Ⅰ 什麼是數據安全交換系統
數據安全交換系統是一套設備高並發、高轉發、低延遲、安全可靠、可管理的數據包過濾與交換系統, 其主要適用於內、外網間的數據包隔離與交換。系統提供管理軟體,方便系統管理員對系統進行配置和維護。
互聯網+時代的來臨,電力公司的移動業務應用種類越來越多,業務使用范圍越來越廣泛。 但由於移動業務應用與傳統的信息化系統不同,需要在各種非辦公環境中進行業務處理, 其所要求的安全防護策略與其他桌面信息化系統截然不同。本產品將在信息內網與外網之間部署安全隔離組件, 在網路層對業務報文數據在通信協議、數據格式、敏感內容等方面進行控制與管理,屏蔽非法請求, 保障移動業務應用的數據安全,為移動應用的精細化管理提供完善的輔助支撐, 為電力企業用戶提供移動應用的運行安全保障,為電力企業量身打造更安全、更富有延展性的移動應用安全解決方案。
主要功能:在需要隔離的兩個網路之間構建一個數據交換的設備,一個雙方交互的隔離區。 實現兩個相互業務隔離的網路之間的數據交換,採用手段,數據凈化,保障內部網路的安全, 該設備自身將內外網鏈路層物理隔離,若外網設備被黑客攻破,黑客仍無法訪問內部網路設備, 從而提升了內部信息及網路的安全。
Ⅱ 存儲虛擬化的SAN系統組成
SAN是計算機工作者們為了優化DAS而提出的另一種設計思想,它並沒有試圖在功能上將應用服務和存儲服務完全解耦,而是希望伺服器與存儲設備之間通過專用光纖網路實現高速互連。如圖1所示,一個SAN系統通常包括伺服器連接器件、存儲網路連接器件、存儲設備和管理軟體四部分組成,其中存儲網路連接器件又可以細分為光纖通道集線器、光纖通道交換機和存儲路由器等設備。
圖1 SAN系統組成
從設計角度來看,只要購買一個NAS伺服器通過標准網路協議加入網路,就可以享受文件級的存儲服務了;但是如果打算採用SAN設計存儲網路的話,不僅需要購買伺服器連接器件、存儲網路連接器件、存儲設備和管理軟體,還需要事先規劃設計好存儲網路的拓撲結構。從使用上來看,SAN採用專用的光纖網路實現數據存取,能夠獲得高性能;而NAS伺服器與應用伺服器共用一套網路,性能比拼上明顯無法佔據上風。
可以看出,NAS和SAN各有所長,各有所短,實際使用中應該根據實際情況選擇合適自己的技術。近些年來,隨著主流NAS廠商開始向其NAS設備增加類似SAN的光纖通道和iSCSI功能,NAS和SAN之間的界限已經越來越模糊,也許不久的將來兩者將會迎來越來越多的重疊。
那麼到底是哪種技術,哪家廠商的方案是最佳的呢?哪種方案會成為存儲虛擬化大賽中的最終勝者呢?現在更多的專家認為,這場競賽沒有最後的贏家,越來越多人認為這三種技術應當結合使用。
如果我們把廠商和各自的虛擬化技術對號入座,那麼三個虛擬化陣營都各自有一些代表廠商。虛擬化應用陣營的代表有SVC、StorAge、NetworkAppliance設備以及NSS SED (Service-Enabled Devices)飛康。而在磁碟陣列和光纖通道陣營里,HDS、Sun、hp以及Acopia提供了多樣化的體系結構。交換機陣營則包括Invista、McData、Brocade、QLogic以及Cisco公司。
在虛擬化應用陣營中比較有代表性的廠商是飛康,飛康 NSS 是一款靈活的存儲虛擬化解決方案,能夠對整個企業內的存儲資源進行高效、經濟的供給和集中管理。飛康 NSS有助於最大化存儲利用率,降低總存儲成本和提高員工生產力。企業可以繼續利用現有的存儲投資,從而降低購置總成本 (TCO)。飛康 NSS 使 IT 管理員能夠根據業務應用程序服務級別協議 (SLA) 定義適當的業務持續性策略,從而實現更加面向服務的應用程序方法和數據可用性。
對於另外兩個陣營來說,由於McData,Brocade,Cisco等其他一些公司已經針對基於光纖通道虛擬化進行了一系列公司收購與合作,似乎不同類別方案之間的分界線已經變得模糊起來。其他兩個陣營中的廠商中有些也正在慢慢跨越自身的領域,即使目前來說並沒有真正完全的橫跨界限。
由於虛擬化性能、應用程序靈活性以及虛擬化引擎等諸多方面的問題,早期的存儲交換虛擬化和磁碟陣列虛擬化兩個陣營的提倡者廣受業界的質疑。最初執行虛擬存儲的廠商依賴那些基於現有組件的分布式解決方案或是基於埠的處理引擎來提供所需功能,應用設備虛擬化方案被認為是最易於配置的,但其往往有應用限制。因此一些廠商更傾向於存儲交換虛擬化,認為智能SAN虛擬化處理組件是下一代虛擬存儲的典範。
同樣,HDS針對應用虛擬化方案和網路交換虛擬化方案也作出了類似的批評。HDS認為他們的通用存儲平台(USP)是把虛擬化部署在存儲網路邊緣的存儲控制器,而不是部署在主機或是網路核心的交換機或應用設備,他們認為從性能和安全因素上說這是最佳位置。
而應用設備虛擬化的堅定支持者NetApp則認為通過應用設備在存儲網路上實現虛擬化是最好方案。NetApp公司發言人解釋:在選擇磁碟陣列方案後,存儲網路能給客戶提供最大的靈活性,不至於像TagmaStore通用存儲平台那樣把客戶鎖定在磁碟陣列的解決方案,既不需要那麼復雜,也不需要基於主機的虛擬化解決方案中客戶代碼帶來的成本。在存儲網路之內,應用設備可以靈活放置。
一個好的虛擬解決方案不要求對磁碟或存儲網路基礎架構進行任何改變。因此,需要和您的供應商進行討論來決定進行哪些改變才能夠測試和運行它們的虛擬解決方案。但是需要警惕的是一些解決方案要求企業購買新一代SAN交換機或新一代存儲控制器,而這樣做的目的僅僅是為了實現存儲虛擬。
Ⅲ 存儲轉發的存儲轉發交換方式
存儲轉發交換方式是交換機工作方式的一種形式;
就是當交換機接受到外部數據時,並不是立即進行轉發,而是先講數據在設備內存保存下來一份後,然後再將存儲的這份數據進行轉發,也就是傳輸。
這種方式會造成傳輸過程的時間上多一點(一般是毫秒計算,很小)。但是數據的安全性方面要好很多,不會出現數據丟失的現象!
1、線路交換(電路交換)
以電路聯接為目的的交換方式是電路交換方式。電話網中就是採用電路交換方式。我們可以打一次電話來體驗這種交換方式。打電話時,首先是摘下話機撥號。撥號完畢,交換機就知道了要和誰通話,並為雙方建立連接,等一方掛機後,交換機就把雙方的線路斷開,為雙方各自開始一次新的通話做好准備。因此,我們可以體會到,電路交換的動作,就是在通信時建立(即聯接)電路,通信完畢時拆除(即斷開)電路。至於在通信過程中雙方傳送信息的內容,與交換系統無關。
線路交換的特點:
1、獨占性:建立線路之後、釋放線路之前,即使站點之間無任何數據可以傳輸,整個線路仍不允許其它站點共享,因此線路的利用率較低,並且容易引起接續時的擁塞。
2、實時性好:一旦線路建立,通信雙方的所有資源(包括線路資源)均用於本次通信,除了少量的傳輸延遲之外,不再有其它延遲,具有較好的實時性;
3、線路交換設備簡單,不提供任何緩存裝置;
4、用戶數據透明傳輸,要求收發雙方自動進行速率匹配。
來源:網界網論壇
Ⅳ 簡述存儲轉發交換方式與線路交換方式的區別
1、原理不同:
線路交換的基本工作原理是:在數據傳輸期間,源結點與目的結點之間有一條由中間結點構成的專用物理連接線路,在數據傳輸結束之前,一直保持這條線路。
存儲轉發技術要求交換機在接收到全部數據包後再決定如何轉發,而直通轉發則是在交換機收到整個幀之前就已經開始轉發數據了,這樣可以有效地降低交換延遲。
2、過程不同:
線路交換希望通信的計算機之間必須事先建立物理線路(或者物理連接)。整個線路交換的過程包括建立線路、佔用線路並進行數據傳輸、釋放線路(線路拆除)三個階段。
存儲轉發是一種傳統的轉發方式,交換機啟動接收進程,開始收取幀,從"Preamble"欄位開始,一直到最後的CRC,當這個完整的幀收取完成,把收到的分組放入緩存,之後交換機開始啟動轉發進程,根據目標MAC地址來決定轉發策略。
3、數據交換速度不同:
存儲轉發交換方式支持不同速度埠間的轉換,保持高速埠和低速埠間協同工作。實現的辦法是將10Mbps低速包存儲起來,再通過100Mbps速率轉發到埠上。
線路交換方式的固定分配帶寬,資源利用率低,靈活性差;一般用於電話交換,但也可用於數據交換,用於數據交換時一般速率低於9.6kb/s。
Ⅳ 運用哪幾種方法可以解決存儲過程的數據安全問題
在這個信息爆炸的年代,現代人每天不論於公於私, 都面臨必須經手大量數字信息、 而在數據安全問題上會出現各種麻煩;另一方面, 隨著數據量的增加,人們對存儲認識程度也日益加深, 特別是企業對於存儲過程中數據安全問題尤為關注。一個穩定、 安全、可靠的存儲基礎架構對企業來說是必不可少的。 企業的信息系統不可避免地受到來自外界的安全危脅, 包括自然災害、網路、硬體、軟體等方面,也包括人員的操作失誤。 數據存儲的任何失誤都可能給企業帶來巨大的經濟損失。 隨著數據價值不斷提升,以及存儲網路化不斷發展, 數據遭受的安全威脅日益增多,若無存儲安全防範措施, 一旦攻擊者成功滲透到數據存儲系統中, 其負面影響將是無法估計的。這要求企業在特定存儲系統結構下, 從存儲安全性綜合考慮。 而企業在業務運作的過程中最常面臨的存儲安全問題, 主要是由自然災害,網路、硬體,人員的操作失誤這幾方面引起的。 自然災害導致數據存儲安全 首先,這個不是一個人為的行為, 大量的數據存儲在企業的伺服器存儲系統中, 業務在運營中由於停電或是數據傳輸過程中的線路突然短路導致的數 據的丟失情況,對於企業是一個不小的損失,在這種狀態下, 由於自然災害原因導致企業數據的丟失可以說對於一個企業的數據信 息是一個很大的安全威脅,系統的正常運行,資料庫的合理優化, 操作人員的完善的操作程序都確保數據的穩定安全,而突發的停電、 火災以及後備電源的不到位對於中小企業是時常面臨的問題, 同時數據的存儲安全成為面對該情況時必須要解決的問題, 也是企業及時需要應對的措施,保證數據的安全, 但如何面對該情況應對企業數據的存儲安全呢? 網路硬體 其次, 企業數據的硬體環境方面的問題也會導致存儲過程中數據安全, 眾所周知信息化快速發展的今天,硬體的更新換代速度之快, 從而使得企業的傳統的存儲環境已經難以應對如今海量的數據需求, 企業也要升級換代才可以適應現在數據存儲的環境要求。 硬體環境的老化導致傳輸速率的降低, 同時網路的優化也需要良好的硬體環境作為基礎, 在傳輸數據的過程中如果數據量過於龐大, 而企業的硬體環境沒有改善那麼網路的延遲導致系統的崩潰, 從而丟失數據會造成巨大的經濟損失,而對於這些方面, 就需要企業根據業務發展的需要有針對性地升級存儲伺服器的配置, 提高網路的良性環境,保證存儲過程數據安全。 人員的操作失誤 「金無足赤,人無完人」 是對於當今任何企業在數據管理人員方面的一句良言, 每個人在工作的過程中不可避免的犯錯誤或者在操作上失誤, 特別是對於從事資料庫管理工作的人員,數據量之大, 系統運行之繁瑣,都會給工作中帶來不必要的失誤, 從而對於企業的數據上的安全和完整性存在危脅, 同時中小企業的數據管理人員還肩負存儲系統的運維工作, 這就對其數據存儲過程中的安全性提出了更高的要求, 面對著企業存儲過程數據安全問題,應該如何的解決, 採取什麼樣的措施保證數據的安全是擺在每個企業面前的主要問題, 數據是企業運營的核心, 強大的數據的支持保障企業在市場中能夠乘風破浪, 如何解決存儲過程數據安全問題, 下面針對以上的問題給以簡單的建議。 一般而言,解決存儲過程中的數據安全問題, 企業有很多可以採用的方案: 異地備份可以避免發生自然災害時的數據損失;採用RAID( 獨立磁碟冗餘陣列)可以減少磁碟部件的損壞;採用鏡像技術 可以減少存儲設備損壞;快照可以迅速恢復遭破壞的數據, 減少宕機損失。 而這些技術採用可以很好的應對企業面臨的自然災害,網路、硬體, 人員的操作失誤這幾方面引起的數據的安全問題。 異地備份 異地備份是保護數據的最安全的方式,無論發生什麼情況自然災害, 那怕是火災、地震,當其他保護數據的手段都不起作用時, 異地容災的優勢就體現出來了,異地備份問題在於速度和成本, 這要求擁有足夠帶寬的網路連接和優秀的數據復制管理軟體。 通常狀態下主要三方面實現異地備份,一是基於磁碟陣列, 通過軟體的復制模塊,實現磁碟陣列之間的數據復制, 這種方式適用於在復制的兩端具有相同的磁碟陣列。 二是基於主機方式,這種方式與磁碟陣列無關。 三是基於存儲管理平台,它與主機和磁碟陣列均無關。 RAID RAID系統使用許多小容量磁碟驅動器來存儲大量數據, 並且使可靠性和冗餘度得到增強。對計算機來說, 這樣一種陣列就如同由多個磁碟驅動器構成的一個邏輯單元。 所有的RAID系統共同的特點是「熱交換」能力: 用戶可以取出一個存在缺陷的驅動器,並插入一個新的予以更換。 對大多數類型的RAID來說,不必中斷伺服器或系統, 就可以自動重建某個出現故障的磁碟上的數據。 鏡像 這個技術是針對如果故障發生在異地分公司,可以使用鏡像技術, 進行不同卷的鏡像或異地卷的遠程鏡像, 或採用雙機容錯技術自動接管單點故障機, 保證無單點故障和本地設備遇到不可恢復的硬體毀壞時, 仍可以啟動異地與此相同環境和內容的鏡像設備, 以保證服務不間斷。當然,這樣做必然會提升對設備的投資力度。 快照 在數據保護技術中,快照技術(snapshot) 是極為基礎和熱門的技術之一,應用在很多存儲過程中, 比如數據復制和備份都在使用這種技術。 IBM的FlashCopy、IBM NAS的PSM軟體以及VERITAS的FlashSnap軟體 都是快照技術的代表。快照可以迅速恢復遭破壞的數據, 減少宕機損失, 可以針對與資料庫管理人員在操作中的失誤進行數據恢復。 綜述: 對於企業在存儲過程中的數據安全問題,還有很多解決的方案, 存儲安全固然十分重要, 但是存儲安全只是數據中心整個安全解決方案的一個組成部分。 安全是一個內涵很廣泛的話題, 存儲在業務流程中扮演的並非是主角,但確實是關鍵角色, 因為存儲包含了公司絕大部分記錄,如果沒有存儲, 很多業務流程將沒法繼續。因此, 對於面對存儲過程數據安全問題每個企業應該注視起來, 投入更多的精力,數據是一個企業的核心競爭力, 安全強大的數據是企業騰飛的保證,存儲技術的發展, 硬體環境的完善相信會給企業數據安全無疑提供強有力的支持。
Ⅵ 簡述防火牆設備與安全隔離與信息交換系統的區別是什麼
安全隔離的一個特徵, 就是內網與外網永不連接, 內部主機和外部主機在同一時間最多隻有一個同固態存儲介質建立非下協議的數據連接。其數據傳輸機制是存儲和轉發。而防火牆如同一堵帶有安全門的牆,可以阻止外界對內部網資源的非法訪問和通行合法訪問,也可以防止內部對外部網的不安全訪問和通行安全訪問。網路只是信息交換的一種方式,沒有網路照樣可以進行信息交換。例如數據文件復制(拷貝)、數據擺渡,數據鏡像,數據反射等等。
綜上所述,防火牆設備是阻止非法訪問的,而安全隔離是內網與外網永遠不連接,信息交換只是數據間的交換。
Ⅶ 數據交換系統是什麼,有什麼作用
數據交換平台是指將分散建設的若干應用信息系統進行整合,通過計算機網路構建的信息交換平台,它使若干個應用子系統進行信息/數據的傳輸及共享,提高信息資源的利用率,成為進行信息化建設的基本目標,保證分布異構系統之間互聯互通,建立中心資料庫,完成數據的抽取、集中、載入、展現,構造統一的數據處理和交換。
Ⅷ 內外網數據交換問題
以前可能很難解決,不過現在可以通過增加一個網間數據安全交換系統,比如聯軟的UniNXG,系統強大,功能比較完善。而且操作界面也十分友好。
Ⅸ 如何保障SAN安全 在交換機上實現存儲安全
FC、IP網路的安全性
不論是光纖通道還是IP網路,主要的潛在威脅來自非授權訪問,特別是管理介面。例如,一旦獲得和存儲區域網路(SAN)相連接伺服器管理員的許可權,欺詐進入就可以得逞。這樣入侵者可以訪問任何一個和SAN連接的系統。因此,無論使用的是哪一種存儲網路,應該認識到應用充分的許可權控制、授權訪問、簽名認證的策略對防止出現安全漏洞是至關重要的。
測錯攻擊在IP網路中也比在光纖通道的SAN中易於實現。針對這類攻擊,一般是採用更為復雜的加密演算法。
盡管DoS似乎很少發生,但是這並不意味著不可能。然而如果要在光纖通道SAN上實現DoS攻擊,則不是一般的黑客軟體所能實現的,因為它往往需要更為專業的安全知識。
實現SAN數據安全方法
保證SAN數據安全的兩個基本安全機制是分區制zoning和邏輯單元值(Logical Unit Number)掩碼。
分區制是一種分區方法。通過該方法,一定的存儲資源只對於那些通過授權的用戶和部門是可見的。一個分區可以由多個伺服器、存儲設備、子系統、交換機、HBA和其它計算機組成。只有處於同一個分區的成員才可以互相通訊。
分區制往往在交換級來實現。根據實現方式,可以分為兩種模式,一為硬分區,一為軟分區。硬分區是指根據交換埠來制定分區策略。所有試圖通過未授權埠進行的通訊均是被禁止的。由於硬分區是在系統電路里來實現,並在系統路由表中執行,因此,較之軟分區,具有更好的安全性。
在光纖通道網路中,軟分區是基於廣域命名機制的(WWN)的。WWN是分配給網路中光纖設備的唯一識別碼。由於軟分區是通過軟體來保證在不同的分區中不會出現相同的WWNs,因此,軟分區技術比硬分區具有更好的靈活性,特別是在網路配置經常變化的應用中具有很好的可管理性。
有些交換機具有埠綁定功能,從而可以限制網路設備只能和通過預定義的交換埠進行通訊。利用這種技術,可以實現對存儲池的訪問限制,從而保護SAN免受非授權用戶的訪問。
另一種被廣泛採用的技術是LUN掩碼。一個LUN就是對目標設備(如磁帶和磁碟陣列)內邏輯單元的SCSI識別標志。在光纖通道領域,LUN是基於系統的WWN實現的。
LUN掩碼技術是將LUN分配給主機伺服器,這些伺服器只能看到分配給它們的LUN。如果有許多伺服器試圖訪問特定的設備,那麼網路管理者可以設定特定的LUN或LUN組可以訪問,從而可以拒絕其它伺服器的訪問,起到保護數據安全的目的。不僅在主機上,而且在HBA、存儲控制器、磁碟陣列、交換機上也可以實現各種形式的LUN屏蔽技術。
如果能夠將分區制和LUN技術與其它的安全機制共同運用到網路及其設備上的話,對網路安全數據安全將是非常有效的。
業界對存儲安全的做法
盡管目前對於在哪一級設備應用存儲安全控制是最優的還沒有一個明確的結論,例如,IPSec能夠在ASIC、VPN設備、家電和軟體上實現,但目前已有很多商家在他們的數據存儲產品中實現了加密和安全認證功能。
IPSec對於其它基於IP協議的安全問題,比如互聯網小型計算機介面(iSCSI)、IP上的光纖通道 (FCIP)和互聯網上的光線通道 (IFCP)等,也能起到一定的的作用。
通常使用的安全認證、授權訪問和加密機制包括輕量級的路徑訪問協議Lightweight Directory Access Protocol (LDAP)、遠程認證撥入用戶服務(RADIUS), 增強的終端訪問控制器訪問控制系統(TACACS+)、Kerberos、 Triple DES、高級加密標准(AES)、安全套接層 (SSL)和安全Shell(SSH)。
盡管SAN和NAS的安全機制有諸多相似之處,其實它們之間也是有區別的。很多NAS系統不僅支持SSH、SSL、Kerberos、RADIUS和LDAP安全機制,同時也支持訪問控制列表(ACL)以及多級許可。這裡面有一個很重要的因素是文件鎖定,有很多產品商家和系統通過不同的方式來實現這一技術。例如,微軟採用的為硬鎖定,而基於 Unix的系統採用的是相對較為鬆弛的建議級鎖定。由此可以看到,如果在Windows-Unix混合環境下,將會帶來一定的問題。
呼喚存儲安全標准化
SAN安全的實現基礎在交換機這一層。因此,存儲交換機的標准對網路產品製造商的技術提供方式的影響是至關重要的。
存儲安全標准化進程目前還處於萌芽階段。ANSI成立了T11光纖通信安全協議(FC-SP)工作組來設計存儲網路基礎設施安全標準的框架。目前已經提交了多個協議草案,包括FCSec協議,它實現了IPSec和光纖通訊的一體化;同時提交的還有針對光纖通訊的挑戰握手認證協議(CHAP)的一個版本;交換聯結認證協議(SLAP)使用了數字認證使得多個交換機能夠互相認證;光纖通信認證協議(FCAP)是SLAP的一個擴展協議。IEEE的存儲安全工作組正在准備制定一個有關將加密演算法和方法標准化的議案。
存儲網路工業協會(SNIA)於2002年建立了存儲安全工業論壇(SSIF),但是由於不同的產品商支持不同的協議,因此實現協議間的互操作性還有很長一段路要走。
關注存儲交換安全
大家都已經注意到了為了保證存儲安全,應該在存儲交換機和企業網路中的其它交換機上應用相同的安全預警機制,因此,對於存儲交換機也應有一些特殊的要求。
存儲交換安全最重要的一個方面是保護光纖管理介面,如果管理控制台沒有很好的安全措施,則一個非授權用戶有可能有意或無意地入侵系統或改變系統配置。有一種分布鎖管理器可以防止這類事情發生。用戶需要輸入ID和加密密碼才能夠訪問交換機光纖的管理界面。為了將SAN設備的管理埠通過安全認證機制保護起來,最好是將SAN配置管理工作集中化,並且對管理控制台和交換機之間的通訊進行加密。另外一個方面,在將交換機接入到光纖網路之前,也應該通過ACL和 PKI機制實現授權訪問和安全認證。因此,交換機間鏈接應當建立在嚴密的安全防範措施下。
Ⅹ 數據交換系統的功能特性
數據交換系統用於不同安全級別的網路之間進行安全採集、傳輸數據問題,並提供可審計、過程可視化、內容級安全過濾檢查等功能保證數據交換安全性,同時提供多種資料庫、文件的採集和交換,滿足多種應用場景需求的一套成熟的解決方案。 A. 安全數據採集
以從低安全網路/域(簡稱之為「外網」)向高安全網路/域(簡稱之為「內網」)為例,數據採集的方式,常見的C/S架構中,一般都在Server端開放固定的埠,然後由Client端主動推送數據,以達到數據採集的目的。
但在安全上,開放埠,就意味著被攻擊、被入侵,木馬、病毒感染等危害,故我們一般認為,一個系統上,開放的埠數量和它的安全性是成反比的。
為保證安全性,數據交換系統一般採用主動方式獲取數據,即以Client端的身份主動向相應的伺服器獲取數據,這樣避免開放固定埠,安全性得到了保證。
B. 安全的數據傳輸
為保證數據交換系統UAS和TAS之間數據交換的保密性,一般通過兩類方式,一種是UAS和TAS之間使用私有協議傳輸數據,由於私有協議不對外公布,只是內部使用,其安全性能得到保證。
另外,使用對稱加密演算法,如DES、3DES、AES等加密演算法對數據加密傳輸,即使數據被竊取,也沒有可讀性,保證安全性。但加密會較大影響速度,增加延遲,故適應交換數據量適中、延遲敏感性不太強的場景。
C. 細粒度的安全檢查
為保證內網安全,對傳輸至內網的數據要進行細粒度的安全檢查,常見的有數據落地病毒查殺,細粒度的內容過濾、安全格式檢查等,保證應用數據傳輸的安全性。
這樣保證了僅傳輸規定的數據類型、數據格式,並保證傳輸的數據的安全性。如果內部串聯安全隔離網閘,將剝離所有的通訊協議,使得攻擊、木馬等失去生存的空間,安全性得到極大的提升。
D. 細粒度的審計管理能力
安全產品一般都提供一定的審計功能,數據交換系統也不例外,系統提供詳細的深度日誌審計功能,細粒度到行級日誌的記錄,嚴密把關對資料庫的操作,深度發掘誤操作或sql注入等應用安全威脅。
一般還可提供完善的業務統計能力及報表展現功能,不同廠家的側重點不一。但功能一般都具有。 數據交換系統不僅需要高安全性,還需要滿足高穩定性、高性能而全面的業務支持能力。
a) 高性能、高穩定性
數據交換系統為適應高性能、高穩定性的數據支持,除了在硬體上採用64位技術,多核CPU等支持,在操作系統上進行精簡優化,經一步提升效率,在軟體層面上採用帶寬管理、內存管理、任務優先順序等技術提升數據交換系統效率和性能。
據統計,數據交換系統在最典型的資料庫數據交換上,能達到2000條/秒的級別,為使用純安全隔離網閘的20倍以上,文件交換也能是純安全網閘的兩倍以上,業務性能上大幅提升,穩定性也得到了保障。
b) 全面的業務支持能力
業務場景的日益復雜化,要求數據交換系統需要有完善的業務支持能力,一般要求對主流的操作系統(Unix、AIX、Linux、Windows)下的主流的文件伺服器(FTP、Samba等)和資料庫伺服器(Oracle、Sql Server、DB2、Sybase、Mysql等)。
一般還具有主流協議的代理功能,如TCP、FTP、TNS、UDP、SOCKS等協議的授權代理功能。