跨境數據傳輸加密解決方案

原創 作者:林俊源

 

摘要

 

隨著全球化的發展,跨境數據傳輸變得日益頻繁。 保護數據在傳輸過程中的保密性和完整性,避免數據洩露和篡改,是當前企業面臨的重大挑戰。 本文提出了一套跨境數據傳輸的加密解決方案,旨在通過先進的加密技術,確保數據傳輸的安全性和合規性。

 

Part 1背景需求

 

在數字化時代,數據安全是企業運營的關鍵。 跨境數據傳輸由於涉及不同國家和地區,其安全性更加難以保障。 因此,採用有效的加密技術,構建安全的跨境數據傳輸通道,對於保護企業數據和用戶隱私至關重要。

 

合規

隨著數字經濟的蓬勃發展,數據跨境傳輸活動日益頻繁,數據處理者對數據出境的需求也在迅速增長。 數據出境不僅關係到個人信息的權益保護,還涉及到國家安全和社會公共利益的維護。 為了應對這些挑戰,迫切需要建立和完善數據跨境管理的規則體系。

 

2022年,國家網信辦發布了《數據出境安全評估辦法》(以下簡稱《辦法》),並於同年9月1日開始實施。 《辦法》的出台旨在規範數據出境行為,保護個人隱私權益,同時確保國家安全和社會公共利益不受損害,促進數據的跨境安全流動。 《辦法》為數據出境安全評估提供了明確的指導原則,強調事前評估與持續監督相結合、風險自評估與安全評估相結合的重要性,以預防和控制數據出境的安全風險,保障數據的合法、有序和自由流動。 《辦法》的制定體現了監管適度、規則合理且透明的原則。

 

根據《辦法》,以下四種情形需要進行數據出境安全評估:

1、數據處理者向境外提供重要數據。

2、關鍵信息基礎設施運營者或處理超過100萬人個人信息的數據處理者向境外提供個人信息。

3、自上一年1月1日起數據處理者累計向境外提供超過10萬人個人信息或1萬人敏感個人信息。

4、國家網信部門規定的其他需要進行數據出境安全評估的情形。

 

此外,2022年7月21日,國家互聯網信息辦公室依據《網絡安全法》、《數據安全法》、《個人信息保護法》和《行政處罰法》等相關法律法規,對滴滴全球股份有限公司處以80.26億元人民幣的罰款。 滴滴公司被發現存在嚴重違反國家安全的數據處理行為,拒不遵守監管部門的明確要求,存在陽奉陰違、惡意逃避監管等違法違規問題。 滴滴公司的這些違法違規行為給國家關鍵信息基礎設施安全和數據安全帶來了嚴重的風險隱患。

 

數據洩露風險

數據安全是企業安全運營中不可忽視的一環,尤其在數字化時代,數據的價值和重要性日益凸顯。 隨著企業對數據的依賴程度不斷加深,數據在傳輸過程中的安全性成為了一個關鍵問題。

 

數據在傳輸過程中可能會遭遇多種安全威脅,包括但不限於:

1、黑客攻擊:黑客通過各種手段,如釣魚、惡意軟件、零日漏洞利用等,試圖非法訪問或篡改數據。

2、中間人攻擊(MIT��M):攻擊者在通信雙方之間攔截數據流,可以竊聽、篡改或偽造通信內容。

3、數據洩露:由於內部人員的疏忽或惡意行為,敏感信息可能被洩露給未授權的第三方。

4、拒絕服務攻擊(DoS/DDoS):攻擊者通過大量請求或流量攻擊,使服務不可用,影響正常業務運作。

5、社交工程:利用心理操縱手段誘使員工洩露敏感信息或執行某些操作,從而獲取數據。

6、供應鏈攻擊:攻擊者通過供應鏈中的薄弱環節,如供應商或合作夥伴,間接獲取企業數據。

 

這些安全威脅不僅可能導致敏感信息的洩露,還可能對企業的聲譽、財務狀況和客戶信任造成嚴重影響。 因此,企業必須意識到數據在傳輸過程中面臨的風險,並採取相應的預防措施來保護數據的完整性、機密性和可用性,數據安全和業務連續性。

 

全球化商業活動

隨著企業不斷擴展其業務範圍,數據需要在不同國家和地區的分支機構、合作夥伴和客戶之間安全地傳輸。 這要求企業必須有一個可靠的數據傳輸加密解決方案,以保護其數據免受跨境傳輸過程中的各種威脅。

 

性能要求

在確保數據安全的同時,企業也希望保持高效的數據傳輸性能,加密解決方案應盡量減少對傳輸速率和時延的影響。

 

Part 2跨境傳輸加密解決方案

 

L2專線安全網關系列產品是我司研發的鏈路加密產品線的統稱,指在實現對用戶數據在遠距離傳輸過程中的加密保護,實現在數據發出端加密、接收端解密,在用戶不了解具體數據傳輸技術、傳輸路徑的情況下,保證用戶數據遠距離傳輸安全。

 

加密設備部署

在專線的兩端部署加密設備,對所有通過專線傳輸的數據進行加密處理。 加密設備支持多種加密算法,並能夠根據需要選擇不同的加密層級。

 

產品功能

算法支持

·對稱算法:對稱加密算法使用相同的密鑰進行數據的加密和解密,具有高效率和易於實現的特點。支持SM4、AES,這些算法用於數據加密,以保護信息的機密性和完整性。

·非對稱算法:非對稱加密算法使用一對密鑰,即公鑰和私鑰。 公鑰用於加密數據,私鑰用於解密,適用於開放網絡中的數據傳輸。支持SM2、RSA、ECC,這些算法常用於安全的數據傳輸和身份驗證。

 

部署靈活

·支持在網絡的不同位置部署,包括CE(核心設備)外側或內側,以適應不同的網絡架構和安全需求。

 

支持鏈路

·支持SDH鏈路和以太網鏈路,其中SDH鏈路為光接口,以太網鏈路可以是電口或光口。

·兼容多種專線鏈路技術,包括SDH、VLAN、MSTP、MPLS、EOS、PON、SDWAN等。

 

集中管理

·通過L2網關管理系統,實現對所有鏈路的集中管理,功能包括:

O查詢:快速獲取鏈路狀態和相關信息。

O監控:實時監控鏈路性能和安全事件。

O通斷管理:遠程控制鏈路的啟動和關閉。

O運行模式管理:根據需要調整設備的運行模式。

O密鑰管理:集中管理加密密鑰,確保安全性。

 

鏈路加密

·SDH鏈路加密:支持STM1、STM4鏈路,能夠對所有幀的數據淨載荷進行加密,且不會增加數據載荷的體積。

·加密層次選擇:提供2層、3層、4層加密選項,用戶可以根據安全需求和性能考慮選擇合適的加密層次,且這種加密方式不會增加數據包的長度。

 

Part 3典型應用場景

 

數據中心間通訊加密

 

對於擁有多個數據中心的企業,通過在數據中心之間部署加密設備,實現數據中心間數據傳輸的加密,保障數據傳輸的安全性。

 

背景

某大型國有企業在全國有上百個分子公司,為了保障業務的順利開展,該企業在全國建立了多個數據中心。 除總部數據中心外,其他數據中心均以專線形式連接到總部數據中心,通訊鏈路均採用SDH專線。 企業只能通過區域數據中心才能訪問總部。

隨著企業信息化水平的提高以及國家對信息安全要求的提高,該企業希望對骨幹網上的所有SDH鏈路進行加密保護。

 

需求

L全鏈路加密

L不改變現有網絡結構

L不降低網絡傳輸速率

L應用無關

 

解決方案

L在總部數據中心配備高規格L2安全網關兩台,分別用於總部與區域中心的主備鏈路,每台設備配置N條鏈路,每條鏈路 連接一個數據中心。

L每個區域中心配備L2安全網關兩台,分別用於該區域中心的主備鏈路。

L總部數據中心安裝管理軟件一套,用於對所有骨幹網鏈路進行管理。

L所有鏈路啟用SDH鏈路加密策略,選用SM2-SM3-SM4密碼套件。

 

 

結論

 

跨境數據傳輸加密解決方案通過在數據傳輸的兩端部署加密設備,結合先進的加密技術和集中管理策略,能夠有效地保護數據在跨境傳輸過程中的安全,滿足不同國家和地區的安全要求,幫助企業構建安全可靠的跨境數據傳輸網絡。

 

 

信飛科技有限公司

2024年6月