文云峰 鐘華超 余舟川 郝延彪

（91001部隊(duì) 北京 100841）

1 引言

近年來(lái)，隨著信息跨域共享技術(shù)的發(fā)展，地方政府廣泛運(yùn)用網(wǎng)絡(luò)隔離與交換技術(shù)，充分整合互聯(lián)網(wǎng)開(kāi)源數(shù)據(jù)、行業(yè)數(shù)據(jù)和內(nèi)部涉密數(shù)據(jù)等，為海上信息跨域安全交換提供了很好的借鑒。但在軍隊(duì)涉密領(lǐng)域，數(shù)據(jù)仍為單向輸入為主，很少考慮雙向共享設(shè)計(jì)，無(wú)法與地方系統(tǒng)形成互通共享。

在海域態(tài)勢(shì)感知領(lǐng)域，相關(guān)涉海機(jī)構(gòu)和單位在涉?；顒?dòng)中獲取了大量海上目標(biāo)信息，但多處于自成體系、獨(dú)立運(yùn)行狀態(tài)，對(duì)本系統(tǒng)本領(lǐng)域支撐不足。特別是海上目標(biāo)具有數(shù)量多、分布廣、識(shí)別難的特點(diǎn)，依托單一手段無(wú)法滿足海上全域監(jiān)控、精準(zhǔn)識(shí)別的現(xiàn)實(shí)需求，急需打破信息壁壘，改變封閉機(jī)制，打通海上目標(biāo)信息融合共享鏈路，充分整合利用好涉海信息資源。研究跨域信息安全交換方案，實(shí)現(xiàn)海上信息在不同安全域系統(tǒng)之間可享、可控、可管，是實(shí)施海上信息資源融合共享的關(guān)鍵支撐［1～5］。

2 現(xiàn)有網(wǎng)絡(luò)隔離與交換主要技術(shù)及驗(yàn)證

2.1 隔離網(wǎng)閘

使用專有數(shù)據(jù)傳輸協(xié)議代替通用的TCP∕IP協(xié)議，采用外網(wǎng)單元、安全隔離交換單元和內(nèi)網(wǎng)單元的架構(gòu)，將外網(wǎng)信息以非IP形式隔離擺渡到內(nèi)網(wǎng)。該技術(shù)在軍內(nèi)運(yùn)用較多，通過(guò)驗(yàn)證，可作為實(shí)時(shí)海上目標(biāo)數(shù)據(jù)低密網(wǎng)接入高密網(wǎng)的重要渠道之一，但傳輸效率受制于協(xié)議轉(zhuǎn)換，在用設(shè)備數(shù)據(jù)吞吐量最大為50Mbps，且該設(shè)備屬于邏輯隔離傳輸設(shè)備，不能用于互聯(lián)網(wǎng)直接接入軍隊(duì)網(wǎng)絡(luò)。

2.2 光盤(pán)擺渡

通常采用機(jī)電一體化、軟硬結(jié)合的技術(shù)，實(shí)現(xiàn)不同網(wǎng)段隔離下的數(shù)據(jù)單向傳輸。單次擺渡數(shù)據(jù)量由采用光盤(pán)類型決定，如：DVD單次擺渡數(shù)據(jù)量可達(dá)4GB，藍(lán)光光盤(pán)按照規(guī)格不同可達(dá)25GB、50GB甚至100GB。通過(guò)技術(shù)驗(yàn)證，能保證數(shù)據(jù)單向傳輸?shù)陌踩?，適用于保密要求高、傳輸數(shù)據(jù)量大，但擺渡頻率不高的場(chǎng)景，如時(shí)敏性較低的海量海上目標(biāo)歷史數(shù)據(jù)、氣象水文數(shù)據(jù)的定時(shí)導(dǎo)入，但由于單次擺渡數(shù)據(jù)量大，擺渡間隔時(shí)間長(zhǎng)，單次擺渡最短需要10min左右時(shí)間，不適合實(shí)時(shí)性高的海上信息數(shù)據(jù)跨網(wǎng)接入。

2.3 影像擺渡

通常采用二維碼編碼技術(shù)，主機(jī)將數(shù)據(jù)進(jìn)行二維碼編碼后，在顯示屏上顯示，高清攝相機(jī)采集二維碼，由系統(tǒng)解碼后導(dǎo)入數(shù)據(jù)。通過(guò)技術(shù)驗(yàn)證，多通道二維碼圖像可以并發(fā)擺渡，8通道可達(dá)到1Mbps的系統(tǒng)吞吐量，數(shù)據(jù)交換時(shí)延約1s，但單一通道生成的二維碼圖像所攜帶數(shù)據(jù)信息有限，適用于安全保密要求高、實(shí)時(shí)性要求高、傳輸頻次的高場(chǎng)景，如互聯(lián)網(wǎng)文字類開(kāi)源信息數(shù)據(jù)，不適合實(shí)時(shí)海量海上信息數(shù)據(jù)的跨網(wǎng)接入。

2.4 單向光閘

通過(guò)結(jié)合網(wǎng)閘技術(shù)和光傳輸技術(shù)的信息安全隔離技術(shù)，發(fā)送端、接收端各配有發(fā)光、感光組件及兩套獨(dú)立數(shù)據(jù)處理系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)單向傳輸。通過(guò)技術(shù)驗(yàn)證，單向光閘實(shí)時(shí)性強(qiáng)，系統(tǒng)吞吐量可達(dá)800Mbps，但內(nèi)部發(fā)送端與接收端具有線纜連接，一般定義為邏輯隔離傳輸設(shè)備，不能用于互聯(lián)網(wǎng)直接接入軍內(nèi)密網(wǎng)，但可作為低密網(wǎng)向高密網(wǎng)實(shí)時(shí)海量海上信息數(shù)據(jù)的跨網(wǎng)接入渠道。

3 海上目標(biāo)信息跨域共享網(wǎng)絡(luò)隔離與安全交換的實(shí)現(xiàn)

3.1 系統(tǒng)架構(gòu)設(shè)計(jì)

通過(guò)在軍隊(duì)網(wǎng)絡(luò)與相關(guān)機(jī)構(gòu)專網(wǎng)間再搭建一個(gè)海上目標(biāo)信息跨域共享網(wǎng)絡(luò)，構(gòu)建跨網(wǎng)跨域數(shù)據(jù)安全可控交換系統(tǒng)，實(shí)現(xiàn)基礎(chǔ)網(wǎng)絡(luò)安全保密、計(jì)算環(huán)境安全保密、應(yīng)用與數(shù)據(jù)安全保密等功能［6～11］，同時(shí)滿足海上維權(quán)、聯(lián)合搜救等各類應(yīng)用場(chǎng)景下的信息安全共享，總體架構(gòu)如圖1所示。

圖1 跨域共享安全架構(gòu)示意圖

物理層：安全保密功能的實(shí)現(xiàn)載體。通過(guò)安全保密功能部件，提供安全保密能力。

功能層：由物理層綜合形成的安全保密功能虛擬邏輯形態(tài)，是形成安全保密應(yīng)用服務(wù)的通用支撐。包括存儲(chǔ)加密、數(shù)字簽名、身份認(rèn)證、行為審計(jì)追蹤、軟件簽名驗(yàn)證、訪問(wèn)控制、準(zhǔn)入控制、惡意代碼防范、入侵偵測(cè)、監(jiān)測(cè)預(yù)警、虛擬機(jī)防護(hù)和攻防驗(yàn)證等功能。

應(yīng)用層：安全保密功能的應(yīng)用形態(tài)，是針對(duì)特定場(chǎng)景環(huán)境的功能選擇組合形式，根據(jù)通信網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用系統(tǒng)的特點(diǎn)，構(gòu)建共用基礎(chǔ)設(shè)施、共享服務(wù)環(huán)境安全保密系統(tǒng)和信息應(yīng)用系統(tǒng)安全保密系統(tǒng)等具體應(yīng)用。

在高密網(wǎng)與跨域共享網(wǎng)絡(luò)之間部署安全訪問(wèn)平臺(tái)，實(shí)現(xiàn)安全受控的數(shù)據(jù)交換功能。網(wǎng)間信息交換系統(tǒng)同時(shí)支持軍隊(duì)網(wǎng)絡(luò)、涉海機(jī)構(gòu)專網(wǎng)等涉密網(wǎng)絡(luò)之間的安全受控?cái)?shù)據(jù)交換?；ヂ?lián)網(wǎng)等公共網(wǎng)絡(luò)通過(guò)單向傳輸系統(tǒng)向海上目標(biāo)信息跨域共享網(wǎng)絡(luò)引接相應(yīng)的數(shù)據(jù)［12～13］。

3.2 分級(jí)實(shí)施信息管控

共享平臺(tái)具備對(duì)相關(guān)涉海系統(tǒng)專線接入的信息資源綜合管理、展示和交換的能力。按角色設(shè)置用戶權(quán)限，實(shí)現(xiàn)基于用戶權(quán)限和用戶需要，集成展現(xiàn)各類信息資源和專業(yè)信息應(yīng)用的能力。針對(duì)需要嚴(yán)格控制用戶范圍的在線信息資源，提供涉海信息資源按需申請(qǐng)服務(wù)，通過(guò)在線申請(qǐng)、審核、批準(zhǔn)等流程實(shí)現(xiàn)信息資源的共享。提供以任務(wù)、事件等背景的產(chǎn)品數(shù)據(jù)，經(jīng)信息組織處理后通過(guò)數(shù)據(jù)交換模型，提供特定用戶［14～17］。

3.3 安全訪問(wèn)平臺(tái)管控

建設(shè)統(tǒng)一的安全訪問(wèn)平臺(tái)?；趹?yīng)用與數(shù)據(jù)分離的原則，在業(yè)務(wù)流程中嵌入身份認(rèn)證及權(quán)限控制，實(shí)現(xiàn)訪問(wèn)用戶的身份可信，確保業(yè)務(wù)僅對(duì)合法用戶可見(jiàn)；持續(xù)監(jiān)測(cè)評(píng)估終端等環(huán)境的安全狀態(tài)，結(jié)合業(yè)務(wù)場(chǎng)景和使用環(huán)境進(jìn)行精細(xì)化的動(dòng)態(tài)授權(quán)；保護(hù)數(shù)據(jù)安全訪問(wèn)，具備抵御網(wǎng)絡(luò)攻擊的能力；實(shí)現(xiàn)訪問(wèn)過(guò)程中用戶行為及網(wǎng)絡(luò)風(fēng)險(xiǎn)的全面發(fā)現(xiàn)與審計(jì)。

安全訪問(wèn)平臺(tái)是其他網(wǎng)絡(luò)與數(shù)據(jù)中心交換數(shù)據(jù)的統(tǒng)一通道，通過(guò)該平臺(tái)實(shí)現(xiàn)軍隊(duì)網(wǎng)絡(luò)與涉海機(jī)構(gòu)專網(wǎng)、互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)之間的數(shù)據(jù)安全交換。其中，數(shù)據(jù)交換安全服務(wù)具備設(shè)備準(zhǔn)入控制、安全隔離與交換、訪問(wèn)控制、網(wǎng)絡(luò)安全防護(hù)、網(wǎng)絡(luò)流量檢測(cè)等安全能力［18～19］。

圖2 共享系統(tǒng)與涉海系統(tǒng)間的數(shù)據(jù)安全

圖3 安全訪問(wèn)平臺(tái)結(jié)構(gòu)圖

3.4 構(gòu)建安全防御體系

系統(tǒng)內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)可以劃分為網(wǎng)絡(luò)接入?yún)^(qū)、安全服務(wù)區(qū)、傳輸服務(wù)區(qū)、應(yīng)用服務(wù)區(qū)和用戶作業(yè)區(qū)等。網(wǎng)絡(luò)接入?yún)^(qū)主要解決網(wǎng)絡(luò)安全接入問(wèn)題，對(duì)于源于外部信源的信息，經(jīng)過(guò)安全訪問(wèn)平臺(tái)接入中心系統(tǒng)。安全服務(wù)區(qū)由網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、漏洞掃描系統(tǒng)、安全配置終端、主機(jī)監(jiān)控系統(tǒng)（防信息泄漏系統(tǒng)）和數(shù)據(jù)安全導(dǎo)入終端系統(tǒng)等組成。傳輸服務(wù)區(qū)通過(guò)傳輸交換機(jī)接入網(wǎng)絡(luò)接入?yún)^(qū)，由各種傳輸服務(wù)器組成，為系統(tǒng)提供各種傳輸服務(wù)。應(yīng)用服務(wù)區(qū)通過(guò)服務(wù)區(qū)交換機(jī)和防火墻連接在主交換機(jī)上，由各種業(yè)務(wù)服務(wù)器組成，為保證服務(wù)器運(yùn)行安全，應(yīng)為服務(wù)器配置網(wǎng)絡(luò)防病毒客戶端、主機(jī)監(jiān)控客戶端等安全防護(hù)客戶端設(shè)備。用戶作業(yè)區(qū)通過(guò)用戶交換機(jī)連接在主交換機(jī)上，由各種業(yè)務(wù)處理終端組成，為保證終端安全，應(yīng)為終端配置網(wǎng)絡(luò)防病毒客戶端、主機(jī)監(jiān)控客戶端等安全防護(hù)客戶端設(shè)備［20］。

安全保密設(shè)施另一部分針對(duì)向軍隊(duì)系統(tǒng)實(shí)施單向傳輸，采用在網(wǎng)際交換節(jié)點(diǎn)新增單向安全隔離設(shè)備，使其兼具信息輸入和信息防泄露的能力。

4 結(jié)語(yǔ)

海上信息跨域安全共享不僅僅是個(gè)單純技術(shù)問(wèn)題，需要從機(jī)制、技術(shù)、規(guī)則、管控等方面，建立起對(duì)海上目標(biāo)數(shù)據(jù)的區(qū)別對(duì)待、全程監(jiān)管和分級(jí)保護(hù)，實(shí)現(xiàn)高密級(jí)域、低密級(jí)域之間的雙向網(wǎng)絡(luò)連接?；诖?，本文研究了海上目標(biāo)信息跨域安全共享實(shí)現(xiàn)方案，滿足了不同安全等級(jí)海上信息實(shí)時(shí)共享需求，在未來(lái)體系建設(shè)中具有重要參考價(jià)值。