宽负载、通道队列负载情况等），在保证高可用性的前提下实现数据交换 的负载均衡。LBS-3000可对多套安全数据交换系统可实现动态管理和维护，根据实际响 应时间制定优先响应策略，从而提高系统总体性能、优化流量管理，保证数据交 换系统正常运行的高可用性和高可靠性。产品特点安全性将内容检查技术、网络隔离技术和安全审计技术融合一体，全面、立体 的保护内外网数据交换的安全。操作系统基于Linux操作系统内核剪裁、增强、优化。取消了所有对外 提供服务的包，并加入内核级IDS功能，能有效抵抗攻击。系统支持硬件设备证书双向身份认证，保证基于硬件的可信任计算体系。数据交换基于加密认证通道，能够有效的对抗信息篡改和端口