CN108449324A - 一种网间数据的安全交换方法及系统 - Google Patents

Abstract

本发明公开了一种网间数据的安全交换方法及系统，当受信网络向非受信网络交换数据时，该方法包括以下步骤：受信网络中的多个业务系统向数据集中池汇聚需要交换的数据，并把标识业务系统来源的数据源标识设置在数据的标签属性中，同时把对数据进行扫描得到的快照内容设置在数据的标签属性中；将数据标签属性信息嵌入到经处理的数据中，通过交换模块，将数据交换到非受信网络中；由非受信网络中的数据保险箱模块承接交换过来的数据中的敏感业务数据，并根据数据的分类分级特征对其进行相应的权限管控。本发明的技术方案，可以对业务系统的文档数据进行更加精细化的管理如分类分级、统计、审计分析等。

Description

一种网间数据的安全交换方法及系统

技术领域

本发明涉及数据安全领域，具体涉及一种网间数据的安全交换方法及系统。

背景技术

BPM，Business Process Management即业务流程管理，是一种以规范化的构造端到端的卓越业务流程为中心，以持续的提高组织业务绩效为目的的系统化方法

LSH，Locality-Sensitive Hashing局部敏感哈希，是一种快速地从海量的高维数据集合中查找与某个数据最相似的一个或者多个数据的算法。其处理的流程大致可以分为两步：1)对海量数据离线建立索引2)在线通过索引来进行近似最近邻查找。

网闸，是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的；第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的。

DAMA，Data Management International国际数据管理协会是一个非营利、厂商中立的全球技术和业务专业人士联合会，致力于推进信息和数据管理概念及实践水平的提升。

我国商业银行，经过多年的信息化建设，已经构建了与当前需求相适应的业务应用系统，较完善的IT基础设施体系，基本的安全防御体系，积累丰富的、大量的、形式多样化的、重要的数据。对于拥有大量敏感数据信息的银行业而言，如何在使用重要数据的同时，将数据泄露和损失的风险降到最低，始终是一个严峻的挑战。

目前普遍的商业银行的IT基础设施中都是采用的生产网络和办公网络物理或者逻辑隔离的部署形式，通过隔离可以保护生产系统的数据能够轻易的扩散到办公环境中，面临数据泄露到互联网的巨大风险。然而这种隔离同时也给员工的工作带来极大的不便甚至是阻碍，因为很多生产业务系统的数据由于统计分析、同业交流、监管报送等各式各样的原因需要把数据发送到办公环境甚至是互联网环境中。于是近年来关于怎样在保证数据安全的同时能够方便快捷的把数据进行网间交换，并对数据的全生命周期进行管控的问题得到了业界越来越多的关注与研究。

数据的生命周期包括：计划、规范定义、开发实施、创建获取、维护使用、存档检索和清除等周期。系统开发生命周期(SDLC)包括：计划、分析、设计、开发、测试、部署和维护等周期。系统开发生命周期的计划周期与数据生命周期的计划周期相对应，系统开发生命周期的分析、设计周期与数据生命周期的数据分析周期相对应。系统开发生命周期的开发、测试、部署和维护周期与数据生命周期的开发实施周期相对应。

目前解决网络隔离的技术中最传统的技术方案是网闸(GAP)技术。安全隔离网闸是由软件和硬件组成。

安全隔离网闸的主要功能：

1：阻断网络的直接物理连接：物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接，而不能同时与两个网络连接；

2：阻断网络的逻辑连接：物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离，将原始数据通过P2P的非TCP/IP连接方式，通过存储介质的“写入”与“读出”完成数据转发；

3：数据传输机制的不可编程性：物理隔离网闸的数据传输机制具有不可编程的特性；

4：安全审查：物理隔离网闸具有安全审查功能，即网络在将原始数据“写入”物理隔离网闸前，根据需要对原始数据的安全性进行检查，把可能的病毒代码、恶意攻击代码消灭干净等。

现有技术中的网闸技术方案主要包括两种：

一：网闸技术方案

网闸技术的原型是Sneaker-NET技术，其核心逻辑如图1所示：

在Sneaker-NET技术中，有一个人来操作，另外包括两个网络：不可信网络和可信网络，这两个网络物理隔断，在大多数Sneaker-NET方案中，也有一个独立的计算机，或者一个与两个网络分离的DMZ区域，用于内容检查。

其网络信息流为：

1.该人在不可信网络上的计算机上手工方式拷贝文件到磁盘或磁带。

2.该人将磁盘或磁带拿到一个独立的计算机上进行内容检测。检测包括(不仅仅这些)：病毒扫描、检验该文件格式是否和预先定义的文件格式相符等。

3.如果内容检测为不安全或非法，它们将被丢弃；如果内容是安全和合法的，此人在可信网络上的计算机上手工方式将该磁盘或磁带的文件拷贝到计算机上。

4.信息从可信网络传输到不可信网络将也用相似的流程。

网闸(GAP)技术的核心设计如图2所示。其中箭头代表的是半导体ASIC隔离部件，它可以在两个网络服务器之间摆动，同一时刻只能联通一个网段。

半导体ASIC隔离部件结构在最基本的物理层次上真实模拟了Sneaker-Net模型，它不仅继承了Sneaker-Net模型所有安全的特性，同时又解决了原模型中数据传输速度与延迟的问题。使得该模型在不影响用户网络应用的前提下实现期望的安全功能。

二：UniNXG安略网间数据交换系统

该解决方案是网间数据软件交换方案的典型系统，其设计技术架构如图3所示。该方案集成了虚拟化技术及的主机隔离通信(进程间通信)技术，并且在数据交换过程中不使用TCP/IP等网络协议、不降低网络隔离安全性的情况下，安全高效的交换数据。

其核心技术是一种所谓的自免疫虚拟化技术，通过在宿主机上虚拟出虚拟主机，实现宿主机无对外IP，有效避免外网的直接访问而产生的安全隐患，同时虚拟机可以定时回滚式重启，更有效的保证宿主机的信息安全。

上述现有技术存在以下缺点：

(1)现有的数据交换技术不能对数据进行特征分类，不能动态的实现针对特定类型的数据进行不同的处理操作。

(2)现有的数据交换技术并不能区分并跟踪数据的来源与去向，只能从一个网段交换到另外一个网段，而且交换完成后不能再对数据进行管控。

(3)现有的数据交换技术不能对数据进行全生命周期的监视和管控。

因此，迫切需要解决以下技术问题：

可以实现自动识别数据的业务系统来源和去向，并对交换的数据进行全生命周期的管控。

可以实现交换数据的自动识别与分类，并根据数据类型的不同自动的对交换到不受信网络中的数据对其进行特定的权限管控。

发明内容

为解决上述技术问题，本发明提供了一种网间数据的安全交换方法，受信网络与非受信网络不直接联通，当受信网络向非受信网络交换数据时，该方法包括以下步骤：

受信网络中的多个业务系统向数据集中池汇聚需要交换的数据，并把标识业务系统来源的数据源标识设置在数据的标签属性中，同时把对数据进行扫描得到的快照内容设置在数据的标签属性中；

将数据标签属性信息嵌入到经处理的数据中，通过交换模块，将数据交换到非受信网络中；

由非受信网络中的数据保险箱模块承接交换过来的数据中的敏感业务数据，并根据数据的分类分级特征对其进行相应的权限管控。

根据本发明的方法，优选的，数据保险箱模块监控交换过来的敏感数据的全生命周期的流转记录，包括：通过文件过滤驱动、虚拟磁盘技术，将敏感数据限制在其本身的虚拟磁盘中，并通过文件加解密技术、HOOK技术来实现对敏感数据所属文件的权限控制。

根据本发明的方法，优选的，对敏感数据所在文件的权限控制包括：若数据的敏感级别较高，则需要对文件的操作权限进行控制；若数据的敏感级别一般，则赋予对文件常规操作权限。

根据本发明的方法，优选的，将数据标签属性信息嵌入到经处理的数据中，通过交换模块，将数据交换到非受信网络时，需要进行协议解析，打断之前所有的TCP/UDP连接，由分类分级网关重新建立受信网络和非受信网络之间的连接。

根据本发明的方法，优选的，当将数据从非受信网络交换到受信网络时，需要交换的数据包括两类：第一类是之前从受信网络交换出来的数据；第二类是非受信网络中新产生的数据；

对于第一类数据，根据数据中的数据源标识将数据回传到相应的目标业务系统中；

对于第二种数据，在数据保险箱模块中进行数据交换时，指定目标业务系统，将数据交换到分类分级网关，由分类分级网关匹配目标业务系统的信息，从而将数据通过数据集中池交换到对应的目标业务系统。

为解决上述技术问题，本发明提供了一种网间数据的安全交换系统，该系统包括：

位于受信网络的多个业务系统、云存储客户端；

数据交换模块，包括：数据分类分级网关、数据集中池；

位于非受信网络的数据保险箱模块；

受信网络与非受信网络不直接联通；

所述多个业务系统产生业务数据，并通过云存储客户端集中到所述数据集中池；

通过所述数据分类分级网关和所述数据保险箱模块实现受信网络与非受信网络之间数据的交换，数据保险箱模块根据数据的分类分级特征对敏感数据进行相应的权限管控，将非敏感数据导入到受信网络中数据保险箱模块之外的非受控环境进行处理。

根据本发明的系统，优选的，受信网络中的多个业务系统向数据集中池汇聚需要交换的数据，并把标识业务系统来源的数据源标识设置在数据的标签属性中；

所述数据交换模块，还包括：数据扫描存储子模块，对待交换数据进行扫描得到的快照内容设置在数据的标签属性中。

根据本发明的系统，优选的，数据保险箱模块监控交换过来的敏感数据的全生命周期的流转记录，包括：通过文件过滤驱动、虚拟磁盘技术，将敏感数据限制在其本身的虚拟磁盘中，并通过文件加解密技术、HOOK技术来实现对敏感数据所属文件的权限控制。

根据本发明的系统，优选的，所述数据集中池将数据标签属性信息嵌入到经处理的数据中，通过数据分类分级网关将数据交换到非受信网络时，进行协议解析，打断之前所有的TCP/UDP连接，由分类分级网关重新建立受信网络和非受信网络之间的连接。

根据本发明的系统，优选的，当将数据从非受信网络交换到受信网络时，需要交换的数据包括两类：第一类是之前从受信网络交换出来的数据；第二类是非受信网络中新产生的数据；

对于第一类数据，根据数据中的数据源标识将数据回传到相应的目标业务系统中；

对于第二种数据，在数据保险箱系统中进行数据交换时，指定目标业务系统，将数据交换到分类分级网关，由分类分级网关匹配目标业务系统的信息，从而将数据通过数据集中池交换到对应的目标业务系统。

本发明可以定向精准的提取业务文档，避免了之前的批量数据交换大量无用的数据，并降低数据泄露的风险。通过对文档进行特征标签化，可以对业务系统的文档数据进行更加精细化的管理如分类分级、统计、审计分析等。

附图说明

图1为现有技术中的网闸技术原型核心逻辑图

图2为现有技术中的网闸技术架构图。

图3为现有技术中的网间数据软件交换方案的系统技术架构图。

图4为本发明的系统架构。

图5为本发明从受信网络向非受信网络交换数据的方法流程图。

图6为本发明从非受信网络向受信网络交换数据的方法流程图。

具体实施方式

本发明的系统架构如图4所示，整个系统包括：生产网(受信网络)、DMZ区域(实现数据交换，包括VDI，即虚拟桌面设施)和办公网(非受信网络)。生产网和办公网处于两个通过物理隔离或者逻辑隔离的互不联通的网段的网络中。生产网和DMZ区域之间，以及DMZ区域和办公网之间均存在防火墙，进行数据的隔离。生产网中包括多个业务系统，用于产生业务数据。当业务系统需要将数据交换到办公网时，通过云存储客户端集中到DMZ区域中的数据集中池，数据集中池根据数据的业务系统来源把数据的来源系统设置在数据标签属性中。DMZ区域中包括一个数据存储模块，该数据存储模块对数据集中池的数据进行扫描，把扫描的快照内容设置在数据的标签属性中。DMZ区域中的分类分级网关对数据进行处理，包括加解/密，病毒扫描，数据分类分级等，并将将数据标签属性信息和分类分级特征信息嵌入到加密或者其它手段处理后的数据上。分类分级网关把数据通过交换模块，将数据交换到非受信网络中，数据交换时，会进行协议解析，断开之前所有的TCP/UDP连接，由分类分级网关重新建立两端的连接。办公网(非受信网络)中包括数据保险箱，相当于在办公网(非受信网络)中构建一个受控的安全环境，在非受信网络中，通过数据保险箱来承接由生产网交换过来的敏感业务系统数据，并根据数据的分类分级特征对其进行相应的权限管控。如数据的敏感级别较高，则可能禁止文件的编辑、复制、粘贴、截屏、另存权限，只允许读权限；对应的数据敏感级别一般时，可能会允许文件的读写编辑权限。对于非敏感数据，直接导入到通用办公桌面(非受控)。当办公网需要将数据交换到生产网时，可以通过通用办公桌面将数据导入到数据保险箱。并通过分类分级网关、数据集中池逆向交换到相应的目标业务系统。

数据保险箱监控交换过来的敏感数据的全生命周期的流转记录，包括：通过文件过滤驱动、虚拟磁盘技术，将敏感数据限制在其本身的虚拟磁盘中，并通过文件加解密技术、HOOK技术来实现对敏感数据所属文件的权限控制。

数据保险箱执行文件下载操作，在非受信网络中新建文件时直接就建在了虚拟磁盘的盘符中，文件的另存权限是禁止的，可以保证数据保险箱所有的本地文件都存在虚拟磁盘中。

当将数据从非受信网络交换到受信网络时，需要交换的数据包括两类：第一类是之前从受信网络交换出来的数据；第二类是非受信网络中新产生的数据；

对于第一类数据，根据数据中的数据源标识将数据回传到相应的目标业务系统中；

对于第二种数据，在数据保险箱系统中进行数据交换时，指定目标业务系统，将数据交换到分类分级网关，由分类分级网关匹配目标业务系统的信息，从而将数据通过数据集中池交换到对应的目标业务系统。

受信的内网向非受信外网交换数据时，即生产网向办公网交换、受信网络向非受信网络时，其流程如图5所示：

1.在受信网络中各个业务系统开始向数据集中存储设施中汇聚需要交换的数据。

2.根据数据的业务系统来源把数据的来源系统设置在标签的属性中。

3.存储扫描模块会对数据集中池的数据进行扫描，把扫描的快照内容设置在数据的标签属性中。其中，快照内容是包含了敏感信息如关键字之类的简单的上下文，引入快照内容是为了不用查看文件内容而直接对文件涉及到的敏感信息有一个大致的了解，为分类分级确立依据。

4.经过步骤2和3，获取到数据极其对应的标签信息，将标签信息嵌入到经过分类分级网关加密或者其它手段处理后的交换数据上。分类分级网关是一个集合体，物理上的概念。数据分类分级，数据交换，数据加解密的操作在物理上都部署在这个网关上，这些功能逻辑上是分离的，但是物理上是可以部署在一起的。

5.把数据通过交换模块，将数据交换到非受信网络中。数据交换时，会进行协议解析，断开之前所有的TCP/UDP连接，由分类分级网关重新建立两端的连接，避免一些溢出漏洞的攻击等。

6.在非受信网络中，通过数据保险箱来承接步骤5中交换过来的所有业务系统数据，并根据数据的分类分级特征对其进行相应的权限管控。如数据的敏感级别较高，则可能禁止文件的编辑、复制、粘贴、截屏、另存权限，只允许读权限；对应的数据敏感级别一般时，可能会允许文件的读写编辑权限。所述分类分级特征由分类分级网关包括的逻辑上的数据分类分级模块根据文件的快照得出分类分级的结果并加入到文件。

7.数据保险箱会监控交换过来的敏感数据的全生命周期的流转记录。数据保险箱会记录文件所有的流转记录，如复制到其它文件，新建文件，共享给别人，文件删除等。每个文件都有一个UID唯一ID，文件所有的操作和流转的日志会被上传到数据保险箱的管理服务器，通过日志分析可以进行文件全生命周期的监控，交换的所有的文件都会被监控。

其核心技术是通过文件过滤驱动、虚拟磁盘技术，将数据文件限制在其本身的虚拟磁盘中，并通过文件加解密技术，HOOK技术来控制文件的读、写、编辑、另存、打印等权限。其还可以实现对数据文件的定期销毁功能。数据保险箱执行文件下载操作，在非受信网络中新建文件时直接就建在了虚拟磁盘的盘符中，文件的另存权限是禁止的，可以保证数据保险箱所有的本地文件都存在虚拟磁盘中。

非受信的外网向受信的内网交换数据，即办公网向生产网交换数据的流程如图6所示：数据交换从非受信网络到受信网络进行时，一般是需要数据交换到目标的业务系统中，在本发明技术方案中，需要交换的数据大致有两类，一是之前从受信网络交换出来的数据，二是非受信网络中新产生的数据。对于第一种数据来说，由于其本身就带有来源业务系统的信息，所以逆向之前交换出来的流程即可通过保险箱、分类分级网关交换到数据集中池，并回传数据到目标业务系统中；对于第二种数据来说，需要在数据保险箱进行数据交换时，指定目标业务系统，并按照之前交换数据到数据保险箱的逆向流程到分类分级网关，由分类分级网关来匹配目标业务系统的信息最终把数据交换到对应的业务系统的数据集中池的目录中。

此外，可以实施以下等同实施方式：

1)针对不同类/不同级别的数据进行的标签技术可以包括但不限于加密、加壳、在数据库中添加属性字段跟踪管控等。

2)数据交换前的数据集中操作的核心思想是针对不同的业务系统建立不同的存储目录，可以采用云存储、NAS存储、共享存储等不同的技术手段。甚至可以把数据的业务系统来源加到文件的属性字段(加密内容)中。

3)数据保险箱的技术采用的是文件过滤驱动加虚拟大文件加密技术实现的。

4)数据交换的算法是软件交换的方法，软件交换一般分为协议转发和协议重建两种方案，可以进行替换。

通过实施本发明的技术方案，可以取得以下技术效果：

1.可以定向精准的提取业务文档，避免了之前的批量数据交换大量无用的数据，并降低数据泄露的风险。

2.通过对文档进行特征标签化，可以对业务系统的文档数据进行更加精细化的管理如分类分级、统计、审计分析等。

对于系统实施例而言，由于其与方法实施例基本相似，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、系统、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式发送机或其他可编程数据发送终端设备的发送器以产生一个机器，使得通过计算机或其他可编程数据发送终端设备的发送器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据发送终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品，该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据发送终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的发送，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种网间数据的安全交换方法及系统，进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种网间数据的安全交换方法，受信网络与非受信网络不直接联通，其特征在于，当受信网络向非受信网络交换数据时，该方法包括以下步骤：

受信网络中的多个业务系统向数据集中池汇聚需要交换的数据，并把标识业务系统来源的数据源标识设置在数据的标签属性中，同时把对数据进行扫描得到的快照内容设置在数据的标签属性中；

将数据标签属性信息嵌入到经处理的数据中，通过交换模块，将数据交换到非受信网络中；

由非受信网络中的数据保险箱模块承接交换过来的数据中的敏感业务数据，并根据数据的分类分级特征对其进行相应的权限管控。

2.根据权利要求1所述的方法，其特征在于，数据保险箱模块监控交换过来的敏感数据的全生命周期的流转记录，包括：通过文件过滤驱动、虚拟磁盘技术，将敏感数据限制在其本身的虚拟磁盘中，并通过文件加解密技术、HOOK技术来实现对敏感数据所属文件的权限控制。

3.根据权利要求2所述的方法，其特征在于，对敏感数据所在文件的权限控制包括：若数据的敏感级别较高，则需要对文件的操作权限进行控制；若数据的敏感级别一般，则赋予文件常规操作权限。

4.根据权利要求1所述的方法，其特征在于，将数据标签属性信息嵌入到经处理的数据中，通过交换模块，将数据交换到非受信网络时，需要进行协议解析，断开之前所有的

TCP/UDP连接，由分类分级网关重新建立受信网络和非受信网络之间的连接。

5.根据权利要求1所述的方法，其特征在于，当将数据从非受信网络交换到受信网络时，需要交换的数据包括两类：第一类是之前从受信网络交换出来的数据；第二类是非受信网络中新产生的数据；

对于第一类数据，根据数据中的数据源标识将数据回传到相应的目标业务系统中；

对于第二种数据，在数据保险箱模块中进行数据交换时，指定目标业务系统，将数据交换到分类分级网关，由分类分级网关匹配目标业务系统的信息，从而将数据通过数据集中池交换到对应的目标业务系统。

6.一种网间数据的安全交换系统，其特征在于，该系统包括：

位于受信网络的多个业务系统、云存储客户端；

数据交换模块，包括：数据分类分级网关、数据集中池；

位于非受信网络的数据保险箱模块；

受信网络与非受信网络不直接联通；

所述多个业务系统产生业务数据，并通过云存储客户端集中到所述数据集中池；

通过所述数据分类分级网关和所述数据保险箱模块实现受信网络与非受信网络之间数据的交换，数据保险箱模块根据数据的分类分级特征对敏感数据进行相应的权限管控，将非敏感数据导入到受信网络中数据保险箱模块之外的非受控环境进行处理。

7.根据权利要求6所述的系统，其特征在于，受信网络中的多个业务系统向数据集中池汇聚需要交换的数据，并把标识业务系统来源的数据源标识设置在数据的标签属性中；

所述数据交换模块，还包括：数据扫描存储子模块，对待交换数据进行扫描得到的快照内容设置在数据的标签属性中。

8.根据权利要求6所述的系统，其特征在于，数据保险箱模块监控交换过来的敏感数据的全生命周期的流转记录，包括：通过文件过滤驱动、虚拟磁盘技术，将敏感数据限制在其本身的虚拟磁盘中，并通过文件加解密技术、HOOK技术来实现对敏感数据所属文件的权限控制。

9.根据权利要求6所述的系统，其特征在于，所述数据集中池将数据标签属性信息嵌入到经处理的数据中，通过数据分类分级网关将数据交换到非受信网络时，进行协议解析，断开之前所有的TCP/UDP连接，由分类分级网关重新建立受信网络和非受信网络之间的连接。

10.根据权利要求6所述的系统，其特征在于，当将数据从非受信网络交换到受信网络时，需要交换的数据包括两类：第一类是之前从受信网络交换出来的数据；第二类是非受信网络中新产生的数据；

对于第一类数据，根据数据中的数据源标识将数据回传到相应的目标业务系统中；

对于第二种数据，在数据保险箱系统中进行数据交换时，指定目标业务系统，将数据交换到分类分级网关，由分类分级网关匹配目标业务系统的信息，从而将数据通过数据集中池交换到对应的目标业务系统。