根据某省电网设计规划,数据交换区是信息内网(Ⅳ区)与信息外网(Ⅴ区)进行数据交互唯一边界。它的安全性与可用性将是此安全边界建设的重中之重。当前内外网平台性能及可靠性无法满足当前及未来外网业务发展需要,在安全及性能上已经成为外网业务发展瓶颈,因此需要通过建立内外网数据交换区达到强隔离、高安全性及高实时性的目的。
有需要此方案软硬件开发原型请联系:
13803113171 QQ:1561724180 email:[email protected] [email protected]
基于USB3.0(或USB3.1、DP1.2、DP1.4)的数据安全传输通道组件采用自主可控加密算法及私有协议自主可控加密算法及私有协议,该组件负责网络协议剥离,增加私有协议传输,身份鉴别,协议解析,标签控制等安全增强策略,利用自研算法对业务进行安全加固。
一、数据交换方式
1、结构化数据
该业务模式通常为内外网独立部署业务应用服务器,并且各自具有独立的数据库进行业务访问,此种业务模式下多级互联数据安全交换平台主要以直接交换数据库之间的数据方式为主。
互联前置会主动获取数据库上的数据,并将数据转换成平台标准的格式数据传输到另一侧,另一侧互联前置再将数据格式进行转换,从而写入数据库中。通过这种方式可以避免外网对内网数据库的直接操作,通过对数据格式的转换,也可将畸形数据阻挡在另外一端,避免对数据库造成极端破坏。
2、非结构化数据
这种业务部署模式通常在内外网也具有独立的业务应用服务器,但其交互方式不通过数据库,而是采用文件级别的交换方式。在此业务模式下多级互联数据安全交换平台以系统间文件交换为主。
互联前置通过文件协议查询服务器上文件的更新状况,将符合安全策略的文件打上标记传输至互联部件,互联部件根据标签的等级决定是否传输到另一侧。通过对文件类型和文件格式控制,可以保证所交换的文件都是可控、可信、可管的。可避免未知文件在两网间随意交换。
3、实时数据及消息队列
该业务模式通常在外网部署有业务应用服务器,而数据库服务器只部署在内网,应用服务器需要通过多级互联数据安全交互平台进行对数据库的业务访问。
当两端服务器需要交互实时数据时,平台首先对交互的应用协议类型进行检测,只允许符合安全策略的应用协议通过访问。其次可对应用协议的指令、内容格式、协议状态等进行过滤检测。最后可对数据内容进行安全过滤。从而保证整个实时业务数据交换的安全性。此外,平台连接安全沙箱(另外的项目),对剥离出来的数据可通过沙箱模拟运行环境,从而确保数据的安全可靠。
二、原型方案
1、架构设计
- 可选ARM to ARM、ARM to PC、PC to PC三种架构
- ARM主板,初步选定:RK3399(2*A72 + 4*A53),2*USB3.0,1*千兆口
- Linux系统,初步选定:Ubuntu主流版本
- 对与PC操作系统使用CentOS
1.1、ARM板初步选型-高性能、千兆口、2*USB3.0
采用RK3399六核(A72x2+A53x4)64位处理器,主频高达2.0GHz,板载二个USB3.0和一个千兆以太口,支持Android/Linux/Ubuntu系统,开放源代码便于二次开发。
2、技术指标及参数
- 数字接口:USB3.0接口2个,千兆以太网口(RJ45)1个
- RJ45通讯速率: 1Gbps
- USB3.0通讯速率:5Gbps, 3m以内布线(通用串行总线理论最大传输速率,适配USB3.0接口,无加密透传),两组USB3.0接口可以实现负载均衡和带宽叠加
- USB3.0理论传输速率: 1000Mbps
- 工作温度:0~55℃
- 工作湿度:0~95%RH
三、原型阶段实现
- 构建自主可控的通信编程接口、加密算法库
- 业务消息传递系统
- 原型硬件的设计
众智工作室
2018年11月21日