随着电子政务信息化的深入开展,电子政务应用的资源整合、数据共享及政务服务需求日益强烈,电子政务系统也需要获取互联网上的大量数据用于自身的信息化服务,需要采用安全的数据传输方式获取完整、及时、准确的数据。同时,电子政务外网也将面临来自其他网络的攻击、入侵、病毒、木马、探头等各种类型的安全威胁,存在很大的安全风险。确保自身正常开展业务信息共享的同时,又保证整体电子政务外网及关键业务数据的安全,成为当前急需解决的问题。
围绕电子政务外网与互联网网络安全接入和“互联网+惠民服务”的业务发展要求,麒麟软件有限公司研发中标麒麟可视化隔离交换一体机可提供安全、可靠、易用的可视化单向安全接入能力以满足电子政务应用服务发展的要求。
中标麒麟可视化隔离交换一体机集成于一体化设计,全国产软硬件构建,内部核心默认集成安全数据交换、安全请求服务等核心组件,通过光单向传输技术满足物理隔离、防隐私数据夹带及传输数原始化的要求,满足跨网隔离的合规性要求,能够解决大规模、超频次的数据交换业务需求,同时2U/4U机柜空间即可满足跨网、跨域接入的安全隔离及数据交换服务需求,同比同类方案功耗更低,绿色环保。
中标麒麟可视化隔离交换一体机的核心技术主要体现在可视化、单向隔离、安全数据交换三个方面:
可视化技术:信息专网或内网一直采用单向光闸产品作为接入平台的关键单向传输设备,但始终无法解决的是对新病毒的清除及有效隔离,无法有效避免隐私数据的夹带,虽然单向光闸在测评标准中有严格的要求,比如文件落地、防病毒、防隐私数据夹带,多因为考虑性能原因和应用支持问题,安全功能基本形同虚设。采用传统的技术手段要实现较好性能及更高的安全性,显然需要对实现的技术进一步创新才能解决面临的安全与性能平衡发展的问题。为了解决这一难题,我们提出了一种与传统的单向光闸系统截然不同的数据处理及传输技术,通过模拟人操作屏幕进行可视信息审核的模式,设立虚拟显示缓冲区,将待交换数据的可视信息进行截屏处理,只提取显示部分的信息。获取数据的可视信息后,仅将截图信息作为载体进行单向传输。这一方式区别于简单的将整个或部分数据信息通过数据包的方式进行传输的机制,既能保障信息完整,同时还避免了非法信息夹带。
单向隔离:设备采用超融合技术,在一体机中内置两个独立的计算单元,计算单元之间的连接采用可验证的单向光纤卡进行数据的单向传输,以确保设备两端的单向隔离特性,确保网络间通过设备实现单向连接,以满足网络物理隔离的要求。
安全数据交换:产品还默认提供安全数据交换模块,安全数据交换模块包括导入前置和导入后置系统。导入前置系统用于实现对应用的无缝接入,对请求数据的格式化处理并实现与单向传输链路对接。导入后置系统主要完成接收格式化后的请求数据并转换为请求服务发送给应用系统。支持基于WEBSERVICE的SOAP、REST两种方式。
除以上核心技术外,产品还支持可信计算技术,并行处理技术、可提供对核心应用及资源的防篡改、可信度量及应用白名单。产品基于国产安全操作系统进行架构,同时支持高可用技术,实现链路的容灾备份。独立开发的单向传输协议及传输服务,避免产品实际使用时脱离安全管控要求等。
中标麒麟可视化隔离交换一体机网络数据流向图:
安全隔离交换一体机围绕跨网、跨域数据传输的业务场景需求开展设计,重点解决在跨网、跨域数据传输中实现对接入应用、传输过程、传输链路及传输数据实现安全、可管理、可识别、防夹带、防病毒等控制能力,产品通过应用可视化技术、软硬一体的耦合设计及横向可扩展性,提供更高性能、低延时的网络安全接入能力。
产品特点
快(传输速度提高):
(1)文件到达通知进行文件摆渡,响应速度快
(2)可视化文件摆渡,无需启动杀毒软件
(3)多线程处理技术实现高并发
(4)NFS服务替代FTP服务,提高性能
防(多层安全防护):
(1)事前审批:可信接口、业务服务注册,文件内容格式检查
(2)事中审查:可视化传输防数据、病毒夹带,数据以转换成图像的形式(原数据不出网络)通过光闸从网络的一端传送到另一端,再将数据还原。
(3)事后审计:数据备份审计系统对数据进行备份和后续审计
易(统一管理,高效运维):
(1)WebService业务应用接入简单,无需修改应用和增加接口
(2)多系统集成部署,运维管理方便
简(操作过程简单):
(1)2U4节点超融合一体机,占用空间小
(2)只需要串行接入即可,部署简单
稳(可持续服务):
(1)自服务修复:产品设置服务探针,针对系统核心服务健康状态进行探测,发现异常后在不影响业务服务的情况下,自动恢复核心组件的错误状态,确保产品持续稳定运行。
(2)高可靠设计:产品提供基于状态文件的心跳探测与容错技术,当一路隔离链路出现故障时,可自动切换到备份隔离链路,以实现安全隔离交换链路的高可靠容错能力。