一种复杂组网安全体系架构的制作方法

1.本技术涉及多源异构数据安全汇集技术领域，尤其涉及一种复杂组网安全体系架构及存储介质。


背景技术：

2.随着网络技术和大数据技术的快速发展，给卫星和航拍影像、地面跨时空视频、网络数据和地理信息等天空地多源异构数据的获取和处理带来了巨大方便。天空地多源异构数据具有数据规模大、类型多、维度丰富等特点，不同的公共安全数据源系统存在着不同的系统安全、网络安全及数据安全等安全要求，实现天空地多源异构数据的跨时空、多尺度、多粒度安全汇聚，对公共安全事件的智能感知与理解具有重要意义。
3.但是，公共安全大数据存在着各业务分管，天空地一体化组网不充分，不同安全级别数据网络的协同管理和集约服务问题。因此，如何建立安全可靠的数据汇聚渠道是亟需解决的问题。


技术实现要素：

4.本技术提供一种复杂组网安全体系架构及存储介质，以提出一种复杂组网安全体系架构。
5.本技术第一方面实施例提出一种复杂组网安全体系架构，所述安全体系架构包括：多个接入网关、数据服务总线、信息枢纽；
6.所述接入网关，用于将不同数据源系统来源的多源异构数据分别通过接入网关，以完成所述多源异构数据的安全接入；
7.所述数据服务总线，用于将通过所述接入网关的数据，输入至信息枢纽；
8.所述信息枢纽，用于对接收到多源异构数据进行协同管理，并通过所述服务总线将数据传输至多源异构数据汇集管理平台。
9.本技术第二方面实施例提出的非临时性计算机可读存储介质，其中，所述非临时性计算机可读存储介质存储有计算机程序；所述计算机程序被处理器执行时实现如上第一方面所述的架构。
10.本技术第三方面实施例提出的计算机设备，其中，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，处理器执行所述程序时，能够实现如上第一方面所述的架构。
11.本技术的实施例提供的技术方案至少带来以下有益效果：
12.本技术提出的复杂组网安全体系架构及存储介质中，复杂组网安全体系架构包括多个接入网关、数据服务总线、信息枢纽，接入网关，用于将不同数据源系统来源的多源异构数据分别通过接入网关，以完成多源异构数据的安全接入；数据服务总线，用于将通过接入网关的数据，输入至信息枢纽；信息枢纽，用于对接收到多源异构数据进行协同管理，并通过所述服务总线将数据传输至多源异构数据汇集管理平台。其中，本技术可以通过安全
有效的接入网关，实现不同通信规程、不同数据交换格式和不同安全性数据源，不同安全等级的网系，以及不同接入方式的系统的安全接入，并通过信息枢纽对传输的数据进行协调管理、资源调度，通过数据服务总线将数据传输至多源异构数据汇集管理平台，从而实现了多源异构数据跨网、跨系统的安全汇聚，解决了复杂组网的安全体系构建问题，建立了安全可靠的数据汇聚渠道。
13.本技术附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本技术的实践了解到。
附图说明
14.本技术上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：
15.图1为根据本技术一个实施例提供的复杂组网安全体系架构的结构示意图；
16.图2为根据本技术一个实施例提供的接入网关的结构示意图；
17.图3为根据本技术一个实施例提供的一种外网/内网汇聚单元的结构示意图；
18.图4为根据本技术一个实施例提供的一种隔离通信单元的结构示意图。
具体实施方式
19.下面详细描述本技术的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本技术，而不能理解为对本技术的限制。
20.下面参考附图描述本技术实施例的复杂组网安全体系架构。
21.实施例一
22.图1为根据本技术一个实施例提供的一种复杂组网安全体系架构的结构示意图，如图1所示，所述安全体系架构包括：多个接入网关、数据服务总线、信息枢纽。
23.接入网关，用于将不同数据源系统来源的多源异构数据分别通过接入网关，以完成多源异构数据的安全接入；
24.数据服务总线，用于将通过接入网关的数据，输入至信息枢纽；
25.信息枢纽，用于对接收到多源异构数据进行协同管理，并通过服务总线将数据传输至多源异构数据汇集管理平台。
26.其中，在本发明的实施例中，多源异构数据可以包括卫星遥感数据、航拍遥感数据、地面视频数据、网络信息数据、地理信息数据和业务信息数据。
27.以及，在本公开的实施例中，多源异构数据中数据的不同时，对应数据的所处的系统与传输方式也不相同，基于此，在获取多源异构数据之前，可以先根据多源异构数据所处的系统，进而确定对应数据的获取方式。
28.其中，在本发明的一个实施例中，表1为多源异构数据中数据类型与数据所处系统/网络的对应关系。
29.表1
30.[0031][0032]
进一步地，在本公开的实施例中，可以根据已有的信息系统安全标准多源异构数据来源系统的网络安全等级。具体的，在本公开的实施例中，通过专线传输的遥感数据管理系统网络安全等级为三级；通过互联网传输的遥感数据管理系统网络安全等级为一级；无人机数据获取与处理系统网络安全等级为二级；地市级一体化视频信息指挥调度系统网络安全等级为二级；公网系统网络安全等级为一级。其中，安全等级越高，信息系统受到破坏后的后果越严重。
[0033]
以及，在本公开的实施例中，上述系统不同的安全等级对应不同的数据传输方式。具体的，可以参考上述表1中的传输方式。
[0034]
参考图1所示，多个不同数据源系统通过接入网关采用专用的系统接入方式接入数据总线，通过数据单向传输实现物理隔断的逻辑链接，将数据源系统地址映射到复杂组网安全体系地址空间，实现不同网络的数据源系统与多源异构数据管理平台互联，透过单向传输机制实现数据源系统的数据信息与多源异构数据管理平台的互通。
[0035]
以及，在本发明的实施例中，专用的系统接入方式可以参考表1中的接入方式。
[0036]
其中，在本公开的实施例中，图2为本公开实施例提供的一种接入网关的结构示意图。
[0037]
参考图2所示，接入网关可以包括外网汇聚单元、外网代理服务单元、隔离通信单元、内网汇聚单元、内网代理服务单元。
[0038]
以及，在本发明的实施例中，将多源异构数据通过接入网关，以完成多源异构数据的安全接入的方法可以包括以下步骤：
[0039]
步骤a、通过外网汇聚单元将多源异构数据汇集到相应的汇集单元，并通过不同的网络传输，将数据传输到相应的外网代理服务单元。
[0040]
具体的，在本发明的实施例中，外网/内网汇聚单元的操作可以包括：采用三层数据转发技术，通过vlan与路由技术把多路外网/内网数据进行汇聚。
[0041]
以及，在本发明的实施例中，图3为本公开实施例提供的一种外网/内网汇聚单元的结构示意图。其中，在本公开的实施例中，图3中的主处理器完成三层路由功能，二层数据转发交由包处理器进行。
[0042]
步骤b、外网服务单元对接收到的数据进行处理，并基于数据类型将接收到的数据发送至隔离通信单元进行差异化隔离处理。
[0043]
进一步地，在本发明的实施例中，外网服务单元对接收到的数据进行处理可以包括以下步骤：
[0044]
步骤1、对通过外网汇聚单元的数据进行病毒查杀。
[0045]
步骤2、对杀毒处理后的报文进行数字签名认证与统一解密处理，若通过认证且解密成功，则对所述报文进行审计，允许指定格式的数据报文接入。
[0046]
步骤3、对接入报文进行统一的名录映射和传输协议转换，并将接入报文传输至隔
离通信单元。
[0047]
以及，在本发明的实施例中，外网代理服务单元还可以对上述操作过程的每一步均做日志记录，以便后续进行数据追溯。
[0048]
步骤c、隔离通信单元对接收到的数据进行隔离处理，并将处理完成的数据发送至内网代理服务单元，以完成从外网到内网的数据跨越。
[0049]
其中，在本发明的实施例中，隔离通信单元采用2+1架构和专用硬件隔离技术，保证信任网络和非信任网络之间链路层的断开，彻底阻断tcp/ip协议以及其它网络协议。以及，图4为本公开实施例提供的一种隔离通信单元的结构示意图。参考图4所示，隔离通信单元中的asic模块采用安全隔离芯片通过多线程并行固化处理将数据块转化为自有协议格式的数据包，交换芯片的数据转发模块和开关控制模块实现对数据的临时缓存和安全交换。
[0050]
以及，在本发明的实施例中，通过安全隔离单元的数据接入内网代理服务单元时，内网代理服务单元对传输的数据进行病毒查杀和相应的格式转换后输入至内网汇聚单元。以及，在本发明的实施例中，内网代理服务单元还可以对上述操作过程的每一步均做日志记录，以便后续进行数据追溯。
[0051]
步骤d、内网代理服务单元将隔离过的安全数据进行处理，并将处理后的数据发送至内网汇集单元。
[0052]
其中，在本公开的实施例中，内网代理服务单元功能可以包括病毒查杀、数据格式转换、数据接入、日志记录。
[0053]
具体的，在本发明的实施例中，内网代理服务单元将接收到的数据进行病毒查杀、相应的格式转换后，传输至内网汇集单元中。以及，在本发明的实施例中，内网代理服务单元还可以对上述操作过程的每一步均做日志记录，以便后续进行数据追溯。
[0054]
步骤e、内网汇集单元将接收到的数据进行汇集。
[0055]
进一步地，在本公开的实施例中，获取的多源异构数据通过接入网关后，可以接入到多源异构数据管理平台中，以便对多源异构数据进行融合与分析，从而为用户提供综合检索等业务。
[0056]
此外，需要说明的是，在本公开的实施例中，接入网关还可以根据接入的不同数据源采用的通信规程、数据交换格式和加密等级，建立一体化接口描述标准。并根据接口描述标准，对接入过程建立标准配置信息、标准接口组件库，从而可以通过接口过程规范，实现对接口过程的统一管理和控制，进而解决不同通信规程、不同数据交换格式和不同安全性数据源，不同安全等级的网系，不同接入方式的系统接入的问题。
[0057]
以及，在本发明的实施例中，接入网关还可以包括接入管理、协同管理。
[0058]
具体的，在本发明的实施例中，接入管理用于实现本地多个大数据提供单元和大数据应用单元的加入和退出，对多源异构数据跨系统协同管理及复杂组网设备的运行进行必要的监控，仲裁平台接入的大数据提供单元和大数据应用单元所提供的服务；
[0059]
以及，在本发明的实施例中，协同管理用于实现多源异构数据跨系统协同管理及复杂组网设备运行的创建和删除，对多源异构数据跨系统协同管理及复杂组网设备的运行情况进行必要的监控，对分处异地的多源异构数据跨系统协同管理及复杂组网设备任务分配进行仲裁。
[0060]
此外，需要说明的是，数据服务总线还可以进行多个数据源系统与多源异构数据汇集管理平台之间的数据传输。具体的，在本发明的实施中，数据服务总线可以将多源异构数据汇集管理平台提出的数据需求传送至对应的数据源系统，数据源系统根据数据需求完成数据配置并分发至数据服务总线，数据服务总线对数据进行处理后推送至多源异构数据汇集管理平台。
[0061]
以及，在本发明的实施例中，信息枢纽还可以传输的数据进行资源调度，并通过数据服务总线将数据传输至多源异构数据汇集管理平台。
[0062]
为了实现上述实施例，本公开还提出一种非临时性计算机可读存储介质。
[0063]
本公开实施例提供的非临时性计算机可读存储介质，存储有计算机程序；计算机程序被处理器执行时，能够实现如图1所示的复杂组网安全体系架构。
[0064]
为了实现上述实施例，本公开还提出一种计算机设备。
[0065]
本公开实施例提供的计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序；所述处理器执行所述程序时，能够实现如图1所示的复杂组网安全体系架构。
[0066]
本技术提出的复杂组网安全体系架构中，复杂组网安全体系架构包括多个接入网关、数据服务总线、信息枢纽，接入网关，用于将不同数据源系统来源的多源异构数据分别通过接入网关，以完成多源异构数据的安全接入；数据服务总线，用于将通过接入网关的数据，输入至信息枢纽；信息枢纽，用于对接收到多源异构数据进行协同管理，并通过所述服务总线将数据传输至多源异构数据汇集管理平台。其中，本技术可以通过安全有效的接入网关，实现不同通信规程、不同数据交换格式和不同安全性数据源，不同安全等级的网系，不同接入方式的系统的安全接入，并通过信息枢纽对传输的数据进行协调管理、资源调度，通过数据服务总线将数据传输至多源异构数据汇集管理平台，从而实现了多源异构数据跨网、跨系统的安全汇聚，解决了复杂组网的安全体系构建问题，建立了安全可靠的数据汇聚渠道。
[0067]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本技术的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0068]
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本技术的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本技术的实施例所属技术领域的技术人员所理解。
[0069]
尽管上面已经示出和描述了本技术的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本技术的限制，本领域的普通技术人员在本技术的范围内可以对上述实施例进行变化、修改、替换和变型。