跨网业务数据安全交换的最佳实践

发布时间 2018-07-10

随着政府、中大型企业、事业单位信息化程度迅速提升,“一张大内网,VLAN来隔离,划个DMZ,安全都靠墙”的做法显然已无法满足其对业务、安全策略进行精细化管理的需求。目前用户IT与安全负责人普遍面对的场景是:外部单位业务访问、部分业务上云、核心数据资产需要强隔离保护,部分业务数据则需要上报或与外单位共享。如何能在如此复杂的业务访问需求和安全保护需求的夹缝中找到能够指导“跨域数据交换”安全建设的实践,这是大部分行业客户在思索的紧要问题。



符合用户需求的

安全数据交换平台的解决方案


启明星辰总结公安边界接入平台项目建设经验,结合现阶段用户“跨域/跨网数据交换”需求,提出安全数据交换平台的解决方案:数据对象与访问主体隔离,建设统一的跨网数据交换平台,不同的业务类型与访问对象建设不同的数据交换链路,在不同链路上选择不同的数据交换方式与安全防护措施。该解决方案“分区分域、纵深防御、统一边界,横向隔离,业务链路,可信交换”的核心思想,迅速被法院、检察院、政府部门、企事业单位等用户所采用。


下图是启明星辰给某事业单位用户提供的安全数据交换平台建设方案:客户核心数据存储与内网核心数据库中,而客户对于这些数据的使用有三个业务需求:


(1) 需要将部分核心数据推送至电子政务外网,供别单位查询使用。

(2) 需要查询公安信息网中的某些数据,整理后录入核心数据库。

(3) 将部分业务迁移到云端,云端应用需要核心数据库的支撑。



在这一方案中,通过安全数据交换平台将核心数据库隔离起来,对接入需求进行梳理,划分不同链路。采用启明星辰天清数据安全交换平台作为边界上主要的隔离与业务交换设备:在电子政务外网链路中,提供数据单向导出能力;在公安查询链路中,提供TCP协议代理服务;而在云端业务中,则可以对接数据库访问业务。各个业务在数据安全交换平台保持独立,并配置不同的安全策略。



三重能力保障数据交换安全


数据安全交换平台是一套能够跨网对接两网业务系统的安全中间件,三主机架构,中间通过网闸保障两网隔离性,内端服务器与外端服务器实现数据-协议-文件的转换改造与安全过滤。凭借启明星辰多年隔离交换技术积累,天清数据安全交换平台具有明显优势:


◆ 深度的安全隔离能力


采用“2+1”高抗攻击性结构的启明星辰网闸,完全满足网闸国标GB20179最高级别——增强级的隔离要求,具备不可旁路、协议剥离、分时连接等特性。


◆ 极高的数据交换能力


由于采用三主机架构,三台设备各司其职,整套系统具备很高的数据处理能力,例如数据库交换能力可达到1万条/s,且具备小于1ms时延的高速数据摆渡能力。


◆ 丰富的业务适配能力


产品定位业务交换的中间件,能够与多种业务系统对接:同构/异构数据库、大数据库、数据库-文件转换、协议-文件转换……保障两端业务无缝对接。



“建边界、理业务、分链路、强隔离、深管控”的跨网业务数据安全交换模式下,部署启明星辰天清数据安全交换平台,配合加密认证网关、防火墙、IPS、数据库审计等其他安全防护产品,相信能够给各行各业的用户搭建一个较为清晰的、完整的、立体的边界防护体系,安全业务两不误,摆脱夹缝中求生存的尴尬。


随着政府、中大型企业、事业单位信息化程度迅速提升,“一张大内网,VLAN来隔离,划个DMZ,安全都靠墙”的做法显然已无法满足其对业务、安全策略进行精细化管理的需求。目前用户IT与安全负责人普遍面对的场景是:外部单位业务访问、部分业务上云、核心数据资产需要强隔离保护,部分业务数据则需要上报或与外单位共享。如何能在如此复杂的业务访问需求和安全保护需求的夹缝中找到能够指导“跨域数据交换”安全建设的实践,这是大部分行业客户在思索的紧要问题。



符合用户需求的安全数据交换平台的解决方案


启明星辰总结公安边界接入平台项目建设经验,结合现阶段用户“跨域/跨网数据交换”需求,提出安全数据交换平台的解决方案:数据对象与访问主体隔离,建设统一的跨网数据交换平台,不同的业务类型与访问对象建设不同的数据交换链路,在不同链路上选择不同的数据交换方式与安全防护措施。该解决方案“分区分域、纵深防御、统一边界,横向隔离,业务链路,可信交换”的核心思想,迅速被法院、检察院、政府部门、企事业单位等用户所采用。


下图是启明星辰给某事业单位用户提供的安全数据交换平台建设方案:客户核心数据存储与内网核心数据库中,而客户对于这些数据的使用有三个业务需求:


(1) 需要将部分核心数据推送至电子政务外网,供别单位查询使用。

(2) 需要查询公安信息网中的某些数据,整理后录入核心数据库。

(3) 将部分业务迁移到云端,云端应用需要核心数据库的支撑。




在这一方案中,通过安全数据交换平台将核心数据库隔离起来,对接入需求进行梳理,划分不同链路。采用启明星辰天清数据安全交换平台作为边界上主要的隔离与业务交换设备:在电子政务外网链路中,提供数据单向导出能力;在公安查询链路中,提供TCP协议代理服务;而在云端业务中,则可以对接数据库访问业务。各个业务在数据安全交换平台保持独立,并配置不同的安全策略。



三重能力保障数据交换安全


数据安全交换平台是一套能够跨网对接两网业务系统的安全中间件,三主机架构,中间通过网闸保障两网隔离性,内端服务器与外端服务器实现数据-协议-文件的转换改造与安全过滤。凭借启明星辰多年隔离交换技术积累,天清数据安全交换平台具有明显优势:


◆ 深度的安全隔离能力


采用“2+1”高抗攻击性结构的启明星辰网闸,完全满足网闸国标GB20179最高级别——增强级的隔离要求,具备不可旁路、协议剥离、分时连接等特性。


◆ 极高的数据交换能力


由于采用三主机架构,三台设备各司其职,整套系统具备很高的数据处理能力,例如数据库交换能力可达到1万条/s,且具备小于1ms时延的高速数据摆渡能力。


◆ 丰富的业务适配能力


产品定位业务交换的中间件,能够与多种业务系统对接:同构/异构数据库、大数据库、数据库-文件转换、协议-文件转换……保障两端业务无缝对接。



“建边界、理业务、分链路、强隔离、深管控”的跨网业务数据安全交换模式下,部署启明星辰天清数据安全交换平台,配合加密认证网关、防火墙、IPS、数据库审计等其他安全防护产品,相信能够给各行各业的用户搭建一个较为清晰的、完整的、立体的边界防护体系,安全业务两不误,摆脱夹缝中求生存的尴尬。