物理隔離網間數據單向傳輸策略的設計

王永連 李樹虎 賀佃鵬

摘 要：基于安全考慮，物理隔離兩網之間數據通訊采用單向傳輸的通訊方式更為可靠、安全。論文從技術和管理上設計了人工刻錄光盤這種單向傳輸方式的傳輸策略，在實際工作中具有更強的實用性。

關鍵詞：物理隔離；網間；單向傳輸；策略；網間傳輸管理員

中圖分類號：520.1060 文獻標識碼：A

Abstract： Based on security consideration， the communication mode of one-way transmission between networks of physical isolation is more reliable and safe. This paper designs the transmission strategy of the one-way transmission mode from the technology and management， which is more practical in the practical work.

Key words： physical isolation between networks one-way transmission strategy Inter network transmission Manager

1 引言

物理隔離是指內部網絡不得直接或間接地與公共網絡連接，以避免內部網絡信息受到來自外部網絡黑客的攻擊，這樣就為內部網絡劃定了明確的安全邊界，便于管理，可控性更強。目前，網絡物理隔離網間數據傳輸的技術方案有五種。

（1）人工拷盤。目前，最簡單、最安全的隔離網絡間數據交換方式，通過純手工在兩網間實現，效率低，不能實現數據的實時交換。兩個物理隔離的內網與外網，將要交換的外網計算機上的數據刻錄到光盤，然后通過手工將該光盤放入內網指定計算機中，并將數據復制導出。

（2）安全隔離網閘。網閘由外端機、內端機、交換控制模塊組成，外端機和內端機兩者之間完全隔離，外端機連接外網，內端機連接內網，控制軟件大都采用非通用操作系統或改造的專用操作系統，主要實現不同安全級別網絡之間的適度可控的數據交換。

（3）光盤擺渡。利用機械臂模擬手工拷盤的方式進行數據傳輸，外網上需要傳遞的數據刻錄光盤后，通過機械臂將該光盤移置內網中，實現外網向內網的數據傳遞。由外網服務器端、外網客戶端、光盤擺渡機、內網服務器端、內網客戶端和軟件系統組成。

（4）影像擺渡。利用攝像頭捕捉顯示屏上的信息進行數據傳輸，由發送端和接收端兩個部分組成，兩部分之間完全隔離，發送端由編碼端和一塊液晶屏組成，接收端由解碼端和一個高清攝像頭組成，接收端攝像頭自動捕捉發送端顯示屏上的二維碼或其它自定義碼，然后再解碼還原，實現數據的單向傳輸。

（5）光纖單向導入。基于光的單向傳輸特征構建一條單向的傳輸通道實現網間的數據傳輸，由置于內網的內端機、置于外網的外端機、光電轉換器、發送器和接收器組成。外端機上裝有單向光纖發送器，僅有數據發送功能，內端機上裝有單向光纖接收器，僅有數據接收功能，實現單向的數據傳輸。

（2）、（3）、（4）、（5）雖已實現安全隔離，但內外之間都部分共用了硬件設備或網絡設備及線路，違反了物理隔離的要求，雖然這些產品可提供多種安全防范措施以實現網間數據交換，但防范總是被動的，仍有待改進與完善。

本文設計的網間單向數據傳輸策略是基于手工拷盤方式，兼顧技術和管理需要，同時根據各種應用和業務的處理類型來制定相應的傳輸策略。

2 傳輸策略設計

2.1 設置網間傳輸管理員

網絡系統的運維有網絡系統管理員，網絡安全的管理有安全管理員和安全審計員，應用系統的運維有應用系統管理員。建議網間單向傳輸系統的運維設置網間傳輸管理員，該管理員需要一定的知識及培訓才能對傳輸系統進行有效、安全地管理。

網間傳輸管理員專職或由其他系統管理員兼職都可，也可安排另一人作為B角，組成AB角色，以防止A角不在或其他情況對網間單向傳輸系統進行負責與管理。

2.1.1 網間傳輸管理員的職責

協助網絡安全管理員、網絡系統管理員、系統應用管理員及網站管理員等使用網間單向傳輸系統。

2.1.2 網間傳輸管理員的角色

網間單向數據傳輸策略的制定與更改都是由網絡安全管理員、網絡系統管理員、系統應用管理員及網站管理員按規則共同決定的，而網間傳輸管理員只是負責協助他們使用網間單向數據傳輸系統。各個管理員決定哪些數據、什么時候、是使用全網間單向傳輸或增量網間單向傳輸以及網間單向傳輸的保存期限等。

2.2 傳輸任務劃分

按業務系統劃分，確定各系統的網間單向傳輸數據量，并為每個網間單向傳輸任務制定專用的網間單向傳輸計劃。為每一個計劃設置一個計劃ID，為每一個任務也設置一個任務ID。當有一個任務進行網間單向傳輸時，外網端會將網間單向傳輸的文件進行打包，生成一個任務ID并寫入一個配置文件，數據到達內網后，內網端檢查任務ID和配置文件來計算出該任務的相應附屬信息，以保證每一次網間單向傳輸任務都有據可查，有章可循，出現問題時能及時定位問題所發生的區域和原因。

2.3 用戶身份認證，任務ID綁定

只有通過審批的用戶才能獲取到網間單向傳輸過來的數據，并支持任務與身份的綁定，當數據到達內網后，內網服務器根據任務ID的不同將數據分發給指定的用戶，因此身份信息決定了所能獲取到的數據。任務與用戶身份的綁定由系統管理員進行配置，用戶就是接收數據的內網用戶，可分為單一用戶和批量用戶。

2.4 傳輸協議

主要指傳輸數據的壓縮與解壓縮，可以根據需要采用自定義壓縮/解壓縮、通用壓縮/解壓縮、不壓縮等方式，其中自定義方式安全性更高。

2.5 傳輸文件大小控制

根據各業務系統、用戶身份及安全保密要求，對傳輸的文件大小進行控制，如分為最大10M、100M、1G、不限等，當超過規定大小時要進行嚴格的審批等。

2.6 傳輸時間控制

在選擇傳輸時間時，可將多個傳輸任務設置在同一時段內，這樣可以提高傳輸效率，減少對光盤的浪費。根據各業務系統對傳輸的需求，以及內部網絡對數據時間的要求，可以為每個傳輸計劃制定傳輸時段。建議兩點。

（1）實時性要求比較高的數據，如協同辦公中的新聞、消息等數據，為降低數據對業務系統運行的影響，可采用2～3次/天傳輸一次的策略，如每天上班8：30～9：00、中午11：30～12：30、下午4：30～5：00進行。

（2）實時性要求不高的數據，如一些業務數據等，可采用平均每天傳輸一次的策略，建議每天傳輸的時段可以和實時性要求高的傳輸任務設置在同一個時段進行，如中午11：30～12：30。

2.7 過濾控制

增加文件過濾，對于一些單一類型的數據，可減少外部安全風險，確保從外網進入到內網的數據安全可靠。可設置的過濾參數。

（1）文件類型過濾，對于一些類型的文件禁止傳輸，如*.exe文件，多個文件類型可使用分隔符，如英文逗號或空格符等。

（2）文件名中關鍵字過濾，傳輸文件名中有特殊的關鍵字禁止此文件傳輸，如“*秘密*.docx”。

（3）文件內容過濾，文件內容中含有敏感關鍵字禁止傳輸，對傳輸的文件設置敏感詞檢查，涉及到該內容的文件禁止傳輸。

2.8 數據保存期限

設定傳輸數據在內外網中指定存儲區的保存期限，其長短由系統業務及密級決定，便于今后的安全審計。

2.9 病毒木馬掃描

對要傳輸的數據是否啟用病毒木馬掃描。

2.10 光盤盤片管理

（1）使用過的光盤不再使用，保證每次使用都是新的空白刻錄光盤。

（2）每次使用的光盤都進行登記造冊。

2.11 調度策略統一規劃

在確定以上內容后，對普通傳輸任務的調度策略進行統一規劃，盡量采用大小數據量相匹配，重要業務與普通業務相匹配的方式，在同一時間段內進行，以確保重要業務的數據網間單向傳輸。

2.12 傳輸策略的修改

一些硬件、軟件及應用需求的改變都需要對傳輸策略進行修改。這時，網間單向傳輸管理員要會同各個管理員按相應的程序進行，而不是由網間單向傳輸管理員自行決定修改。

首先由網絡安全管理員、網絡系統管理員、系統應用管理員及網站管理員提出需求，將需要改變的內容以書面方式提交給網間傳輸管理員。

網間傳輸管理員收到修改需求后，確定修改內容的合理性以及是否對其它網間單向傳輸造成影響。如果確認可以修改，再對網間單向傳輸系統進行修改，并將修改的內容以書面方式登記備查。更改后，再對網間單向傳輸部分進行相應的測試。

3 結束語

采用本文設計的物理隔離網間單向數據傳輸策略編制的內網端控制軟件和外網端控制軟件，在使用時可使數據的傳輸在技術和管理上更加安全可靠。

參考文獻

[1] 史萌，丁阿丹.物理隔離的網間“擺渡”技術應用研究[J].通信技術，2013，46（06）：114-116.

[2] 周建寧，季君，彭璇，方艾芬.公安內外網數據交換平臺的設計研究[J].智能交通， 2017，47（02）：73-77.

[3] 張欣琦.單向光閘原理及功能淺析[J].網絡安全技術與應用，2016（5）：99-100.