基于批量处理的网间信息交换系统的设计与实现

马朝红，牛立栋

基于批量处理的网间信息交换系统的设计与实现

马朝红，牛立栋

（中国电子科技集团公司第五十四研究所，河北石家庄050081）

网间信息交换，是指不同网络之间的信息传递，是相互物理隔离的网络之间信息交互的基本方式。针对企业存在的多网物理隔离以及跨网应用的现状，基于批量处理的方法，对快捷安全的实现跨网信息交换方法进行研究，开发了一套用于实现网间信息快速交换的系统，大大方便了不同网络间的信息传递，大幅提高了交换效率。该系统已在企业得到实际应用，效果显著，满足了企业快速、安全信息交换的要求。

批量处理；信息交换；物理隔离；跨网

引用格式：马朝红，牛立栋.基于批量处理的网间信息交换系统的设计与实现［J］.无线电工程，2016，46（5）：68-71.

0 引言

随着企业信息化应用的不断广泛和深入，为适应不同的业务需求，特别是保密要求，企业会形成满足不同业务需求的相互隔离的网络平台［1］。一方面，从源头上杜绝了基于网络连接的信息泄密事件的发生，另一方面，造成网间信息传递的阻断，影响了业务的连续性。

部分企业为解决网间信息的传递，投入大量人力和物力，建立基于申请登记和光盘刻录的内外网数据交换管理机制［2］。这种交换管理机制完全基于手工操作，存在诸多不足：一是效率低下，每交换一次都需要纸质申请单多处流转，申请通过后还需将申请单送到交换中心，交换中心再按申请单进行逐个处理，大量的时间花在不必要的环节，工作效率低下；二是加大了成本支出，大量的人力花在交换的环节，单个申请单的处理浪费大量耗材；三是全手工操作带来过程信息不全，为后期审计带来困难。

如何确保在相互隔离的网络间实现信息的快速、安全传递，成为迫切需要解决的问题［3］。根据某大型企业的业务现状和保密要求，采用批量处理、快速分发以及接口集成等技术实现了一套网间信息交换系统，通过流程化、一体化的系统功能，能够满足网间信息的安全和自动化传输与分发需求。该系统采用B/S和C/S相结合的架构，方便使用和部署，基于SOA组件式架构与构件化开发［4］，易于扩展和集成，系统支持大附件传输、自动批处理、加密传输和接口集成等关键功能。

1 需求分析

网络物理隔离，较好地解决了网络连接带来的失泄密风险，但随之而来的是有大量信息需要跨网交换。目前该企业建立了专门的交换中心负责信息交换工作，但信息交换成本高，工作效率低。

1.1业务现状

为实现多个物理隔离网络间的数据交换，企业建立了相应的管理制度和工作流程，同时建立了相应机构，配置了工作人员，采用传统跨网数据交换工作方式，如图1所示。

首先由申请人发起全部单线串行处理，为方便申请人工作，往往在各个工作场所附近设置大量信息交换中间机和存储介质，每次进行信息交换都需要申请人现场通过存储介质进行数据拷贝和转储。需要通过人工登记的方式对信息交换过程进行登记，由主管领导进行审核并签署纸质单据，以满足保密管理和审计要求。根据保密要求，每个独立申请都需单独通过光盘一对一刻录的方式进行输入输出，并建立与申请审核记录相一致的台账。

图1　传统跨网数据交换工作场景

1.2 存在的问题

传统跨网数据交换过程非常繁琐［5］，需要提交信息交换的申请人、审核人及操作执行人等，相关人员投入大量精力进行手工操作，各单位也不得不同时配备相应的设备和资源提供支撑，很容易造成资源浪费，且存在较高的失泄密风险。主要在以下几个方面存在不足：

①较高资源消耗和浪费。需要进行交换的数据或文件结构复杂、种类繁多、用途和流向多样，很难进行集中管理，容易造成资源浪费，包括分散使用的存储介质和相关专用设备等。

②较高的管理成本。数据交换过程需要多种角色的人员反复干预，包括申请、审批、归类、拷贝、刻录和分发等必要环节，每个环节都需要进行人为跟踪记录和监督管理，需要耗费巨大的管理成本。

③较高的失泄密风险。过多的人为干预也使得数据交换过程中很容易被篡改，存在较大的保密安全隐患，有悖于保密安全管理的基本要求和管理目标。

随着信息化建设和应用水平的不断加强，各个相互独立网络上的业务应用将持续扩展和丰富，相应的信息交换需求将持续增加，上述问题将进一步突出和加剧［6］。

1.3 系统功能需求

为解决上述问题，实现高效快捷的信息交换［7-8］，系统需具有如下主要功能：

①支持方便的用户访问。采用WEB方式，用户可以在任何一台终端上登录该系统进行信息交换，无需安装客户端，方便用户随时随地进行信息交换。

②支持大附件稳定传输。支持断点续传，防止数据的丢失，支持超过2 GB的文件传输。

③历史文件重复下载。用户可以随时查看曾经导出文件的记录以及在指定时间内，不同地点重复下载历史文件。

④批量文件导出。对于每天来自各部门大量的交换申请，在导出工具中全部显示出来，支持自动刷新，中转人批量导出，节省大量的人力和时间。

⑤自动杀毒。文件导出后为保证文件的安全性，导出工具自动调用杀毒软件（360或者瑞星）进行杀毒，去除不安全因素，无需人为干预。

⑥文件大小计算。文件导出时，根据介质容量的大小自动计算文件容量，充分利用光盘的空间，防止资源的浪费。

⑦文件加密。对文件导出后的生成包进行加密，避免数据的中间操作，保证数据的安全性。

⑧批量邮件发送。待内网（外网）文件导出后，中转人在外网（内网）环境使用邮件发送工具将数据包解密、分解、导出。

⑨完整过程日志。对于交换过程的每一个行为保留完整日志记录，为安全审计和事后追责提供准确信息。

2 系统实现原理

网间信息交换系统运行机制如图2所示。在网络环境1中，应用服务器通过数据交换处理组件获取交换数据并传输给数据交换服务器。对于用户个人数据交换，该数据由个人数据流程组件产生，而系统数据交换则随着应用系统的运行自动产生。数据交换服务器组件监听并存储传输过来的数据，同时处理数据交换中心组件的打包请求，并发送交换数据到客户机。中转机构通过媒介将网络环境1中数据交换组件获取的数据包传输到网络环境2，并由数据中心组件将数据包分发给当前环境下的数据交换服务器，并由数据交换服务器组件进行存储。应用服务器的数据交换处理组件通过与数据交换服务器组件交互获取最新的交换数据并执行与转储。个人数据交换用户可以通过个人数据流程组件查看已经接收到的交换数据，而需要数据交换的业务系统则是在数据交换处理组件处理后实现了系统信息的同步［9］。

图2　网间信息交换系统运行机制

3 系统架构和组成

3.1 系统架构

网间信息交换系统物理架构如图3所示。

图3　网间信息交换系统物理架构

系统由个人数据流程组件、数据交换处理组件、数据交换服务器组件和数据交换中心组件4部分构成。其中，个人数据流程组件是以应用系统的形式部署在应用服务器，实现个人数据交换的流程管理；数据交换处理组件属于服务器组件，安装在各应用服务器，用来读取、执行和转储各类交换数据；数据交换服务器组件属于服务器组件，安装在数据交换服务器上，实现交换数据转储和任务管理；数据交换中心组件属于客户端组件，安装在中转机构的客户机上，用于数据的打包与分发。

3.2 系统组成

网间信息交换系统由个人数据流程组件、数据交换处理组件、数据交换服务器组件和数据交换中心组件4部分组成。

3.2.1 个人数据流程组件

个人数据流程组件实现用户个人交换数据的产生和查看，包括数据提交和数据接收。

数据提交：用户通过该组件将需要交换的数据和目标信息一并提交，依据审批流程完成审核工作，从而产生最终的交换数据。

数据接收：在数据交换完成后，用户通过该组件提供的用户界面读取接收的数据。

3.2.2 数据交换处理组件

数据交换处理组件实现了交换数据的获取与处理。

数据获取：通过与个人数据流程组件的接口获取个人交换数据并发送到数据交换服务器。

数据处理：将执行与转储从其他网络环境传输过来的数据，从而实现业务系统的同步和个人数据的接收。

3.2.3 数据交换服务器组件

数据交换服务器组件实现了当前网络环境发送的数据和从其他网络环境接收的数据的存储和分发。

发送数据的存储与分发：监听并存储当前网络环境的各应用服务器数据交换处理组件传输过来的交换数据，同时根据数据交换中心数据打包的任务请求，将封装好的数据发送过去。

接收数据的存储与分发：监听并存储数据交换中心组件分发出来的来自其他网络环境的交换数据，同时将最新的交换数据根据事先配置的数据交换路由信息和交换数据的目标信息，发送给各个应用服务器的数据交换处理组件。

3.2.4 数据交换中心组件

数据交换中心组件通过客户端的形式获取需要交换的数据并分发出去，共分为数据打包和数据分发两类客户端。

数据打包：交换中心通过数据打包客户端从数据交换服务器获取交换数据，并转化为数据包存储到本地，通过媒介传输出去。数据包中包含了相应的交换数据以及交换的目标信息，为数据的分发做准备。

数据分发：交换中心通过数据分发客户端，解析媒介传输过来的数据包，将相应的交换数据以及交换的目标信息发送给数据交换服务器。

4 结束语

本系统已在某大型企业得到成功应用，取得了很好的效果，彻底改变了手工操作工作效率低下、管理成本高的问题。仅4个工作人员就完全承担了企业全部的涉密网、非密网和互联网三网信息交换的处理任务，日处理申请单数量超过500个，效率提升近40倍，介质耗材的使用量减少到原来的1/40。同时规范了交换工作流程，详细的日志信息使得过程可审计，满足了保密管理要求。该系统支持多网间的信息交换，配置方式灵活简便。目前正在对该系统进行进一步的功能扩展，后续可作为跨网应用系统信息自动交互的平台支撑。

［1］ 段文奇，赵良杰，陈 忠.网络平台管理研究进展［J］.预测，2009，28（6）：1-6.

［2］ 涂海龙.数据交换技术及其Web应用研究［D］.武汉：华中科技大学，2011.

［3］ 谷 田.网络环境下的企业信息安全问题研究［D］.郑州：郑州大学，2012.

［4］ 王良骥.基于SOA的数据整合模式探讨［J］.科技和产业，2012，12（2）：144-146.

［5］ 聂元铭，韩惠良，顾力平.跨网数据安全交换技术研究［J］.计算机安全，2013（4）：50-52.

［6］ 李红生，尹福青，王一宁.浅析企业信息化战略步骤及应用［J］.信息技术与信息化，2009（6）：31-33.

［7］ 许国庆.信息交换中的信息安全问题研究［D］.南昌：南昌大学，2008.

［8］ 许 斌，蔡鸿明.一种基于事件处理的信息交换研究［J］.微型电脑应用，2013，30（6）：48-52.

［9］ 任开银，胡昊伟.分布式数据交换平台设计与实现［J］.计算机与数字工程，2013，41（11）：1 850-1 852.

Design and Implementation of Internetwork Information Exchange System Based on Batch Processing

MA Zhao-hong，NIU Li-dong
（The 54th Research Institute of CETC，Shijiazhuang Hebei 050081，China）

The internetwork information exchange refers to information transfer between different networks，and it is a basic mode of information interaction between networks which are isolated physically.In view of the present status of multi-network physical isolation and cross-network application in enterprises，this paper studies a fast and secure implement method of cross-network information exchange based on batch processing.A system of implementing fast internetwork information exchange is developed to provide convenience for information transfer of different networks and improve the exchange efficiency.The practical application results show that this system can meet the requirements of fast and secure information exchange in enterprises.

batch processing；information exchange；physical isolation；cross-network

U284.67+3

A

1003-3106（2016）05-0068-04

10.3969/j.issn.1003-3106.2016.05.18

2016-02-05

马朝红 女，（1963—），高级工程师。主要研究方向：计算机应用。

牛立栋 男，（1983—），工程师。主要研究方向：软件架构设计。