一、什么是数据交换系统？

数据交换系统，英文简称DTP，是部署于不同安全级别网络/安全域之间，专门用于业务数据检查，存取控制及分发的软硬件系统。

数据交换系统由两台独立主机组成：TAS（数据交换系统信任端）、UAS（数据交换系统非信任端）。

适用于政府、金融、大型企业等需要大批量数据高效率、高安全、高可靠传输的网络应用环境。

二、数据交换系统的产生

实现两个网络之间进行数据交换的产品，典型的有两类：ETL产品、安全隔离网闸。

ETL产品：Extraction-Transformation-Loading，即负责将分布的、异构数据源中的数据如关系数据、平面数据文件等抽取到临时中间层后进行清洗、转换、集成，最后加载到数据仓库或数据集市中，成为联机分析处理、数据挖掘的基础。

利用ETL技术来实现不用应用系统、不同数据系统之间进行数据交换的解决方案很多，如IBM公司的Datastage，Informatica公司的PowerCenter就是其中典型的代表。

ETL产品具有强大的数据交换业务处理能力，但不足之处在于，其没有安全处理能力，一般需要借助第三方安全产品，成本上，极大提升。

安全隔离网闸：也简称“网闸”。网闸最早出现在美国、以色列、俄罗斯等国家的军方，用以解决涉密网络与公共网络连接时的安全。俄罗斯的Ry Jones，以色列的Buky Carmeli，Elad Baron，Daniel Steiner等人都是该领域的先驱。随着电子政务的发展，我国也逐渐有了这种需求，2000年，天行网安公司发明了国内的第一台网闸（Topwalk-GAP）。

安全隔离网闸一般采用双主机架构和专用隔离硬件切断TCP/IP协议通信，形成网络间数据隔离，以保证数据传输的高安全性。

在业务支持上，以安全隔离技术为基础，提供各类应用模块，适应不同的业务应用，如数据库模块、文件模块、消息模块、邮件模块和浏览模块等来满足具有时效性的数据交换需求。

除了国内网闸的领导者天行网安，还有网御星云、国保金泰、网御神州、金电网安等厂家。

安全隔离网闸产品具有不错的业务性能和高安全性，能满足一些场景的数据交换需求。

但随着电子政务的深入发展，业务需求的复杂和数据量的高并发等情形日益彰显，单独使用安全隔离网闸的稳定性、效率和性能等不足逐渐显露。

为了满足对业务性能方面的高稳定性、高效率，以及安全方面的高安全的综合需求，数据交换系统应运而生。

三、功能特性

数据交换系统用于不同安全级别的网络之间进行安全采集、传输数据问题，并提供可审计、过程可视化、内容级安全过滤检查等功能保证数据交换安全性，同时提供多种数据库、文件的采集和交换，满足多种应用场景需求的一套成熟的解决方案。

1、安全功能：

A. 安全数据采集

以从低安全网络/域（简称之为“外网”）向高安全网络/域（简称之为“内网”）为例，数据采集的方式，常见的C/S架构中，一般都在Server端开放固定的端口，然后由Client端主动推送数据，以达到数据采集的目的。

但在安全上，开放端口，就意味着被攻击、被入侵，木马、病毒感染等危害，故我们一般认为，一个系统上，开放的端口数量和它的安全性是成反比的。

为保证安全性，数据交换系统一般采用主动方式获取数据，即以Client端的身份主动向相应的服务器获取数据，这样避免开放固定端口，安全性得到了保证。

B. 安全的数据传输

为保证数据交换系统UAS和TAS之间数据交换的保密性，一般通过两类方式，一种是UAS和TAS之间使用私有协议传输数据，由于私有协议不对外公布，只是内部使用，其安全性能得到保证。

另外，使用对称加密算法，如DES、3DES、AES等加密算法对数据加密传输，即使数据被窃取，也没有可读性，保证安全性。但加密会较大影响速度，增加延迟，故适应交换数据量适中、延迟敏感性不太强的场景。

C. 细粒度的安全检查

为保证内网安全，对传输至内网的数据要进行细粒度的安全检查，常见的有数据落地病毒查杀，细粒度的内容过滤、安全格式检查等，保证应用数据传输的安全性。

这样保证了仅传输规定的数据类型、数据格式，并保证传输的数据的安全性。如果内部串联安全隔离网闸，将剥离所有的通讯协议，使得攻击、木马等失去是生存的空间，安全性得到极大的提升。

D. 细粒度的审计管理能力

安全产品一般都提供一定的审计功能，数据交换系统也不例外，系统提供详细的深度日志审计功能，细粒度到行级日志的记录，严密把关对数据库的操作，深度发掘误操作或SQL注入等应用安全威胁。

一般还可提供完善的业务统计能力及报表展现功能，不同厂家的侧重点不一。但功能一般都具有。

2、业务功能

数据交换系统不仅需要高安全性，还需要满足高稳定性、高性能而全面的业务支持能力。

a) 高性能、高稳定性

数据交换系统为适应高性能、高稳定性的数据支持，除了在硬件上采用64位技术，多核CPU等支持，在操作系统上进行精简优化，经一步提升效率，在软件层面上采用带宽管理、内存管理、任务优先级等技术提升数据交换系统效率和性能。

据统计，数据交换系统在最典型的数据库数据交换上，能达到2000条/秒的级别，为使用纯安全隔离网闸的20倍以上，文件交换也能是纯安全网闸的两倍以上，业务性能上大幅提升，稳定性也得到了保障。

b) 全面的业务支持能力

业务场景的日益复杂化，要求数据交换系统需要有完善的业务支持能力，一般要求对主流的操作系统（Unix、AIX、Linux、Windows）下的主流的文件服务器（FTP、Samba等）和数据库服务器（Oracle、Sql Server、DB2、Sybase、Mysql等）。

一般还具有主流协议的代理功能，如TCP、FTP、TNS、UDP、SOCKS等协议的授权代理功能。

四、典型应用

最为典型的使用方案是如下图：

即：在TAS与UAS之间可部署安全隔离网闸实现隔离。利用数据交换系统的格式检测、内容过滤、病毒查杀等安全特性及高效率、高稳定性而全面的业务支持能力。

Topwalk-DTP是北京天行网安公司2007年研发的数据交换系统产品，它是国内应用最广、部署量最大的数据交换产品之一，是国内第一款将不同数据格式交换与转换同步实现的数据交换产品；国内第一款任务级负载均衡数据交换产品。

此产品由天行网安公司完全自主知识产权设计开发，使用专用硬件平台，继承了天行网安公司研发团队十多年的安全数据交换领域多项技术成果，同类产品中交换性能居国内第一。