計算機網絡的開放性產生了許多安全問題,網絡攻擊、信息泄漏、網上犯罪層出不窮,而采用以防火墻、網閘為核心的網絡邊界防御體系只能滿足信息化建設的一般性安全需求,卻難以解決涉密信息系統等重要網絡的保護問題。對于涉密網絡的保護,我國歷來采用物理斷開的方法,國家保密局在《計算機信息系統國際聯網保密管理規定》中將涉密信息系統的安全防御要求定格為與任何非涉密信息系統必須“物理斷開”。按照國家保密局的要求,如果涉密網需要與國際互聯網交換數據,只能采用手工拷貝的方式,除此之外,沒有其他可行的辦法。
但許多政府部門所需的基礎數據往往來自互聯網。同時為了滿足向服務型政府轉型的要求,各級政府部門也必須加強對外服務的力度,需要為社會公眾提供信息查詢、在線審批、請求服務等新型應用。形勢要求在保證安全的前提下,積極探索解決涉密網與互聯網數據傳輸問題的方案。
為了解決上述問題,需要建設跨網絡、跨安全域的數據集成交換平臺,將安全保障與數據交換功能有機整合在一起,保障用戶在安全的前提下,解決涉密網絡與非涉密網絡之間的互聯問題。
需求分析
1.從互聯網采集信息或發布信息至互聯網的用戶
有很多用戶需要從互聯網上采集信息或將本單位內部的信息發布在互聯網上供其他單位或社會公眾獲知。為了保護自身網絡和應用系統的安全,保證不發生信息泄露安全事件,因此需要采用單向數據傳輸設備。
2.非涉密網向涉密網單向傳輸的用戶
根據國家保密局的規定,非涉密網與涉密網進行數據交換時,絕對禁止高等級網絡的涉密數據流向低等級網絡。因此,非涉密網與涉密網數據交換只能采用單向傳輸方式。
3.保障傳輸數據的機密性、完整性、不可抵賴性
在實現單向數據傳輸的基礎上,還需要符合機密性、完整性、可用性、可審查等安全要求,安全數據交換平臺通過加密、簽名、過濾、審計等安全功能更好地保證用戶數據傳輸的安全:
1)機密性要求,采用加密算法對傳輸的數據進行加解密。
2)完整性要求,采用數字簽名保證所傳輸數據不被篡改和破壞。
3)可用性要求,通過格式檢查、內容過濾機制,保證所傳輸數據可用。
4)可審查性要求,通過審計能夠滿足交換行為的可審查。
總體框架設計
安全數據交換平臺整體框架如圖1所示。
圖1 安全數據交換平臺整體框架
安全數據交換平臺是采用分光鏡像技術實現的用于單向數據傳輸的隔離設備,主要用來解決政府部門網絡與外部公共網絡之間存在的單向數據傳輸需求。它采用分光鏡像的原理,通過分光器將源主機上的數據鏡像到目標主機上,最終實現數據的單向傳輸。
安全數據交換平臺的安全設備主要由單向網閘和數字簽名服務器兩部分組成:單向光閘是一種基于分光技術的數據還原裝置,它由兩臺計算機、一個分光器等部分組成,采用分光鏡像的原理,通過分光器將源主機上的數據鏡像到目標主機上,最終實現數據的單向傳輸。單向光閘有別于傳統單向網閘,它在邏輯上由3臺主機構成,即處于外網端的源主機上存在兩個不同的光卡邏輯上分離成發送主機和接收主機,光信號由發送主機發送至分光器,而接收主機通過分光器接收一路光信號并還原成數據。
數字簽名服務器為單向光閘系統提供數字簽名、數據加密功能等安全支撐服務,保證數據傳輸過程中機密性、完整性及不可抵賴性。
詳細設計
1.單向光閘系統
單向光閘是一種基于分光技術的數據還原裝置,它由兩臺計算機、一個分光器等部分組成,采用分光鏡像的原理,通過分光器將源主機上的數據鏡像到目標主機上,最終實現數據的單向傳輸。
如圖2所示,單向光閘由源主機、目標主機和分光器構成。分光器是組建光通道網絡的一個組件,是一個連接光纜終端設備(OLT)和光接收節點(ONU)的無源設備,它的功能是分發下行數據。分光器帶有一個上行光接口和若干個下行光接口,從上行光接口過來的光信號被分配到所有的下行光接口傳輸出去。
圖2 分光數據還原系統原理
單向光閘的源主機安裝在外部網絡中,目標主機安裝在內部網絡中。源主機上有兩個光通道網卡,目標主機上有一個光通道網卡;分光器的輸入端和源主機的一個光卡(稱為發送光卡)的輸出端用一條單向光纖連接,使光信號可以從發送網卡的發送端發射到分光器的輸入端。
源主機的另一個網卡(稱為接收光卡)的輸入端和分光器的一個分光輸出端連接,接收光卡的輸出端與發送光卡的輸入端相連接。分光器的另一個輸出和目標主機上的光通道網卡(稱為目標光卡)的輸入端一一相連。
源主機上運行兩個進程:發送進程和接收進程。發送進程通過發送光卡發送數據包,這些數據包被發送光卡轉換成光信號,從發送光卡的輸出端發出。而這一光信號被分光器分成2束與接收到的光信號相同的光信號,其中一束光信號被源主機的接收光卡接收;另外一束光信號被目標主機的目標光卡接收。
發送進程將組裝好的數據塊通過發送光卡的輸出端發送,并檢查來自接收進程的重發請求。如果沒有重發請求,則按照上述方法繼續發送下一個數據塊;如果收到重發請求,則重發這一塊數據塊,發送完重發的數據塊后再繼續發送待發送的其他數據塊。在目標主機上安裝有光通道網卡,其接受端與分光器的輸出端連接,從而可以收到來自分光器的光信號。這些光信號來自分光器輸入的光信號的分光,所以其內容與源主機上發送光卡的輸出端發送的內容是一致的。目標主機上的目標接收進程將光通道網卡上接收到的光信號還原為數據塊,并組裝成與源端一致的數據庫記錄或數據文件。
主要功能
單向光閘主要實現數據的單向導人或導出,根據導入導出的數據不同,主要有3種應用功能:靜態文件的單向導人、數據庫的單向導人、數據恢復。
(1)文件單向導入導出
靜態文件通常是指在物理存儲介質(如硬盤、光盤、優盤、軟盤等)中創建及使用的文件。這些文件通過FTP、Windows映射等方式可以作為單向光閘導入導出的文件。靜態文件單向導入的典型部署場景如圖3所示。
圖3 靜態文件單向導入的典型部署
通過單向光閘能實現以下文件單向傳輸:基于FTP服務的靜態文件單向導人導出;基于Windows映射的單向導人導出;文本型數據庫文件(如mdb、dbf文件)的單向導入導出。
京公網安備 11010502049343號