根據某省電網設計規劃，資料交換區是資訊內網（Ⅳ區）與資訊外網（Ⅴ區）進行資料互動唯一邊界。它的安全性與可用性將是此安全邊界建設的重中之重。當前內外網平臺效能及可靠性無法滿足當前及未來外網業務發展需要，在安全及效能上已經成為外網業務發展瓶頸，因此需要通過建立內外網資料交換區達到強隔離、高安全性及高實時性的目的。

有需要此方案軟硬體開發原型請聯絡：

13803113171 QQ:1561724180  email:[email protected] [email protected] 

基於USB3.0（或USB3.1、DP1.2、DP1.4）的資料安全傳輸通道元件採用自主可控加密演算法及私有協議自主可控加密演算法及私有協議，該元件負責網路協議剝離，增加私有協議傳輸，身份鑑別，協議解析，標籤控制等安全增強策略，利用自研演算法對業務進行安全加固。

一、資料交換方式

      1、結構化資料

該業務模式通常為內外網獨立部署業務應用伺服器，並且各自具有獨立的資料庫進行業務訪問，此種業務模式下多級互聯資料安全交換平臺主要以直接交換資料庫之間的資料方式為主。

互聯前置會主動獲取資料庫上的資料，並將資料轉換成平臺標準的格式資料傳輸到另一側，另一側互聯前置再將資料格式進行轉換，從而寫入資料庫中。通過這種方式可以避免外網對內網資料庫的直接操作，通過對資料格式的轉換，也可將畸形資料阻擋在另外一端，避免對資料庫造成極端破壞。

      2、非結構化資料

這種業務部署模式通常在內外網也具有獨立的業務應用伺服器，但其互動方式不通過資料庫，而是採用檔案級別的交換方式。在此業務模式下多級互聯資料安全交換平臺以系統間檔案交換為主。

互聯前置通過檔案協議查詢伺服器上檔案的更新狀況，將符合安全策略的檔案打上標記傳輸至互聯部件，互聯部件根據標籤的等級決定是否傳輸到另一側。通過對檔案型別和檔案格式控制，可以保證所交換的檔案都是可控、可信、可管的。可避免未知檔案在兩網間隨意交換。

      3、實時資料及訊息佇列

該業務模式通常在外網部署有業務應用伺服器，而資料庫伺服器只部署在內網，應用伺服器需要通過多級互聯資料安全互動平臺進行對資料庫的業務訪問。

當兩端伺服器需要互動實時資料時，平臺首先對互動的應用協議型別進行檢測，只允許符合安全策略的應用協議通過訪問。其次可對應用協議的指令、內容格式、協議狀態等進行過濾檢測。最後可對資料內容進行安全過濾。從而保證整個實時業務資料交換的安全性。此外，平臺連線安全沙箱（另外的專案），對剝離出來的資料可通過沙箱模擬執行環境，從而確保資料的安全可靠。

二、原型方案

      1、架構設計

• 可選ARM to ARM、ARM to PC、PC to PC三種架構
• ARM主機板，初步選定：RK3399（2*A72 + 4*A53），2*USB3.0，1*千兆口
• Linux系統，初步選定：Ubuntu主流版本
• 對與PC作業系統使用CentOS

     1.1、ARM板初步選型-高效能、千兆口、2*USB3.0

採用RK3399六核（A72x2+A53x4）64位處理器，主頻高達2.0GHz，板載二個USB3.0和一個千兆以太口，支援Android/Linux/Ubuntu系統，開放原始碼便於二次開發。

    2、技術指標及引數

• 數字介面：USB3.0介面2個，千兆乙太網口（RJ45）1個
• RJ45通訊速率： 1Gbps
• USB3.0通訊速率：5Gbps,  3m以內佈線（通用序列匯流排理論最大傳輸速率，適配USB3.0介面，無加密透傳），兩組USB3.0介面可以實現負載均衡和頻寬疊加
• USB3.0理論傳輸速率: 1000Mbps
• 工作溫度：0~55℃
• 工作溼度：0~95%RH

三、原型階段實現

1. 構建自主可控的通訊程式設計介面、加密演算法庫
2. 業務訊息傳遞系統
3. 原型硬體的設計

眾智工作室

2018年11月21日