来源:中国电子政务网 更新时间:2008-03-11
您是否每天需要花费大量的时间管理多个内外网数据交换的业务系统,而且这种糟糕的状况还在继续加深?是否担心内外网数据交换中存在的安全隐患?是否想控制新业务系统的开发周期和成本?合众内外网统一安全接入平台(简称合众综合安全接入平台)能让您在内网一台电脑上管理所有的内外网业务系统;分等级的安全设施解决安全问题;自动业务生成系统,能帮助您快速生成业务系统,减少开发周期和降低成本。
内外网统一安全接入平台从网络拓扑、用户认证和授权、系统监控和审计三个方面构造一个安全的接入体系。既能保证内外网的物理隔离,又使得内外网的数据交换实时地在一个统一的平台上进行。平台支持VPN、专线、无线网关等多种网络接入方式,是国内最先实现产品化、高安全的内外网安全数据交换平台,其技术属国内领先水平。产品在保障内外网数据安全交换的基础上又开发了多个常用的、能自动生成数据采集业务的模块,主要包括数据库同步、B/S数据提交、C/S数据提交、数据抽取、综合查询、socket代理等,可以显著降低用户的开发周期和成本。该产品合众公司拥有完全自主知识产权,可广泛应用于公安、交通、税务、海关等有内外网数据交换需求的政府部门或企事业单位。
健壮性
采用了先进的容错技术,在网络、数据库、系统等故障时能保障平台的继续运行。
高安全性
采用PKI/PMI技术解决不同密级网络之间的认证、授权、单点登录及数据加密等问题,授权认证在内网完成,有效防止了帐号的泄漏;
基于应用逻辑和登录用户的应用层安全审核技术;
对用户数据提交的频率进行控制,防止提交攻击;
严密的安全审计系统,记录并可追溯事件。
高效性
采用了先进的负载平衡技术来解决网闸和服务器的性能瓶颈。
易用性
具有操作友好的配置管理系统和平台监控系统,让用户完成业务系统的配置和平台的监控。
高兼容性:
能兼容不同厂商的网闸产品,例如天行、中网、金电、联想等。
高性价比
可根据业务需求自动生成业务系统,减少开发周期、降低成本。
7.可移植性
支持Microsoft Windows、Linux、Unix操作系统。
高扩展性
定义了良好的用户开发接口,便于用户二次开发。
图一(网络拓扑图)
网络拓扑中主要包括外部接入区、政府外网服务区、数据交换区、内网业务服务区、数据服务区、政府办公区,下面对各区域的功能作个简单的说明:
外部接入区:政府、企业、个人通过专线、VPN、无线网关等方式通过三层交换机接入政府外网。
政府外网服务区:为外部接入的客户端提供服务并和数据交换区的外网数据交换服务器进行数据交换。该区域配有防火墙、入侵检测、防病毒服务器等设备,在受到网络和病毒攻击时能有效的抵御、报警。
数据交换区:平台部署的区域,实现内外网数据的安全交换。
内网业务服务区:安装内网业务系统的区域。内网业务服务区和数据交换区、政府外网服务区协同工作。有时也将该区域和数据服务区合并在一起。
数据服务区:存储业务系统数据的区域,对政府办公区和外部网络的政府、企业、个人提供数据。
政府办公区:政府工作人员的工作区,通常由多台PC电脑组成。
图二(整体结构图)
本产品由平台子系统和应用子系统组成。平台子系统包括数据交换传输子系统、配置子系统、监控子系统、认证授权子系统。应用子系统中包括数据库同步模块、B/S数据提交模块、C/S数据提交模块、数据抽取模块、综合查询模块和socket 模块。
数据交换传输子系统
该子系统是本产品的主体部分,在网闸两端建立安全的数据交换通道,实现内外网安全、可靠的数据传输。
配置系统集中存储和管理配置信息,用户通过WEB界面访问配置系统并创建、修改配置信息。
监控子系统主要由日志服务、平台监控服务、审计服务组成。
日志服务:日志服务记录平台所有发生的事件并传输到日志数据库,并允许用户使用WEB页面查询日志、按年月日统计、分析、下载日志文件;
平台监控服务:用户能通过WEB页面查看当前平台和所有业务系统的运行状况,并能控制它们的启动和停止;
审计服务:记录平台及在其上运行的各部件的有关事件,包括用户登录、验证、数据传输等,审计信息可以通过WEB界面查询。
认证授权子系统采用了基于PKI/PMI/Kerberos体系的安全认证、授权模型,并采用轻量级目录访问协议OPENLDAP或其他商用LDAP服务器保存权限信息。
通过WEB页面对域、角色、用户的新增、修改、删除操作,完成权限配置。使用通用的授权服务接口方便的和平台结合,也能对其他业务系统提供授权服务。
开发一些能根据用户业务需求自动生成业务系统的应用模块,以减少用户的开发周期和降低成本。
数据库同步模块实现被网闸隔离的内外网数据库间的同步。它主要有以下特点:
能进行同种和异种数据库(SQL Server、Oracle)的单向和双向同步;
能自定义同步的业务表、字段,支持大部分数据类型;
可将源端数据根据一定条件分发到多个目标库;
具有良好的容错能力,有自动备份和数据恢复功能;
5.系统不需要再进行程序开发、上马快、对现有系统改动少的优点。
B/S数据提交模块
根据用户业务逻辑自定义B/S数据采集业务,采集分散在社会上众多采集点的数据到政府内网数据库。 B/S数据提交主要有以下特点:
新的业务系统只需通过配置就能生成;
支持代码表显示;
用户可对提交的数据进行查询、修改;
内部工作人员可以对提交的数据进行审核;
支持主从表方式的数据提交;
能让赋权的用户查看、修改约束规则下的其他用户提交的数据。
C/S数据提交模块
根据用户业务逻辑自定义C/S数据采集业务,采集分散在社会上众多采集点的数据到政府内网数据库。C/S客户端机器上安装客户端应用软件和本地数据库,提交到政府专网的数据会在本地数据库备份,客户端代码库通过服务自动从平台更新。该模块有以下特点:
更好的容错能力,平台故障时可以先将数据提交到本地数据库中,故障恢复后将本地库中的数据提交到政府专网数据库中,保证了工作的正常开展;
可以结合智能卡(UKey)使用,满足高安全要求的业务系统。
数据抽取模块适用于从已有信息管理系统的单位的数据库中采集数据,需要在这些单位安装数据抽取客户端,客户端软件定期发送数据到政府内网的抽取业务库。该模块有以下特点:
1.解决了政府部门在需要其他部门或单位的数据时,远程下载数据文件实时性差和安全性不高的问题;
2.具有数据库同步模块相同的特点。
根据用户业务逻辑自定义生成查询业务系统,让用户能查询内网业务数据。综合查询模块具有以下特点:
支持表或视图查询;
支持精确查询和模糊查询;
支持数据结果按字段升降排序;
支持页面数据格式校验;
支持将输入的查询项数据转换成其他的数据;
支持业务代码转换成中文说明。
SOCKET模块
Socket协议是目前短信的主要传输协议,socket代理模块能够透明的将短信接入到内网,同时也为其他协议接入奠定了基础,例如:CDMA、GPRS、GPS就可以借助这一模块接入。
|
测试用例 |
性能指标 |
备注 |
|
数据库同步应用 |
>3000 (条/分钟) |
|
|
B/S数据提交 |
<0.6 (秒/条) |
并发用户>300 |
|
C/S数据提交 |
<0.6(秒/条) |
并发用户>300 |
|
数据抽取应用 |
>550(条/分钟) |
|
|
综合查询 |
0.3秒 |
并发用户>300 |
|
SOCKET |
延时<0.5秒 |
|
注:以上数据在内接入服务器、外接入服务器配置为如下环境下测得:
CPU P4