慧天云海跨网数据**交换平台

跨网数据安全交换平台 V3.0、15376184564赵东生。 

慧天云海跨网数据安全交换平台由以下三部分组成

1慧天云海HT-GAP-FB 3000-V跨网数据安全交换平台-安全交换系统 V3.0（前置系统+后置系统+网闸（或光闸）），增强版千兆跨网视频安全交换平台，标准2U机架式机箱，双电源。跨安全域多媒体数据交换安全控制。3年硬件质保。

2慧天云海HT-GAP-DA 3000跨网数据安全交换平台-审计系统 V3.0，增强版跨网视频安全交换平台审计系统：6*千兆网口；4T SATA存储；16G内存；日志记录：5亿条。三年硬件质保

3慧天云海HT-GAP-DP 3000跨网数据安全交换平台-集中监控探针系统 V3.0，增强版跨网数据安全交换平台集中监控系统：6个10/100M/1000M RJ-45接口；

日志采集能力：8000条日志/秒3年硬件质保。

慧天云海跨网数据安全交换平台产品主要用于解决部门之间数据共享问题、业务互访问题以及部门之间的边界安全问题。

产品由前置系统（外端）、前置系统（内端）、审计系统（集中控制系统）、集中控制探针系统组成，前两者为标准配置，后两者可根据实际应用情况选配。产品与网闸（安全隔离与信息交换系统）或单向光闸组成数据安全交换平台，实现不同网络（或安全域）之间的协议级强隔离，对外完全隐藏内部网络，有效保障网络内部信息系统的数据安全。并在网络隔离的基础上，可实现对数据库、文件、请求命令与响应三类数据的跨网安全高效交换。

平台五大组件形成一个有机组合的平台，解决跨部门之间的数据共享、服务访问以及安全问题。

（1） 前置系统（外端）：内置安全交换系统内端，主要实现外端数据数据采集、数据装载、文件采集、格式检查、被人过滤、服务请求接收、消息接收等处理，并与审计系统结合实现审计数据和服务情况。

（2） 前置系统（内端）：内置安全交换系统外端，主要实现内端数据数据采集、数据装载、文件采集、格式检查、被人过滤、服务请求接收、消息接收等处理，并与审计系统结合实现审计数据和服务情况。

（3） 审计系统：对平台各个组件进行运维、监控、管理等，并对数据交换、服务访问、文件交换过程进行安全审计。

（4） 集中监控探针系统：部署在外端，实现安全隔离设备外端系统、前置系统（外端）以及其他安全设备的信息收集，并传输到审计系统。

（5） 安全隔离边界：实现部门之间的边界安全隔离，可以通过网闸、单向光闸等机制实现。

工作原理

慧天云海跨网数据安全交换平台实现没有网络协议穿透前提下的跨网络（或安全域）数据交换。

在网闸（或单向光闸）设备内外两端分别部署前置系统（内端）和前置系统（外端），内外部应用的连接通信终止于跨网数据安全交换平台，从而完全隐藏内网的业务系统，保障内网业务系统以及数据的安全。

前置系统内外端与网闸或单向光闸之间只通过私有协议进行通信，切断内外网之间的TCP/IP通信，并剥离数据的通信协议，以裸数据的形式进行数据摆渡。对于交换数据，前置系统内外端会依据安全策略对访问请求进行预处理，判断是否符合访问控制策略，并对数据包进行应用层协议检查和内容过滤，检验其有效载荷的合法性和安全性。一旦数据包通过了安全检查，内外网主机模块会对数据包进行格式化，以格式化数据块的方式通过隔离交换模块进行单向交换；对于数据库数据交换，该系统采用数据过滤、内容审查、病毒查杀等手段保证数据内容安全可控，并封装成私有协议格式，防止数据被篡改、被窃听；对于webservice数据交换，该系统采用参数过滤、数据内容审查、病毒查杀、SQL注入过滤等手段，保证交换的数据内容安全可控，并把请求数据封装成格式化文件，切断网络直接通讯，以格式化文件落地交换，保证交换的数据可管可控。

对于所有跨网数据交换行为、用户行为，系统提供全方位、细粒度记录审计，并提供多条件综合查询及查询结果图形化展示功能，保证数据交换行为的可追溯性。

通过以上安全机制，慧天云海跨网数据安全交换平台可以实现外网之间数据跨网交换的高安全性。