网闸技术在铁路客户信息服务系统中的应用.pdf_第1页
网闸技术在铁路客户信息服务系统中的应用.pdf_第2页
网闸技术在铁路客户信息服务系统中的应用.pdf_第3页
网闸技术在铁路客户信息服务系统中的应用.pdf_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

第7卷 第3期 2007年6月 交通运输系统工程与信息 Journal of Transportation Systems Engineering and Information Technology Vol17No13 June2007 文章编号: 100926744 (2007) 0320060204 智能交通系统与信息技术 网闸技术在铁路客户信息服务系统中的应用 王富章 1 ,杨 静 2 ,沈海燕 3 ,蒋秋华 3 (1. 北京交通大学 交通运输学院,北京100044; 2.北京信息职业技术学院,北京100018; 3.铁道科学研究院 电子计算技术研究所,北京100081) 摘要: 针对铁路客户信息服务平台中实现内网外网信息传输的安全需要,首先介绍了 网闸技术的实现网络之间 “物理隔离” 的基本原理,并设计了实现铁路客运呼叫中心系 统的网络安全方案.经过工程应用证明,本方案具有设计简单、 隔离充分和传输效率高 等特点. 关键词: 网闸;客户信息服务;呼叫中心;网络安全 中图分类号: U29文献标志码: A Application of Net G ap in Railway Passenger Information Service System WANG Fu2zhang 1 ,Y ANGJing 2 , SHEN Hai2yan 3 , JIANGQiu2hua 3 (1. Shool of Traffic and Transportation , BeijingJiaotong University , Beijing 100044 , China; 2.Beijing Information Technology College , Beijing 100018 , China; 3. Institutes of Computer Technology , China Academy of Railway Sciences , Beijing 100081 , China) Abstract: It is required to protect the informations transferred between the interior2net and exterior2net of the Railway Customer Information Service Platform. In this paper , the“physical separation”principle of net2gap is pictured firstly , and on the base of net2gap , a new net security scheme for Railway Passenger Call2center System is designed. It is demonstrated that this scheme has the advantages of simple , fully separation and fast transmission. Key words: Net Gap ; passenger information service; call2center; network security CLC number : U29Document code: A 收稿日期:2007204208 作者简介:王富章(1969 - ) ,男,江苏人,北京交通大学交通运输学院博士研究生,主要研究方向为智能交通、 应急 管理、 网络安全. E2mail :wfzh rails. com. cn 0 引 言 现有铁路客户信息服务系统主要包括:车站广 播系统、 车站旅客引导系统、 车站服务热线,个别铁 路局开通了列车时刻查询和票务功能网站.这些 系统功能独立、 信息封闭、 信息来源缺乏、 服务效率 低下,难以形成综合信息服务效益. 铁路客户综合服务信息平台将综合集成车站 广播系统、 车站旅客引导系统、 车站服务热线和铁 路客户信息服务网站等系统,达到信息共享、 统一 服务、 提高服务效率等目的. 铁路客户综合信息服务平台研究中的一个主 要难题就是网络的信息安全问题:如何在铁路生产 网、 铁路客票网、 铁路办公网和互联网之间进行高 速的信息交换与共享. 1 网闸技术基本原理 随着互联网的不断发展,安全问题日益增多, 网络和信息安全问题不但越来越严重地威胁着国 家和政府的信息安全,而且也成为一个世界性的难 题 1 .仅仅依靠简单的安全措施,如:防火墙、 防病 毒等产品,不能够完全满足用户的安全需求. 网闸技术首先出现在国外,在上世纪90年代 中期俄罗斯人Ry Jones首先提出 “AirGap” 隔离概 念;其后,以色列首先研制成功物理隔离卡,实现网 络之间的安全隔离;其后,美国Whale Communica2 tions公司和以色列SpearHead公司先后推出了 e2Gap和NetGap产品,利用专有硬件实现两个网络 在不连通的情况下数据的安全交换和资源共享,从 而使安全隔离技术从单纯实现 “网络隔离禁止交 换” 的安全隔离发展到 “安全隔离和可靠交换” 的安 全隔离 2 ,4 . 2000年1月1日,国家保密局发布实施 计算 机信息系统国际联网保密管理规定,明确要求 “涉 及国家秘密的计算机信息系统,不得直接或间接地 与国际互联网或其它公共信息网络相连,必须实行 物理隔离”. 1. 1 技术原理 网闸技术的工作原理是模拟人工在两个隔离 网络之间的信息交换.其本质在于:两侧网络不能 直接连接,阻断两侧网络间TCPIP连接,使之不能 直接进行网络协议通讯,对传递的数据内容进行检 测,即实现 “协议落地、 内容检测”(见图1) . 网闸技术的系统架构主要由内网处理模块、 外 网处理模块和安全检测与控制处理模块三部分构 成.内网处理模块与内网相连,外网处理模块与外 网相连,内外网处理模块分别负责内外网信息的获 取和协议分析,安全检测与控制处理模块根据安全 策略完成信息的安全检测、 内外网络隔离和安全交 换.安全隔离与信息交换系统的设计思路和工作 模式源于采用人工手动进行数据传输的方式.从 而实现内外网络的安全隔离和信息交换 2 - 5 . 隔离交换模块采用专用的硬件设计,通过专有 信道,采用非网络协议实现与内外网模块的数据交 换,保证任意时刻内外网间没有链路层连接. 图1 网闸工作原理图 Fig.1 Net Gap schematic diagram 1. 2 网闸技术的主要功能 针对内外网信息共享的类型和共享速度的需 求,一般来说网闸主要包括以下的功能模块,根据 实际工程中应用的要求来选择. (1)文件交换. 文件交换模块可以在内外网服务器上指定目 录或指定盘之间进行单向或双向的文件隔离交换. 包括格式检查、 内容过滤、 签名校验等功能. (2)安全浏览. 提供内网用户安全上网功能.支持透明模式 和非透明模式,即可以把网闸配置成网关设备,形 成透明模式;也可以配置客户端代理,形成非透明 模式. (3)邮件交换. 在内外网邮件服务器之间进行邮件隔离交换, 内网用户可以安全地收发外网邮件. (4)数据库同步. 可以在内外网数据库之间进行数据同步.数 据库同步代理可根据用户设置定时启动同步任务, 并按一定周期重复执行.如果周期设置为秒级,则 可达到实时同步的效果. (5)套接字(Socket)访问. 提供客户端通过tcpip协议访问服务器的功能. (6) ftp访问. 提供客户端直接安全访问FTP服务器的功能. (7)数据库访问. 提供客户端安全访问数据库服务器功能. (8)邮件访问. 提供用户直接安全访问邮件服务器的功能. 16第3期网闸技术在铁路客户信息服务系统中的应用 2 铁路客户信息服务系统的安全设计 铁路客户信息服务系统实现的主要功能就是 通过门户网站、 呼叫中心等技术实现对旅客的信息 服务.信息服务的内容包括查询车次、 车站、 车票 等方面信息,实现车票预订等需求.铁路客户信息 服务系统结构如图2所示. 图2 铁路客户信息服务系统网络简图 Fig.2 Network of railway passenger information service system 客户详细的信息服务功能包括: 开行列车查询,包括始发、 通过以及主要中 转站列车车次、 始发和终到站名以及时刻. 列车正晚点查询,包括停靠站台. 客票信息查询,包括客票余额、 票价、 预售天 数及售票地点. 列车开行公告查询,新开行列车、 临客、 旅 游、 学生列等内容. 行包到达查询. 重要信息通知. 列车车票预定. 为了提供上述服务信息,从铁路客户信息服务 系统的总体结构图可以看出,该系统必须与铁路运 输生产的其它信息系统进行数据交互,包括: 从铁路客票系统中获得列车车次、 客票信 息,并完成列车车票预定交易; 从铁路行包系统中获取旅客行包的到达信息; 从铁路调度指挥系统中(TDCS)获得列车到 达和正晚点信息. 从对信息安全程度的要求来说,铁路客户信息 服务系统网络可划分为:外网、 铁路生产网和业务 应用网.根据铁路信息化建设对信息安全的相关 要求,必须将三者之间进行物理隔离. 为了既实现三网之间的物理隔离,又满足信息 传输共享的要求,因此在三网之间通过网闸来进行 安全隔离.三网之间信息交换主要是客票、 行车、 行包的数据,选择具有100M的数据交换带宽能力 的网闸就能够满足要求.同时配置简单实用的tcp ip交换模块降低了系统的复杂程度. 3 安全隔离的软件实现结构 根据硬件设备的功能和应用中对网络安全的 需求,铁路客户信息服务系统网络安全管理功能模 块的软件结构如图3所示. 软件的数据处理流程如下: (1)当需要铁路客票系统信息时,业务应用首 先查看业务数据缓冲池是否有相应的业务数据;如 果有,则从缓冲池中获取数据. (2)如果缓冲池中没有,则通过铁路客票系统 业务数据接口(Socket客户端)向铁路客票系统业 务数据接口(Socket服务端)发送数据请求. (3)网闸外网模块将该数据请求经过落地分 26交通运输系统工程与信息2007年6月 图3 铁路客户信息服务系统网络安全功能模块结构 Fig.3 Net security softwase architecture of railway passenger information service system 析,进行摆渡,传输到内网. (4)铁路客票系统业务数据接口(Socket服务 端)根据客户的应用数据请求,通过SQL语句从铁 路客票系统业务数据库中获取相应数据.并通过 Socket套接字向客户端提供数据. (5)网闸的内网模块将业务数据包进行落地 分析,传输到外网. (6)铁路客票系统业务数据接口(Socket客户 端)获得业务数据,向业务应用提供,同时放入缓冲 池用以复用. 数据传输管理模块主要是对网闸的传输参数、 数据缓冲策略、 数据传输的日志等功能进行管理, 提高模块的可靠性、 可用性和扩展性. 4 总结 本文应用网闸技术,提出了一种铁路客户服务 信息平台的网络安全设计方案,能够满足内网、 外 网既物理隔离又高速传输的要求.方案具有设计 简单、 内外网隔离充分、 数据传输效率高等特点. 通过在呼和浩特铁路局的应用,证明本技术方案具 有很好的安全性和经济实用性. 参考文献: 1 RossJ , Anderson. Security Engineering: A Guide to Build2 ing Dependable Distribute Systems M. John Wiley & Sons. Inc , 2003. 2 贺文华.物理隔离网闸及其在电子政务中的应用 J .湖南人文科技学院学报,2005 , 17 (5) :45 - 48 HE Wen2hua. The application of Gap in electronic admin2 istrationJ . Journal of Hunan Humanities Sciences and Technology , 2005 ,17(5) :45 - 48 3 刘建国.对安全隔离网闸若干问题的思考J .信息 安全与通信保密,2004 ,9:72 - 73LIU Jian2guo. Think2 ing about some issues of security2isolated network gateJ . China Information Security , 2004 ,9:72 - 73 4 陈幼平,等.一种安全隔离系统的设计与实现J . 东南大学学报,2005 , 21(1) :11 - 15CHEN Y ou2ping , et al. Design and realization of security physical isolation systemJ . Journal of Southeast Uni

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论