一、研發背景
在深入貫徹全軍強軍思想和新時代軍事戰略方針的背景下,領導機關推動多網協同構建統一數字底座,支撐聯合作戰指揮、數據驅動決策和軍民協同互通,加速軍隊戰斗力向網絡化、信息化、智能化轉型。旨在打破傳統軍事網絡物理邊界與信息孤島,實現網絡之間的互聯互通,為現代化軍事體系升級提供基礎支撐。
然而,隨著數字化進程的深入,軍事網絡建設面臨三大核心矛盾:多層防護存在物理、電磁、數據等維度安全隱患;跨網數據交換存在“難流轉、風險高、管控弱”的效率瓶頸;傳統安全管控模式難以適配新型作戰的敏捷需求。為此,JW頒布一系列相關的標準及規范,對網絡建設的合規性、數據流的可控性、風險防范的前瞻性提出嚴格要求,強調全生命周期安全閉環管理,為軍事信息化安全體系建設劃定清晰紅線。
針對跨網數據交換的挑戰,中孚信息采取數據風險識別、數據安全分析、數據安全防護、網絡邊界防護、隔離控制交換、統一管控等一系列安全措施,構建了一套安全、高效、可擴展的跨網跨域數據安全交換解決方案,確保數據交換行為的可審計性和可追溯性。
二、建設目標
在深入貫徹新時代軍事戰略方針的背景下,數據安全交換系統的核心建設目標是構建一個安全、高效、可擴展的跨網跨域數據安全交換解決方案,確保在合規前提下實現大規模數據的穩定傳輸。
跨網跨域數據安全交換解決方案,需與現役各業務系統集成對接,支持多樣化數據對接協議,實現不同網絡環境下的數據安全交互。通過標準化接口設計和兼容性適配,確保業務連續性不受數據源或目標系統差異影響,提升數據流通效率,降低系統改造成本。同時,為確保數據交換的透明與可控,方案將重點實現數據交換行為的全程可審計和可追溯性,通過日志記錄、操作追蹤和行為監控等功能,構建完整的安全事件追溯鏈條。所有數據交換活動需保存詳細日志,支持事后回溯與合規審計,為責任認定、問題排查和事件復盤提供可靠依據。還需兼顧安全與效能,在嚴格遵循軍隊安全保密要求的基礎上,優化傳輸流程、縮減響應時間,滿足高頻次、多維度的數據交換需求。
通過技術手段與管理機制的深度結合,為軍隊數據戰略提供安全可靠的基礎設施支撐,推動數據資源的有序流動與價值挖掘,助力作戰指揮智能化、后勤保障精準化、裝備管理數字化等領域的全面提升。
三、方案架構
跨網跨域數據安全交換解決方案,整體設計包括數據接入區、網絡邊界防護區、數據安全交換區、運行維護管理區,通過在業務系統中部署應用代理或提供API等方式為數據交換實體提供跨網跨域數據交換服務,綜合運用權限管控、數據采集、邊界防護、數據動態過濾、運行維護管控等技術手段,構建貫穿跨網跨域數據交換全鏈路的縱深防御體系,如下圖所示:
跨網跨域數據交換總體架構圖
(一)數據接入區
數據接入區是整個網絡架構的入口,主要負責實現交換實體安全基線核查、身份認證、權限檢查、簽名保護、加密保護、完整性保護、傳輸加密等功能。交換實體的安全基線核查用于確保連接的實體符合安全標準。身份認證和權限檢查功能,確保只有合法用戶和設備能夠接入網絡。簽名保護、加密保護和完整性保護功能,確保數據在傳輸過程中不被篡改或泄露。此外,傳輸加密功能進一步增強了數據的安全性,確保數據在傳輸過程中不被竊取。
(二)網絡邊界防護區
網絡邊界防護區是網絡架構的第二道防線,主要負責實現網絡隔離、訪問控制、報文檢測、病毒查殺、流量監測、應用防護、攻擊攔截、網絡拓撲隱藏防護等功能。網絡隔離和訪問控制功能,防止未經授權的訪問和數據流動。報文檢測功能,對進出的報文進行深度分析,確保其合法性。病毒查殺功能則用于檢測和清除潛在的病毒威脅,保障網絡的健康運行。流量監測功能實時監控網絡流量,及時發現異常流量并采取相應措施。應用防護功能則保護關鍵應用免受攻擊,確保業務的連續性。攻擊攔截功能能夠識別并阻止惡意攻擊,保護網絡免受侵害。網絡拓撲隱藏防護,使攻擊者難以發現和攻擊真正的網絡結構。
(三)數據安全交換區
數據安全交換區是網絡架構中的核心區域,主要負責實現數據動態過濾、單向隔離傳輸、轉發控制等功能。數據動態過濾功能確保傳輸的數據符合安全標準,防止非法數據傳輸。單向隔離傳輸功能則通過物理隔離手段,確保數據只能單向流動,防止數據被逆向傳輸。轉發控制功能則對數據的傳輸路徑進行精細化管理,確保數據按照預定的路徑安全傳輸。
(四)運行維護管理區
運行維護管理區是網絡架構的管理和監控中心,實現交換實體的管理和策略管理監控。該區域還提供了狀態監測控制功能,實時監控網絡設備和應用的狀態,確保其正常運行。提供全流程日志審計功能,記錄網絡中的所有操作和事件,以便于后續的審計和分析。具備異常監控處置功能,及時發現和處理網絡中的異常情況,保障網絡的穩定性和安全性。通過這些功能,運行維護管理區能夠有效地管理和維護整個網絡架構,確保其高效、安全地運行。
四、結語
中孚信息跨網跨域數據安全交換解決方案在合規的前提下實現大規模數據的穩定傳輸,從而有效提升跨網跨域數據交換的安全性、便捷性和可用性,保障日常工作的順利開展。可與現役各業務系統集成對接,為數字化聯合作戰提供“可信、可控、可追溯”的網絡安全保障,為軍隊現代化轉型提供有力支撐。
