光閘
單向隔離軟硬體的系統
光閘,英文簡稱FGAP,是一種由安全隔離網閘(GAP)基礎上發展而成、基於光的單向性的單向隔離軟硬體系統。
用於對安全性要求極高的網路的數據交換場景,如涉密網路與非涉密網路之間,行業內網與公共網路之間。
光閘
自2000年,我國產生了安全隔離網閘(GAP)(簡稱“網閘”)技術,它解決了電子政務興起帶來的政務內網和外網之間安全隔離、適度可控的數據交換的需求,網閘技術是基於雙向的,即通過配置,是允許高安全網路和低安全網路之間雙向數據交換的。
但在一些安全級別極高的網路,如涉密網路中,按照信息保密的技術要求,涉密網路不能與網際網路直接連通;涉密網路與非涉密網路連接時,若非涉密網路與網際網路物理隔離,則採用雙向網閘隔離涉密網路與非涉密網路;若非涉密網路與網際網路是邏輯隔離的,則採用單向網閘隔離涉密網路與非涉密網路,保證涉密數據不從高密級網路流向低密級網路。
光閘技術(FGAP)的產生即為滿足這一類單向隔離場景的需求。
系統組成
單向隔離光閘由三部分組成:內網單元、外網單元、分光單向傳輸單元。其中內網單元和內網相連,外網單元與外網相連,分光單向傳輸單元是內外網之間唯一且安全的數據傳輸通道。
內/外網單元安全功能
內網單元和外網單元所實現的安全功能是一致的,只是連接不同的網路,以內網單元為例,其包括內網介面單元與內網數據緩衝區。介面部分負責與內網的連接,並終止內網用戶的網路連接,對數據進行病毒檢測、防火牆、入侵防護等安全檢測后剝離出“純數據”,作好交換的準備,也完成來自內網對用戶身份的確認,確保數據的安全通道;數據緩衝區是存放並調度剝離后的數據,負責與隔離交換單元的數據交換。
分光單向傳輸單元工作原理
分光單向傳輸單元能夠實現從一個主機系統向另外一個主機系統單向傳輸數據主要依賴於以下兩點:
光傳輸的單向性,在光纖通道設備內,連接光纖的兩端分別為光發生器、光接收器,在光纖通道設備內不允許也不能實現光纖兩端都具有光發生器以及光接收器;光傳輸的可複製性,利用分光設備(如多稜鏡)可將一束光複製為兩束或更多束光線,利用這一特性,我們可將在一個系統內部傳輸的數據以光的方式複製一個副本供使用。
單向隔離技術
單向隔離技術的發展經過了三個階段:物理單向技術、電氣單向技術、光單向技術。
1、物理單向技術
早期的單向傳輸技術一般使用一次性光碟等技術實現,當需要從低密級網路向高密級網路傳輸數據時,首先在低密網路中將數據刻錄寫入到光碟碟片中,然後再在高密網路中使用只讀光碟機將數據讀取出來。此種方式可確保單向技術的絕對有效,但缺點也非常明顯:效率低下,每小時只能交換數GB的數據;延遲極大,以分鐘計算;可靠性差,由於需要人工操作,容易出現數據傳輸差錯;最後,這種技術帶來總體擁有成本高,且不環保。
2、電氣單向技術
隨著安全隔離網閘技術的出現和不斷發展,在安全隔離網閘內部專用隔離硬體雙向傳輸的基礎上通過修改電路,通過時鐘開關控制,實現數據的單向寫入和單向讀出,從而實現數據的單向傳遞。
由於使用了完全自動的計算機技術,基於電氣的單向技術效率比原來的物理單向技術大幅提升,可滿足多數場合的數據傳輸需求;延遲一般可控制在毫秒級;基於程序計算及傳輸,同時在傳輸的數據上加入差錯校驗,可提高數據傳輸的可靠性,並在數據傳輸出現錯誤時進行提示。
但基於電氣隔離的單向技術難以證明其單向的有效性,同時由程序控制的數據單向寫入、單向讀出理論上依然存在被人為篡改,從而導致單向隔離失效,產生災難性的後果。
3、光的單向技術
為彌補基於電氣的單向技術固有的不足之處,同時利用光的單向性,出現了使用光傳輸的單向技術。該技術利用光纖網卡的光發射、光接收為完全獨立的兩條光纖條件,將其中一條光纖截斷,從而實現物理光單向技術。
由於光傳輸只需考慮光強度,而不存在差錯,系統可靠性進一步提升;基於物理光的單向技術保證了極高的安全性。
單向隔離光閘即是基於光的單向技術的安全產品。
根據業務場景需求,單向隔離光閘一般支持資料庫傳輸、文件傳輸功能。
文件傳輸
文件傳輸主要有以下幾個功能點:
專用客戶端實現文件主動獲取
文件安全性檢查:IP地址、用戶認證信息、用戶許可權以及緩衝區空間大小等
高優先順序文件優先處理
資料庫傳輸
資料庫傳輸主要有以下幾個功能點:
基於文件傳輸功能實現
三種傳輸方式:全表複製、觸發同步、標記同步
光閘
高效率:光單向技術效率極高,使用普通多模光纖網卡即可達到千兆線速;延遲可控制在納秒級。
高可靠性:使用高可靠性硬體設計,數據傳輸模塊內置差錯校驗機制,數據差錯率小於1Bit/1Tbit
完善的業務功能:在單向文件傳輸基礎上實現了資料庫內容的單向同步,極大豐富單向光閘設備功能,具有更好的應用適應性。
高安全性:
1、採用多主機結構設計和單向硬體切斷TCP/IP協議通訊,形成網路間的單向隔離。
2、設備不接受任何未知來源的主動請求;應用層數據獲取後進行落地還原處理。
3、通過可進行擴展定義的內容檢查機製為白名單策略提供進一步的保障機制。