隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索.docx

1、隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索lil劉宏娟（中國國土資源航空物探遙感中心，北京，UXJO83）摘要：本文通過對網(wǎng)絡(luò)隔離技術(shù)的研究，介紹了隔離網(wǎng)閘（GAP）的工作原理并對比了其優(yōu)勢和先進性。結(jié)合地質(zhì)數(shù)據(jù)的特點和應(yīng)用場景，介紹了隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用實踐。關(guān)鍵詞：網(wǎng)絡(luò)隔離；GAP;協(xié)議剝離；信息化收稿日期：2018-09-12作者簡介：劉宏婿（1981）,女.碩士,1：程師，從市自然資源信息化建設(shè)與研究工作,1網(wǎng)絡(luò)隔離1.1網(wǎng)絡(luò)隔離的重要性網(wǎng)絡(luò)和信息化的發(fā)展極大地便利了信息交互，為各行各業(yè)的生產(chǎn)發(fā)展帶來了極大便利，但網(wǎng)絡(luò)的開放性和無界性對信息安全的威脅亦日趨復(fù)雜，尤其是一些安全

2、級別較高的部門如政府、軍隊、科研單位、銀行、金融機構(gòu)的敏感信息不能直接對外公布，其核心網(wǎng)絡(luò)必須與外界網(wǎng)絡(luò)相對隔離。區(qū)別于完全開放的互聯(lián)網(wǎng)，涉及國家秘密的網(wǎng)絡(luò)空間都是涉密域，須嚴(yán)格遵守保密規(guī)定。國家保密局頒布的計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定中明確規(guī)定：“涉及國家秘密的計算機系統(tǒng)不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接.必須實行物理隔離?！辈簧婕皣颐孛艿婕氨静块T單位或本系統(tǒng)工作秘密的網(wǎng)絡(luò)空間是非涉密域，不涉及國家秘密或工作秘密、向互聯(lián)網(wǎng)完全開放的網(wǎng)絡(luò)空間是公共服務(wù)域。不同安全級別的網(wǎng)絡(luò)空間必須進行物理或邏輯隔離，以保障網(wǎng)絡(luò)與信息安全。1.2網(wǎng)絡(luò)隔離技術(shù)及其發(fā)展網(wǎng)絡(luò)隔離（Netw

3、orkIsolation）是基于數(shù)據(jù)流動和交換基礎(chǔ)上的一種網(wǎng)絡(luò)安全技術(shù)，能夠在保障信息安全的前提下實現(xiàn)不同安全等級的網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞。根據(jù)隔離方法的不同可以分為物理隔離（PhysicalIsolation）和協(xié)議隔離（ProtocolIsolation）o物理隔離較好理解，是指兩個網(wǎng)絡(luò)之間完全不存在直接或間接的物理線路連接，是最可靠、最安全的隔離。協(xié)議隔離是指通過不可路由的協(xié)議（如1PX/SPX、NetBEUI）將兩個或兩個以上的可路由網(wǎng)絡(luò)（如TCP/IP）連接進行數(shù)據(jù)交互，從而達到隔離的目的。區(qū)別于物理隔離，協(xié)議隔離屬于虛擬隔離，網(wǎng)絡(luò)間存在著直接或可路由的物理連接，具有一定的安全風(fēng)險C另一

4、方面.現(xiàn)實中不同安全級別的網(wǎng)絡(luò)往往需要進行直接的數(shù)據(jù)交互，甚至是實時的數(shù)據(jù)交互以提供必要的服務(wù)。在完全物理隔離的要求下，傳統(tǒng)方式是使用介質(zhì)拷貝，效率較為低下，而且無法對拷貝交換的數(shù)據(jù)進行安全審查，容易導(dǎo)致信息泄露、偽造等安全問題。網(wǎng)絡(luò)隔離性與數(shù)據(jù)流通性、信息安全性與應(yīng)用便捷性，是網(wǎng)絡(luò)安全一直以來需要取舍平衡的“矛”與''盾”O(jiān)截至目前網(wǎng)絡(luò)隔離技術(shù)大致經(jīng)歷了五個發(fā)展階段：第一代是完全物理隔離；第二代引入了硬件插卡，獨立控制硬盤或其他存儲介質(zhì)；第三代利用轉(zhuǎn)播系統(tǒng)分時復(fù)制數(shù)據(jù)實現(xiàn)了相對隔離；第四代引人臨時緩存器的概念，使用單刀雙擲開關(guān)分時訪問緩存器來隔離內(nèi)外網(wǎng)絡(luò)；第五代則是目前應(yīng)用較

5、為廣泛的安全通道隔離技術(shù)，通過專用的通信硬件和安全協(xié)議等機制，從而實現(xiàn)網(wǎng)絡(luò)隔離和數(shù)據(jù)交換。1212隔離網(wǎng)閘的工作原理隔離網(wǎng)閘(GAP)是第五代網(wǎng)絡(luò)隔離技術(shù)的代表性成果，源于英語中的“AirCap”，是通過專用硬件和傳輸協(xié)議實現(xiàn)兩個或者以上的網(wǎng)絡(luò)在不連通的情況下安全傳輸數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)。隔離網(wǎng)閘綜合了物理隔離和協(xié)議隔離兩種隔離技術(shù)，在物理層面上通過隔離傳輸硬件設(shè)備保證了任意時刻網(wǎng)絡(luò)鏈路層都是斷開狀態(tài)從而阻隔網(wǎng)絡(luò)攻擊，同時又繼承了協(xié)議隔離的高效性，使用專門開發(fā)的私有協(xié)議阻斷TCP/IP協(xié)議及其他網(wǎng)絡(luò)協(xié)議，從而杜絕網(wǎng)絡(luò)協(xié)議漏洞。隔離網(wǎng)閘不僅能有效地把不同安全等級的網(wǎng)絡(luò)隔離開來，還能高效地實現(xiàn)不同安

6、全等級網(wǎng)絡(luò)之間數(shù)據(jù)的安全交換，透明支持基于網(wǎng)絡(luò)的應(yīng)用。隔離網(wǎng)閘的基本架構(gòu)和原理是在需要隔離的系統(tǒng)之間構(gòu)建起一片“安全隔離區(qū)”，核心模塊是物理隔離和協(xié)議剝離。物理上需要隔離的網(wǎng)絡(luò)空間不能直接連接，通過類似空氣開關(guān)的單刀雙擲開關(guān)保障同一時間只有一方網(wǎng)絡(luò)空間與隔離設(shè)備建立起非TCP/IP協(xié)議的數(shù)據(jù)連接。任何一方的網(wǎng)絡(luò)包都不能宜接進入另一方，必須在隔離區(qū)進行數(shù)據(jù)檢查，對網(wǎng)絡(luò)層協(xié)議進行數(shù)據(jù)提取和私有化安全協(xié)議再封裝，確保隔離區(qū)交換的只是應(yīng)用數(shù)據(jù)。因此隔離網(wǎng)閘所連接的兩個或兩個以上系統(tǒng)，不存在沒有TCP/IP連接或其他通信連接，沒有協(xié)議、沒有包轉(zhuǎn)發(fā)、沒有網(wǎng)絡(luò)命令，只有數(shù)據(jù)塊的無協(xié)議“擺渡”，對固態(tài)存儲介質(zhì)

7、只有“讀”和“寫”兩個命令。因此隔離網(wǎng)閘和透明橋、IPoverUSB以及通過其他方式來進行包轉(zhuǎn)發(fā)的隔離有著本質(zhì)的區(qū)別。外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)CTU以最常見的網(wǎng)絡(luò)傳輸數(shù)據(jù)包處理為例，當(dāng)數(shù)據(jù)流由外向內(nèi)傳輸時，隔離網(wǎng)閘的外網(wǎng)處理單元會完整地接收所有的TCP/IP數(shù)據(jù)包，經(jīng)過入侵檢測、防病毒、防惡意代碼等一系列安全檢查后去掉協(xié)議頭，將數(shù)據(jù)包按照私有安全協(xié)議的格式分解重組成私有數(shù)據(jù)塊，由此切斷了網(wǎng)絡(luò)層之間通用的協(xié)議連接，再交由安全隔離和交換處理單元，將私有數(shù)據(jù)塊“擺渡”到內(nèi)網(wǎng)處理單元，通過身份驗證的內(nèi)部用戶獲取最終數(shù)據(jù)。向由內(nèi)向外的數(shù)據(jù)流處理亦然。3隔離網(wǎng)閘的應(yīng)用實例本文以航遙中心為例介紹隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信

8、息化中的應(yīng)用實踐“目前航遙中心共有3個數(shù)據(jù)網(wǎng)絡(luò)，接收原始衛(wèi)星遙感數(shù)據(jù)的內(nèi)網(wǎng)屬于非涉密域，負責(zé)數(shù)據(jù)處理加工的數(shù)據(jù)網(wǎng)屬于涉密域.向地質(zhì)同業(yè)及社會大眾發(fā)布推送信息的外網(wǎng)屬于公共服務(wù)域。其中數(shù)據(jù)網(wǎng)中處理存儲的地質(zhì)數(shù)據(jù)是國家秘密.要求與互聯(lián)網(wǎng)完全物理隔離，僅從內(nèi)網(wǎng)中傳輸接收原始數(shù)據(jù)。內(nèi)網(wǎng)與外網(wǎng)存在交互，向地質(zhì)同業(yè)及企業(yè)單位提供原始數(shù)據(jù)目錄，共享推廣地質(zhì)測繪成果。整體上呈現(xiàn)出以下特點：(1) 數(shù)據(jù)傳輸量大。地質(zhì)數(shù)據(jù)總量偏大，一項測繪數(shù)據(jù)總量約為100GB,單個文件大小在400MB以上。(2) 應(yīng)用場景單一。不同于銀行、政府等電子政務(wù)內(nèi)網(wǎng)的應(yīng)用場景，航遙中心以數(shù)據(jù)文件傳輸和處理為主，成果展示為輔，暫不需要支

9、持視頻、郵件、通話等較為復(fù)雜的應(yīng)用。(3) 信息安全要求高。數(shù)據(jù)網(wǎng)屬于涉密網(wǎng)，對安全級別要求高，與外網(wǎng)要做到物理隔離，有效隔絕來自外部的惡意攻擊，防止內(nèi)部涉密數(shù)據(jù)泄露。(4)通過讀寫速度快°網(wǎng)閘是不同安全級別網(wǎng)絡(luò)速度的“瓶口”.對于大缺數(shù)據(jù)的響應(yīng)處理以及內(nèi)外網(wǎng)閘的切換速度，是決定網(wǎng)絡(luò)隔離效果的重賀因素。(5)傳輸協(xié)議透明性。網(wǎng)閘對TCP/IP數(shù)據(jù)包進行協(xié)議解析并進行私有協(xié)議再封裝，對用戶應(yīng)當(dāng)完全透明。此外還能夠?qū)λ接袇f(xié)議及端口進行定制，為業(yè)務(wù)發(fā)展留下出口。綜合以上，航遙中心采用的是天融信TR-91166-RB隔離網(wǎng)閘，使用的是透傳私有協(xié)議。在內(nèi)網(wǎng)與數(shù)據(jù)網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間各部署一套

10、隔離網(wǎng)閘來實現(xiàn)網(wǎng)絡(luò)隔離。其中內(nèi)網(wǎng)與外網(wǎng)之間的網(wǎng)閘設(shè)置僅為單向通過，即僅允許內(nèi)網(wǎng)向外網(wǎng)發(fā)送原始數(shù)據(jù)的元文件目錄文件，杜絕禁止外網(wǎng)向內(nèi)網(wǎng)的一切命令、協(xié)議、鏈接、包轉(zhuǎn)發(fā)、路由探測，以最大程度地保護涉密信息的絕對安全。外g心外g心外河服齊尊(葬泠在帔核。交雄內(nèi)偵為例，在網(wǎng)閘的安全策略配置中放開TCP/IP協(xié)議的21端口(ftp的定義端口)，數(shù)據(jù)包檢測中僅對ftp協(xié)議端口的數(shù)據(jù)包進行協(xié)議解析及再封裝，從而實現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)通過fip協(xié)議進行傳輸交換。經(jīng)過實際測試，隔離網(wǎng)閘不影響地質(zhì)數(shù)據(jù)的快速傳輸，實現(xiàn)了相互隔離的網(wǎng)絡(luò)間數(shù)據(jù)交互，對數(shù)據(jù)安全進行了有效保護。4結(jié)語通過制定安全策略，隔離網(wǎng)閘還可以實現(xiàn)強制性的分級

11、隔離訪問控制、可控的數(shù)據(jù)交換、權(quán)限管理、身份認(rèn)證等安全功能，大大提高數(shù)據(jù)交互的安全性和可靠性。同時我們也應(yīng)該看到網(wǎng)絡(luò)隔離自身的局限性，作為安全技術(shù)的一種，要與防火墻、入侵檢測、代理服務(wù)器等基于邏輯機制的安全技術(shù)合理配合使用，才能共同筑建好信息安全防護的鐵壁銅墻°參考文獻：1公安部.信息安全等級保護管理辦法EB.北京:公安部.2007網(wǎng)絡(luò)隔離與網(wǎng)閘.萬平國編蓍.機械匚業(yè)出版社,2004.(3 賀文華.網(wǎng)絡(luò)安全隔離CAP技術(shù)研究|J.科學(xué)技術(shù)與工程.2007(9).4 丹煒,網(wǎng)絡(luò)安全與網(wǎng)絡(luò)隔離GAP技術(shù)的研究J.微型電腦應(yīng)用,2007(8):56-57內(nèi)網(wǎng)與數(shù)據(jù)網(wǎng)之間的數(shù)據(jù)安全交互，以f

12、tp協(xié)議ApplicationofIsolationGatekeeperinGeologicalDataInformatizationLiuHongjuan(ChinaLandResourcesGeophysicalAviationandRemoteSensingCenter,Beijing100083)Abstract:Thispaperintroducestheprincipleworkingofisolatedgatekeeper(CAP)andcomparesitsadvantagesandadvancementbytheresearchonnetworkisolationtechnology.Combinedwiththecharacteristicsandapplication