基于批量處理的網間信息交換系統的設計與實現

馬朝紅，牛立棟

基于批量處理的網間信息交換系統的設計與實現

馬朝紅，牛立棟

（中國電子科技集團公司第五十四研究所，河北石家莊050081）

網間信息交換，是指不同網絡之間的信息傳遞，是相互物理隔離的網絡之間信息交互的基本方式。針對企業存在的多網物理隔離以及跨網應用的現狀，基于批量處理的方法，對快捷安全的實現跨網信息交換方法進行研究，開發了一套用于實現網間信息快速交換的系統，大大方便了不同網絡間的信息傳遞，大幅提高了交換效率。該系統已在企業得到實際應用，效果顯著，滿足了企業快速、安全信息交換的要求。

批量處理；信息交換；物理隔離；跨網

引用格式：馬朝紅，牛立棟.基于批量處理的網間信息交換系統的設計與實現［J］.無線電工程，2016，46（5）：68-71.

0 引言

隨著企業信息化應用的不斷廣泛和深入，為適應不同的業務需求，特別是保密要求，企業會形成滿足不同業務需求的相互隔離的網絡平臺［1］。一方面，從源頭上杜絕了基于網絡連接的信息泄密事件的發生，另一方面，造成網間信息傳遞的阻斷，影響了業務的連續性。

部分企業為解決網間信息的傳遞，投入大量人力和物力，建立基于申請登記和光盤刻錄的內外網數據交換管理機制［2］。這種交換管理機制完全基于手工操作，存在諸多不足：一是效率低下，每交換一次都需要紙質申請單多處流轉，申請通過后還需將申請單送到交換中心，交換中心再按申請單進行逐個處理，大量的時間花在不必要的環節，工作效率低下；二是加大了成本支出，大量的人力花在交換的環節，單個申請單的處理浪費大量耗材；三是全手工操作帶來過程信息不全，為后期審計帶來困難。

如何確保在相互隔離的網絡間實現信息的快速、安全傳遞，成為迫切需要解決的問題［3］。根據某大型企業的業務現狀和保密要求，采用批量處理、快速分發以及接口集成等技術實現了一套網間信息交換系統，通過流程化、一體化的系統功能，能夠滿足網間信息的安全和自動化傳輸與分發需求。該系統采用B/S和C/S相結合的架構，方便使用和部署，基于SOA組件式架構與構件化開發［4］，易于擴展和集成，系統支持大附件傳輸、自動批處理、加密傳輸和接口集成等關鍵功能。

1 需求分析

網絡物理隔離，較好地解決了網絡連接帶來的失泄密風險，但隨之而來的是有大量信息需要跨網交換。目前該企業建立了專門的交換中心負責信息交換工作，但信息交換成本高，工作效率低。

1.1業務現狀

為實現多個物理隔離網絡間的數據交換，企業建立了相應的管理制度和工作流程，同時建立了相應機構，配置了工作人員，采用傳統跨網數據交換工作方式，如圖1所示。

首先由申請人發起全部單線串行處理，為方便申請人工作，往往在各個工作場所附近設置大量信息交換中間機和存儲介質，每次進行信息交換都需要申請人現場通過存儲介質進行數據拷貝和轉儲。需要通過人工登記的方式對信息交換過程進行登記，由主管領導進行審核并簽署紙質單據，以滿足保密管理和審計要求。根據保密要求，每個獨立申請都需單獨通過光盤一對一刻錄的方式進行輸入輸出，并建立與申請審核記錄相一致的臺賬。

圖1　傳統跨網數據交換工作場景

1.2 存在的問題

傳統跨網數據交換過程非常繁瑣［5］，需要提交信息交換的申請人、審核人及操作執行人等，相關人員投入大量精力進行手工操作，各單位也不得不同時配備相應的設備和資源提供支撐，很容易造成資源浪費，且存在較高的失泄密風險。主要在以下幾個方面存在不足：

①較高資源消耗和浪費。需要進行交換的數據或文件結構復雜、種類繁多、用途和流向多樣，很難進行集中管理，容易造成資源浪費，包括分散使用的存儲介質和相關專用設備等。

②較高的管理成本。數據交換過程需要多種角色的人員反復干預，包括申請、審批、歸類、拷貝、刻錄和分發等必要環節，每個環節都需要進行人為跟蹤記錄和監督管理，需要耗費巨大的管理成本。

③較高的失泄密風險。過多的人為干預也使得數據交換過程中很容易被篡改，存在較大的保密安全隱患，有悖于保密安全管理的基本要求和管理目標。

隨著信息化建設和應用水平的不斷加強，各個相互獨立網絡上的業務應用將持續擴展和豐富，相應的信息交換需求將持續增加，上述問題將進一步突出和加劇［6］。

1.3 系統功能需求

為解決上述問題，實現高效快捷的信息交換［7-8］，系統需具有如下主要功能：

①支持方便的用戶訪問。采用WEB方式，用戶可以在任何一臺終端上登錄該系統進行信息交換，無需安裝客戶端，方便用戶隨時隨地進行信息交換。

②支持大附件穩定傳輸。支持斷點續傳，防止數據的丟失，支持超過2 GB的文件傳輸。

③歷史文件重復下載。用戶可以隨時查看曾經導出文件的記錄以及在指定時間內，不同地點重復下載歷史文件。

④批量文件導出。對于每天來自各部門大量的交換申請，在導出工具中全部顯示出來，支持自動刷新，中轉人批量導出，節省大量的人力和時間。

⑤自動殺毒。文件導出后為保證文件的安全性，導出工具自動調用殺毒軟件（360或者瑞星）進行殺毒，去除不安全因素，無需人為干預。

⑥文件大小計算。文件導出時，根據介質容量的大小自動計算文件容量，充分利用光盤的空間，防止資源的浪費。

⑦文件加密。對文件導出后的生成包進行加密，避免數據的中間操作，保證數據的安全性。

⑧批量郵件發送。待內網（外網）文件導出后，中轉人在外網（內網）環境使用郵件發送工具將數據包解密、分解、導出。

⑨完整過程日志。對于交換過程的每一個行為保留完整日志記錄，為安全審計和事后追責提供準確信息。

2 系統實現原理

網間信息交換系統運行機制如圖2所示。在網絡環境1中，應用服務器通過數據交換處理組件獲取交換數據并傳輸給數據交換服務器。對于用戶個人數據交換，該數據由個人數據流程組件產生，而系統數據交換則隨著應用系統的運行自動產生。數據交換服務器組件監聽并存儲傳輸過來的數據，同時處理數據交換中心組件的打包請求，并發送交換數據到客戶機。中轉機構通過媒介將網絡環境1中數據交換組件獲取的數據包傳輸到網絡環境2，并由數據中心組件將數據包分發給當前環境下的數據交換服務器，并由數據交換服務器組件進行存儲。應用服務器的數據交換處理組件通過與數據交換服務器組件交互獲取最新的交換數據并執行與轉儲。個人數據交換用戶可以通過個人數據流程組件查看已經接收到的交換數據，而需要數據交換的業務系統則是在數據交換處理組件處理后實現了系統信息的同步［9］。

圖2　網間信息交換系統運行機制

3 系統架構和組成

3.1 系統架構

網間信息交換系統物理架構如圖3所示。

圖3　網間信息交換系統物理架構

系統由個人數據流程組件、數據交換處理組件、數據交換服務器組件和數據交換中心組件4部分構成。其中，個人數據流程組件是以應用系統的形式部署在應用服務器，實現個人數據交換的流程管理；數據交換處理組件屬于服務器組件，安裝在各應用服務器，用來讀取、執行和轉儲各類交換數據；數據交換服務器組件屬于服務器組件，安裝在數據交換服務器上，實現交換數據轉儲和任務管理；數據交換中心組件屬于客戶端組件，安裝在中轉機構的客戶機上，用于數據的打包與分發。

3.2 系統組成

網間信息交換系統由個人數據流程組件、數據交換處理組件、數據交換服務器組件和數據交換中心組件4部分組成。

3.2.1 個人數據流程組件

個人數據流程組件實現用戶個人交換數據的產生和查看，包括數據提交和數據接收。

數據提交：用戶通過該組件將需要交換的數據和目標信息一并提交，依據審批流程完成審核工作，從而產生最終的交換數據。

數據接收：在數據交換完成后，用戶通過該組件提供的用戶界面讀取接收的數據。

3.2.2 數據交換處理組件

數據交換處理組件實現了交換數據的獲取與處理。

數據獲取：通過與個人數據流程組件的接口獲取個人交換數據并發送到數據交換服務器。

數據處理：將執行與轉儲從其他網絡環境傳輸過來的數據，從而實現業務系統的同步和個人數據的接收。

3.2.3 數據交換服務器組件

數據交換服務器組件實現了當前網絡環境發送的數據和從其他網絡環境接收的數據的存儲和分發。

發送數據的存儲與分發：監聽并存儲當前網絡環境的各應用服務器數據交換處理組件傳輸過來的交換數據，同時根據數據交換中心數據打包的任務請求，將封裝好的數據發送過去。

接收數據的存儲與分發：監聽并存儲數據交換中心組件分發出來的來自其他網絡環境的交換數據，同時將最新的交換數據根據事先配置的數據交換路由信息和交換數據的目標信息，發送給各個應用服務器的數據交換處理組件。

3.2.4 數據交換中心組件

數據交換中心組件通過客戶端的形式獲取需要交換的數據并分發出去，共分為數據打包和數據分發兩類客戶端。

數據打包：交換中心通過數據打包客戶端從數據交換服務器獲取交換數據，并轉化為數據包存儲到本地，通過媒介傳輸出去。數據包中包含了相應的交換數據以及交換的目標信息，為數據的分發做準備。

數據分發：交換中心通過數據分發客戶端，解析媒介傳輸過來的數據包，將相應的交換數據以及交換的目標信息發送給數據交換服務器。

4 結束語

本系統已在某大型企業得到成功應用，取得了很好的效果，徹底改變了手工操作工作效率低下、管理成本高的問題。僅4個工作人員就完全承擔了企業全部的涉密網、非密網和互聯網三網信息交換的處理任務，日處理申請單數量超過500個，效率提升近40倍，介質耗材的使用量減少到原來的1/40。同時規范了交換工作流程，詳細的日志信息使得過程可審計，滿足了保密管理要求。該系統支持多網間的信息交換，配置方式靈活簡便。目前正在對該系統進行進一步的功能擴展，后續可作為跨網應用系統信息自動交互的平臺支撐。

［1］ 段文奇，趙良杰，陳 忠.網絡平臺管理研究進展［J］.預測，2009，28（6）：1-6.

［2］ 涂海龍.數據交換技術及其Web應用研究［D］.武漢：華中科技大學，2011.

［3］ 谷 田.網絡環境下的企業信息安全問題研究［D］.鄭州：鄭州大學，2012.

［4］ 王良驥.基于SOA的數據整合模式探討［J］.科技和產業，2012，12（2）：144-146.

［5］ 聶元銘，韓惠良，顧力平.跨網數據安全交換技術研究［J］.計算機安全，2013（4）：50-52.

［6］ 李紅生，尹福青，王一寧.淺析企業信息化戰略步驟及應用［J］.信息技術與信息化，2009（6）：31-33.

［7］ 許國慶.信息交換中的信息安全問題研究［D］.南昌：南昌大學，2008.

［8］ 許 斌，蔡鴻明.一種基于事件處理的信息交換研究［J］.微型電腦應用，2013，30（6）：48-52.

［9］ 任開銀，胡昊偉.分布式數據交換平臺設計與實現［J］.計算機與數字工程，2013，41（11）：1 850-1 852.

Design and Implementation of Internetwork Information Exchange System Based on Batch Processing

MA Zhao-hong，NIU Li-dong
（The 54th Research Institute of CETC，Shijiazhuang Hebei 050081，China）

The internetwork information exchange refers to information transfer between different networks，and it is a basic mode of information interaction between networks which are isolated physically.In view of the present status of multi-network physical isolation and cross-network application in enterprises，this paper studies a fast and secure implement method of cross-network information exchange based on batch processing.A system of implementing fast internetwork information exchange is developed to provide convenience for information transfer of different networks and improve the exchange efficiency.The practical application results show that this system can meet the requirements of fast and secure information exchange in enterprises.

batch processing；information exchange；physical isolation；cross-network

U284.67+3

A

1003-3106（2016）05-0068-04

10.3969/j.issn.1003-3106.2016.05.18

2016-02-05

馬朝紅 女，（1963—），高級工程師。主要研究方向：計算機應用。

牛立棟 男，（1983—），工程師。主要研究方向：軟件架構設計。