内外网数据交换平台安全解决方案
一、用户背景
某市住房公积金管理中心成立于2003年,市政府直属事业机构,主管该地区住房公积金和其他政策性住房资金,负责住房公积金保值、归还、核算,编制住房公积金年度预算决算报告、增值收益分配方案并对执行情况进行检查。
二、用户需求
用户需求如下:
- 解决单位外网与内网安全数据交互的问题
- 确保双方的身份的可靠性、数据的防篡改、防抵赖及事后审计
满足应用与应用之间,应用与数据库之间,通过隔离设备进行身份认证、授权访问和数据交换的功能。
三、解决方案
内外网部署安全代理服务器,构成内外网数据交换平台,支持冗余部署。数据交换平台具有如下功能:
- 支持对多种及多个服务的代理访问
- 支持代理服务器一对一及多对一的部署方式
- 支持前端应用的并发访问。
- 支持前端应用的长连接及短连接通讯方式
- 代理服务器可配置连接池对服务并发访问
- 可参数化配置连接时间,对过长连接进行断开
- 对前端应用可以基于 IP 、服务及时间进行访问控制
- 代理服务器基于证书认证
- 加密密钥进行协商,一次一密
- 加密方法可采用 AES 、 SM4 等
对后台服务的访问有对多个服务访问、对多种服务访问及混合访问方式。
根据应用场景,可将代理服务器配置为一对一及多对一的部署方式。
支持前端应用的并发访问,代理服务器将数据封装到加密隧道,并对后台服务发起相应的并发访问。
通讯的连接方式由前端应用决定,安全代理自适应长连接及短连接方式。
对于数据库类的服务,可在代理服务器配置连接池,重用连接,以增加数据存取效率。
代理对应用连接进行监控,对指定时间内没有数据访问的连接,进行断开处理,以保持系统的健壮性。
代理服务器采用白名单的方式进行访问控制,不在白名单的机器,不能访问代理。另外,特定的服务可设定只能在特定的时间段进行访问。
前置和后置安全代理服务器的隧道,采用SSL协议进行加密通讯,采用数字证书进行双向认证,只有持有授权证书的前置和后置安全代理服务器才能建立加密隧道,进行后续访问。
每次建立新连接需进行密钥协商,产生新的密钥,对数据进行加密,保证通讯安全性。
可指定加密算法,可采用AES及国密算法SM4。
四、网络拓扑

图 应用安全设备部署拓扑图
五、用户收益
- 通过内外网数据交换平台,使不同网络应用系统之间或内外网应用系统之间实现安全对接。
- 通过强身份认证手段的采用,确保只有可信的设备才能互联。
- 通过加密传输保证了数据传输的机密性和完整性。