跨網業務數據安全交換的最佳實踐

隨著政府、中大型企業、事業單位信息化程度迅速提升，「一張大內網，VLAN來隔離，劃個DMZ，安全都靠牆」的做法顯然已無法滿足其對業務、安全策略進行精細化管理的需求。目前用戶IT與安全負責人普遍面對的場景是：外部單位業務訪問、部分業務上雲、核心數據資產需要強隔離保護，部分業務數據則需要上報或與外單位共享。如何能在如此複雜的業務訪問需求和安全保護需求的夾縫中找到能夠指導「跨域數據交換」安全建設的實踐，這是大部分行業客戶在思索的緊要問題。

符合用戶需求的

安全數據交換平台的解決方案

啟明星辰總結公安邊界接入平台項目建設經驗，結合現階段用戶「跨域/跨網數據交換」需求，提出安全數據交換平台的解決方案：數據對象與訪問主體隔離，建設統一的跨網數據交換平台，不同的業務類型與訪問對象建設不同的數據交換鏈路，在不同鏈路上選擇不同的數據交換方式與安全防護措施。該解決方案「分區分域、縱深防禦、統一邊界，橫向隔離，業務鏈路，可信交換」的核心思想，迅速被法院、檢察院、政府部門、企事業單位等用戶所採用。

下圖是啟明星辰給某事業單位用戶提供的安全數據交換平台建設方案：客戶核心數據存儲與內網核心資料庫中，而客戶對於這些數據的使用有三個業務需求：

（1） 需要將部分核心數據推送至電子政務外網，供別單位查詢使用。

（2） 需要查詢公安信息網中的某些數據，整理後錄入核心資料庫。

（3） 將部分業務遷移到雲端，雲端應用需要核心資料庫的支撐。

在這一方案中，通過安全數據交換平台將核心資料庫隔離起來，對接入需求進行梳理，劃分不同鏈路。採用啟明星辰天清數據安全交換平台作為邊界上主要的隔離與業務交換設備：在電子政務外網鏈路中，提供數據單嚮導出能力；在公安查詢鏈路中，提供TCP協議代理服務；而在雲端業務中，則可以對接資料庫訪問業務。各個業務在數據安全交換平台保持獨立，並配置不同的安全策略。

三重能力保障數據交換安全

數據安全交換平台是一套能夠跨網對接兩網業務系統的安全中間件，三主機架構，中間通過網閘保障兩網隔離性，內端伺服器與外端伺服器實現數據-協議-文件的轉換改造與安全過濾。憑藉啟明星辰多年隔離交換技術積累，天清數據安全交換平台具有明顯優勢：

◆ 深度的安全隔離能力

採用「2+1」高抗攻擊性結構的啟明星辰網閘，完全滿足網閘國標GB20179最高級別——增強級的隔離要求，具備不可旁路、協議剝離、分時連接等特性。

◆ 極高的數據交換能力

由於採用三主機架構，三台設備各司其職，整套系統具備很高的數據處理能力，例如資料庫交換能力可達到1萬條/s，且具備小於1ms時延的高速數據擺渡能力。

◆ 豐富的業務適配能力

產品定位業務交換的中間件，能夠與多種業務系統對接：同構/異構資料庫、大資料庫、資料庫-文件轉換、協議-文件轉換……保障兩端業務無縫對接。

「建邊界、理業務、分鏈路、強隔離、深管控」的跨網業務數據安全交換模式下，部署啟明星辰天清數據安全交換平台，配合加密認證網關、防火牆、IPS、資料庫審計等其他安全防護產品，相信能夠給各行各業的用戶搭建一個較為清晰的、完整的、立體的邊界防護體系，安全業務兩不誤，擺脫夾縫中求生存的尷尬。

?

END

?

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！