【技術實現步驟摘要】
本專利技術屬于計算機數據安全領域,具體涉及一種基于多層防護的跨網數據安全交換方法和裝置。
技術介紹
1、跨網文件傳輸是指在兩個或多個網絡之間進行文件數據的傳輸,通常用于物理或邏輯隔離的網絡環境。例如,企業可能將內網(安全側,用于處理機密或敏感數據)和外網(非安全側,連接互聯網)隔離,防止信息泄露、網絡攻擊等安全風險。
2、當前,跨網絡數據交換的安全技術已經取得了顯著進展。單向傳輸光閘作為物理隔離方案,有效地擺脫了以往需要使用u盤進行人工擺渡的低效手段,在高安全要求的場景下得到廣泛應用,有效防止了反向攻擊。加密技術如非對稱加密(rsa)和對稱加密(aes)被廣泛應用于確保數據傳輸過程中的機密性和完整性。盡管這些技術在一定程度上提升了跨網絡數據交換的安全性和效率,但仍存在與實際業務結合度低和缺乏多層防護機制等問題。
3、例如現有技術中,一篇公開號為cn111654364a的專利技術專利,公開了一種應用區塊鏈加密技術實現數據安全通信方法,通過構建數據層、數據加密層、數據網絡層、數據傳遞層和數據應用層的安全通信系統,將區塊鏈技術融入數據通信中,實現數據的安全傳遞,使得傳遞的數據能夠實現共享,無法篡改,提高數據的加密性能,通過體系性構建,能夠實現數據的遠程、在線、實時采集、應用,使得用戶不必親臨現場,即可實現數據庫數據的應用、管理和監控。該專利技術通過采用蟻群算法,根據數據通信的特性和交互設備的需要,在多個加密單元之間進行加密算法的最佳化搜索,使得用戶快速從多種加密算法中查出適合應用的目標數據的最優值,大大提高了加
4、上述的跨網絡數據交換方案主要集中在文件擺渡和基本的數據傳輸上,通常采用ftp、sftp、smb等協議或者專用的文件傳輸工具。這些方案在確保數據完整性方面有一定的效果,但存在兩個主要問題:
5、缺乏多層防護機制:很多方案僅依賴單一的安全措施(如簡單的加密或物理隔離),無法應對復雜的網絡安全威脅。例如,傳統的文件擺渡方式如網閘和ftp服務器,雖然能夠實現數據的移動,但存在安全隱患,無法滿足企業對數據安全和業務流程的嚴格要求。
6、缺乏與實際業務流程的緊密結合:在處理類似敏感信息保存、傳輸和驗證方面,難以提供實時的數據驗證和訪問控制功能。數據往往只支持單向流動,極大限制了復雜業務場景下的靈活性和實用性。
技術實現思路
1、在下文中給出了關于本專利技術實施例的簡要概述,以便提供關于本專利技術的某些方面的基本理解。應當理解,以下概述并不是關于本專利技術的窮舉性概述。它并不是意圖確定本專利技術的關鍵或重要部分,也不是意圖限定本專利技術的范圍。其目的僅僅是以簡化的形式給出某些概念,以此作為稍后論述的更詳細描述的前序。
2、本專利技術的思路如下:針對傳統跨網絡數據交換方案中缺乏多層防護機制的問題,本專利技術提出了一種數據安全多層防護技術,包括物理層、傳輸層、應用層和策略層,形成一個多層次的安全防護體系;針對缺乏與實際業務流程的緊密結合、難以提供實時的數據驗證和訪問控制功能的問題,本專利技術基于上述多層數據安全防護技術,構建了高效的數據交換服務,不僅制定了詳細的數據交換協議,定義了數據格式、傳輸規則和安全要求,確保數據的一致性和安全性,而且通過websocket等技術實現雙向實時通信,滿足需要即時響應的應用場景需求。
3、具體的,根據本申請的一個方面,提供一種基于多層防護的跨網數據安全交換方法,其中多層包括物理層、傳輸層、應用層和策略層;
4、所述物理層采用單向傳輸光閘作為物理隔離手段,確保高安全區域的數據不會被外部訪問;
5、所述傳輸層采用包括非對稱加密和對稱加密的混合加密策略,非對稱加密用于密鑰交換,保證密鑰傳輸的安全性;對稱加密用于數據加密,提高數據傳輸效率;
6、所述應用層用于對權限控制、流量控制、接口控制、類型控制和敏感數據脫敏進行處理;其中,權限控制采用基于角色的訪問控制(rbac),根據用戶的角色分配不同的權限,只有授權用戶能訪問特定資源;流量控制采用限流機制,防止惡意請求導致的服務過載,保障系統的穩定性和安全性;接口控制是對接口的訪問進行嚴格控制,限制不必要的接口暴露,減少攻擊面;類型控制是對數據類型進行嚴格控制,防止非法數據注入和格式錯誤;敏感數據脫敏是在業務層面對敏感數據進行部分隱藏或脫敏處理,減少數據泄露風險;
7、所述策略層基于堡壘機、黑白名單和日志審計機制保障數據交換的安全性;通過堡壘機加強系統管理,記錄所有管理員的操作行為,便于審計和追蹤,提高系統的可追溯性和透明度;通過黑白名單過濾非法接入嘗試,進一步增強系統安全性,白名單允許指定的ip地址或用戶訪問,黑名單則禁止已知的惡意ip地址或用戶;通過日志審計機制,詳細的同步和異步日志記錄,記錄所有操作和訪問行為,便于追蹤和審計,及時發現和響應異常行為。
8、其中,傳輸層的數據進行壓縮后進行傳輸,減少傳輸帶寬占用,提高傳輸效率;同時壓縮后的數據更難以被直接解析,因此增強了數據的安全性。
9、本申請通過上述多層防護方案,在不同層進行相應的設置,物理層的物理隔離手段,應用層的權限控制、流量控制、接口控制、類型控制和敏感數據脫敏等策略,策略層的堡壘機、黑白名單和日志審計機制,確保數據的實時性、完整性和可靠性,并通過日志記錄和審計,可以追蹤數據的來源、去向和使用情況。
10、多層防護的跨網數據安全交換方法包括非安全側數據交換到安全側流程、安全側數據管理機制和非安全側請求安全側數據流程;
11、其中,所述非安全側數據交換到安全側流程包括:對非安全側數據進行加密和壓縮處理后,再通過單向傳輸光閘傳輸給至安全側特定目錄,安全側跨網數據安全交換服務對該安全側特定目錄掃描、解壓、解密和入庫,并保存掃描、解壓、解密和入庫的整體流程;
12、所述非安全側請求安全側數據流程包括:(業務調用方)向非安全側跨網數據安全交換服務發送請求,非安全側跨網數據安全交換服務生成請求文件并對該請求文件加密和壓縮后,再通過單向傳輸光閘傳輸至安全側特定目錄,安全側跨網數據安全交換服務根據解壓和解密后的請求文件的唯一id找到請求數據,并將該請求數據和唯一id加密和解壓處理,利用單向傳輸光閘傳輸至非安全側特定目錄,非安全側跨網數據安全交換服務對該非安全側特定目錄進行解壓和解密處理,得到請求數據和唯一id并將其反饋給業務調用方;
13、所述安全側數據管理機制包括:
14、安全側跨網數據安全交換服務部署和運維時,需要使用堡壘機進行管理和操作,不允許直連服務器的行為;
15、安全側跨網數據安全交換服務提供的高敏數據管理頁面,必須利用黑白名稱機制,只允許特定賬號和特定ip的人員才能訪問;
16、安全側跨網數據安全交換服務會對來自非安全側的數據包進行病毒掃描、類型檢測和包格式檢測,防止惡意請求;
17、安全側跨網數據安全交換服務會對來自非安全側的請求類型的數據包進行流量本文檔來自技高網...
【技術保護點】
1.一種基于多層防護的跨網數據安全交換方法,其特征在于,多層包括物理層、傳輸層、應用層和策略層;
2.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,多層防護的跨網數據安全交換方法還包括安全側數據管理機制,該安全側數據管理機制包括:
3.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述應用層中,權限控制采用基于角色的訪問控制,根據用戶的角色分配不同的權限,只有授權用戶能訪問特定資源;流量控制采用限流機制,防止惡意請求導致的服務過載,保障系統的穩定性和安全性;接口控制是對接口的訪問進行嚴格控制,限制不必要的接口暴露,減少攻擊面;類型控制是對數據類型進行嚴格控制,防止非法數據注入和格式錯誤;敏感數據脫敏是在業務層面對敏感數據進行部分隱藏或脫敏處理,減少數據泄露風險。
4.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述策略層中,通過堡壘機加強系統管理,記錄所有管理員的操作行為;通過黑白名單過濾非法接入嘗試,進一步增強系統安全性,白名單允許指定的IP地址或用戶訪問,黑名單則禁止已知的
5.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述傳輸層中,數據均經過壓縮后再傳輸。
6.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述非安全側數據交換到安全側流程和非安全側請求安全側數據流程中,在利用單向傳輸光閘傳輸數據之前,還做了如下操作:
7.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述非安全側請求安全側數據流程中,還包括:
8.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述非安全側數據交換到安全側流程包括:
9.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述非安全側請求安全側數據流程包括:
10.一種基于多層防護的跨網數據安全交換裝置,其特征在于,該裝置執行時實現如權利要求1-9任一項所述的基于多層防護的跨網數據安全交換方法的步驟。
...【技術特征摘要】
1.一種基于多層防護的跨網數據安全交換方法,其特征在于,多層包括物理層、傳輸層、應用層和策略層;
2.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,多層防護的跨網數據安全交換方法還包括安全側數據管理機制,該安全側數據管理機制包括:
3.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述應用層中,權限控制采用基于角色的訪問控制,根據用戶的角色分配不同的權限,只有授權用戶能訪問特定資源;流量控制采用限流機制,防止惡意請求導致的服務過載,保障系統的穩定性和安全性;接口控制是對接口的訪問進行嚴格控制,限制不必要的接口暴露,減少攻擊面;類型控制是對數據類型進行嚴格控制,防止非法數據注入和格式錯誤;敏感數據脫敏是在業務層面對敏感數據進行部分隱藏或脫敏處理,減少數據泄露風險。
4.根據權利要求1所述的基于多層防護的跨網數據安全交換方法,其特征在于,所述策略層中,通過堡壘機加強系統管理,記錄所有管理員的操作行為;通過黑白名單過濾非法接入嘗試,進一步增強系統安全性,白名單允許指定的ip地址或用戶訪問,黑名單則禁止...
【專利技術屬性】
技術研發人員:陳俊珊,蘇再添,張輝極,蔡少萍,陳云,
申請(專利權)人:廈門市美亞柏科信息安全研究所有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。