内蒙古数字证书认证有限公司
解决方案
安全解决方案 安全数据交换方案

安全数据交换方案

Secure data exchange

业务背景

  为保护重要数据和应用系统的安全,目前各级政府部门普遍采用多个网络并行的方式。但是随着信息化建设的不断深入,不同网络之间或不同安全域之间的信息共享越来越受到重视。如何使处于不同网络、不同安全域之间的应用系统实现信息交换与共享,已成为信息化建设的重要发展方向。

  因为服务化政府转型的需要,各级政府部门都需要依托信息化手段向外采集更多的信息,并对外提供更多的信息服务。与此同时,随着电子政务的推动,各级政府部门都积累了大量信息资源,整合共享这些信息资源,对于推进电子政务、维护社会稳定和更好地为社会服务意义重大。

  但是,要真正能够实现信息共享,数据安全是用户不得不面对的首要问题。信息网络上的安全威胁随着网络和信息系统的产生而产生,也随着其发展而发展。从DOS时代的病毒,到现在的网络黑客攻击、能够自动复制蔓延和攻击的蠕虫病毒、到各种各样的“特洛伊木马”,以及各种内部人员的恶意泄密或破坏。信息安全所面临的问题越来越多,内容越来越复杂。如果不能确实保证信息共享与交换过程中的安全,互联互通、信息共享、业务协同只能是一种美好的愿望。

  为了解决上述的问题,需要建设跨网络、跨安全域的数据集成交换平台,将安全保障与数据交换功能有机整合在一起,保障用户在安全的前提下,实现不同网络与不同安全域之间的数据交换。

解决方案

安全数据交换平台的建设主要实现内、外部网络隔离和数据的安全交换, 它通过高可信的方式,实现异构系统、数据源之间安全、灵活、有效、快速的数据交换。

安全数据交换平台的安全设备主要是内外网数据交换服务器、网闸和数字签名服务器四部分组成: 外网交换服务器和内网交换服务器主要实现在数据交换的过程中实现协议剥离、格式过滤、内容检查和内容审计。外网交换服务器的作用是实现对数据的安全获取,具体表现为对数据对象(DO)的身份认证、数据格式检查、内容过滤,并最终将获取的数据加密压缩后存入消息队列传给转换装载服务器。内网交换服务器的作用是实现对数据的转换和安全装载,具体变现为数据的异构转换、数据对照关系的匹配、对交换的内容的审计、对交换行为的监控等等,它接收消息队列的数据解压解密后最终装载到目标系统中去,并提供应用配置工具、数据转换工具和监控管理工具;消息总线为外网交换服务器和内网交换服务器提供可靠、高效的消息发送和管理服务;外网交换服务器和内网交换服务器之间的网闸主要是实现网络隔离;数字签名服务器为安全数据交换系统提供数字签名、数据加密功能等安全支撑服务,保证数据交换过程中机密性、完整性及不可抵赖性。

证书应用方面的升级是算法升级工作的重点和难点,由于现有的操作系统和浏览器等软件大部分产自国外,受到接口、协议等因素的限制,SM2算法不能直接进行有效的接合,因此需要对证书应用环境进行全面的改造。需要针对系统之中已经使用的身份认证网关、数字签名服务器进行升级,使其支撑SM2算法。对于新开发的应用系统,也可以采用API+WEB服务器SSL的模式。