7.2 信息安全交換模式

7.2 信息安全交換模式

基于互聯網電子政務信息安全交換模式宜支持定制交換及流交換兩種交換模式。

7.2.1　定制數據安全交換模式

定制數據交換模式是指基于交換策略對特定格式的、靜態的異構數據進行統一適配、轉換、過濾、傳輸與加載的處理過程。這種模式的特點是一般面向特定的交換對象，對信息安全交換行為的控制能力較強，主要適合于交換信息固定、交換行為可預定義的跨域交換，如文件交換、數據庫同步等。

定制數據安全交換模式的示意圖如圖5所示，分別在內部數據處理區和公開數據處理區部署從交換節點，在網關處部署主交換節點，具體交換步驟如下：
a) 交換數據生成過程。內部數據處理區中的交換適配區根據定制的交換策略從政務辦公系統中提取交換信息，將交換信息轉換為統一的格式，放入交換緩沖區。
b) 交換數據傳遞過程。合閉專用進程控制點，啟動內部處理區和交換主節點的專用進程將信息從內部處理區的緩沖區交換到主節點的緩沖區中，任務完成后打開專用進程控制點。
c) 交換數據過濾過程。對緩沖區中的信息進行過濾并依據定制的交換任務將過濾后的信息調度到相應的接收緩沖區中，
d) 交換數據加載過程。交換主節點和公開數據處理區的專用交換進程控制點合閉，啟動專用進程將信息交換到公開數據處理區的交換緩沖區中，經過適配區的轉換發送給公共服務系統。

7.2.2　數據流安全交換模式

一種連續的、無限的、不可預測的流進行跨域請求與響應的過程。這種模式的特點是一般面向不可知的交換對象，對信息安全交換行為的控制能力較弱，主要適合于交換實時性高、交互性強、交換終端計算能力較弱的跨域交換，如視頻會議、實時監控等。

數據流安全交換模式的示意圖如圖6所示，具體工作步驟如下：

a) 流連接建立過程。在流交換開始之前進行的會話連接建立。發送端通過請求建立連接，接收端基于安全連接檢測機制，依據制定的策略對請求進行檢測，從而判斷請求建立的連接是否安全可信。

b) 流嵌入過程。流從流源頭產生后進入輸入緩存，在流身份信息嵌入器中對流進行處理將流指紋、流摘要等流身份相關的信息嵌入到流中，并將嵌入身份信息的流轉移到發送緩存。流指紋是指具有一定長度和特定結構的流身份序列。

c) 流檢測過程。嵌入身份信息的流傳輸到邊界網關處首先進入輸入緩存，待過濾的流基于流交換策略對流進行過濾檢測，只有符合策略的流才能通過過濾并流入輸出緩存中。

d) 流驗證過程。經過流過濾后流入接收緩存。從流的包頭、包時間間隔等載體中提取流指紋或流散列等流身份相關的信息進行流身份可信性驗證。同時利用流簽名、流認證等技術進行流完整性驗證。最終通過驗證的流傳送到接收端進行數據處理。