技術領域

本發明屬于電力企業信息系統技術領域，尤其涉及一種基于信息交換總線內外網信息交換的方法。

背景技術

電力信息網承載著電力市場交易、招投標、營銷等多個業務系統，對內提供如審計、評標、核算等業務，對外提供發布、投標、繳費等各項服務。若對信息系統分級過多將會導致各個分區間數據交換帶來的大量延時。為此，把電力信息網絡分為信息內網和信息外網。信息外網和Internet之間采用防火墻相連，屬于低安全級別區域；信息內網與信息外網邏輯隔離，與電力內部其他數據網物理隔離，屬于高級別安全區域。各個業務系統根據其具體需要把相應的服務器分別放置在信息內外網。

為了最大程度地保證電力信息系統的安全，把盡可能多的業務放到信息內網，把對外提供服務的服務器設在外網，其他對內服務器、個人PC機等所有主機都放置在信息內網。特別需要強調為了保護數據的安全，所有業務系統的數據庫放置在信息內網。

由于安全隔離總線放置在信息內外網的邊界，所以首先要起到一般防火墻的基本作用來保證對各個訪問主機的控制。電力信息網絡各個業務系統的主機IP地址、MAC地址、端口等都比較固定，可以根據這幾項元素來對訪問主機進行控制。據統計，目前信息系統遭受攻擊最多的是針對數據庫的SQL注入攻擊，要實現對這種攻擊的阻斷，較為可靠的方式就是在應用層對SQL語句來進行還原，然后對SQL語句進行解析并過濾。

通過如上分析可以看出，安全隔離總線需要從網絡多個層次上進行立體綜合防護，在不同層次上提升應用系統的安全性，系統的總體防護思想和數據處理流程如附圖所示。

電力信息系統有較多的業務要經過總線進行內外網通信，若此裝置的效率不夠高的話將會成為內外網通信的瓶頸，這里考慮在網絡中進行協議解析的方式來實現可以較好的滿足要求。

電力系統應用范圍最廣的為Oracle數據庫和SQL?Server數據庫，這兩者占據了電力系統數據庫的90％以上。Oracle數據庫的數據通信采用TNS協議，SQL?Server和Sybase數據庫采用TDS協議，若能夠把這兩種協議分析出來，并且對其采用JDBC驅動進行偏移量分析，就能實現SQL語句的還原，進而可以基本滿足電力信息系統數據庫訪問控制的需要。

現有的Internet網絡的信息無法進入電力信息安全內網，不能實現電力信息安全內網和Internet網絡之間信息安全交互。

發明內容

本發明實施例的目的在于提供一種基于信息交換總線內外網信息交換的方法，旨在解決現有的Internet網絡的信息無法進入電力信息安全內網，不能實現電力信息安全內網和Internet網絡之間信息安全交互的問題。

本發明實施例是這樣實現的，一種基于信息交換總線內外網信息交換的方法，該基于信息交換總線內外網信息交換的方法包括以下步驟：

步驟一，在安全隔離總線中通過對ARP層、TCP層和IP層的字段分析；

步驟二，根據配置的策略來控制，集成通用防火墻功能；

步驟三，在應用層對TNS和TDS協議分析、對基于JDBC驅動的字段偏移量查找到SQL語句位置，實現SQL語句的還原，進而實現SQL語句的過濾。

進一步，在步驟一中對數據報文的源IP地址、目的IP地址、協議域及相應的源、目的端口屬性進行組合形成不同的數據包過濾規則，控制進出的信息流向和數據包。

進一步，在步驟三中應用層收到報文后需要進行協議化處理，分析和過濾ARP，IP，TCP/UDP/ICMP報文，構造協議分析處理模塊。

進一步，在構造協議分析處理模塊后設計支持TCP數據流重組的模塊，進行可靠的協議解析。

進一步，在協議棧流還原后，提取出Oracle、SQLServer數據庫協議報文進行分析，根據協議關鍵字段識別TNS/TDS的控制，查詢報文，從中提取出SQL語句。

進一步，SQL語句再交由SQL過濾模塊進行分析，首先將SQL語句格式化，然后調用規則庫以及搜索算法對SQL語句進行過濾，根據返回結果判斷是否繼續傳遞。

本發明提供的基于信息交換總線內外網信息交換的方法，采用針對網絡通信協議進行分析的安全隔離總線，實現了基于TCP/IP通信流的分層解析；本發明的基于信息交換總線的內外網信息交換技術，實現了電力信息安全內網和Internet網絡之間信息安全交互，解決了外網信息無法進入內網的難題。

附圖說明

圖1是本發明實施例提供的基于信息交換總線內外網信息交換的方法流程圖；