智慧城市跨网安全交换平台主要由前置交换系统(内部)和前置交换系统(外部)及网闸组成,用于在安全边界隔离情况下,实现数据交换、服务共享、文件同步、视频交换等功能。
前置交换系统(内部)对数据库服务器进行设备认证、对数据库表记录进行内容过滤等安全管控后抽取表数据形成文件,然后网闸采用内部协议封装的方式对文件传输,将文件传输到前置交换系统(外部),前置交换系统(内部)对文件服务器进行设备认证等安全管控后将文件解析还原成数据库表记录并更新到数据库服务器。采用数据交换系统可大幅提高数据同步效率。
数据交换系统通过采集身份凭证信息,并通过安全控制系统进行身份识别,针对前置系统进行数据交换、数据访问过程的安全进行检查和审计;针对数据访问服务提供对数据库表级、字段级、记录级进行精细化访问控制和安全防护控制,增强整体安全水平。前置交换系统具备向管理机发送监控、报警信息并接受管理机配置指令的功能。
数据交换系统包含集中监控与审计模块对平台各个组件进行安全监控、审计与管理,监管系统对平台的运行状态、告警信息、系统事件信息进行实时监控,同时针对平台产生的系统日志、安全事件日志、异常流量日志、管理员用户行为日志、策略配置日志进行安全审计。并且支持SIP、H323、RTSP、RTP、MMS、HTTP等主流视频流媒体传输协议。
网闸部署于两个网络边界,通过网闸将审批服务通过TCP定制方式发布到互联网,无缝对接互联网接入区的用户。网闸的工作基于人工信息交换的操作模式,即由内外网主机模块分别负责接收来自所连接网络的访问请求,两模块间没有直接的物理连接,形成一个物理隔断,从而保证可信网和非可信网之间没有数据包、流媒体的交换,没有网络连接的建立。在此前提下,通过专有硬件实现网络间信息的实时交换。这种交换并不是数据包的转发,而是应用层数据的静态读写操作,因此可信网的用户可以通过安全隔离与信息交换系统放心的访问非可信网的资源,而不必担心可信网的安全受到影响。
网闸通过专有的隔离交换卡实现内外网主机模块的缓冲区内存映射功能,将指定区域的数据复制到对端相应的区域,完成数据、视频的交换。隔离交换模块固化控制逻辑,与内外网模块间只存在内存缓冲区的读写操作,没有任何网络协议和数据包的转发。隔离交换子系统采用互斥机制,在读写一端主机模块的数据前先中止对另一端的操作,确保隔离交换系统不会同时对内外网主机模块的数据进行处理,以保证在任意时刻可信网与非可信网间不存在链路层通路,实现网络的安全隔离。
2.价值优势