移动应用平台与内外网数据安全交换平台集成系统的制作方法

本发明涉及互联网技术领域，特别是涉及一种移动应用平台与内外网数据安全交换平台集成系统。

背景技术：

随着企业信息化的不断发展，内外网业务系统交互不断加快，互联网开放性带来的信息安全问题日益突出，采用以防火墙、网闸为核心的网络边界防御体系已经不能满足信息系统建设的安全需求。根据国家信息安全等级保护、信息安全管理技术标准与规范的有关要求，在企业信息化发展过程中建设内外网数据安全平台，能够有效地减少泄密渠道，切断攻击路径，阻断病毒传播途径，预防信息窃听、信息篡改等黑客攻击行为，强化互联网接入的全面监控，从而实现内外网业务系统的数据安全交换，确保内网核心应用不受到来自互联网的安全威胁，提高企业信息安全防护水平。

内外网数据安全交换平台是部署于信息外网与信息内网之间平台，向互联网提供服务的信息外网业务区与信息内网间数据交换的通道，实现信息外网与信息内网之间的逻辑强隔离，并为应用系统提供信息外网与信息内网之间的数据安全交换功能。内外网数据安全交换平台能够有效地减少信息内网数据泄露风险，切断来自互联网的网络攻击路径，阻断病毒传播途径，预防信息窃听、信息篡改等黑客攻击行为，确保信息内网关键应用系统和重要数据不受到来自互联网的安全威胁，保障内网信息安全。

目前，常用的内外网数据安全交换平台主要由数据库隔离装置、安全隔离交换装置和边界防护组件构成，并通过平台集中管理系统实现统一管理。内外网数据安全交换平台在信息内网与信息外网之间提供四种业务数据交换逻辑通道，包括：

(1)结构化数据交换通道：结构化数据指存储在传统关系型数据库里，遵循标准的数据结构，可以用二维表结构来逻辑表达实现和理解的数据。结构化数据交换通道是内外网数据安全交换平台为应用系统提供的专用于实现结构化数据交换的逻辑通道。结构化数据交换通道由应用数据交换单元创建和管理。

(2)非结构化数据交换通道：非结构化数据指相对于结构化数据而言，不方便用数据库二维逻辑表来表现的数据，包括所有格式的办公文档、文本、图片、各类报表、图像和音频/视频信息等等。非结构化数据交换通道是内外网数据安全交换平台为应用系统提供的专用于实现非结构化数据交换的逻辑通道。非结构化数据交换通道由应用数据交换单元创建和管理。

(3)定制协议数据交换通道：定制协议数据是一种基于SOAP数据传输格式封装的混合数据类型，以XML形式编码封装并通过HTTP协议进行传输，支持混合的数据类型，包括短信息、结构化数据、非结构化数据、自定义数据及以上数据类型的混合数据。定制协议数据交换通道是内外网数据安全交换平台为应用系统提供的专用于实现定制协议数据交换的逻辑通道。定制协议数据交换通道由定制协议交换单元创建和管理。

(4)高强度安全交换通道：实时请求/响应数据是包含SQL、WebService等应用层协议操作命令及其响应信息的数据类型。高强度安全交换通道是内外网数据安全交换平台为应用系统提供的专用于内外网实时请求/响应数据交互的高强度安全逻辑通道。高强度安全交换通道由高强度安全交换单元创建和管理。

由于内外网数据安全交换平台只提供具体的几种业务数据交换逻辑通道，因此可实现业务系统与内网数据安全交换平台文件传输、数据库、WebService、进程间绑定这几种集成方式，数据通道的局限性导致外部业务应用系统与内网数据交换平台的无法实现快速集成，与内网核心业务系统的数据交互能力不足，效率较低。随着业务需求的不断更新，移动业务系统无法快速部署或者已有业务系统集成需要经过大量的二次开发，使得开发建设成本增加，管理维护难度加大，不利于业务的开展，也存在一定的安全隐患。

技术实现要素：

基于此，有必要针对上述问题，提供一种移动应用平台与内外网数据安全交换平台集成系统，减少对已有业务系统的二次开发，提升外网业务应用系统部署能力。

一种移动应用平台与内外网数据安全交换平台集成系统，包括：依次连接的外网业务应用系统、前置服务器、内外网数据安全交换平台、后置服务器和内部核心业务系统；

所述外网业务应用系统连接移动应用平台；

所述前置服务器连接移动应用平台的外网业务应用系统，用于提供接口供外网业务应用系统的引擎服务调用，以及提供接口服务供所述内外网数据安全平台调用，数据格式转换和与所述内外网数据安全平台进行数据对接；

所述后置服务器通过企业服务总线连接到内部核心业务系统，以及提供接口供内外网数据安全平台调用，数据格式转换和与所述内外网数据安全平台进行数据对接；

所述内外网数据安全交换平台，用于建立互联网与信息内网之间的数据交换安全管控和网络隔离防御，抵御互联网的网络攻击。

上述移动应用平台与内外网数据安全交换平台集成系统，通过部署前置和后置服务，摆脱内外网数据安全交换平台数据通道的局限性，完成应用平台与内外网数据安全交换平台快速集成，实现内外网协议转换，既保证了数据传输实时高效，又保证了交换过程安全可靠。在建立互联网与信息内网之间数据交换安全管控和网络隔离防御体系的同时，实现移动应用系统与内网业务系统的数据交换。利用该集成技术方案可以实现外部业务系统与内网数据交换平台的快速集成，避免对已有业务系统大量的二次开发，从而减少建设成本，在保证内部核心业务系统安全的同时，提升外网业务应用系统部署能力。

附图说明

图1为本发明移动应用平台与内外网数据安全交换平台集成系统结构示意图；

图2为优选的集成系统结构示意图；

图3为内外网集成交换序列图。

具体实施方式

下面结合附图阐述本发明的移动应用平台与内外网数据安全交换平台集成系统的实施例。

参考图1所示，图1为本发明移动应用平台与内外网数据安全交换平台集成系统结构示意图；包括：依次连接的外网业务应用系统、前置服务器、内外网数据安全交换平台、后置服务器和内部核心业务系统；

所述外网业务应用系统连接移动应用平台；

所述前置服务器连接移动应用平台的外网业务应用系统，用于提供接口供外网业务应用系统的引擎服务调用，以及提供接口服务供所述内外网数据安全平台调用，数据格式转换(如序列化处理)和与所述内外网数据安全平台进行数据对接；

所述后置服务器通过企业服务总线连接到内部核心业务系统，以及提供接口供内外网数据安全平台调用，数据格式转换(如反序列化处理)和与所述内外网数据安全平台进行数据对接；

所述内外网数据安全交换平台，用于建立互联网与信息内网之间的数据交换安全管控和网络隔离防御，抵御互联网的网络攻击。

上述移动应用平台与内外网数据安全交换平台集成系统，外网业务应用系统与内外网数据安全交换平台交互时，采用内外网数据安全交换平台定制协议实现，在移动应用平台与内外网数据安全交换平台之间布置前置服务，在内外网数据安全交换平台与企业服务总线之间布置后置服务，通过服务总线实现业务系统调用。由前置服务、后置服务共同实现数据格式的转换和对接工作。

图2为优选的集成系统结构示意图；具体交互流程可以如下：

所述引擎服务调用前置服务器发送请求信息，如图2，包括Web Service、DB、HTTP或FTP等，或其他请求，所述前置服务器将该请求信息转换为预设协议的数据格式，然后转发至内外网数据安全交换平台；所述内外网数据安全交换平台调用后置服务器将请求信息进行数据格式的转换处理，并根据请求信息访问内部核心业务系统；所述后置服务器通过企业服务总线接收内部核心业务系统的响应结果，对所述响应结果进行数据格式转换处理后返回至所述内外网数据安全交换平台，所述所述前置服务器对内外网数据安全交换平台的返回响应结果进行所述预设协议的数据格式处理后，响应给所述外网业务应用系统的引擎服务。

进一步地，所述后置服务器还可以提供第三方服务推送接口供内外网数据安全平台调用，将第三方的推送请求信息转换为预设协议的数据格式，并通过所述内外网数据安全交换平台转发至外网业务应用系统。

如图2，所述内外网数据安全交换平台包括结构化数据通道、定制协议数据通道、非结构化数据通道和高强度安全交换通道四种业务数据交换逻辑通道；各个通道通过安全隔离交换装置进行隔离。

在上述交互流程中，外网业务应用平台接受到客户端请求后，前置服务将消息转换成内外网数据安全交换平台定制协议的数据格式，并提交至内外网数据安全交换平台，由内外网数据安全交换平台将消息转发至后置服务，后置服务负责与服务总线对接，将服务总线调用业务系统的结果转换数据格式后，响应给内外网数据安全交换平台，前置服务接收到返回结果后，再次做数据格式转换处理，响应给外网业务应用系统。该技术方案能够摆脱内外网数据安全交换平台数据通道的局限性，通过部署前置和后置服务，利用内外网数据安全交换平台提供的结构化数据交换通道、非结构化数据交换通道、定制协议数据交换通道和高强度安全交换通道四种业务数据交换逻辑通道，实现业务系统与内网数据安全交换平台多种集成方式，完成应用平台与内外网数据安全交换平台快速集成。

在一个实施例中，所述内外网数据安全交换平台通过网络隔离、安全接入控制、信息摆渡、内容安全过滤和安全审计方式建立互联网与信息内网之间多层次的数据交换安全管控和网络隔离防御。

具体功能包括如下：

网络隔离：采用逻辑强隔离技术实现信息外网与信息内网之间的网络隔离，断开信息外网与信息内网的TCP/IP连接，禁止互联网、DMZ区应用系统直接连接信息内网。

安全接入控制：采用主机接入认证、用户身份认证、应用进程认证等多种身份认证机制对接入内外网数据安全交换平台的主、客体(终端、应用系统)进行准入控制，保证接入对象的合法性。

信息摆渡：采用结构化数据交换、非结构化数据交换、定制协议数据交换、高强度安全交换通道等数据交换方式实现信息外网DMZ区域与信息内网IDC区域间的信息摆渡。

信息内容安全过滤：信息摆渡过程中，内外网数据安全交换平台对摆渡内容进行严格的内容安全过滤，包括病毒过滤、内容关键字过滤、文件类型检查、数据库命令过滤、数据签名校验等，保证信息内容的完整性、可用性与机密性。

安全审计：内外网数据安全交换平台对内外网间信息交换的全过程进行安全审计，包括信息交换内容审计、管理行为审计和数据库访问行为审计等。

在一个实施例中，如图1，所述内部核心业务系统可以包括营销业务系统、资产业务系统、财务业务系统、人资业务系统等，或其他业务系统。

为了更加清晰本发明的技术方案，下面进一步进行解析：

1、集成服务实现：

(1)流程逻辑：

参考图3所示，图3为内外网集成交换序列图；分别对应为外网访问内网的流程和内网向外网推送请求信息的流程。

(2)组件调用关系：

引擎服务调用前置服务发送请求，通过内外网平台将消息转发给后置服务进行相关业务处理。

同理后置服务通过内外网平台将消息转发前置服务，前置服务将消息传递给引擎服务执行相关业务。

2、接口实现：

(1)接口实现卡片

(2)输入接口模型：

(3)输出接口模型：

综合上述实施例的技术方案，采用前置服务和后置服务实现统一的入口和出口，由前置服务对接转换各种业务协议，由后置服务执行实际业务，通过内外网安全交换平台传递序列化数据。外网业务应用系统与内外网数据安全交换平台集成技术方案能够摆脱内外网数据安全交换平台数据通道的局限性，通过部署前置和后置服务，利用内外网数据安全交换平台提供的结构化数据交换通道、非结构化数据交换通道、定制协议数据交换通道和高强度安全交换通道四种业务数据交换逻辑通道，实现业务系统与内网数据安全交换平台多种集成方式，完成应用平台与内外网数据安全交换平台快速集成。集成技术方案通过部署前置和后置服务，实现内外网协议转换，既保证了数据传输实时高效，又保证了交换过程安全可靠。在建立互联网与信息内网之间数据交换安全管控和网络隔离防御体系的同时，实现移动应用系统与内网业务系统的数据交换。利用该集成技术方案可以实现外部业务系统与内网数据交换平台的快速集成，避免对已有业务系统大量的二次开发，从而增加建设成本，在保证内部核心业务系统安全的同时，提升外网业务应用系统部署能力。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。