“单向网闸”技术介绍-网络隔离的新型产品

一、信息安全的要求

按照信息保密的技术要求，涉密网络不能与互联网直接连通；涉密网络与非涉密网络连接时，若非涉密网络与互联网物理隔离，则采用双向网闸隔离涉密网络与非涉密网络；若非涉密网络与互联网是逻辑隔离的，则采用单向网闸隔离涉密网络与非涉密网络，保证涉密数据不从高密级网络流向低密级网络。

二、网闸的作用

网闸的隔离作用是基于定向地“摆渡”数据，网闸的原理是模拟人工的数据“拷贝”，不建立两个网络的“物理通路”，所以网闸的一般形式是把应用的数据“剥离”，摆渡到另外一方后，再通过正常的通讯方式送到目的地，因此从安全的角度，网闸摆渡的数据中格式信息越少越好，当然是没有任何格式的原始数据就更好了，因为没有格式信息的文本就没有办法隐藏其他的非数据的东西，减少了携带“病毒”的载体。

网闸是切断了上层业务的通讯协议，看到了原始的数据，为了达到“隔离”的效果，采用私有通讯协议，或采用存储协议，都是为了表明要彻底剥离所有的协议附加信息，让摆渡的数据是最“干净”的。但为了方便地“摆渡业务”，在网闸的两边建立了业务的代理服务器，从逻辑上把业务连通。

网闸虽然传递的是实际的数据，但代理协议建议后，每次摆渡的可能不再是一个完整数据内容，为安全检查带来的困难，攻击者可以把一个“蠕虫”分成若干的片段分别传递，甚至小到单个的命令，不恢复原状就很难知道它是什么；若传递“可执行代码”的二进制文件，网闸就很难区分数据与攻击。

网闸对陌生的业务是采用关闭策略，只开通自己认为需要的、可控的业务服务，所以网闸在不同密级网络之间的隔离作用还是有一定效果的。

在涉密信息的保密要求中，要求高密级网络中的高密级数据不能流向低密级网络，但低密级数据可以流向高密级网络(数据机密性要求)，这就提出了数据的单向流动的要求，若我们只保留单向的数据流，就可以实现数据保密性要求，这种情况下产生了单向网闸的需求。

三、单向网闸

单向网闸就是只允许单向的数据流动，具体的实现技术有下面几种：

1、数据泵技术(Data Pump)：1993年为实现低级向高级数据库的可靠数据拷贝，由Myong H.Kang等提出Pump技术，称为“安全存储转发技术”。其方法是通过反向的确认来限制由内向外的数据传输，实现从外向内的单向数据流。

数据泵技术是在基于通讯的基础上，只允许单方向地传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。因此，数据泵技术实现起来相对简单，可以采用目前成熟的通讯协议。

数据泵技术中虽然数据是单方向的，但协议控制星系是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。

2、数据二极管技术(Data Diode)：若连反向的控制协议也取消，采用“盲发”的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。

数据二极管技术中的关键技术：

由于是单向的“盲发”，没有交互的控制协议，数据的容错控制就是一个大问题，因为发送方不知道对方收到没有，接收方也不清楚收到的数据是否是对的，知道错了，也没有办法让发送方重新发送，所以一般采用一些策略控制可能的出错：

1、收方及时向“上层”汇报：

接收方接收到数据，按事先约定的格式恢复数据，若发现不能恢复，或部分数据有错误，都直接报告给上层，也就是数据的接收人，让人通过其他方式通知发送方重新发送。

2、发送方增加冗余校验

发送方为了保证数据的正确，在降低效率的前提下，增加数据的冗余度：

n 定间隔地把一份数据重复地再发送两次，接收方比较收到的三个副本，取其两个是相同的。“三取二”是重要系统中常用的控制方式，还可以采用五取三等方式。

n 在数据中增加块校验码。如CRC校验等。

n 直接重复数据，如发送1234时，改为11223344，减少出错的概率。

3、为了经常检测系统的准确性，定期插入固定检测码，若接收方发现检测码序列异常，则立即报警，或放弃该检测码之前的区间内收到的数据。

四、单向网闸产品发展与应用

数据二极管技术的产品化，国外已经趋于成熟，比较出名的有美国Owl公司，荷兰Fox-IT公司，澳大利亚Tenix公司，美国HP公司。国内的单向网闸产品还处于起步阶段，有产品推出的有中铁信安公司与国保金泰公司。

单向网闸可以定向传递数据，在目前很多的政府内、外网之间传递数据是很有用途的。

n 文件传递：由于政府内网的涉密网络，与外网(与互联网连通)是“物理隔离”的，但是外网上的很多政务文件，希望在内网中使用，靠人工拷贝的方式工作量很大，采用单向网闸可以把外网的文件传送到内网，由符合数据保密性的要求。

n 信息收集：外网与互联网连通，是政府对外的服务窗口，并且互联网本身就是个信息宝库，但大量的信息不能及时地传递到内网的有关系统上，对信息的汇总与统计带来困难。若在外网上建立一个服务器，收集互联网的相关信息，通过单向网闸送给内网，就可以保证信息的及时性了。

n 邮件转发：政府人员经常要查收内、外网两个邮箱，非常不方便。在外网建立一个邮件的代理服务器，把接收到的邮件及时转给内网的邮件服务器，工作人员就不必到外网去收邮件了。

由于单向网闸没有反向的数据通道，所以对抑制黑客的入侵有一定的效果，黑客攻击必然是要取得相关的信息，若通信是单向的，就掐断了黑客的控制方式，没有“利益”，攻击就没有意义了。

本文转自 zhaisj 51CTO博客，原文链接：http://blog.51cto.com/zhaisj/65597，如需转载请自行联系原作者

“单向网闸”技术介绍-网络隔离的新型产品相关推荐

“单向网闸”技术介绍
"单向网闸"技术介绍 Jack zhai 一.信息安全的要求按照信息保密的技术要求,涉密网络不能与互联网直接连通:涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用 ...
关于网络隔离技术与网闸的理解
一.网络隔离的概念两个或两个以上的计算机或网络,不相连,不相通,相互断开,同时在需要的时候能够做到两者间的信息交换. 概念来源:人工烤盘.轮渡.Sneakernet 二.常见的网络攻击类型 1.入侵 ...
计算机网闸合同,网闸三大主流技术 -电脑资料
网闸三大主流技术! 目前国际上网络隔离的断开技术有两大类:一是动态断开技术,如基于SCSI的开关技术和基于内存总线的开关技术, screen.width-333)this.width=screen.w ...
计算机网络安全隔离之网闸、光闸
目录 1.网闸.光闸的产生 2.网闸和光闸的定义 1.网闸-GAP 2.光闸-FGAP 1.网闸.光闸的产生目前的市场上的安全隔离类产品主要有3类:网络隔离产品就是俗称的网闸,网络单向导入产品就是俗 ...
物理隔离与数据交换-网闸的设计原理
一.什么是网闸网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁.安全专家给出的 ...
物理隔离与数据交换-网闸的设计原理与误区
一.什么是网闸网闸技术的需求来自内网与外网数据互通的要求,比如政府的电子政务是对公众服务,与互联网连通,而内网的政府办公网络,由于保密的要求,内网若与网连通,则面临来自公网的各种威胁.安全专家给出的 ...
网络隔离环境下的跨网数据传输，如何保障安全性？
网络技术的发展不断地带来行业的变革.促进了各行各业的快速发展,但随之而来的是网络安全问题,于是就出现了网络隔离技术. 网络隔离,是指两个或两个以上的计算机或网络,不相连.不相通.相互断开.一般所说的网 ...
【转】物理隔离与数据交换-网闸的设计原理与误区
原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 .作者信息和本声明.否则将追究法律责任. 物理隔离与数据交换-网闸的设计原理与误区 - Jack zhai - 51CTO技术博客一. ...
网络时间同步设备（时钟同步产品）时钟系统应用技术介绍
网络时间同步设备(时钟同步产品)时钟系统应用技术介绍网络时间同步设备(时钟同步产品)时钟系统应用技术介绍网络时间同步设备(时钟同步产品)时钟系统应用技术介绍简介标准时钟系统HR-901GB是一 ...

“单向网闸”技术介绍-网络隔离的新型产品

“单向网闸”技术介绍-网络隔离的新型产品相关推荐

最新文章

热门文章