數據交換系統

一、什麼是數據交換系統？

數據交換系統，英文簡稱DTP，是部署於不同安全級別網路/安全域之間，專門用於業務數據檢查，存取控制及分發的軟硬體系統。

數據交換系統由兩台獨立主機組成：TAS（數據交換系統信任端）、UAS（數據交換系統非信任端）。

適用於政府、金融、大型企業等需要大批量數據高效率、高安全、高可靠傳輸的網路應用環境。

二、數據交換系統的產生

實現兩個網路之間進行數據交換的產品，典型的有兩類：ETL產品、安全隔離網閘。

ETL產品：Extraction-Transformation-Loading，即負責將分佈的、異構數據源中的數據如關係數據、平面數據文件等抽取到臨時中間層後進行清洗、轉換、集成，最後載入到數據倉庫或數據集市中，成為聯機分析處理、數據挖掘的基礎。

利用ETL技術來實現不用應用系統、不同數據系統之間進行數據交換的解決方案很多，如IBM公司的DataStage，Informatica公司的PowerCenter就是其中典型的代表。

ETL產品具有強大的數據交換業務處理能力，但不足之處在於，其沒有安全處理能力，一般需要藉助第三方安全產品，成本上，極大提升。

安全隔離網閘：也簡稱“網閘”。網閘最早出現在美國、以色列、俄羅斯等國家的軍方，用以解決涉密網路與公共網路連接時的安全。俄羅斯的Ry Jones，以色列的Buky Carmeli，Elad Baron，Daniel Steiner等人都是該領域的先驅。隨著電子政務的發展，我國也逐漸有了這種需求，2000年，天行網安公司發明了國內的第一台網閘（Topwalk-GAP）。

安全隔離網閘一般採用雙主機架構和專用隔離硬體切斷TCP/IP協議通信，形成網路間數據隔離，以保證數據傳輸的高安全性。

在業務支持上，以安全隔離技術為基礎，提供各類應用模塊，適應不同的業務應用，如資料庫模塊、文件模塊、消息模塊、郵件模塊和瀏覽模塊等來滿足具有時效性的數據交換需求。

除了國內網閘的領導者天行網安，還有網御星雲、國保金泰、網御神州、金電網安等廠家。

安全隔離網閘產品具有不錯的業務性能和高安全性，能滿足一些場景的數據交換需求。

但隨著電子政務的深入發展，業務需求的複雜和數據量的高併發等情形日益彰顯，單獨使用安全隔離網閘的穩定性、效率和性能等不足逐漸顯露。

為了滿足對業務性能方面的高穩定性、高效率，以及安全方面的高安全的綜合需求，數據交換系統應運而生。

三、功能特性

數據交換系統用於不同安全級別的網路之間進行安全採集、傳輸數據問題，並提供可審計、過程可視化、內容級安全過濾檢查等功能保證數據交換安全性，同時提供多種資料庫、文件的採集和交換，滿足多種應用場景需求的一套成熟的解決方案。

1、安全功能：

A. 安全數據採集

以從低安全網路/域（簡稱之為“外網”）向高安全網路/域（簡稱之為“內網”）為例，數據採集的方式，常見的C/S架構中，一般都在Server端開放固定的埠，然後由Client端主動推送數據，以達到數據採集的目的。

但在安全上，開放埠，就意味著被攻擊、被入侵，木馬、病毒感染等危害，故我們一般認為，一個系統上，開放的埠數量和它的安全性是成反比的。

為保證安全性，數據交換系統一般採用主動方式獲取數據，即以Client端的身份主動向相應的伺服器獲取數據，這樣避免開放固定埠，安全性得到了保證。

B. 安全的數據傳輸

為保證數據交換系統UAS和TAS之間數據交換的保密性，一般通過兩類方式，一種是UAS和TAS之間使用私有協議傳輸數據，由於私有協議不對外公布，只是內部使用，其安全性能得到保證。

另外，使用對稱加密演演算法，如DES、3DES、AES等加密演演算法對數據加密傳輸，即使數據被竊取，也沒有可讀性，保證安全性。但加密會較大影響速度，增加延遲，故適應交換數據量適中、延遲敏感性不太強的場景。

C. 細粒度的安全檢查

為保證內網安全，對傳輸至內網的數據要進行細粒度的安全檢查，常見的有數據落地病毒查殺，細粒度的內容過濾、安全格式檢查等，保證應用數據傳輸的安全性。

這樣保證了僅傳輸規定的數據類型、數據格式，並保證傳輸的數據的安全性。如果內部串聯安全隔離網閘，將剝離所有的通訊協議，使得攻擊、木馬等失去是生存的空間，安全性得到極大的提升。

D. 細粒度的審計管理能力

安全產品一般都提供一定的審計功能，數據交換系統也不例外，系統提供詳細的深度日誌審計功能，細粒度到行級日誌的記錄，嚴密把關對資料庫的操作，深度發掘誤操作或SQL注入等應用安全威脅。

一般還可提供完善的業務統計能力及報表展現功能，不同廠家的側重點不一。但功能一般都具有。

2、業務功能

數據交換系統不僅需要高安全性，還需要滿足高穩定性、高性能而全面的業務支持能力。

a) 高性能、高穩定性

數據交換系統為適應高性能、高穩定性的數據支持，除了在硬體上採用64位技術，多核CPU等支持，在操作系統上進行精簡優化，經一步提升效率，在軟體層面上採用帶寬管理、內存管理、任務優先順序等技術提升數據交換系統效率和性能。

據統計，數據交換系統在最典型的資料庫數據交換上，能達到2000條/秒的級別，為使用純安全隔離網閘的20倍以上，文件交換也能是純安全網閘的兩倍以上，業務性能上大幅提升，穩定性也得到了保障。

b) 全面的業務支持能力

業務場景的日益複雜化，要求數據交換系統需要有完善的業務支持能力，一般要求對主流的操作系統（Unix、AIX、Linux、Windows）下的主流的文件伺服器（FTP、Samba等）和資料庫伺服器（Oracle、Sql Server、DB2、Sybase、Mysql等）。

一般還具有主流協議的代理功能，如TCP、FTP、TNS、UDP、SOCKS等協議的授權代理功能。

四、典型應用

最為典型的使用方案是如下圖：

即：在TAS與UAS之間可部署安全隔離網閘實現隔離。利用數據交換系統的格式檢測、內容過濾、病毒查殺等安全特性及高效率、高穩定性而全面的業務支持能力。

Topwalk-DTP是北京天行網安公司2007年研發的數據交換系統產品，它是國內應用最廣、部署量最大的數據交換產品之一，是國內第一款將不同數據格式交換與轉換同步實現的數據交換產品；國內第一款任務級負載均衡數據交換產品。

此產品由天行網安公司完全自主知識產權設計開發，使用專用硬體平台，繼承了天行網安公司研發團隊十多年的安全數據交換領域多項技術成果，同類產品中交換性能居國內第一。