【技术实现步骤摘要】
本专利技术涉及数据传输,具体涉及一种数据传输通道安全能力建设方法。
技术介绍
1、数据传输通道,是在跨隔离网、跨安全区等场景构建的数据安全传输的能力,各安全厂商依托网闸设备构建相关能力,主要包括防病毒、文件安全传输等能力,满足数据传输通道场景安全能力。
2、基于网闸的数据传输通道安全能力单一,主要实现数据的安全摆渡,包括基于ftp的文件摆渡、数据库数据摆渡、邮件安全摆渡、协议安全访问、数据防病毒检查等,对于具体传输的数据内容、文件深入检查、邮件的防病毒等无法实现。
3、随着跨网数据摆渡场景的增加,大量核心、非核心数据通过网闸进行跨网传输,其中的安全能力至关重要,不仅仅关注基于网闸的安全能力,还需要满足其他多场景的安全业务需求,如文件传输场景针对传输内容的防泄漏安全检查、针对api级别的防泄漏安全过滤、全场景的防病毒检查(包括文件、api、邮件等),以及数据跨网传输审批能力。
4、本专利技术主要针对更精细化、全面的安全能力,建立满足数据传输通道安全能力要求的平台方法。
技术实现思路
1、针对现有技术中的缺陷,本专利技术提供了一种数据传输通道安全能力建设方法,以解决目前网闸的数据传输通道安全能力单一,无法满足多场景安全传输的问题。
2、本专利技术提供的一种数据传输通道安全能力建设方法,包括:
3、基于应用场景需求,建立数据传输通道;所述应用场景包括文件传输、应用系统安全传输和api调用;所述数据传输通道实现身份管理能力、安全检
4、由上述技术方案可知,本专利技术提供的一种数据传输通道安全能力建设方法,针对多个应用场景实现身份管理能力、安全检查能力、安全摆渡能力、审批安全能力、审计安全能力和接口开放安全能力,满足用户业务场景、业务系统的实际需求,支撑企业数据传输安全通道能力建设。
5、可选地,所述身份管理安全能力包括:
6、实现身份源的统一,并实现身份的全生命周期管理;
7、实现单点登录能力:用户只需一次认证,即可在数据传输通道机对应的业务系统和应用程序中自由流动;
8、实现统一授权管理:实现应用对于用户的授权。
9、可选地,所述安全检查能力包括内容检查和防病毒检查,所述内容检查基于规则针对文件传输内容进行内容检查,所述防病毒检查基于病毒文件特征库、病毒异常运行行为的机制针对传输文件进行防病毒检查;其中api内容转为xml格式文件后进行检查。
10、可选地,所述安全摆渡能力通过单向隔离机制实现数据跨区域的安全摆渡,所述单向隔离机制基于单向隔离设备实现;
11、所述单向隔离设备包括外端机、内端机和数据隔离组件,
12、当数据从内向外传递时,所述内端机基于应用代理服务终止网络协议,解析应用数据并进行安全处理;所述数据隔离组件接收到安全处理后的数据,以专用封装格式摆渡到所述外端机;所述外端机基于应用代理客户端将应用数据封装为tcp/ip格式并路由到目的地;
13、当数据从外向内传递时,所述外端机基于应用代理服务终止网络协议,解析应用数据并进行安全处理;所述数据隔离组件接收到安全处理后的数据,以专用封装格式摆渡到所述内端机;所述内端机基于应用代理客户端将应用数据封装为tcp/ip格式,并将其路由到目的地。
14、可选地,所述审批安全能力满足文件传输、应用系统安全传输和api调用的场景需求,
15、文件传输场景下按照审批规则进行审批,审批后的文件实现传输;
16、应用系统安全传输的场景包括邮件传输、数据库同步和web应用访问,用户邮件传输按照规则进行审批,审批后进行传输;数据库同步进行一次性审批,审批后按规则进行定期同步;web应用访问针对用户可访问web进行审批,审批后用户实现跨网访问;
17、api调用针对需求开放跨网访问的api进行审批,审批后实现api的跨网调用。
18、可选地,所述审计安全能力针对数据流转进行审计记录,审计记录用于分析各场景数据流转的频率、数据量大小和安全情况;
19、文件传输场景下针对传输内容、时间、传输账号、源ip和目的ip实现文件传输的全面审计;
20、应用系统安全传输场景下实现邮件传输的全面审计,审计内容包括邮件标题、邮件附件名称、邮件大小、发件人、收件人和发件时间;应用系统安全传输实现数据库同步的全面审计,审计内容包括同步记录、同步时间和同步数据库的库/表/记录;应用系统安全传输实现web应用访问的全面审计,审计内容包括web应用名称、访问时间、访问人员和访问url;
21、api调用场景下实现api调用的全面审计,审计内容包括api名称、调用时间、调用系统和调用ip。
22、可选地,所述接口开放安全能力用于开放外部接口调用,实现数据传输通道安全检查能力、安全摆渡能力和审批安全能力的输出。
23、可选地,所述接口开放安全能力输出所述安全检查能力的方法包括:
24、在http header里传递方法名表示要调用此接口,在http body传二进制的文件流;
25、数据传输通道在返回的http响应的header里返回状态标识data~returnstatus,状态标识data~returnstatus表示安全检查是否通过。
26、采用上述技术方案,本申请具有如下有益效果:
27、本专利技术提供全面的数据传输通道安全能力,能够满足各场景数据传输通道能力的需求,实现传输的数据内容、文件深入检查、邮件防病毒的多方面安全摆渡。
本文档来自技高网...【技术保护点】
1.一种数据传输通道安全能力建设方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述身份管理安全能力包括:
3.根据权利要求2所述的方法,其特征在于,所述安全检查能力包括内容检查和防病毒检查,所述内容检查基于规则针对文件传输内容进行内容检查,所述防病毒检查基于病毒文件特征库、病毒异常运行行为的机制针对传输文件进行防病毒检查;其中API内容转为XML格式文件后进行检查。
4.根据权利要求1所述的方法,其特征在于,所述安全摆渡能力通过单向隔离机制实现数据跨区域的安全摆渡,所述单向隔离机制基于单向隔离设备实现;
5.根据权利要求4所述的方法,其特征在于,所述审批安全能力满足文件传输、应用系统安全传输和API调用的场景需求,
6.根据权利要求1所述的方法,其特征在于,所述审计安全能力针对数据流转进行审计记录,审计记录用于分析各场景数据流转的频率、数据量大小和安全情况;
7.根据权利要求1所述的方法,其特征在于,所述接口开放安全能力用于开放外部接口调用,实现数据传输通道安全检查能力、安全摆渡能力和审
8.根据权利要求7所述的方法,其特征在于,所述接口开放安全能力输出所述安全检查能力的方法包括:
...【技术特征摘要】
1.一种数据传输通道安全能力建设方法,其特征在于,包括:
2.根据权利要求1所述的方法,其特征在于,所述身份管理安全能力包括:
3.根据权利要求2所述的方法,其特征在于,所述安全检查能力包括内容检查和防病毒检查,所述内容检查基于规则针对文件传输内容进行内容检查,所述防病毒检查基于病毒文件特征库、病毒异常运行行为的机制针对传输文件进行防病毒检查;其中api内容转为xml格式文件后进行检查。
4.根据权利要求1所述的方法,其特征在于,所述安全摆渡能力通过单向隔离机制实现数据跨区域的安全摆渡,所述单向隔离机制基于单向隔离设备...
【专利技术属性】
技术研发人员:张再峰,牛文生,周振兴,赵孝诚,黄光亮,邹举鹏,于泳,朱小龙,闵婕,
申请(专利权)人:中航机载系统共性技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。