[发明专利]跨安全区应用服务隔离平台

说明书

技术领域

本发明为一种基于物理隔离装置的安全数据服务平台，实现两个不互相连通的网络 区域之间的数据和信息的双向传递，属于电力系统自动控制技术领域。

背景技术

在电力系统网络划分为基于物理隔离装置的内、外网以后，两个区域的网络并不互 相连通而导致的数据和信息无法正常传递，从而使得电力系统原有的应用服务无法正常 使用。

为了保证原有系统能正常使用，应创建一个可以在安全区之间进行数据和信息传输 的平台，在《电力二次系统安全防护总体方案》规定的指导下，信息数据平台应采用多 种技术手段来保证系统及数据的安全，并在硬件、软件配置上提供对系统备份和快速恢 复的手段，保证系统的安全、稳定运行。

目前一些同步传输平台大多采用正常的TCP/IP方式，没有一个安全、可靠和高效率 的网络安全技术方案可以满足严格的网络信息安全要求和传输要求。由于技术上的复杂 性，有些网络同步技术方案还存在着运行不稳定和严重的设计逻辑错误，造成同步后的 数据不一致，丢失和破坏了数据的完整性，严重的甚至引起数据库运行不稳定，给数据 库应用和网络信息安全带来极大的危害。

发明内容

本发明所要解决的技术问题是在两个并不互相连通的网络中实现数据和信息安全、 稳定的双向传输，确保电力系统原有的应用服务正常使用。

本平台基于物理隔离装置的文件传输机制，提供了一种内外网信息传递的途径，通 过提供多种语言的API及SOCKET、FTP、WebService的接入方式，上层应用程序可以以 安全可控的方式在信息内外网之间交互应用数据，从而实现原有的应用系统在安全改造 之后的正常使用。对于数据库的同步，采用基于触发器的数据库双向同步模块通过在信 息外网建立信息内网的数据库的镜像，并且以准实时的方式将信息内网的数据库中的增 量数据同步到信息外网的镜像数据库中。从而实现了信息外网的应用程序对内网信息的 访问。

为实现上述目的，本发明采取以下技术方案进行实现的：

一种跨安全区应用服务隔离平台，其特征在于，包括以下各功能模块：

主动获取模块：用于主动获取外部数据源；

被动调用模块：用于调用外部应用服务的数据；

发送端接口模块：分别由主动获取模块和被动调用模块通过主动获取的方式或被动 调用的方式由外部数据源或者外部应用服务调用此接口并向其传输数据；所述接口模块 包括Socket、Webservice和各种API接口。

发送端应用认证模块：根据预先注册好的应用信息，对连接入接口的应用进行认证； 所述认证包括：应用ID和密码认证、IP地址认证(可通配)、网卡地址认证、连接时间 认证、关键字过滤认证。除了以上提到的用户名和密码是必须的之外，其他验证方式都 是可选，可以设置也可以不设置。

发送端数据缓冲模块：经过认证的数据进入数据缓冲模块，将所有的通过平台传输 的数据以文本的文件保存在某一个本地文件夹中。因此此流程是将各种数据保存成不同 的文本文件，用文件的名称和文件头作为应用的标识，而预先为不同应用设定好的文件 大小也会在这里起作用，可以将大数据量的文件拆分成若干小文件；

发送端完整性验证模块：用于文件保存以后验证某一次传输数据的完整性；

发送端文件传输模块：用于将完整的文本文件传输至摆渡文件夹中；

在传输数据文件时，根据预先设定好的流量限制进行传递，在某一时间段内最大传 输文件的数量会影响到每次传递文件的多少。

文件摆渡模块：由隔离装置的传输软件控制，负责定时地将发送端计算机文件夹下的

数据保存至接收端计算机的某一个文件夹下。

接收端文件传输模块：负责将数据从文件摆渡模块的摆渡文件夹传输至接收端缓存文 件夹；

接收端完整性验证模块：用于在传输时验证应用数据的完整性；

接收端应用认证模块：对接收的应用信息进行认证；所述认证包括：应用ID和密码 认证、IP地址认证(可通配)、网卡地址认证、连接时间认证、关键字过滤认证；

接收端接口模块：用于输出相应的数据，或通过主动推送模块、被动调用模块将相应 的数据发送到相应的外部数据源中。所述接口模块包括Socket、Webservice和各种API 接口。

主动推送模块：将相应的数据推送到相应的外部数据源中；