银行网络平台单向数据传输方案

一、方案背景

银行网络系统面临的攻击有来自银行内部的，也有来自银行外部的。攻击的后果将造成银行信息失密和窃密、信息篡改、假冒和伪造身份等等，特别是在网络上运行关键业务时，网络安全问题更是首先要解决的问题。要实现银行网络业务持续开展，将外部办公数据传输到银行内部核心数据库中，此过程必须是安全可控的，建立一个单向安全隔离区可以更好实现数据高效单向传输且保证内部网络的安全零威胁。

二、面临问题

■  来自各应用系统和终端机上存储着大量的数据，员工可从各个业务系统中或终端机上进行数据下载，存在安全隐患；

■  存储在终端机上的客户资料、业务信息等，由于数据未加密、未做安全防护，可轻易携带泄漏，或易被黑客或不法分子窃取，带来不可估量损失；  

■  人员级别众多分发管理困难，业务部门人员级别众多，阅读权限容易混淆，无法约束不同级别人员权限；

■  文件操作无审计无法追溯，一旦泄密行为发生后，无法确定泄密源头，无法明确泄密责任。

三、业务需求

1、保护互联网银行内部信息安全隔离需求

来自各应用系统和终端机上存储着大量的数据，员工可从各个业务系统中或终端机上进行数据下载，存在安全隐患。存储在终端机上的客户资料、业务信息等，由于数据未加密、未做安全防护，可轻易携带泄漏，或易被黑客或不法分子窃取，带来不可估量损失。

2、数据单向传输要求

银行营业内网存在涉密类银行业务和信息传输需要，银行外部办公网络低密级安全域数据以文件方式（如果是数据库单向同步，必须要求数据库数据转成固定格式文件后，以文件形式单向传入）单向传输进入银行营业内网高密级安全域的过程需是单向的、不可逆的，需保证传输设备仅存在一个物理方向数据传输，以此达到数据导入的安全可控策略，并且可以随时关闭物理方向数据传输。

四、方案设计

针对以上问题，首瀚科技在银行办公外网与营业内网之间部署安全隔离区，两个区域之间通过郁垒网络单向传输系统完成网络边界数据传输，对视频专网数据进行有效清洗，防止病毒、入侵、恶意流量等风险在网络中传播；因为单向光闸以光传输模块，保证视频流的安全接入公安内网的单向性。

首瀚科技在银行内网信息传输解决方案思路如下图：

整体解决方案按照“信息安全等级保护”为设计指导。

首瀚郁垒网络隔离与信息单向导入系统采用“2+1”模型架构设计，即内网主机、外网主机加单向导入隔离部件，内网主机连接集团内网客户端、外网主机连接外网客户端，单向光闸内部的单向导入隔离部件保证数据从外网向内网单向传递。

首瀚单向光闸的文件单向传输功能是整个系统的基本功能，该软件模块只需要在外网客户端指定需要文件传输的源文件夹，在内网客户端指定目的文件夹，系统就会实时监控文件发送源，实时同步增量文件并按照传输策略将文件传输至文件接收目的，对电子政务的业务应用系统无任何影响。而用户只要将需要交换的文件放入指定的源文件夹即可自动开始传输。

单向文件传输应用适合对各种文件进行传输，文件只能由外网的文件发送源传输至内网的文件接收目的，反之则不能。系统支持各种格式的文件传输，支持大量小文件及大文件的传输，支持重名策略，支持多级目录嵌套，支持不依赖于文件扩展名的文件格式检查。

五、客户价值

■  保障各级人保部门实时、安全的信息互通共享，保障核心数据安全。

■  强化银行部门资源共享能力，加快银行向智慧型服务机构转型。

■  符合等级保护和相关行业监管要求。