《XXX学校模拟软件实验室数据跨网络交换的解决方案(共12页).doc》由会员分享,可在线阅读,更多相关《XXX学校模拟软件实验室数据跨网络交换的解决方案(共12页).doc(12页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上XXX学校模拟软件实验室数据跨网络交换的解决方案2015年 月 日目 录一、 现状描述XXX学校模拟软件实验室(以下简称实验室)共有5台机器,为保护实验室的数据安全,将5台机器单独组成一个网络,未与其它网络连接,与其他网络之间的数据交换目前由人工使用介质进行操作,如下图所示:二、 需求分析由于模拟软件实验室的计算机上的数据属于敏感数据,其中在数据交换方面面临以下几个难点:1、 如数据摆渡频繁会加大工作人员的工作量和负荷;2、 网络之间摆渡的数据内容难以管控;3、 数据的摆渡行为无法形成日志,事后难以进行追查和审计;4、 摆渡数据所刻录的光盘在领取后无法监管,存在人为泄
2、密的可能性;由此我们分析,XXX学校模拟软件实验室对于跨网络的数据摆渡以下几点要求:1、 在保证局域网与外部网络的物理隔离的前提下能依靠自动化设备来进行数据摆渡;2、 所摆渡的文档数据能通过系统流程进行控制,即对数据的进出进行管控;3、 各种操作行为能形成日志记录便于事后审计;4、 单次传输文件的大小约为4G;5、 传输文件做加密处理;6、 刻录后的关盘监管及集中销毁三、 解决方案根据模拟实验室的现状和需求,在不改变目前网络物理隔离的前提下,我们建议在实验室网络与其他网络之间部署一套“四方蓝剑物理摆渡系统”,来实现跨网络的数据交换,示意图如下:如图所示,在两网之间部署一套四方蓝剑物理摆渡系统,
3、并将摆渡系统里的四台光驱分别与内网服务器和外网服务器相连,然后在服务器上安装摆渡系统所带的管理软件即可实现内外网的数据摆渡和管控。四、 方案介绍:4.1数据摆渡过程介绍(一)数据从内网到外网当实验室工作人员,需要从内网到外网摆渡数据时,具体的实现方式如下:1. 通过内网数据摆渡服务系统发起文件摆渡 ;l 操作员申请任务:当工作人员,需要传递数据时,使用操作员账号登陆摆渡系统,设置需要摆渡的“数据”并创建一个摆渡任务,把相应的“数据”所在位置和摆渡后对端目标位置填写正确后,将任务发起,并提交审核;l 审核员审核:登陆审核员用户,对摆渡任务进行审核;l 审核通过后,系统后台会自动完成下述工作:对工
4、作人员发起任务的数据内容依次进行收集、加密、分块、校验处理;将处理后的数据刻录到内网光驱的光盘中;2. 摆渡设备移动光盘到外网光驱l 摆渡设备中的机器人,会自动判断光驱的工作情况,当内网光驱完成数据刻录,并自动弹出光盘时,机器人会将光盘取出,并放置到外网光驱中。3. 外网前置机读取光盘数据;当机器人将光盘放置到外网光驱后,无需人工干预,外网前置机自动完成下述工作;l 将光盘中的数据问题自动读取出; l 对读取出来的数据进行校验和分块组装、解密l 最后将完整数据放置到指定的位置;(二)数据从外网到内网当实验室工作人员,需要从外网到内网摆渡数据时,具体的实现方式如下:1. 通过外网的数据摆渡服务系
5、统发起文件摆渡 ;l 操作员设定任务:使用操作员账号登陆摆渡系统,设置需要摆渡的“数据”并创建一个摆渡任务,把相应的“数据”所在共享目录和摆渡后对端目标位置、扫描间隔、收集容量、最多等待次数填写正确后发起任务;l 任务设定完毕后,系统后台会自动完成下述工作:对共享目录中的数据达到设定的量值或者时间间隔时,自动进行收集、加密、分块、校验处理;将处理后的数据刻录到外网光驱的光盘中;2. 摆渡设备移动光盘到内网光驱l 摆渡设备中的机器人,会自动判断光驱的工作情况,当外网光驱完成数据刻录,并自动弹出光盘时,机器人会将光盘取出,并放置到内网光驱中。3. 内网前置机读取光盘数据;当机器人将光盘放置到内网光
6、驱后,无需工作人员再做任何工作,内网前置机自动完成下述工作;l 将光盘中的数据问题自动读取出; l 对读取出来的数据进行校验和分块组装、解密l 最后将完整数据放置到共享目录中;五、 产品介绍 5.1四方蓝剑物理摆渡系统物理摆渡系统由光盘摆渡机器人、数据摆渡服务系统组成,其中光盘摆渡机器人为硬件,可安装在普通机柜或屏蔽机柜内,用于将原来由人工完成的刻录光盘-转移光盘-读取光盘等工作改为由机器人替代完成;数据摆渡服务系统为软件,分别安装于内网服务器和外网服务器,用于完成用户发起数据摆渡请求-审核员审核批准请求-调用光驱刻录或读取光盘-将摆渡的数据导入指定位置等工作。该产品在不改变内网与外网之间物理
7、隔离的前提下,采用光盘作为传输介质,通过机器人模拟人工行为,实现光盘介质的数据交换,该系统已获得公安部的认证和销售许可。物理摆渡系统硬件部分主要功能:) 通过机器人取放光盘:硬件中机器人控制器可通过采集、分析放置在各光驱下方的传感器系统所反馈的信号,来判断硬件当前所处的工作状态,控制机器人机构的运动,实现光盘的取放、关闭光驱等任务,进而实现光盘从连接外网服务器的光驱移动至连接内网的光驱,或者将光盘从连接内网服务器的光驱移动至连接外网服务器的光驱。)光驱自动弹出与闭合:光驱的弹出可由外网、内网上安装的数据刻录子系统分别自行控制,而光驱的关闭是由机器人机构通过末端执行器将光盘托架直接推回到光驱内,
8、因此控制过程中,机器人控制器同外网服务器、内网服务器之间没有任何的信号交互,也就保证了外网服务器、内网服务器之间仍然保持物理隔离的状态。物理摆渡系统软件部分主要功能:) 具有按角色和账号设置权限的功能:采用四权分离的机制,系统有操作员、审核员、管理员、审计员四种角色、各自拥有不同的权限,相互之间没有任何相同的权限。) 具有被摆渡文件的自动收集功能:简化了管理人员整理数据的工作量。用户只需要做好配置,被摆渡文件就会自动收集。对于收集好的数据,软件系统还会自动检验数据大小,并将数据分成可刻录光盘的数据块,经审批后或自动刻录到光盘上。) 定量摆渡和定时摆渡功能:摆渡方式可以支持三种,常规模式为“即时
9、任务”,当任务创建并审核通过后,立刻就进行数据文件的摆渡;在此基础上衍生出两种特殊需求的任务功能:“缓存任务”,当任务总量累计到600M文件大小时,该任务可自动执行,此功能为减少光盘的用量,提高工作效率使用;“定时任务”,设置任务的开始执行时间,当任务开始时间到达时,该任务可自动执行,此功能为解决需要重复执行的任务和夜间定期执行的任务。) 支持各类文件数据和主流数据库数据摆渡:目前,软件支持Oracle、SQL Server、MySQL等主流数据库,和Windows、Linux操作系统下的各类文件数据,并预留了扩展支持其它数据库和其它文件系统的处理接口。物理摆渡系统主要安全功能:(1) 网络物
10、理断开内网与外网之间具有物理断开机制,保障内网与外网之间没有任何可直接通信的通道,保证各光驱与摆渡机之间没有任何物理的数据和信号通道存在。(2) 电源隔离摆渡设备的直流电源模块由1块开关电源与4个光驱电源适配器构成,分别给外网刻录光驱/只读光驱、内网刻录光驱/只读光驱以及控制器主控板和电机驱动器供电,保证内网、外网、“摆渡区”之间不存在电气连接。(3) 分权管理策略对于每一个授权的系统账号,按照不同的职责、权限进行系统的使用,其中主要有四个角色的考量,管理员、操作员、审核员、审计员。具有管理员、操作员、审核员、审计员角色。其中管理员应能够对整个系统进行管理并具有分配用户和权限的能力,无法进行数
11、据交换和日志查阅;操作员具有对数据进行交换的能力,不具有管理系统和查看审计日志的能力,审计员具有查阅审计日志的功能。(4) 数据交互流程化所有需要传递的数据,都需要经过操作员发起,传递到审核员审核通过,再传递到操作员执行;规范了数据传递的标准动作,增强了数据交互管理的安全性。(5) 操作审核设置审核机制,在审核通过后,光盘刻录任务才能够被执行。(6) 访问授权与拒绝根据主体和客体的安全属性,提供明确的访问保障能力和拒绝访问能力。(7) 安全审计l 审计数据生成能对可审计事件生成一个审计记录:l 访问资源的行为对于每一个审计记录,记录以下信息:事件发生的日期和时间,事件的类型,主体身份和成功或失
12、败事件;l 可授权管理员能创建、存档、删除和清空审计记录;l 限制审计记录访问仅允许授权管理员访问审计记录。(8) 传输过程加密处理所有文件在传输前,系统进行自动加密处理,当到达对端时,进行解密,确保传输过程中的介质内容出于保密状态。(9) 身份鉴别l 鉴别数据初始化:根据规定的鉴别机制,提供授权管理员鉴别数据的初始化功能,并确保仅允许授权管理员使用这些功能。l 鉴别时机:在所有授权管理员请求执行的任何操作之前,应确保对每个授权管理员进行了身份鉴别。l 鉴别失败处理在经过一定次数的鉴别失败以后,终止进行登录尝试主机建立会话的过程。最多失败次数仅由授权管理员设定。(10) 光盘集中管理与销毁 由于用于数据摆渡的光盘统一由机器人丢弃于设备内置的废光盘仓,因此除管理人员其它人无法取走光盘,待废光盘仓满后由管理人员统一销毁。六、 设备部署清单 6.1四方蓝剑物理摆渡系统硬件环境:四方蓝剑物理摆渡设备1套、服务器2台、空余位置大于14U的机柜、隔板2块。软件环境:服务器操作系统(Windows 2008 Server R2/64Edition)。网络拓扑及地址分配:内网前置机需要一个内网地址;外网前置机需要一个外网地址。专心-专注-专业