文 | 華興海安集團數(shù)智科技有限公司 張曉軍 鐘力

跨境數(shù)據(jù)傳輸需穿越異構網絡環(huán)境與多國節(jié)點，面臨傳輸鏈路可靠性和效率的雙重考驗。同時，該過程還受制于法律合規(guī)約束、數(shù)據(jù)主權爭議和網絡攻擊威脅等多重安全風險。當前的實踐表明，除高效傳輸?shù)募夹g難題外，網絡數(shù)據(jù)竊取、中間人攻擊、密碼破解與數(shù)據(jù)泄露等事件頻發(fā)，凸顯跨境數(shù)據(jù)傳輸?shù)陌踩Ь?。我國《?shù)據(jù)安全法》明確建立數(shù)據(jù)分類分級保護制度；《網絡數(shù)據(jù)安全管理條例》則進一步強化了相關實施細則。目前，數(shù)據(jù)分類分級保護已體現(xiàn)在數(shù)據(jù)分類分級、數(shù)據(jù)訪問控制和數(shù)據(jù)存儲等數(shù)據(jù)處理活動上。鑒于跨境數(shù)據(jù)傳輸場景復雜、數(shù)據(jù)形態(tài)多樣且網絡安全風險突出，如何有效落實數(shù)據(jù)分類分級保護仍是亟待突破的重要課題。值得關注的是，現(xiàn)有成熟的數(shù)據(jù)傳輸加密技術體系與多樣化設備配置，為構建安全傳輸通道奠定了堅實基礎?；谖覈煞ㄒ?guī)要求，針對跨境數(shù)據(jù)傳輸所需的高安全性與高可靠性的應用場景，本文提出體系化解決方案，旨在探索跨境數(shù)據(jù)安全傳輸?shù)挠行窂健?/span>

一、當前跨境數(shù)據(jù)安全傳輸現(xiàn)狀與面臨的考驗

數(shù)據(jù)加密作為保障數(shù)據(jù)傳輸最有效的手段，其應用效能直接影響跨境通信質量。目前，跨境數(shù)據(jù)安全傳輸?shù)某Ｒ?guī)做法是通過虛擬專用網（VPN）技術實現(xiàn)，數(shù)據(jù)收發(fā)雙方均部署VPN設備，利用國際互聯(lián)網或專線，實現(xiàn)跨境數(shù)據(jù)安全傳輸。部分中資機構利用專用數(shù)據(jù)傳輸加密設備，提供更高安全強度的跨境數(shù)據(jù)傳輸。

在密碼算法應用層面，國產VPN設備已全面適配國產商用密碼SM系列算法。近年來，傳統(tǒng)國際加密算法如AES、DES/3DES、ChaCha20以及 RSA/ECC非對稱算法、SHA哈希算法等長期占據(jù)主流市場。然而，受國際技術出口管制限制，部分專用數(shù)據(jù)傳輸加密設備和加密算法尚未獲準應用于跨境數(shù)據(jù)傳輸場景。

跨境數(shù)據(jù)傳輸面臨的網絡基礎設施挑戰(zhàn)尤為突出。全球電信網絡發(fā)展不均衡導致部分國家普通互聯(lián)網接入存在帶寬受限、穩(wěn)定性差等問題，在未加密狀態(tài)下尚可維持基礎通信。在實施加密傳輸時，由于加密運算帶來的額外負載，會因丟包率高而常出現(xiàn)傳輸效率斷崖式下降甚至通信中斷等現(xiàn)象。為突破這一“瓶頸”，眾多中資企業(yè)采用自建專用通信鏈路的解決方案。

近年來，我國電信運營商和云服務商積極拓展海外市場，已在全球范圍內構建起國際高速骨干網絡，并提供了高速接入點（POP）和網絡加速服務，從而逐步提高了跨境數(shù)據(jù)傳輸鏈路的可靠性和傳輸效率。

二、跨境數(shù)據(jù)傳輸問題的體系化解決方案

為全面解決跨境數(shù)據(jù)傳輸?shù)目煽啃耘c安全性問題，解決方案分為以下三個層次。一是借助電信運營商或云服務商構建的全球高速骨干網絡及服務，實現(xiàn)世界各地就近POP點接入和網絡加速，形成穩(wěn)定可靠的跨境數(shù)據(jù)傳輸鏈路。二是針對中資企業(yè)海外分支機構眾多的特點，利用軟件定義廣域網（SD-WAN）技術進行安全組網，對海外分支機構節(jié)點實施統(tǒng)一安全管理并搭建基礎VPN加密隧道。三是根據(jù)不同跨境數(shù)據(jù)傳輸安全要求，部署一種至多種專用數(shù)據(jù)傳輸加密設備，并通過邊界網絡設備的策略路由實現(xiàn)基于加密策略的數(shù)據(jù)分類分級安全傳輸。

（一）網絡加速與安全組網

充分利用電信運營商或云服務商提供的全球高速骨干網絡和網絡加速服務，通過優(yōu)化網絡路徑、提高傳輸效率、改善鏈路質量以及增強安全防護，實現(xiàn)跨國數(shù)據(jù)傳輸?shù)牡脱舆t、高帶寬和穩(wěn)定性，解決因距離、網絡擁塞或路由低效導致的延遲高、丟包多、帶寬不穩(wěn)定等問題。結合使用SD-WAN技術，通過集中控制、智能路由、虛擬化和綜合安全集成，實現(xiàn)高效安全的跨境網絡連接，以及國內企業(yè)與海外分支機構的安全組網。

利用運營商購買或自建的海底光纜和陸地光纜，如亞歐5號、中俄跨境光纜，確?？鐕鴰挼莫毩⑿院偷脱舆t。同時，建立運營商級的VPN或專線，從而獲得穩(wěn)定低延遲的專用通道。通過采用智能路由與動態(tài)路徑優(yōu)化技術，利用全球部署的骨干網節(jié)點，進行多路徑探測實時監(jiān)測不同運營商的鏈路質量（如延遲、丟包率、抖動等指標），動態(tài)選擇最優(yōu)數(shù)據(jù)傳輸路徑。

在傳輸層，進一步采用加速技術，主要包含以下兩個方面：一是通過協(xié)議壓縮與優(yōu)化技術，對傳輸數(shù)據(jù)實施壓縮和分片重組，有效降低數(shù)據(jù)傳輸量。二是通過TCP加速從而調整TCP窗口大小、啟用選擇性ACK和快速重傳機制，提高在高丟包率環(huán)境的傳輸效率。同時，支持服務質量策略，為關鍵業(yè)務配置高優(yōu)先級隊列，通過流量整形和擁塞避免機制，確保核心業(yè)務的帶寬資源保障和端到端低延遲傳輸需求。

SD-WAN技術通過將控制平面與數(shù)據(jù)平面分離，控制平面用于集中管理策略，數(shù)據(jù)平面則負責實際的數(shù)據(jù)轉發(fā)，支持從控制臺管理所有分支網絡，實現(xiàn)網絡的集中控制和靈活管理。此外，采用網絡虛擬化技術，可將多個物理網絡連接（如寬帶、4G/5G等）整合到一個虛擬網絡層，使企業(yè)能根據(jù)條件靈活選擇最佳的網絡連接方式。該技術還支持智能路由算法，包括基于鏈路質量的動態(tài)路由和鏈路智能分析與預測，確保數(shù)據(jù)傳輸?shù)目煽啃院妥顑?yōu)性能。在支持網絡安全技術的集成方面，SD-WAN邊界設備通常集成端到端加密、網絡防火墻、訪問控制、身份驗證等多種安全手段，確保數(shù)據(jù)在網絡的安全傳輸。

（二）數(shù)據(jù)分類分級安全傳輸實現(xiàn)方式

數(shù)據(jù)分類分級安全傳輸?shù)膶崿F(xiàn)方式有三種：一是通過邊界網絡設備的策略路由，選擇不同的網絡數(shù)據(jù)通過不同的專用數(shù)據(jù)傳輸加密設備進行加密傳輸；二是專用數(shù)據(jù)傳輸加密設備根據(jù)網絡數(shù)據(jù)不同的來源或數(shù)據(jù)分類分級標簽，執(zhí)行不同的加密策略；三是前面兩種方式的結合。

第一種方式通過部署一種至多種專用數(shù)據(jù)傳輸加密設備，結合邊界網絡設備的策略路由，實現(xiàn)基于加密策略的數(shù)據(jù)分類分級安全傳輸。具體而言，該方案以現(xiàn)有的VPN隧道為基礎，再通過一種至多種不同的專用數(shù)據(jù)傳輸加密設備，構建相應的安全隧道；然后通過邊界網絡設備的策略路由功能，基于五元組信息（源 / 目的網絡地址、端口及傳輸層協(xié)議）將不同來源的網絡數(shù)據(jù)轉發(fā)至不同的安全隧道進行傳輸?；谖逶M信息已經能夠較精細地區(qū)分不同的網絡數(shù)據(jù)，例如，不同的應用服務器通常具有不同的IP地址，可實現(xiàn)將關鍵業(yè)務應用服務器數(shù)據(jù)通過專用數(shù)據(jù)傳輸加密設備進行加密傳輸，而普通辦公數(shù)據(jù)通過基礎VPN加密傳輸即可。

第二種方式通過專用數(shù)據(jù)傳輸加密設備基于加密策略進行數(shù)據(jù)分類分級安全傳輸。通常在僅部署一臺專用數(shù)據(jù)傳輸加密設備的條件下，通過在該設備上設置加密策略，根據(jù)網絡數(shù)據(jù)的五元組信息，為不同來源的數(shù)據(jù)選擇不同的加密算法和密鑰長度，構建不同的數(shù)據(jù)傳輸安全隧道，取得使用多臺專用數(shù)據(jù)傳輸加密設備的效果，實現(xiàn)數(shù)據(jù)分類分級安全傳輸。進一步地，可根據(jù)前置已知的企業(yè)數(shù)據(jù)分類分級結果信息，為網絡數(shù)據(jù)打上類型和級別標簽之后，通過專用數(shù)據(jù)傳輸加密設備選擇不同的加密算法和密鑰長度進行數(shù)據(jù)加密傳輸，從而實現(xiàn)細粒度的數(shù)據(jù)分類分級安全傳輸?？梢岳镁W絡數(shù)據(jù)包的擴展字段，為網絡數(shù)據(jù)打上類型和級別標簽；然后對專用數(shù)據(jù)傳輸加密設備進行定制使其識別標簽。例如，對等級標簽為重要數(shù)據(jù)的數(shù)據(jù)，可采用國密算法進行加密傳輸；對等級標簽為一般數(shù)據(jù)的數(shù)據(jù)，可采用國際商用密碼算法進行加密傳輸。

第三種方式是前兩種方式的組合，能夠通過邊界網絡設備的策略路由、多臺專用數(shù)據(jù)傳輸加密設備及其加密策略，基于五元組信息和數(shù)據(jù)分類分級標簽進行全面靈活的網絡數(shù)據(jù)選擇，從而實現(xiàn)細粒度、安全隧道多樣的數(shù)據(jù)分類分級安全傳輸，有效防范密碼破解等攻擊。

（三）測試驗證過程與結果分析

根據(jù)本方案，在國內和國外某國搭建試驗環(huán)境，即國內作為企業(yè)總部環(huán)境、國外某國作為海外分支機構環(huán)境。依托國內云服務商提供的全球高速骨干網絡、網絡加速服務和SD-WAN設備（含SD-WAN控制中心和SD-WAN邊界網絡設備），構建數(shù)據(jù)傳輸鏈路和基礎的VPN加密隧道，使用專用數(shù)據(jù)傳輸加密設備A和B，且每個廠商的加密設備在國內和國外成對部署。在國內和國外環(huán)境，均部署了三種應用服務器A、B、C，并配備了相應的訪問終端，同時準備好與之匹配的測試數(shù)據(jù)。專用數(shù)據(jù)傳輸加密設備以旁路部署的方式連接至SD-WAN邊界網絡設備，由SD-WAN邊界網絡設備利用策略路由進行導流。測試的目的在于驗證數(shù)據(jù)傳輸能否根據(jù)數(shù)據(jù)來源（基于五元組信息），精準地將數(shù)據(jù)策略路由導向不同的數(shù)據(jù)傳輸加密設備，從而實現(xiàn)加密傳輸。

具體的測試配置包括：通過策略路由將服務器A的數(shù)據(jù)轉發(fā)至專用數(shù)據(jù)傳輸加密設備A進行加密傳輸；將服務器B的數(shù)據(jù)轉發(fā)至專用數(shù)據(jù)傳輸加密設備B進行加密傳輸；而服務器C的數(shù)據(jù)直接由SD-WAN邊界網絡設備的VPN功能完成加密傳輸。測試結果與預期高度一致，不同來源的網絡數(shù)據(jù)能夠根據(jù)策略路由和加密策略，實現(xiàn)分類分級安全傳輸。測試表明，該方案能夠在復雜的全球網絡通信條件下，進行可靠且高效的跨境數(shù)據(jù)分類分級安全傳輸，丟包率近乎為零，延遲穩(wěn)定控制在200毫秒以內，并實現(xiàn)了海外分支機構的統(tǒng)一安全管理。同時，對比測試利用普通的國際互聯(lián)網線路進行數(shù)據(jù)加密傳輸發(fā)現(xiàn)，跨境數(shù)據(jù)傳輸延遲通常在500~900毫秒，丟包率達到50%~60%，網絡鏈路幾乎無法滿足實際需求。這證明了跨境數(shù)據(jù)傳輸必須使用服務商提供的全球高速骨干網絡和網絡加速服務。

測試僅針對本方案的部分功能進行驗證，主要原因在于現(xiàn)階段廠商提供的專用數(shù)據(jù)傳輸加密設備，其加密策略具有固定性，即在使用前預先完成配置，后續(xù)所有網絡數(shù)據(jù)的傳輸均統(tǒng)一采用相同的加密方式進行處理。后續(xù)，將對專用數(shù)據(jù)傳輸加密設備進行升級更新，定制靈活的加密策略模塊，使其能夠基于數(shù)據(jù)分類分級標簽和五元組信息，動態(tài)選擇不同的加密算法和密鑰長度構建安全隧道，進而實現(xiàn)精細化控制的數(shù)據(jù)分類分級安全傳輸。

未來，我們還可以進一步推動與應用層數(shù)據(jù)加密技術的融合。具體而言，可在業(yè)務應用系統(tǒng)的信源端實施加密處理，從而更充分地利用企業(yè)數(shù)據(jù)分類分級所產出的成果信息。此外，整個方案的相關執(zhí)行信息可匯入企業(yè)信息系統(tǒng)的網絡安全態(tài)勢感知等相關平臺，以便能夠對跨境數(shù)據(jù)傳輸活動進行安全審計和威脅監(jiān)管。

三、結 語

跨境數(shù)據(jù)傳輸安全面臨網絡環(huán)境的復雜性、法律合規(guī)的多樣性及安全威脅的動態(tài)性等核心挑戰(zhàn)。方案通過構建高效可靠的高安全傳輸通道，不僅實現(xiàn)了數(shù)據(jù)分類分級精準防護，還通過多算法協(xié)同機制有效避免因單一加密設備或算法漏洞導致的數(shù)據(jù)破解風險，使跨境數(shù)據(jù)傳輸?shù)陌踩耘c傳輸效率得到同步提高。該體系在技術層面實現(xiàn)了《數(shù)據(jù)安全法》設立的分類分級保護制度與SD-WAN智能組網技術的深度融合，為中資企業(yè)全球化布局提供了可復用的安全范式。未來，隨著專用加密設備策略模塊優(yōu)化、應用層信源加密技術的深度融合，以及網絡安全態(tài)勢感知平臺的協(xié)同聯(lián)動，跨境數(shù)據(jù)傳輸防護體系有望完成從“被動防御”到“智能免疫”的范式升級，為全球數(shù)字貿易筑牢信任根基。

（本文刊登于《中國信息安全》雜志2025年第5期）