一种进出口贸易数据交换系统的制作方法

1.本发明涉及进出口贸易数据交换技术领域，具体为一种进出口贸易数据交换系统。


背景技术：

2.为保护海关数据安全，海关业务网禁止与互联网直接连通，但海关业务系统和互联网外部系统(企业erp、港区平台等)之间存在着现实的进出口贸易数据交换需求，随着我国对外贸易的高速发展，对海关数据交换提出了安全、高效、准确的要求。传统的跨网数据交换技术使用网闸、防火墙等措施，不能满足海关数据安全要求，而光盘摆渡机等物理隔离技术又无法满足海关数据交换的时效性要求。


技术实现要素：

3.针对现有技术的不足，本发明提供了一种进出口贸易数据交换系统，解决了传统网闸、防火墙等措施不能满足海关数据安全以及时效性要求的问题。
4.为实现以上目的，本发明通过以下技术方案予以实现：一种进出口贸易数据交换系统，包括海关业务网、对外接入局域网和电子口岸专网三个网段，各个所述网段之间仅通过网闸和防火墙作为数据交换通道；
5.所述电子口岸专网包括有数据安全分级模块a、数据加密和解密模块a、数据处理模块a、数据传输模块a和数据存储模块a；所述对外接入局域网包括有安全检测模块，数据传输模块b和数据存储模块b；所述海关业务网包括有数据处理模块b、数据加密和解密模块b、数据安全分级模块b、数据存储模块c和数据可视化展示模块。
6.优选的，所述数据安全分级模块a和数据安全分级模块b用于对待传输数据进行智能安全分级，确定待传输数据的安全风险等级，可划分为核心数据(高风险)、重要数据(中风险)和一般数据(低风险)三个安全等级。
7.优选的，所述数据加密和解密模块a以及数据加密和解密模块b用于加密待传输数据，以及解密接收数据，数据源经数据安全分级模块处理后，一般数据(低风险)采用明码传输，无需加密；使用非对称加密算法a对重要数据(中风险)进行公钥加密和私钥解密；使用非对称加密算法b对核心数据(高风险)进行公钥加密和私钥解密；相对于非对称加密算法a，非对称加密算法b具有更长的密钥长度，更严格的密钥管理和更新机制，从而保证了核心数据(高风险)具有最高的风险防范等级，数据安全分级模块判定的一般数据(低风险)占比最大，其次为重要数据(中风险)，核心数据(高风险)占比最少，一般数据(低风险)无需加密直接明码传输，重要数据(中风险)和核心数据(高风险)采用不同级别的非对称加密机制进行加密传输。
8.优选的，所述数据处理模块a用于向海关业务网发送数据的预处理，以及接收数据交换模块发送的海关业务网数据并进行校验和入库，所述数据处理模块b用于向电子口岸专网发送数据的预处理，以及接收数据交换模块发送的互联网数据并进行校验和入库；在
发送端，数据处理模块判断待传输数据大小，如过大则进行分段和分组，使得每段不大于4m，最后将预处理完毕的数据进行封装，打包，生成报文集合发送给数据传输模块；在接收端，数据处理模块接收数据传输模块传送的报文集合，对预先分段和分组的报文集合进行拼接恢复，将加密报文发送给数据加密和解密模块进行解密校验，最后发送给数据存储模块。
9.优选的，所述数据传输模块a负责电子口岸专网和对外接入局域网之间的数据传输，所述数据传输模块b负责对外接入局域网和海关业务网之间的数据传输；数据传输模块使用并行消息队列的方式实现跨网段高效数据传输，使用一个fifo(先进先出)的队列容器来解决数据耦合问题，各数据处理模块彼此之间不直接通讯，而通过中间容器作为缓冲区，源网段的数据处理模块输出分段报文集后直接加盖时间戳发送给数据传输模块的消息队列，同时将报文表头和时间戳信息作为日志发送给数据存储模块进行保存，目标网段的数据处理模块轮询消息队列，直到接收到对应报文集。
10.优选的，所述安全检测模块用于对数据传输模块a和数据传输模块b经对外接入局域网传输的报文集合进行恶意代码检测，当恶意代码被检出时，安全检测模块会立刻中断其和数据传输模块之间的数据链路，等待人工处理；所述数据地图可视化模块为管理模块，实现了基于数据交换节点服务器适配器的可视化配置功能，用于监控数据交换平台的实时状态、配置管理参数、监控数据故障。
11.优选的，所述数据存储模块a部署在电子口岸专网，用于存储待发送至海关业务网的数据，以及海关业务网经对外接入局域网发送至电子口岸专网的数据；所述数据存储模块b部署在对外接入局域网，用于存储数据传输日志信息，包括报文头、时间戳等；所述数据存储模块c部署在海关业务网，用于存储待发送至电子口岸专网的数据，以及电子口岸专网经对外接入局域网发送至海关业务网的数据。
12.优选的，所述数据安全分级模块的安全等级划分方法具体如下：
13.a.首先依据待传输数据源建立安全权重表，数据源由特定应用系统或外部接口程序生产所得，根据所述应用系统或外部接口程序的安全特点，设立系统类型、系统结构、所属部门、所在网络等多个安全因子，使用因子分析法判定每个安全因子的权重si，生成安全因子权重向量s＝[s1,s2,s3...sn]；
[0014]
b.在外部接口程序接入所述进出口贸易数据交换系统时，由海关业务专家主观打分确定该对象每个安全因子的权重qi，生成权重向量q＝[q1,q2,q3...qn]；则该接入对象所生产的数据源安全风险权重a计为依据《海关数据分类分级标准》划分权重阈值w1，当wa＜w1时，该数据源判定为一般数据(低风险)，当wa≥w1时，则对该数据源明细内容进行进一步分析；
[0015]
c.建立海关数据安全风险关键词库，并确定每个风险关键词的风险权重，得到风险关键词权重向量k＝[k1,k2,k3...km]，当wa≥w1时，对该数据源进行分词处理，与关键词库里的关键词进行比对，记录每个关键词在该数据源中出现的重复次数，得到分词重复次数向量r＝[r1,r2,r3,...rm]，则该数据源的安全风险权重b计为依据
《海关数据分类分级标准》划分权重阈值w2，当wb＜w2时，该数据源判定为重要数据(中风险)，当wb≥w2时，该数据源判定为核心数据(高风险)。
[0016]
本发明提供了一种进出口贸易数据交换系统。具备以下有益效果：
[0017]
1、本发明为海关内网业务系统和互联网外部系统提供了跨地域、跨部门、跨平台、跨网络、跨传输协议不同应用系统不同数据库之间的数据交换传输服务；通过数据分类分级算法对待传输数据的安全等级进行分类，使用非对称加密算法对中高风险数据进行加密传输，使用消息队列解决了跨网异构数据传输的问题；使用数据分级模块对待传输数据的安全等级进行分类；使用复杂度不同的加密算法对中高风险数据进行加密传输，有效解决了数据传输的安全和效率问题；使用对外接入局域网作为海关业务网和互联网之间的安全缓冲区，通过安全检测模块主动发现恶意代码风险并中断数据链路，保证了数据跨网传输的安全性；基于数据地图可视化模块的可视化配置功能，快速实现不同机构、不同应用系统、不同数据库、不同网络之间基于不同传输协议的数据交换与信息共享，保证了数据传输的安全性和高效性，为各种应用和决策支持提供良好的数据环境。
附图说明
[0018]
图1为本发明的结构框架示意图；
[0019]
图2为本发明的数据分级模块、数据加密和解密模块和数据处理模块功能示意图；
[0020]
图3为本发明的数据传输模块通过消息队列实现数据跨网传输示意图。
具体实施方式
[0021]
下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0022]
实施例：
[0023]
如图1-3所示，本发明实施例提供一种进出口贸易数据交换系统，包括海关业务网、对外接入局域网和电子口岸专网三个网段，各个网段之间仅通过网闸和防火墙作为数据交换通道，各网段之间实现物理隔离，引入对外接入局域网作为海关业务网和电子口岸专网之间数据交换的缓冲区，禁止海关业务网应用直接访问互联网，在发生恶意程序攻击时会自动中断数据链路，实现了海关业务网和电子口岸专网之间的物理隔离，有效保证了海关数据安全；
[0024]
电子口岸专网包括有数据安全分级模块a、数据加密和解密模块a、数据处理模块a、数据传输模块a和数据存储模块a；对外接入局域网包括有安全检测模块，数据传输模块b和数据存储模块b；海关业务网包括有数据处理模块b、数据加密和解密模块b、数据安全分级模块b、数据存储模块c和数据可视化展示模块。
[0025]
海关内网业务系统和互联网外部系统提供了跨地域、跨部门、跨平台、跨网络、跨传输协议不同应用系统不同数据库之间的数据交换传输服务；通过数据分类分级算法对待传输数据的安全等级进行分类，使用非对称加密算法对中高风险数据进行加密传输，使用消息队列解决了跨网异构数据传输的问题；使用数据分级模块对待传输数据的安全等级进
行分类；使用复杂度不同的加密算法对中高风险数据进行加密传输，有效解决了数据传输的安全和效率问题；使用对外接入局域网作为海关业务网和互联网之间的安全缓冲区，通过安全检测模块主动发现恶意代码风险并中断数据链路，保证了数据跨网传输的安全性；基于数据地图可视化模块的可视化配置功能，快速实现不同机构、不同应用系统、不同数据库、不同网络之间基于不同传输协议的数据交换与信息共享，保证了数据传输的安全性和高效性，为各种应用和决策支持提供良好的数据环境。
[0026]
数据安全分级模块a和数据安全分级模块b用于对待传输数据进行智能安全分级，确定待传输数据的安全风险等级，可划分为核心数据(高风险)、重要数据(中风险)和一般数据(低风险)三个安全等级。
[0027]
数据加密和解密模块a以及数据加密和解密模块b用于加密待传输数据，以及解密接收数据，数据源经数据安全分级模块处理后，一般数据(低风险)采用明码传输，无需加密；使用非对称加密算法a对重要数据(中风险)进行公钥加密和私钥解密；使用非对称加密算法b对核心数据(高风险)进行公钥加密和私钥解密；相对于非对称加密算法a，非对称加密算法b具有更长的密钥长度，更严格的密钥管理和更新机制，从而保证了核心数据(高风险)具有最高的风险防范等级，数据安全分级模块判定的一般数据(低风险)占比最大，其次为重要数据(中风险)，核心数据(高风险)占比最少，一般数据(低风险)无需加密直接明码传输，重要数据(中风险)和核心数据(高风险)采用不同级别的非对称加密机制进行加密传输。从而兼顾了数据传输的效率和安全。
[0028]
数据处理模块a用于向海关业务网发送数据的预处理，以及接收数据交换模块发送的海关业务网数据并进行校验和入库，数据处理模块b用于向电子口岸专网发送数据的预处理，以及接收数据交换模块发送的互联网数据并进行校验和入库；在发送端，数据处理模块判断待传输数据大小，如过大则进行分段和分组，使得每段不大于4m，最后将预处理完毕的数据进行封装，打包，生成报文集合发送给数据传输模块；在接收端，数据处理模块接收数据传输模块传送的报文集合，对预先分段和分组的报文集合进行拼接恢复，将加密报文发送给数据加密和解密模块进行解密校验，最后发送给数据存储模块。
[0029]
数据传输模块a负责电子口岸专网和对外接入局域网之间的数据传输，数据传输模块b负责对外接入局域网和海关业务网之间的数据传输；数据传输模块使用并行消息队列的方式实现跨网段高效数据传输，使用一个f ifo(先进先出)的队列容器来解决数据耦合问题，各数据处理模块彼此之间不直接通讯，而通过中间容器作为缓冲区，源网段的数据处理模块输出分段报文集后直接加盖时间戳发送给数据传输模块的消息队列，同时将报文表头和时间戳信息作为日志发送给数据存储模块进行保存，目标网段的数据处理模块轮询消息队列，直到接收到对应报文集。采用并行消息队列的方式解决了大数据量同时传输时的并发问题，提高了数据传输效率。
[0030]
安全检测模块用于对数据传输模块a和数据传输模块b经对外接入局域网传输的报文集合进行恶意代码检测，当恶意代码被检出时，安全检测模块会立刻中断其和数据传输模块之间的数据链路，等待人工处理，安全检测模块保证了系统可能遭受的恶意代码攻击被拦截在对外接入局域网缓冲区，通过中断数据链路的方式实现了海关业务网和互联网之间的物理隔离，提高了系统安全性能；数据地图可视化模块为管理模块，实现了基于数据交换节点服务器适配器的可视化配置功能，用于监控数据交换平台的实时状态、配置管理
参数、监控数据故障。
[0031]
数据存储模块a部署在电子口岸专网，用于存储待发送至海关业务网的数据，以及海关业务网经对外接入局域网发送至电子口岸专网的数据；数据存储模块b部署在对外接入局域网，用于存储数据传输日志信息，包括报文头、时间戳等；数据存储模块c部署在海关业务网，用于存储待发送至电子口岸专网的数据，以及电子口岸专网经对外接入局域网发送至海关业务网的数据。
[0032]
数据安全分级模块的安全等级划分方法具体如下：
[0033]
a.首先依据待传输数据源建立安全权重表，数据源由特定应用系统或外部接口程序生产所得，根据应用系统或外部接口程序的安全特点，设立系统类型、系统结构、所属部门、所在网络等多个安全因子，使用因子分析法判定每个安全因子的权重si，生成安全因子权重向量s＝[s1,s2,s3...sn]；
[0034]
b.在外部接口程序接入进出口贸易数据交换系统时，由海关业务专家主观打分确定该对象每个安全因子的权重qi，生成权重向量q＝[q1,q2,q3...qn]；则该接入对象所生产的数据源安全风险权重a计为依据《海关数据分类分级标准》划分权重阈值w1，当wa＜w1时，该数据源判定为一般数据(低风险)，当wa≥w1时，则对该数据源明细内容进行进一步分析；
[0035]
c.建立海关数据安全风险关键词库，并确定每个风险关键词的风险权重，得到风险关键词权重向量k＝[k1,k2,k3...km]，当wa≥w1时，对该数据源进行分词处理，与关键词库里的关键词进行比对，记录每个关键词在该数据源中出现的重复次数，得到分词重复次数向量r＝[r1,r2,r3,...rm]，则该数据源的安全风险权重b计为依据《海关数据分类分级标准》划分权重阈值w2，当wb＜w2时，该数据源判定为重要数据(中风险)，当wb≥w2时，该数据源判定为核心数据(高风险)。
[0036]
解决了电子口岸专网(互联网)与海关业务网系统之间的数据交换问题。使用消息队列解决了跨网异构数据传输的问题。实现信息跨地域、跨部门、跨平台、跨网络、跨传输协议的互通、互用。通过对外接入局域网实现了海关业务网和互联网之间的隔离，有效保障了海关数据的安全。
[0037]
尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

技术特征：
1.一种进出口贸易数据交换系统，包括海关业务网、对外接入局域网和电子口岸专网三个网段，其特征在于：各个所述网段之间仅通过网闸和防火墙作为数据交换通道；所述电子口岸专网包括有数据安全分级模块a、数据加密和解密模块a、数据处理模块a、数据传输模块a和数据存储模块a；所述对外接入局域网包括有安全检测模块，数据传输模块b和数据存储模块b；所述海关业务网包括有数据处理模块b、数据加密和解密模块b、数据安全分级模块b、数据存储模块c和数据可视化展示模块。2.根据权利要求1所述的一种进出口贸易数据交换系统，其特征在于：所述数据安全分级模块a和数据安全分级模块b用于对待传输数据进行智能安全分级，确定待传输数据的安全风险等级，可划分为核心数据(高风险)、重要数据(中风险)和一般数据(低风险)三个安全等级。3.根据权利要求1所述的一种进出口贸易数据交换系统，其特征在于：所述数据加密和解密模块a以及数据加密和解密模块b用于加密待传输数据，以及解密接收数据，数据源经数据安全分级模块处理后，一般数据(低风险)采用明码传输，无需加密；使用非对称加密算法a对重要数据(中风险)进行公钥加密和私钥解密；使用非对称加密算法b对核心数据(高风险)进行公钥加密和私钥解密；相对于非对称加密算法a，非对称加密算法b具有更长的密钥长度，更严格的密钥管理和更新机制，从而保证了核心数据(高风险)具有最高的风险防范等级，数据安全分级模块判定的一般数据(低风险)占比最大，其次为重要数据(中风险)，核心数据(高风险)占比最少，一般数据(低风险)无需加密直接明码传输，重要数据(中风险)和核心数据(高风险)采用不同级别的非对称加密机制进行加密传输。4.根据权利要求1所述的一种进出口贸易数据交换系统，其特征在于：所述数据处理模块a用于向海关业务网发送数据的预处理，以及接收数据交换模块发送的海关业务网数据并进行校验和入库，所述数据处理模块b用于向电子口岸专网发送数据的预处理，以及接收数据交换模块发送的互联网数据并进行校验和入库；在发送端，数据处理模块判断待传输数据大小，如过大则进行分段和分组，使得每段不大于4m，最后将预处理完毕的数据进行封装，打包，生成报文集合发送给数据传输模块；在接收端，数据处理模块接收数据传输模块传送的报文集合，对预先分段和分组的报文集合进行拼接恢复，将加密报文发送给数据加密和解密模块进行解密校验，最后发送给数据存储模块。5.根据权利要求1所述的一种进出口贸易数据交换系统，其特征在于：所述数据传输模块a负责电子口岸专网和对外接入局域网之间的数据传输，所述数据传输模块b负责对外接入局域网和海关业务网之间的数据传输；数据传输模块使用并行消息队列的方式实现跨网段高效数据传输，使用一个fifo(先进先出)的队列容器来解决数据耦合问题，各数据处理模块彼此之间不直接通讯，而通过中间容器作为缓冲区，源网段的数据处理模块输出分段报文集后直接加盖时间戳发送给数据传输模块的消息队列，同时将报文表头和时间戳信息作为日志发送给数据存储模块进行保存，目标网段的数据处理模块轮询消息队列，直到接收到对应报文集。6.根据权利要求1所述的一种进出口贸易数据交换系统，其特征在于：所述安全检测模块用于对数据传输模块a和数据传输模块b经对外接入局域网传输的报文集合进行恶意代码检测，当恶意代码被检出时，安全检测模块会立刻中断其和数据传输模块之间的数据链路，等待人工处理；所述数据地图可视化模块为管理模块，实现了基于数据交换节点服务器
适配器的可视化配置功能，用于监控数据交换平台的实时状态、配置管理参数、监控数据故障。7.根据权利要求1所述的一种进出口贸易数据交换系统，其特征在于：所述数据存储模块a部署在电子口岸专网，用于存储待发送至海关业务网的数据，以及海关业务网经对外接入局域网发送至电子口岸专网的数据；所述数据存储模块b部署在对外接入局域网，用于存储数据传输日志信息，包括报文头、时间戳等；所述数据存储模块c部署在海关业务网，用于存储待发送至电子口岸专网的数据，以及电子口岸专网经对外接入局域网发送至海关业务网的数据。8.根据权利要求2所述的一种进出口贸易数据交换系统，其特征在于：所述数据安全分级模块的安全等级划分方法具体如下：a.首先依据待传输数据源建立安全权重表，数据源由特定应用系统或外部接口程序生产所得，根据所述应用系统或外部接口程序的安全特点，设立系统类型、系统结构、所属部门、所在网络等多个安全因子，使用因子分析法判定每个安全因子的权重s
i
，生成安全因子权重向量s＝[s1,s2,s3...s
n
]；b.在外部接口程序接入所述进出口贸易数据交换系统时，由海关业务专家主观打分确定该对象每个安全因子的权重q
i
，生成权重向量q＝[q1,q2,q3...q
n
]；则该接入对象所生产的数据源安全风险权重a计为依据《海关数据分类分级标准》划分权重阈值w1，当w
a
＜w1时，该数据源判定为一般数据(低风险)，当w
a
≥w1时，则对该数据源明细内容进行进一步分析；c.建立海关数据安全风险关键词库，并确定每个风险关键词的风险权重，得到风险关键词权重向量k＝[k1,k2,k3...k
m
]，当w
a
≥w1时，对该数据源进行分词处理，与关键词库里的关键词进行比对，记录每个关键词在该数据源中出现的重复次数，得到分词重复次数向量r＝[r1,r2,r3,...r
m
]，则该数据源的安全风险权重b计为依据《海关数据分类分级标准》划分权重阈值w2，当w
b
＜w2时，该数据源判定为重要数据(中风险)，当w
b
≥w2时，该数据源判定为核心数据(高风险)。

技术总结
本发明提供一种进出口贸易数据交换系统，涉及进出口贸易数据交换领域。该进出口贸易数据交换系统，包括海关业务网、对外接入局域网和电子口岸专网三个网段，各个所述网段之间仅通过网闸和防火墙作为数据交换通道，所述电子口岸专网包括有数据安全分级模块A、数据加密和解密模块A、数据处理模块A、数据传输模块A和数据存储模块A；所述对外接入局域网包括有安全检测模块，数据传输模块B和数据存储模块B。通过互联网和海关业务网之间的数据交换，解决了跨网异构数据传输的问题。实现信息跨地域、跨部门、跨平台、跨网络、跨传输协议的互通、互用，建立了一个安全、高效的数据交换系统。高效的数据交换系统。高效的数据交换系统。


技术研发人员：郭云 黄孙杰 何俐娟 方凯彬 李珺 程立勋 包先雨 蔡伊娜 郑文丽 吴绍精
受保护的技术使用者：深圳市检验检疫科学研究院
技术研发日：2023.04.25
技术公布日：2023/7/21