定义
编辑
用于对安全性要求极高的网络的数据交换场景,如
涉密网络与非涉密网络之间,行业内网与公共网络之间。
产生
编辑
自2000年,我国产生了
安全隔离网闸(GAP)(简称“
网闸”)技术,它解决了
电子政务兴起带来的政务内网和外网之间安全隔离、适度可控的数据交换的需求,网闸技术是基于双向的,即通过配置,是允许高
安全网络和低安全网络之间双向数据交换的。
但在一些安全级别极高的网络,如
涉密网络中,按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网
物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是
逻辑隔离的,则采用
单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低
密级网络。
光闸技术(FGAP)的产生即为满足这一类单向隔离场景的需求。
技术
编辑
系统组成
单向隔离光闸由三部分组成:内网单元、外网单元、分光单向传输单元。其中内网单元和内网相连,外网单元与外网相连,分光单向传输单元是内外网之间唯一且安全的数据传输通道。
内
/
外网单元安全功能
内网单元和外网单元所实现的安全功能是一致的,只是连接不同的网络,以内网单元为例,其包括内网接口单元与内网
数据缓冲区。接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、
防火墙、入侵防护等安全检测后剥离出“纯数据”,作好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调度剥离后的数据,负责与隔离交换单元的数据交换。
分光单向传输单元工作原理
分光单向传输单元能够实现从一个
主机系统向另外一个主机系统单向传输数据主要依赖于以下两点:
光传输的单向性,在
光纤通道设备内,连接光纤的两端分别为光发生器、光接收器,在光纤通道设备内不允许也不能实现光纤两端都具有光发生器以及光接收器;光传输的可复制性,利用分光设备(如多棱镜)可将一束光复制为两束或更多束光线,利用这一特性,我们可将在一个系统内部传输的数据以光的方式复制一个副本供使用。
单向隔离技术
单向隔离技术的发展经过了三个阶段:物理单向技术、电气单向技术、光单向技术。
1
、物理单向技术
早期的单向传输技术一般使用一次性光盘等技术实现,当需要从低
密级网络向高密级
网络传输数据时,首先在低密网络中将数据刻录写入到光盘
碟片中,然后再在高密网络中使用只读
光驱将数据读取出来。此种方式可确保单向技术的绝对有效,但缺点也非常明显:效率低下,每小时只能交换数GB的数据;延迟极大,以分钟计算;可靠性差,由于需要人工操作,容易出现数据传输差错;最后,这种技术带来总体拥有成本高,且不环保。
2
、电气单向技术
由于使用了完全自动的计算机技术,基于电气的单向技术效率比原来的物理单向技术大幅提升,可满足多数场合的数据传输需求;延迟一般可控制在
毫秒级;基于程序计算及传输,同时在传输的数据上加入
差错校验,可提高数据传输的可靠性,并在数据传输出现错误时进行提示。
3、
光的单向技术
由于光传输只需考虑光强度,而不存在差错,系统可靠性进一步提升;基于物理光的单向技术保证了极高的安全性。
单向隔离光闸即是基于光的单向技术的安全产品。
功能
编辑
根据业务场景需求,单向隔离光闸一般支持数据库传输、
文件传输功能。
文件传输
文件传输主要有以下几个功能点:
专用客户端实现文件主动获取
高
优先级文件优先处理
数据库传输
数据库传输主要有以下几个功能点:
基于文件传输功能实现
三种传输方式:全表复制、触发同步、标记同步
特点
编辑
高效率:光单向技术效率极高,使用普通
多模光纤网卡即可达到千兆线速;延迟可控制在纳秒级。
高可靠性:使用高可靠性硬件设计,数据传输模块内置差错校验机制,数据差错率小于1Bit/1Tbit
完善的业务功能:在单向文件传输基础上实现了数据库内容的单向同步,极大丰富单向光闸设备功能,具有更好的应用适应性。
高安全性:
3、通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制。
扫一扫
1361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
