信息交换网还是比较常用的,于是我研究了一下信息交换网在电子政务中的实际应用,在这里拿出来和大家分享一下,希望对大家有用。对于电子政务专用网络内部而言,具有资源分类别、分级别、密级区别等特点,各个用户、各个部门拥有自主储存、使用和传递共享的资源。
因此,电子政务专用网络内部也必须对各种信息的储存、传递和使用进行严格的权限管理和安全隔离。然而,如果仅仅采用传统的VLAN、防火墙、机密机、VPN等技术,一方面将极大的影响整体的信息交换网性能,另一方面,其安全隔离的效果也未必满足电子政务网络的需要。
利用交换机技术中网络隔离的特性,可以将整个网络划分为不同的网络安全域,安全域是由同一个管理器管理的一组安全主体和客体。具有相似权限的用户划分在同一网络安全域中,不同的安全域之间设立网络隔离点,采用认证/加密技术,实现有限可控的互连互通,有利于在保证整个系统安全性的同时,降低整个系统访问权限控制的复杂性,降低系统性风险。这是当前电子政务网络安全设计中较理想的解决方案之一。
黎明网络近几年来一直在从事多网络融合、多终端接入、多业务整合方面的工作,并研制了具有自主知识产权的iSwitch安全信息交换机。该产品采用的信息交换技术可以在各种不同的通信网络上构建全新的“信息交换网络”,在信息安全方面已经具备相当的基础,并期望通过各种有效的管理、授权、控制、审计等方面来实现信息网络的全面安全可控。
总体结构
整个安全可控信息交换网系统由三个逻辑部分组成:网关、信息交换网、管理。接入网关连接各种公共服务网,包括Internet网、GSM、PSTN、CATV等,它将不同公共服务网的通信协议转换成统一的信息交换网的XML协议。
运用到电子政务领域,服务网关连接政府内不同的应用系统,它对应用系统的数据进行业务封装,并转换成统一的XML数据格式传送给信息交换网。信息交换网为由信息交换机组成的网络,实现不同应用之间XML数据交换。安全管理系统定义整个信息交换网的安全策略,包括授权、验证、信任域、审计等策略,使整个系统的安全级别达到国家规定的第四级,即结构化保护级;业务管理系统实现政府内业务应用系统的业务接口定义、业务流程定义及控制,不同业务按照特定的流程就形成了向最终用户提供的综合服务;系统管理系统对整个系统的设备、网络、软件进行故障管理、配置管理、性能管理。安全可控的信息交换网实现了如下目标:
(1) 通过安全可控信息交换网将不同的网络连接在一起,形成资源共享,消除孤岛现象;
(2) 不同政府部门的内部网与公共网之间通过安全可控信息交换网形成网络隔离;
(3) 不同政府部门的不同内部网之间通过安全可控信息交换网形成网络隔离;
(4) 只有授权主体才能通过安全可控信息交换网从公共网访问内部网资源或者从一个内部网访问到另一个内部网资源;
(5) 安全可控信息交换网对通过它的信息进行合法性检查;
(6) 安全可控信息交换网对通过它进行信息交换的主体与客体进行访问控制、身份鉴别、审计。
我们可以用海关来类比说明信息交换网的工作原理。信息交换网相当于海关;通过信息交换网在不同内部网之间或内部网与公共网之间传送的信息相当于需要进出口的物品;这些信息经过转换后采用XML表示,XML相当于集装箱;对于企业、政府或金融机构提供的某项业务,其XML数据格式(即DTD)是事先定义的,这相当于报关单。只有合法的授权用户通过信息交换网访问内部网的信息,这相当于只有有进出口资格的企业才能通过海关进出口物品。
当用户或者进程通过公共网或者内部网访问另一个内部网的信息时,信息交换网首先要依据源地址和目的地址对访问信息的用户或进程进行身份验证并授权(此为登录过程),只有合法用户/进程才能进行后面的访问操作。信息交换机对通过它的每个数据包依据DTD文件进行合法性检查,依据权限列表进行权限控制,只有合法并且有权限的XML数据包才能通过。