电信网络平台单向数据传输方案

一、方案背景

国家相继出台法律法规出台及行业法规，对运营商数据安全监管提出了明确的要求：国家法规层面：《网络安全法》以及即将发布的《数据安全法》都从法律制度层面对数据的安全提出了相关防护要求。行业监管层面：工信部网络安全管理局下发《各省级基础电信企业网络与信息安全工作考核要点与评分标准》、工信部办公厅下发《电信和互联网行业提升网络数据安全保护能力专项行动》等规范都对运营商数据安全的合规性建设提出了相关的要求。运营商在保证业务连续性的情况下，需提前做好数据的安全防护以及满足合规要求，提供针对性的信息安全传输保护。

二、面临问题

■  来自各应用系统和终端机上存储着大量的数据，员工可从各个业务系统中或终端机上进行数据下载，存在安全隐患；

■  存储在终端机上的客户资料、业务信息等，由于数据未加密、未做安全防护，可轻易携带泄漏，或易被黑客或不法分子窃取，带来不可估量损失；  

■  人员级别众多分发管理困难，业务部门人员级别众多，阅读权限容易混淆，无法约束不同级别人员权限；

■  文件操作无审计无法追溯，一旦泄密行为发生后，无法确定泄密源头，无法明确泄密责任。

三、业务需求

1、运营商内网安全隔离需求

运营商内外网的混合使用容易造成的信息外泄，不乏外部终端非法接入内网而泄密、内网终端非法外联外部网络泄密情况，为避免内网核心数据的外泄，需在数据传输过程中保证两个不同密级的网络区域实现安全隔离需求。

2、外网向运营商内网数据单向传输要求

为保障运营商内部数据的安全机密性，需实现从外部办公网络向运营商内部专网的单向数据传输，绝对禁止反向传输。传输过程绝对的物理单向无反向传输要求，传输数据达到完整性、保密性、安全性。

四、方案设计

针对以上问题，首瀚科技在运营商办公外网与内网服务器等之间部署安全隔离区，两个区域之间通过郁垒网络单向传输系统完成网络边界数据传输，对视频专网数据进行有效清洗，防止病毒、入侵、恶意流量等风险在网络中传播；因为单向光闸以光传输模块，保证视频流的安全接入公安内网的单向性。

首瀚科技在运营商内网信息传输解决方案思路如下图：

整体解决方案按照“信息安全等级保护”为设计指导。

首瀚郁垒网络隔离与信息单向导入系统采用“2+1”模型架构设计，即内网主机、外网主机加单向导入隔离部件，内网主机连接集团内网客户端、外网主机连接外网客户端，单向光闸内部的单向导入隔离部件保证数据从外网向内网单向传递。

首瀚单向光闸的文件单向传输功能是整个系统的基本功能，该软件模块只需要在外网客户端指定需要文件传输的源文件夹，在内网客户端指定目的文件夹，系统就会实时监控文件发送源，实时同步增量文件并按照传输策略将文件传输至文件接收目的，对电子政务的业务应用系统无任何影响。而用户只要将需要交换的文件放入指定的源文件夹即可自动开始传输。

单向文件传输应用适合对各种文件进行传输，文件只能由外网的文件发送源传输至内网的文件接收目的，反之则不能。系统支持各种格式的文件传输，支持大量小文件及大文件的传输，支持重名策略，支持多级目录嵌套，支持不依赖于文件扩展名的文件格式检查。

五、客户价值

首瀚郁垒网络隔离与信息单向导入系统技术先进，是国内同类产品中功能较全，性价比较高的信息单向传输系统，产品以稳定的产品质量、灵活的系统适应性、丰富的冗余设计以及便捷使用管理等特点，帮助运营商各调度部门提高了网络数据传输的安全防护水平。