解决方案
当前位置: 首页 > 解决方案 > 通用行业解决方案
内外网数据交换平台安全解决方案

一、用户背景

某市住房公积金管理中心成立于2003年,市政府直属事业机构,主管该地区住房公积金和其他政策性住房资金,负责住房公积金保值、归还、核算,编制住房公积金年度预算决算报告、增值收益分配方案并对执行情况进行检查。

二、用户需求

用户需求如下:

  1. 解决单位外网与内网安全数据交互的问题
  2. 满足应用与应用之间,应用与数据库之间,通过隔离设备进行身份认证、授权访问和数据交换的功能。

  3. 确保双方的身份的可靠性、数据的防篡改、防抵赖及事后审计

三、解决方案

内外网部署安全代理服务器,构成内外网数据交换平台,支持冗余部署。数据交换平台具有如下功能:

  1. 支持对多种及多个服务的代理访问
  2. 对后台服务的访问有对多个服务访问、对多种服务访问及混合访问方式。

  3. 支持代理服务器一对一及多对一的部署方式
  4. 根据应用场景,可将代理服务器配置为一对一及多对一的部署方式。

  5. 支持前端应用的并发访问。
  6. 支持前端应用的并发访问,代理服务器将数据封装到加密隧道,并对后台服务发起相应的并发访问。

  7. 支持前端应用的长连接及短连接通讯方式
  8. 通讯的连接方式由前端应用决定,安全代理自适应长连接及短连接方式。

  9. 代理服务器可配置连接池对服务并发访问
  10. 对于数据库类的服务,可在代理服务器配置连接池,重用连接,以增加数据存取效率。

  11. 可参数化配置连接时间,对过长连接进行断开
  12. 代理对应用连接进行监控,对指定时间内没有数据访问的连接,进行断开处理,以保持系统的健壮性。

  13. 对前端应用可以基于 IP 、服务及时间进行访问控制
  14. 代理服务器采用白名单的方式进行访问控制,不在白名单的机器,不能访问代理。另外,特定的服务可设定只能在特定的时间段进行访问。

  15. 代理服务器基于证书认证
  16. 前置和后置安全代理服务器的隧道,采用SSL协议进行加密通讯,采用数字证书进行双向认证,只有持有授权证书的前置和后置安全代理服务器才能建立加密隧道,进行后续访问。

  17. 加密密钥进行协商,一次一密
  18. 每次建立新连接需进行密钥协商,产生新的密钥,对数据进行加密,保证通讯安全性。

  19. 加密方法可采用 AES 、 SM4 等
  20. 可指定加密算法,可采用AES及国密算法SM4。

四、网络拓扑

应用安全设备部署拓扑图

五、用户收益

  1. 通过内外网数据交换平台,使不同网络应用系统之间或内外网应用系统之间实现安全对接。
  2. 通过强身份认证手段的采用,确保只有可信的设备才能互联。
  3. 通过加密传输保证了数据传输的机密性和完整性。