网闸技术在公路客户信息服务系统中的应用
扫描二维码
随时随地手机看文章
随着高速公路的快速发展,公路客运以其快捷、方便等优势成为公众出行的重要交通工具。国内省级公路客运服务企业均建有各自的公路客户信息服务系统,能够实现客车时刻查询、票务服务、车站广播系统等功能,但这些公路客户信息服务系统彼此独立、信息封闭、缺乏信息来源、服务效率低,难以实现综合信息服务效益。随着应用扩展和内外网信息的开放交互,公路客户信息服务系统能够在提供公共服务的同时确保内部专网安全,是该系统当前建设所面临的重要课题,而其核心就是网络信息安全:如何在公路客运生成网、公路客户服务网、公路客运办公网和互联网之间进行高速的信息交换与共享。借助网闸技术开发公路客户信息服务系统,具有客车时刻查询、票务服务、车站广播系统、旅客引导系统、车站服务热线、客户信息服务网站等功能,从而实现信息共享、统一服务、提高服务效率。
2 网闸技术
2. 1 网闸工作原理
网闸是一种由具有多种控制功能的专用硬件在电路上切断网络之间的链路层连接,能够在网络之间进行适度安全数据交换的网络安全设备。网闸系统主要由内网处理、外网处理和安全检测与控制处理3个模块组成,如图1所示。其中,内网处理模块负责内、外网信息获取和协议分析;而安全检测与控制处理模块则根据安全策略完成信息的安全检测、内外网络隔离和安全交换。其主要性能指标有:系统数据交换速率(120 Mb/s)和硬件切换时间(5 ms)。其安全功能模块具有安全隔离、内核防护、协议转换、病毒查杀、访问控制、安全审计、身份认证等功能。
由于互联网是基于TCP/IP协议实现连接,因此入侵攻击是依赖于OSI 7层数据通信模型的一层或多层,如果断开OSI数据模型的所有层,则可消除来自网络的潜在攻击。网闸正是依照该原理实现信息安全传递的,而不是依靠网络协议的数据包转发,只有数据的无协议“摆渡”,阻断了基于OSI协议的潜在攻击,从而保证系统安全。因此,网闸真正实现网络隔离,在阻断各种网络攻击的基础上,为用户提供安全的网络操作、邮件访问以及基于文件和数据库的数据交换。第二代网闸通过专用交换通道、高速硬件通信卡、私有通信协议和加密签名机制可实现高速、安全的内外网数据交换,使得处理能力大大提高,能够适应复杂网络对隔离应用的需求:而私有通信协议和加密签名机制保证内外处理单元间数据交换的机密性、完整性和可信性。因此,网闸具有更高的安全性和可靠性,通过内部控制系统连接两个独立网络,利用内嵌软件完成切换操作,并增加安全审查程序。作为数据传递“中介”,网闸在保证重要网络与其他网络隔离的同时能够安全交换数据。
2.2 网闸主要功能
针对内外网信息共享的类型和共享速度的需求,网闸主要包括以下功能:
(1)数据库访问提供客户端安全访问数据库服务器功能;
(2)文件交换文件交换模块在内、外网服务器指定目录或指定盘问进行单向或双向的文件隔离交换,包括格式检查、内容过滤、签名校验等;
(3)安全浏览提供内网用户安全上网功能。支持透明模式和非透明模式,即把网闸配置成网关设备和配置客户端代理;
(4)邮件交换在内、外网邮件服务器之间隔离交换邮件,内网用户安全收发外网邮件;
(5)数据库同步在内外网数据库之间进行数据同步。数据库同步代理根据用户设置定时启动同步任务,并按一定周期重复执行。如果周期设置为秒级,则可实现实时同步;
(6)ftp访问客户端可直接安全访问FTP服务器;
(7)邮件访问 用户直接安全访问邮件服务器。
3 网闸在公路客户信息服务系统的应用
公路客户信息服务系统应具备开放性、全方位的信息服务功能,同时采用网闸技术保证系统的安全性。
3.1 系统功能
该公路客户信息服务系统的功能包括:(1)客车开行查询,包括始发、通过以及主要中转站客车车次、始发和终点到站名以及时刻;(2)客车运行查询,包括当前位置、进停站位置及时间;(3)客票信息查询,包括客票余额、票价、预售天数及售票地点;(4)客车开行公告查询,新开行客车、临时开行客车、专线旅游客车等内容;(5)重要信息通知;(6)客车车票预订;(7)状态检测;(8)异常处理。
当客户系统正常工作时,安全物理隔离网闸通过状态检测技术动态记录、维护各个连接状态,并且在客户信息服务系统和外部访问机制之间插入检查模块,分析检测外部访问机制信息,以决定是否允许通过网闸。网闸的状态检测过程根据通信信息和其他应用程序获得的状态信息,动态生成过滤规则,根据新生成的过滤规则过滤新的通信。当新通信结束时,新生成的过滤规则将自动从规则表中删除。当检测到不安全数据访问时,网闸根据异常检测观察主体活动,然后产生描述这些活动的行为记录。每个行为记录均记录用户当前行为,并不定时地合并用户当前行为记录和存储行为记录。通过比较这两者记录判断异常行为。当网闸判断当前行为记录为异常时,则通过硬件隔离实现外部访问中断,系统及时恢复到检测异常之前的状态,并不断定位跟踪。
3.2 系统网络结构
该公路客运服务信息系统通过网闸隔离系统实现内部OA系统和直属单位联网协同管理平台的信息交互。通过门户网站、呼叫中心等技术实现对客户的信息服务。图2为系统网络结构。
该公路客户服务信息系统从两方面分别与其他相关信息系统进行数据交互:(1)从公路客票系统获得客车车次、客票信息,并完成客车车票预订交易;(2)从公路调度指挥系统获得客车到达和正点信息。为保证该系统信息安全,系统网络设计划分为外网、公路生成网和业务应用网。根据公路信息化建设对信息安全的相关要求,将三网间进行物理隔离,并满足信息传输共享。三网间信息交换包括客票、行车、服务查询等数据,这里选用具有120 M的数据交换带宽能力的网闸,同时配置简单实用的TCP/IP交换模块降低系统的复杂程度。网闸隔离实现:(1)在客运服务门户网站与公路客运呼叫中心系统之间所建立的网闸可实现内部系统的安全管理,客户数据的安全存储和访问;(2)在客票系统和调度系统与客运呼叫中心系统所建立的网闸用于安全控制外部访问系统,通过网闸使该系统实现客户端状态检测和异常处理。
3.3 系统软件设计
根据该公路客户服务信息系统的功能和网络安全要求,公路客户信息服务系统网络安全管理功能模块的软件结构如图3所示。
该系统软件数据流程如下:当需要公路客票系统信息时,业务应用首先查看业务数据缓冲池是否存在相应业务数据;如果有,则从缓冲池中获取数据;如果没有,则通过公路客票系统业务数据接口(Socket客户端)向公路客票系统业务数据接口(Socket服务端)发送数据请求。网闸外网模块将该数据请求经落地分析,进行“摆渡”,传输到内网。公路客票系统业务数据接口(Socket服务端)根据客户的应用数据请求,通过SQL语句从公路客票系统业务数据中获取相应数据。并通过Socket套接字向客户端提供数据。网闸的内网模块将业务数据包进行落地分析,传输到外网。公路客票系统业务数据接口(Socket客户端)获得业务数据,向业务应用提供,同时放入缓冲池以供复用。数据传输管理模块主要是对网闸的传输参数、数据缓冲策略、数据传输的日志等功能进行管理,提高模块的可靠性、可用性和扩展性。
4 应用实例
基于公路客户信息服务系统设计,开发了公路客户服务系统模拟实验室,在仿真测试环境下,公路客户信息服务系统的主要性能指标如表1所示。
该模拟实验室开发完成包括客运调度系统核心处理功能在内(客车车次、客票信息、客车车票预订交易、供电调度)的产品。客户信息服务系统基于Web服务与NET Framework平台,通过B/S方式实现对客车查询、客车跟踪、客流分析、统计分析、设备监控、视频监控、异常处理机信息发布等业务管理。
5 结论
目前国内外对公路客户信息服务系统的研究大多限于独立单位票务服务、向导揭示、广播系统、视频监控与客运统计报表等,而采用网闸技术设计开发公路客户信息服务系统则为创新点。该系统不仅提供基于物理隔离的安全保障,还具有高速的数据交换能力和较强的系统集成能力,满足公路客户信息服务系统应用需要。