一、产品概述
Minerva文件安全交互系统是适配大数据场景高速传输的专用网络隔离设备,核心作用为边界网间安全摆渡:在隔绝外网不可信域、筑牢内网可信边界、防控内网核心数据外泄的前提下,完成异构网络之间合规、可控的数据安全交换。相较于常规网闸、隔离交换设备,产品核心差异化优势为超大文件传输稳定性优异、吞吐速率出众、适配海量数据批量摆渡,适配广电、政企、文旅等涉密内网与外网常态化数据交互场景。
二、核心项目特点
产品自主研发USB数据隧道摆渡技术,针对外网外来数据导入内网全流程,搭建两层防毒过滤+两层防攻击+一次统一认证五重闭环安全防护体系,多维度防范病毒植入、网络渗透、恶意操控、越权传输、数据泄密五大风险。该技术已规模化落地国内多家省级、大型广电融媒体单位,适配行业安全合规标准,入选《电视台数字化网络化建设白皮书(2007)》(注:具体以白皮书发布机构及内容为准),纳入广电行业网间数据交互推荐安全技术方案。
(一)两层防毒过滤:多维度查杀,阻断变种病毒入侵
双引擎异构杀毒架构:系统双服务端搭载不同厂商杀毒引擎,安全交互模块可与国内主流杀毒厂商完成底层代码深度耦合,形成异构双重查杀机制,规避单一杀毒引擎病毒库漏杀、算法盲区问题,优化恶意程序拦截效果。
限定格式定向迁移:支持自定义白名单文件传输规则,系统可自动识别文件后缀、封装格式,自动拦截白名单以外非标格式文件,仅放行后台核验通过的合规文件,从源头降低未知文件病毒风险。
多层级文件深度核验:具备伪装病毒智能识别能力,可甄别篡改后缀、嵌套二级后缀、捆绑隐藏类病毒文件,穿透文件封装外壳完成内核检测,多层深度检测拦截各类伪装式恶意程序。
(二)两层防攻击:剥离IP链路,隔绝外网渗透攻击
物理链路非IP化传输:内网、外网两端业务服务端依托专用加密USB专线互联互通,摒弃以太网IP通信链路,核心交互链路无固定交互IP地址,从底层切断端口扫描、IP渗透、蠕虫横向传播等常规网络攻击路径,具备硬件防火墙隔离防护能力。
私有加密交互指令校验:两端服务端搭载自研私有通信交互指令,不通用互联网标准通信协议,每一条交互指令均做加密校验、权限核验;即便外网端口、外网设备被恶意攻陷,攻击者难以伪造合规指令操控内网设备,有效阻隔外网向内网的纵向攻击。
(三)一次统一认证:全链路权责管控,可控数据流向
外网交互客户端使用权限与内网统一身份认证体系绑定联动,外网操作人员必须完成联动登录核验后方可发起数据摆渡;所有交互人员信息、操作权限均提前在内网管理后台登记建档,未内网备案授权账号,无法向外网发起内网回传、无法向内网导入外来数据。一方面闭环管控外网素材、文件流入内网全流向,实现操作可溯源;另一方面隔离非授权人员访问权限,保障工作人员个人素材、业务文件隐私安全。
三、系统整体设计原则
本文件安全交互平台遵循统一规划、一体化架构、兼容拓展、全域适配建设原则,顶层统筹搭建标准化安全交互架构。系统建设立足单位现有网络架构、业务子系统现状,兼顾存量业务对接、增量系统扩容需求,提前预留标准化对接接口,保障后期新增业务系统、信息化平台可快速互联互通,避免二次改造、重复投入。
(一)实用性原则
整套平台软硬件选用行业成熟商用技术、工业级稳定硬件设备,软硬一体化适配组网。系统兼顾双重业务价值:一是满足等保合规、内网高等级网络隔离、边界防泄密硬性安全要求;二是适配广电海量媒资、政企海量文档大数据高速摆渡业务需求,硬件运行稳定性强、运维门槛低,适配常态化不间断业务运行。
(二)易用性原则
运维易用:支持故障自愈,业务低中断
平台内置智能检错、自动纠错模块,配套全链路业务备份、配置备份机制,具备故障应急处置能力。系统软硬件突发故障后,可快速完成配置回滚、链路切换,短时间内恢复数据交互业务,缩减业务停运时长;核心组网硬件支持在线热插拔,设备检修、部件更换无需停机断网。
网管易用:可视化管控,在线运维
搭载一体化可视化网络管理后台,功能分区直观、操作逻辑简洁,运维人员可便捷完成链路监控、权限配置、日志查询、流量管控等管理工作。平台日常巡检、权限修改、策略更新、故障排查工作,均可远程在线完成,无需线下拆机调试,精简线下运维工作量。
操作易用:个性化适配,提质增效
贴合业务人员实操习惯定制可视化操作界面,支持自定义业务传输模板、功能快捷键、常用交互策略,使用者可按需适配个人作业流程,简化重复操作步骤,降低上手学习成本,优化网间文件摆渡、媒资传输整体作业效率。