等保资讯

文 | 华兴海安集团数智科技有限公司 张晓军 钟力

跨境数据传输需穿越异构网络环境与多国节点，面临传输链路可靠性和效率的双重考验。同时，该过程还受制于法律合规约束、数据主权争议和网络攻击威胁等多重安全风险。当前的实践表明，除高效传输的技术难题外，网络数据窃取、中间人攻击、密码破解与数据泄露等事件频发，凸显跨境数据传输的安全困境。我国《数据安全法》明确建立数据分类分级保护制度；《网络数据安全管理条例》则进一步强化了相关实施细则。目前，数据分类分级保护已体现在数据分类分级、数据访问控制和数据存储等数据处理活动上。鉴于跨境数据传输场景复杂、数据形态多样且网络安全风险突出，如何有效落实数据分类分级保护仍是亟待突破的重要课题。值得关注的是，现有成熟的数据传输加密技术体系与多样化设备配置，为构建安全传输通道奠定了坚实基础。基于我国法律法规要求，针对跨境数据传输所需的高安全性与高可靠性的应用场景，本文提出体系化解决方案，旨在探索跨境数据安全传输的有效路径。

一、当前跨境数据安全传输现状与面临的考验

数据加密作为保障数据传输最有效的手段，其应用效能直接影响跨境通信质量。目前，跨境数据安全传输的常规做法是通过虚拟专用网（VPN）技术实现，数据收发双方均部署VPN设备，利用国际互联网或专线，实现跨境数据安全传输。部分中资机构利用专用数据传输加密设备，提供更高安全强度的跨境数据传输。

在密码算法应用层面，国产VPN设备已全面适配国产商用密码SM系列算法。近年来，传统国际加密算法如AES、DES/3DES、ChaCha20以及 RSA/ECC非对称算法、SHA哈希算法等长期占据主流市场。然而，受国际技术出口管制限制，部分专用数据传输加密设备和加密算法尚未获准应用于跨境数据传输场景。

跨境数据传输面临的网络基础设施挑战尤为突出。全球电信网络发展不均衡导致部分国家普通互联网接入存在带宽受限、稳定性差等问题，在未加密状态下尚可维持基础通信。在实施加密传输时，由于加密运算带来的额外负载，会因丢包率高而常出现传输效率断崖式下降甚至通信中断等现象。为突破这一“瓶颈”，众多中资企业采用自建专用通信链路的解决方案。

近年来，我国电信运营商和云服务商积极拓展海外市场，已在全球范围内构建起国际高速骨干网络，并提供了高速接入点（POP）和网络加速服务，从而逐步提高了跨境数据传输链路的可靠性和传输效率。

二、跨境数据传输问题的体系化解决方案

为全面解决跨境数据传输的可靠性与安全性问题，解决方案分为以下三个层次。一是借助电信运营商或云服务商构建的全球高速骨干网络及服务，实现世界各地就近POP点接入和网络加速，形成稳定可靠的跨境数据传输链路。二是针对中资企业海外分支机构众多的特点，利用软件定义广域网（SD-WAN）技术进行安全组网，对海外分支机构节点实施统一安全管理并搭建基础VPN加密隧道。三是根据不同跨境数据传输安全要求，部署一种至多种专用数据传输加密设备，并通过边界网络设备的策略路由实现基于加密策略的数据分类分级安全传输。

（一）网络加速与安全组网

充分利用电信运营商或云服务商提供的全球高速骨干网络和网络加速服务，通过优化网络路径、提高传输效率、改善链路质量以及增强安全防护，实现跨国数据传输的低延迟、高带宽和稳定性，解决因距离、网络拥塞或路由低效导致的延迟高、丢包多、带宽不稳定等问题。结合使用SD-WAN技术，通过集中控制、智能路由、虚拟化和综合安全集成，实现高效安全的跨境网络连接，以及国内企业与海外分支机构的安全组网。

利用运营商购买或自建的海底光缆和陆地光缆，如亚欧5号、中俄跨境光缆，确保跨国带宽的独立性和低延迟。同时，建立运营商级的VPN或专线，从而获得稳定低延迟的专用通道。通过采用智能路由与动态路径优化技术，利用全球部署的骨干网节点，进行多路径探测实时监测不同运营商的链路质量（如延迟、丢包率、抖动等指标），动态选择最优数据传输路径。

在传输层，进一步采用加速技术，主要包含以下两个方面：一是通过协议压缩与优化技术，对传输数据实施压缩和分片重组，有效降低数据传输量。二是通过TCP加速从而调整TCP窗口大小、启用选择性ACK和快速重传机制，提高在高丢包率环境的传输效率。同时，支持服务质量策略，为关键业务配置高优先级队列，通过流量整形和拥塞避免机制，确保核心业务的带宽资源保障和端到端低延迟传输需求。

SD-WAN技术通过将控制平面与数据平面分离，控制平面用于集中管理策略，数据平面则负责实际的数据转发，支持从控制台管理所有分支网络，实现网络的集中控制和灵活管理。此外，采用网络虚拟化技术，可将多个物理网络连接（如宽带、4G/5G等）整合到一个虚拟网络层，使企业能根据条件灵活选择最佳的网络连接方式。该技术还支持智能路由算法，包括基于链路质量的动态路由和链路智能分析与预测，确保数据传输的可靠性和最优性能。在支持网络安全技术的集成方面，SD-WAN边界设备通常集成端到端加密、网络防火墙、访问控制、身份验证等多种安全手段，确保数据在网络的安全传输。

（二）数据分类分级安全传输实现方式

数据分类分级安全传输的实现方式有三种：一是通过边界网络设备的策略路由，选择不同的网络数据通过不同的专用数据传输加密设备进行加密传输；二是专用数据传输加密设备根据网络数据不同的来源或数据分类分级标签，执行不同的加密策略；三是前面两种方式的结合。

第一种方式通过部署一种至多种专用数据传输加密设备，结合边界网络设备的策略路由，实现基于加密策略的数据分类分级安全传输。具体而言，该方案以现有的VPN隧道为基础，再通过一种至多种不同的专用数据传输加密设备，构建相应的安全隧道；然后通过边界网络设备的策略路由功能，基于五元组信息（源 / 目的网络地址、端口及传输层协议）将不同来源的网络数据转发至不同的安全隧道进行传输。基于五元组信息已经能够较精细地区分不同的网络数据，例如，不同的应用服务器通常具有不同的IP地址，可实现将关键业务应用服务器数据通过专用数据传输加密设备进行加密传输，而普通办公数据通过基础VPN加密传输即可。

第二种方式通过专用数据传输加密设备基于加密策略进行数据分类分级安全传输。通常在仅部署一台专用数据传输加密设备的条件下，通过在该设备上设置加密策略，根据网络数据的五元组信息，为不同来源的数据选择不同的加密算法和密钥长度，构建不同的数据传输安全隧道，取得使用多台专用数据传输加密设备的效果，实现数据分类分级安全传输。进一步地，可根据前置已知的企业数据分类分级结果信息，为网络数据打上类型和级别标签之后，通过专用数据传输加密设备选择不同的加密算法和密钥长度进行数据加密传输，从而实现细粒度的数据分类分级安全传输。可以利用网络数据包的扩展字段，为网络数据打上类型和级别标签；然后对专用数据传输加密设备进行定制使其识别标签。例如，对等级标签为重要数据的数据，可采用国密算法进行加密传输；对等级标签为一般数据的数据，可采用国际商用密码算法进行加密传输。

第三种方式是前两种方式的组合，能够通过边界网络设备的策略路由、多台专用数据传输加密设备及其加密策略，基于五元组信息和数据分类分级标签进行全面灵活的网络数据选择，从而实现细粒度、安全隧道多样的数据分类分级安全传输，有效防范密码破解等攻击。

（三）测试验证过程与结果分析

根据本方案，在国内和国外某国搭建试验环境，即国内作为企业总部环境、国外某国作为海外分支机构环境。依托国内云服务商提供的全球高速骨干网络、网络加速服务和SD-WAN设备（含SD-WAN控制中心和SD-WAN边界网络设备），构建数据传输链路和基础的VPN加密隧道，使用专用数据传输加密设备A和B，且每个厂商的加密设备在国内和国外成对部署。在国内和国外环境，均部署了三种应用服务器A、B、C，并配备了相应的访问终端，同时准备好与之匹配的测试数据。专用数据传输加密设备以旁路部署的方式连接至SD-WAN边界网络设备，由SD-WAN边界网络设备利用策略路由进行导流。测试的目的在于验证数据传输能否根据数据来源（基于五元组信息），精准地将数据策略路由导向不同的数据传输加密设备，从而实现加密传输。

具体的测试配置包括：通过策略路由将服务器A的数据转发至专用数据传输加密设备A进行加密传输；将服务器B的数据转发至专用数据传输加密设备B进行加密传输；而服务器C的数据直接由SD-WAN边界网络设备的VPN功能完成加密传输。测试结果与预期高度一致，不同来源的网络数据能够根据策略路由和加密策略，实现分类分级安全传输。测试表明，该方案能够在复杂的全球网络通信条件下，进行可靠且高效的跨境数据分类分级安全传输，丢包率近乎为零，延迟稳定控制在200毫秒以内，并实现了海外分支机构的统一安全管理。同时，对比测试利用普通的国际互联网线路进行数据加密传输发现，跨境数据传输延迟通常在500~900毫秒，丢包率达到50%~60%，网络链路几乎无法满足实际需求。这证明了跨境数据传输必须使用服务商提供的全球高速骨干网络和网络加速服务。

测试仅针对本方案的部分功能进行验证，主要原因在于现阶段厂商提供的专用数据传输加密设备，其加密策略具有固定性，即在使用前预先完成配置，后续所有网络数据的传输均统一采用相同的加密方式进行处理。后续，将对专用数据传输加密设备进行升级更新，定制灵活的加密策略模块，使其能够基于数据分类分级标签和五元组信息，动态选择不同的加密算法和密钥长度构建安全隧道，进而实现精细化控制的数据分类分级安全传输。

未来，我们还可以进一步推动与应用层数据加密技术的融合。具体而言，可在业务应用系统的信源端实施加密处理，从而更充分地利用企业数据分类分级所产出的成果信息。此外，整个方案的相关执行信息可汇入企业信息系统的网络安全态势感知等相关平台，以便能够对跨境数据传输活动进行安全审计和威胁监管。

三、结 语

跨境数据传输安全面临网络环境的复杂性、法律合规的多样性及安全威胁的动态性等核心挑战。方案通过构建高效可靠的高安全传输通道，不仅实现了数据分类分级精准防护，还通过多算法协同机制有效避免因单一加密设备或算法漏洞导致的数据破解风险，使跨境数据传输的安全性与传输效率得到同步提高。该体系在技术层面实现了《数据安全法》设立的分类分级保护制度与SD-WAN智能组网技术的深度融合，为中资企业全球化布局提供了可复用的安全范式。未来，随着专用加密设备策略模块优化、应用层信源加密技术的深度融合，以及网络安全态势感知平台的协同联动，跨境数据传输防护体系有望完成从“被动防御”到“智能免疫”的范式升级，为全球数字贸易筑牢信任根基。

（本文刊登于《中国信息安全》杂志2025年第5期）