王永連 李樹虎 賀佃鵬

摘 要：基于安全考慮，物理隔離兩網(wǎng)之間數(shù)據(jù)通訊采用單向傳輸?shù)耐ㄓ嵎绞礁鼮榭煽?、安全。論文從技術(shù)和管理上設(shè)計(jì)了人工刻錄光盤這種單向傳輸方式的傳輸策略，在實(shí)際工作中具有更強(qiáng)的實(shí)用性。

關(guān)鍵詞：物理隔離；網(wǎng)間；單向傳輸；策略；網(wǎng)間傳輸管理員

中圖分類號(hào)：520.1060 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： Based on security consideration， the communication mode of one-way transmission between networks of physical isolation is more reliable and safe. This paper designs the transmission strategy of the one-way transmission mode from the technology and management， which is more practical in the practical work.

Key words： physical isolation between networks one-way transmission strategy Inter network transmission Manager

1 引言

物理隔離是指內(nèi)部網(wǎng)絡(luò)不得直接或間接地與公共網(wǎng)絡(luò)連接，以避免內(nèi)部網(wǎng)絡(luò)信息受到來(lái)自外部網(wǎng)絡(luò)黑客的攻擊，這樣就為內(nèi)部網(wǎng)絡(luò)劃定了明確的安全邊界，便于管理，可控性更強(qiáng)。目前，網(wǎng)絡(luò)物理隔離網(wǎng)間數(shù)據(jù)傳輸?shù)募夹g(shù)方案有五種。

（1）人工拷盤。目前，最簡(jiǎn)單、最安全的隔離網(wǎng)絡(luò)間數(shù)據(jù)交換方式，通過純手工在兩網(wǎng)間實(shí)現(xiàn)，效率低，不能實(shí)現(xiàn)數(shù)據(jù)的實(shí)時(shí)交換。兩個(gè)物理隔離的內(nèi)網(wǎng)與外網(wǎng)，將要交換的外網(wǎng)計(jì)算機(jī)上的數(shù)據(jù)刻錄到光盤，然后通過手工將該光盤放入內(nèi)網(wǎng)指定計(jì)算機(jī)中，并將數(shù)據(jù)復(fù)制導(dǎo)出。

（2）安全隔離網(wǎng)閘。網(wǎng)閘由外端機(jī)、內(nèi)端機(jī)、交換控制模塊組成，外端機(jī)和內(nèi)端機(jī)兩者之間完全隔離，外端機(jī)連接外網(wǎng)，內(nèi)端機(jī)連接內(nèi)網(wǎng)，控制軟件大都采用非通用操作系統(tǒng)或改造的專用操作系統(tǒng)，主要實(shí)現(xiàn)不同安全級(jí)別網(wǎng)絡(luò)之間的適度可控的數(shù)據(jù)交換。

（3）光盤擺渡。利用機(jī)械臂模擬手工拷盤的方式進(jìn)行數(shù)據(jù)傳輸，外網(wǎng)上需要傳遞的數(shù)據(jù)刻錄光盤后，通過機(jī)械臂將該光盤移置內(nèi)網(wǎng)中，實(shí)現(xiàn)外網(wǎng)向內(nèi)網(wǎng)的數(shù)據(jù)傳遞。由外網(wǎng)服務(wù)器端、外網(wǎng)客戶端、光盤擺渡機(jī)、內(nèi)網(wǎng)服務(wù)器端、內(nèi)網(wǎng)客戶端和軟件系統(tǒng)組成。

（4）影像擺渡。利用攝像頭捕捉顯示屏上的信息進(jìn)行數(shù)據(jù)傳輸，由發(fā)送端和接收端兩個(gè)部分組成，兩部分之間完全隔離，發(fā)送端由編碼端和一塊液晶屏組成，接收端由解碼端和一個(gè)高清攝像頭組成，接收端攝像頭自動(dòng)捕捉發(fā)送端顯示屏上的二維碼或其它自定義碼，然后再解碼還原，實(shí)現(xiàn)數(shù)據(jù)的單向傳輸。

（5）光纖單向?qū)??；诠獾膯蜗騻鬏斕卣鳂?gòu)建一條單向的傳輸通道實(shí)現(xiàn)網(wǎng)間的數(shù)據(jù)傳輸，由置于內(nèi)網(wǎng)的內(nèi)端機(jī)、置于外網(wǎng)的外端機(jī)、光電轉(zhuǎn)換器、發(fā)送器和接收器組成。外端機(jī)上裝有單向光纖發(fā)送器，僅有數(shù)據(jù)發(fā)送功能，內(nèi)端機(jī)上裝有單向光纖接收器，僅有數(shù)據(jù)接收功能，實(shí)現(xiàn)單向的數(shù)據(jù)傳輸。

（2）、（3）、（4）、（5）雖已實(shí)現(xiàn)安全隔離，但內(nèi)外之間都部分共用了硬件設(shè)備或網(wǎng)絡(luò)設(shè)備及線路，違反了物理隔離的要求，雖然這些產(chǎn)品可提供多種安全防范措施以實(shí)現(xiàn)網(wǎng)間數(shù)據(jù)交換，但防范總是被動(dòng)的，仍有待改進(jìn)與完善。

本文設(shè)計(jì)的網(wǎng)間單向數(shù)據(jù)傳輸策略是基于手工拷盤方式，兼顧技術(shù)和管理需要，同時(shí)根據(jù)各種應(yīng)用和業(yè)務(wù)的處理類型來(lái)制定相應(yīng)的傳輸策略。

2 傳輸策略設(shè)計(jì)

2.1 設(shè)置網(wǎng)間傳輸管理員

網(wǎng)絡(luò)系統(tǒng)的運(yùn)維有網(wǎng)絡(luò)系統(tǒng)管理員，網(wǎng)絡(luò)安全的管理有安全管理員和安全審計(jì)員，應(yīng)用系統(tǒng)的運(yùn)維有應(yīng)用系統(tǒng)管理員。建議網(wǎng)間單向傳輸系統(tǒng)的運(yùn)維設(shè)置網(wǎng)間傳輸管理員，該管理員需要一定的知識(shí)及培訓(xùn)才能對(duì)傳輸系統(tǒng)進(jìn)行有效、安全地管理。

網(wǎng)間傳輸管理員專職或由其他系統(tǒng)管理員兼職都可，也可安排另一人作為B角，組成AB角色，以防止A角不在或其他情況對(duì)網(wǎng)間單向傳輸系統(tǒng)進(jìn)行負(fù)責(zé)與管理。

2.1.1 網(wǎng)間傳輸管理員的職責(zé)

協(xié)助網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)系統(tǒng)管理員、系統(tǒng)應(yīng)用管理員及網(wǎng)站管理員等使用網(wǎng)間單向傳輸系統(tǒng)。

2.1.2 網(wǎng)間傳輸管理員的角色

網(wǎng)間單向數(shù)據(jù)傳輸策略的制定與更改都是由網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)系統(tǒng)管理員、系統(tǒng)應(yīng)用管理員及網(wǎng)站管理員按規(guī)則共同決定的，而網(wǎng)間傳輸管理員只是負(fù)責(zé)協(xié)助他們使用網(wǎng)間單向數(shù)據(jù)傳輸系統(tǒng)。各個(gè)管理員決定哪些數(shù)據(jù)、什么時(shí)候、是使用全網(wǎng)間單向傳輸或增量網(wǎng)間單向傳輸以及網(wǎng)間單向傳輸?shù)谋４嫫谙薜取?/p>

2.2 傳輸任務(wù)劃分

按業(yè)務(wù)系統(tǒng)劃分，確定各系統(tǒng)的網(wǎng)間單向傳輸數(shù)據(jù)量，并為每個(gè)網(wǎng)間單向傳輸任務(wù)制定專用的網(wǎng)間單向傳輸計(jì)劃。為每一個(gè)計(jì)劃設(shè)置一個(gè)計(jì)劃ID，為每一個(gè)任務(wù)也設(shè)置一個(gè)任務(wù)ID。當(dāng)有一個(gè)任務(wù)進(jìn)行網(wǎng)間單向傳輸時(shí)，外網(wǎng)端會(huì)將網(wǎng)間單向傳輸?shù)奈募M(jìn)行打包，生成一個(gè)任務(wù)ID并寫入一個(gè)配置文件，數(shù)據(jù)到達(dá)內(nèi)網(wǎng)后，內(nèi)網(wǎng)端檢查任務(wù)ID和配置文件來(lái)計(jì)算出該任務(wù)的相應(yīng)附屬信息，以保證每一次網(wǎng)間單向傳輸任務(wù)都有據(jù)可查，有章可循，出現(xiàn)問題時(shí)能及時(shí)定位問題所發(fā)生的區(qū)域和原因。

2.3 用戶身份認(rèn)證，任務(wù)ID綁定

只有通過審批的用戶才能獲取到網(wǎng)間單向傳輸過來(lái)的數(shù)據(jù)，并支持任務(wù)與身份的綁定，當(dāng)數(shù)據(jù)到達(dá)內(nèi)網(wǎng)后，內(nèi)網(wǎng)服務(wù)器根據(jù)任務(wù)ID的不同將數(shù)據(jù)分發(fā)給指定的用戶，因此身份信息決定了所能獲取到的數(shù)據(jù)。任務(wù)與用戶身份的綁定由系統(tǒng)管理員進(jìn)行配置，用戶就是接收數(shù)據(jù)的內(nèi)網(wǎng)用戶，可分為單一用戶和批量用戶。

2.4 傳輸協(xié)議

主要指?jìng)鬏敂?shù)據(jù)的壓縮與解壓縮，可以根據(jù)需要采用自定義壓縮/解壓縮、通用壓縮/解壓縮、不壓縮等方式，其中自定義方式安全性更高。

2.5 傳輸文件大小控制

根據(jù)各業(yè)務(wù)系統(tǒng)、用戶身份及安全保密要求，對(duì)傳輸?shù)奈募笮∵M(jìn)行控制，如分為最大10M、100M、1G、不限等，當(dāng)超過規(guī)定大小時(shí)要進(jìn)行嚴(yán)格的審批等。

2.6 傳輸時(shí)間控制

在選擇傳輸時(shí)間時(shí)，可將多個(gè)傳輸任務(wù)設(shè)置在同一時(shí)段內(nèi)，這樣可以提高傳輸效率，減少對(duì)光盤的浪費(fèi)。根據(jù)各業(yè)務(wù)系統(tǒng)對(duì)傳輸?shù)男枨?，以及?nèi)部網(wǎng)絡(luò)對(duì)數(shù)據(jù)時(shí)間的要求，可以為每個(gè)傳輸計(jì)劃制定傳輸時(shí)段。建議兩點(diǎn)。

（1）實(shí)時(shí)性要求比較高的數(shù)據(jù)，如協(xié)同辦公中的新聞、消息等數(shù)據(jù)，為降低數(shù)據(jù)對(duì)業(yè)務(wù)系統(tǒng)運(yùn)行的影響，可采用2～3次/天傳輸一次的策略，如每天上班8：30～9：00、中午11：30～12：30、下午4：30～5：00進(jìn)行。

（2）實(shí)時(shí)性要求不高的數(shù)據(jù)，如一些業(yè)務(wù)數(shù)據(jù)等，可采用平均每天傳輸一次的策略，建議每天傳輸?shù)臅r(shí)段可以和實(shí)時(shí)性要求高的傳輸任務(wù)設(shè)置在同一個(gè)時(shí)段進(jìn)行，如中午11：30～12：30。

2.7 過濾控制

增加文件過濾，對(duì)于一些單一類型的數(shù)據(jù)，可減少外部安全風(fēng)險(xiǎn)，確保從外網(wǎng)進(jìn)入到內(nèi)網(wǎng)的數(shù)據(jù)安全可靠。可設(shè)置的過濾參數(shù)。

（1）文件類型過濾，對(duì)于一些類型的文件禁止傳輸，如*.exe文件，多個(gè)文件類型可使用分隔符，如英文逗號(hào)或空格符等。

（2）文件名中關(guān)鍵字過濾，傳輸文件名中有特殊的關(guān)鍵字禁止此文件傳輸，如“*秘密*.docx”。

（3）文件內(nèi)容過濾，文件內(nèi)容中含有敏感關(guān)鍵字禁止傳輸，對(duì)傳輸?shù)奈募O(shè)置敏感詞檢查，涉及到該內(nèi)容的文件禁止傳輸。

2.8 數(shù)據(jù)保存期限

設(shè)定傳輸數(shù)據(jù)在內(nèi)外網(wǎng)中指定存儲(chǔ)區(qū)的保存期限，其長(zhǎng)短由系統(tǒng)業(yè)務(wù)及密級(jí)決定，便于今后的安全審計(jì)。

2.9 病毒木馬掃描

對(duì)要傳輸?shù)臄?shù)據(jù)是否啟用病毒木馬掃描。

2.10 光盤盤片管理

（1）使用過的光盤不再使用，保證每次使用都是新的空白刻錄光盤。

（2）每次使用的光盤都進(jìn)行登記造冊(cè)。

2.11 調(diào)度策略統(tǒng)一規(guī)劃

在確定以上內(nèi)容后，對(duì)普通傳輸任務(wù)的調(diào)度策略進(jìn)行統(tǒng)一規(guī)劃，盡量采用大小數(shù)據(jù)量相匹配，重要業(yè)務(wù)與普通業(yè)務(wù)相匹配的方式，在同一時(shí)間段內(nèi)進(jìn)行，以確保重要業(yè)務(wù)的數(shù)據(jù)網(wǎng)間單向傳輸。

2.12 傳輸策略的修改

一些硬件、軟件及應(yīng)用需求的改變都需要對(duì)傳輸策略進(jìn)行修改。這時(shí)，網(wǎng)間單向傳輸管理員要會(huì)同各個(gè)管理員按相應(yīng)的程序進(jìn)行，而不是由網(wǎng)間單向傳輸管理員自行決定修改。

首先由網(wǎng)絡(luò)安全管理員、網(wǎng)絡(luò)系統(tǒng)管理員、系統(tǒng)應(yīng)用管理員及網(wǎng)站管理員提出需求，將需要改變的內(nèi)容以書面方式提交給網(wǎng)間傳輸管理員。

網(wǎng)間傳輸管理員收到修改需求后，確定修改內(nèi)容的合理性以及是否對(duì)其它網(wǎng)間單向傳輸造成影響。如果確認(rèn)可以修改，再對(duì)網(wǎng)間單向傳輸系統(tǒng)進(jìn)行修改，并將修改的內(nèi)容以書面方式登記備查。更改后，再對(duì)網(wǎng)間單向傳輸部分進(jìn)行相應(yīng)的測(cè)試。

3 結(jié)束語(yǔ)

采用本文設(shè)計(jì)的物理隔離網(wǎng)間單向數(shù)據(jù)傳輸策略編制的內(nèi)網(wǎng)端控制軟件和外網(wǎng)端控制軟件，在使用時(shí)可使數(shù)據(jù)的傳輸在技術(shù)和管理上更加安全可靠。

參考文獻(xiàn)

[1] 史萌，丁阿丹.物理隔離的網(wǎng)間“擺渡”技術(shù)應(yīng)用研究[J].通信技術(shù)，2013，46（06）：114-116.

[2] 周建寧，季君，彭璇，方艾芬.公安內(nèi)外網(wǎng)數(shù)據(jù)交換平臺(tái)的設(shè)計(jì)研究[J].智能交通， 2017，47（02）：73-77.

[3] 張欣琦.單向光閘原理及功能淺析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016（5）：99-100.