本發明公開了一種數據跨安全域反向傳輸的方法，具體步驟為：S1、獲取需要正向傳輸的數據包中的原始數據單元，對原始數據單元進行身份標識運算，得到唯一性標識，并將唯一性標識存儲至標識列表中；S2、當有數據包需要反向傳輸時，先獲取需要反向傳輸的數據包中的待審數據單元；對待審數據單元進行身份標識運算，得到唯一性標識；讀取標識列表，將得到的唯一性標識與標識列表中的唯一性標識比對，若比中，則放行該數據包；反之，則禁止放行該數據包。本發明可以簡化內網處理單元對數據的安全審查步驟，提高跨安全域通信效率。

技術領域

本發明涉及數據安全技術領域，具體涉及一種數據跨安全域反向傳輸的方法。

背景技術

隨著網絡技術的發展，處于不同網絡域的同一組織以及不同組織之間存在跨域通信以進行協同工作的需求。跨域通信是指在執行不同安全策略的兩個或者多個網絡/區域之間進行信息傳輸。在跨域通信中，數據主要通過隔離交換設備進行傳輸，如圖1所示。

數據的跨域傳輸包括正向傳輸和反向傳輸。正向傳輸是指從低安全域產生或采集到原始數據，然后將這些數據向高安全域匯聚，反之，則為反向傳輸。在跨域傳輸的過程中，隔離交換設備主要負責數據的安全審查和數據交換，該設備由內網處理單元、外網處理單元、隔離與交換控制單元組成，如圖2所示。

數據正向傳輸的步驟如下：

(1)外網處理單元首先對正向傳輸的數據進行過濾、內容掃描等安全審查，若通過安全審查，則用自定義協議封裝該數據。

(2)隔離與交換控制單元通過開關控制與內、外網處理單元的連接，將上一步驟中的數據擺渡至內網處理單元。

(3)內網處理單元將數據包進行拆分，得到原始數據，然后用通用協議封裝數據，發送至內網。

數據反向傳輸的步驟如下：

(1)內網處理單元首先對反向傳輸的數據進行過濾、內容掃描等安全審查，若通過安全審查，則用自定義協議封裝該數據。

(2)隔離與交換控制單元通過開關控制與內、外網處理單元的連接，將上一步驟中的數據擺渡至外網處理單元。

(3)外網處理單元將數據包進行拆分，得到原始數據，然后用通用協議封裝數據，發送至外網。

正向傳輸的數據中，有一部分數據是非敏感的，這些數據在進入高安全域之后，如果需要反向傳輸，仍要進行一系列的安全檢查，影響數據交換的效率。如果這些數據是音視頻等難以審查的數據，更會消耗更多的資源和成本。

如果能夠快速確定需要反向傳輸的數據中非敏感的原始數據，即可在一定程度上簡化內網處理單元對該數據的安全審查步驟，提高跨安全域通信效率。

發明內容

針對現有技術的不足，本發明旨在提供一種數據跨安全域反向傳輸的方法。

為了實現上述目的，本發明采用如下技術方案：

一種數據跨安全域反向傳輸的方法，具體步驟為：

S1、獲取需要正向傳輸的數據包中的原始數據單元，對原始數據單元進行身份標識運算，得到唯一性標識，并將唯一性標識存儲至標識列表中；

S2、當有數據包需要反向傳輸時，先獲取需要反向傳輸的數據包中的待審數據單元；對待審數據單元進行身份標識運算，得到唯一性標識；讀取標識列表，將得到的唯一性標識與標識列表中的唯一性標識比對，若比中，則放行該數據包；反之，則禁止放行該數據包。

進一步地，所述原始數據單元是已通過隔離交換設備安全審查的原始數據。

進一步地，所述身份標識運算是指能夠確保數據完整性的運算，唯一性標識是指由該運算計算得到的唯一值。