【技术实现步骤摘要】
本专利技术涉及信息安全,更具体的说是涉及一种基于dmz网络架构的数据要素流通系统。
技术介绍
1、dmz 是英文“demilitarized zone”的缩写,中文名称为“隔离区”, 与军事区和信任区相对应,也称“非军事化区”,是为了解决外部网络不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。作用是把单位的 ftp服务器、e-mail服务器等允许外部访问的服务器单独部署在此区域,使整个需要保护的内部网络接在信任区后,不允许任何外部网络的直接访问,实现内外网分离,满足用户的安全需求。
2、随着云计算、大数据、人工智能等技术的快速发展,当今社会已迈入数字化发展重要机遇期,数据规模正呈现爆发式增长、海量式集聚态势。数据正成为催动各行各业快速发展变革的核心竞争所在。数据成为了新的生产要素,加速数据要素流通,释放数字生产力成为推进社会发展的关键任务之一。数据不同于传统要素,其具有可复制、易衍变、流动性强等特点,为了实现数据要素化的安全高效流通,充分挖掘数据价值, 推进数据开放高效利用和应用,数据要素流体技术得到快速的发展。
3、当前,主流的大数据要素流通技术主要基于隐私计算、加密技术、数据沙箱等技术,但数据服务平台直接面向用户开放,例如数据服务平台作为健康医疗大数据中心或金融大数据中心时,由于数据的安全要求较高,如果平台本身存在设计缺陷,或用户操作不当,则存在数据泄露或损害的风险。
技术实现思路
1、针对以上问题,本专利技术的目的在于提供一
2、本专利技术为实现上述目的,通过以下技术方案实现:一种基于dmz网络架构的数据要素流通系统,包括:互联网开放区、数据交互区、网络防护层和核心数据生产区;
3、互联网开放区,用于面向不同用户、不同业务场景提供互联网数据服务;
4、核心数据生产区,用于根据互联网数据服务需求,利用大数据分析演算,生成衍生数据,并通过数据交互区向互联网开放区交付数据;
5、数据交互区,用于互联网开放区和核心数据生产区的数据交互,数据交互区不会存储或调取原始数据,仅作为临时中转站临时存储衍生数据,且定期清除存储记录;
6、网络防护层,用于数据交互区与互联网开放区之间、数据交互区与核心数据生产区之间的访问控制。
7、进一步,互联网开放区内部署有多个不同种类的大数据应用服务平台,每个大数据应用服务平台中均设有多个应用服务器;所述大数据应用服务平台,用于向互联网对外开放,并向客户提供数据服务功能;当接收到客户的数据服务请求后,对客户授权信息进行审核,审核通过后针对客户身份生成客户数字签名,并将客户的数据请求通过数据交互区反向代理服务器转发至核心数据生产区。
8、进一步,核心数据生产区部署有后台应用服务器和数据湖;后台应用服务器,用于接收客户的数据请求,对数据请求的内容进行响应,调用数据湖生成数据文件或脱敏数据,依据客户数字签名对数据文件加盖数字签章,对脱敏数据生成数据水印,将产生的数据文件、脱敏数据及对应的客户数字签名写入数据交互区。
9、进一步,数据交互区部署有反向代理服务器、交互数据服务器和交互文件服务器;反向代理服务器,用于根据已写入的映射关系,根据大数据应用服务平台发出数据请求的端口,将数据请求转发至指定的后台应用服务器ip及端口中,并在转发过程中针对请求的报文头文件、格式进行初步筛选,将不符合格式要求的违规请求阻断;交互数据服务器,用于存储后台应用服务器发送的结构化的衍生数据文件,如脱敏数据等;交互文件服务器,用于存储后台应用服务器发送的非结构化的衍生数据文件,如图片、pdf等。
10、进一步,交互数据服务器、交互文件服务器及反向代理服务器之间不可互通;核心数据生产区对交互数据服务器及交互文件服务器仅有写入的权限,互联网开放区对交互数据服务器及交互文件服务器仅有读取及拷贝的权限;交互数据服务器、交互文件服务器无法对核心数据生产区和互联网开放区的资源发起直接访问;
11、进一步,网络防护层包括:网闸、防火墙和数据防泄漏组件;防火墙和网闸,用于限制服务器之间的访问,通过配置防护策略仅开放特定的ip、协议及端口,仅允许反向代理服务器到核心数据生产区的单向访问,以及核心数据生产区到交互数据服务器和交互文件服务器的单向访问;数据防泄漏组件,用于监测传输的数据内容,避免敏感数据泄露。
12、进一步,后台应用服务器,具体用于:
13、接收反向代理服务器转发的api请求;收到api请求后,会对api报文格式、api_key、 api_secret进行校验,校验通过后会依据请求内容调取数据湖内数据,并对数据进行演算,生成数据文件或脱敏数据,依据客户数字签名对数据文件加盖数字签章,对脱敏数据生成数据水印,将产生的数据文件、脱敏数据及对应的客户数字签名写入数据交互区。
14、进一步,后台应用服务器包括但不限于:数据沙箱服务器、分析模型服务器和数据ai平台服务器。
15、进一步,数据文件包括但不限于:数据分析报表、加密计算结果记录表和数据统计结果记录表。
16、对比现有技术,本专利技术有益效果在于:
17、1、本专利技术通过建立数据交互区,收敛数据出口,减少网络层面暴露面,便于安全层面集中管控。
18、2.本专利技术实现了满足数据交互需求的同时,保障后台生产服务器不直接与互联网接触,避免核心数据及个人隐私信息直接暴露在互联网中。
19、3、本专利技术能够避免用户直接接触核心生产环境,且前端系统服务器及后端系统服务器互相无法获知对方网络地址,即使前端业务平台受到网络攻击,也可保障核心生产系统的安全。
20、4、本专利技术通过建立了多层访问控制策略,能够保障数据可用不可见。
21、5、本专利技术实现了单向链路访问,有效限制了恶意代码、网络入侵及代码执行漏洞的攻击途径。
22、由此可见,本专利技术与现有技术相比,具有突出的实质性特点和显著的进步,其实施的有益效果也是显而易见的。
本文档来自技高网...【技术保护点】
1.一种基于DMZ网络架构的数据要素流通系统,其特征在于,包括:互联网开放区、数据交互区、网络防护层和核心数据生产区;
2.根据权利要求1所述的基于DMZ网络架构的数据要素流通系统,其特征在于,所述互联网开放区内部署有多个不同种类的大数据应用服务平台,每个大数据应用服务平台中均设有多个应用服务器;
3.根据权利要求2所述的基于DMZ网络架构的数据要素流通系统,其特征在于,所述核心数据生产区部署有后台应用服务器和数据湖;
4.根据权利要求3所述的基于DMZ网络架构的数据要素流通系统,其特征在于,所述数据交互区部署有反向代理服务器、交互数据服务器和交互文件服务器;
5.根据权利要求4所述的基于DMZ网络架构的数据要素流通系统,其特征在于,所述网络防护层包括:网闸、防火墙和数据防泄漏组件;
6.根据权利要求4所述的基于DMZ网络架构的数据要素流通系统,其特征在于,
7.根据权利要求4所述的基于DMZ网络架构的数据要素流通系统,其特征在于,所述后台应用服务器,具体用于:
8.根据权利要求7所述的基于DMZ
9.根据权利要求3所述的基于DMZ网络架构的数据要素流通系统,其特征在于,所述数据文件包括但不限于:数据分析报表、加密计算结果记录表和数据统计结果记录表。
...【技术特征摘要】
1.一种基于dmz网络架构的数据要素流通系统,其特征在于,包括:互联网开放区、数据交互区、网络防护层和核心数据生产区;
2.根据权利要求1所述的基于dmz网络架构的数据要素流通系统,其特征在于,所述互联网开放区内部署有多个不同种类的大数据应用服务平台,每个大数据应用服务平台中均设有多个应用服务器;
3.根据权利要求2所述的基于dmz网络架构的数据要素流通系统,其特征在于,所述核心数据生产区部署有后台应用服务器和数据湖;
4.根据权利要求3所述的基于dmz网络架构的数据要素流通系统,其特征在于,所述数据交互区部署有反向代理服务器、交互数据服务器和交互文件服务器;
5.根据权利要求4所述的基于...
【专利技术属性】
技术研发人员:李翔宇,孙雷亮,
申请(专利权)人:北方健康医疗大数据科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。