安全隔離與信息交換系統的擴展及應用

邵大鵬

（北京郵電大學教務處，北京100876）

1 引言

能夠支持識別源的多對一單播和組播功能，并給出了相應的應用實例。

隨著計算機、通信、網絡技術的迅速發展，全球信息化的步伐越來越快，網絡信息安全問題已成為影響國家長遠利益而亟待解決的重大關鍵問題。人們對信息傳輸的安全性、及時性、有效性要求越來越高[1]。在網絡環境中，要想更好地防止內部網絡漏洞，保護內部網絡的安全性，最好的辦法就是實現外網和內網的安全隔離[2]。以防火墻產品為核心的傳統邏輯隔離安全解決方案，可以在一定程度上保障網絡數據通信的安全，但在高安全性需求的網絡環境中，其提供的安全保障水平相對不足，無法滿足用戶的實際需求。隨著電子政務等網上業務的不斷發展，網絡間的信息交換需求日益強烈。為應對不同級別網絡間信息交換的諸多風險，網絡安全隔離與信息交換技術也隨之產生。

在上世紀90年代中期，俄羅斯人Ry Jones首先提出了“AirGap”隔離概念。隨后，以色列研制成功了物理隔離卡，實現了網絡與網絡之間的安全隔離。美國Whale Communications公司和以色列SpearHead公司先后推出了e-Gap和NetGap產品，利用專有硬件實現兩個網絡在不連通的情況下進行數據的安全交換和資源共享，從而使安全隔離技術從單純的實現“網絡隔離禁止交換”發展到“安全隔離和可靠、可控交換”的程度[3]。

安全隔離技術在提高了安全性的同時，也限制了業務的支持種類，拓展安全隔離產品支持更多的實際業務需求是安全隔離產品發展的主要方向。根據實際業務需要，網絡安全隔離產品需要能夠支持識別源的多對一單播功能和組播功能的安全隔離與信息交換系統。本文從安全隔離與信息交換系統入手進行研究，擴展了安全隔離與信息交換系統的基本功能，使系統

2 安全隔離與信息交換系統

安全隔離與信息交換系統，是具有隔離與信息交換兩個特點的網絡信息安全系統，是一種通過專用硬件使不同網絡在不連通的情況下實現安全數據傳輸和資源共享的技術。隔離指的是把不安全的外部網絡和安全的內部網絡隔離起來；交換指的是利用第三方系統，為外部網絡和內部網絡提供數據交換的能力。它采用獨特的硬件設計，并在此基礎上繼承了多種安全技術，能夠顯著提高內部用戶網絡的安全強度。對需要傳輸的數據進行定義，稱為“白名單”，符合定義的數據時允許，其余的禁止。

安全隔離與信息交換系統的應用需求主要有兩大類：一類是用于因特網和涉密網絡之間，如因特網與政務內網（涉密網）之間，此處需要數據只能從互聯網流向涉密網絡，而不能從涉密網絡流向互聯網；另一類是用于其他類別的網絡之間，如政務內網（涉密網，與互聯網物理隔離）和政務外網（非涉密網，與互聯網邏輯隔離）之間等。

安全隔離與信息交換系統由內網主機系統、外網主機系統、隔離交換模塊共三部分組成，使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立的主機系統，模擬人工在兩個隔離網絡之間實現信息交換。安全隔離與信息交換系統本質在于：兩個獨立主機系統之間，不存在通信的物理連接和邏輯連接，不存在依據TCP/IP協議的信息包轉發，只有數據塊的無協議“擺渡”。安全隔離與信息交換系統的工作原理如圖1所示。

圖1 安全隔離與信息交換系統的工作原理圖

安全隔離與信息交換系統支持雙向數據交換，以應用代理訪問的方式實現。系統一端主機作為客戶端接收來自訪問客戶端的訪問，對通過預先配置的檢測控制規則的報文，以格式化數據塊的方式通過隔離交換模塊交換到服務端。服務端再以訪問客戶端代理身份訪問真實的應用服務器。

3 多對一單播的擴展

安全隔離與信息交換系統一般是一個訪問客戶端訪問一臺應用服務器，但隨著用戶需求的增加，可能會存在多個訪問客戶端訪問同一臺應用服務器的需求，這就需要對現有的安全隔離與信息交換系統進行多對一單播的擴展。

3.1 實現原理

識別源的多對一業務需求是指多個訪問客戶端能夠訪問同一應用服務器的同一端口，并且應用服務器能夠區分開數據是哪個源訪問客戶端發來的。由于當前的安全隔離與信息交換系統在服務端轉發數據到真實應用服務器時，總是以一個默認的地址轉發，導致應用服務器不能夠區分真實的源地址。基于此就要求系統服務端針對不同源地址的訪問端建立不同的任務，并以真實的源地址轉發數據。但客戶端在啟動不同任務時不能夠配置本機地址綁定相同端口。針對這兩個問題，系統可以在服務端增加指定源地址的配置項以解決發送端只能以固定地址轉發的弊端，并通過在客戶端增加端口重定向模塊以解決不同任務本機地址不能同時綁定一個端口的問題。

安全隔離與信息交換系統進行上述功能改進后，當客戶端在某端口監聽到數據時，首先把數據接收下來，查找端口重定向規則表，找到后把數據轉給重定向后的端口，經任務檢測控制后經隔離交換模塊擺渡到服務端，服務端按照配置的源地址轉發給實際的應用服務器。

3.2 應用實例

本文以郵件收發系統為例，進一步闡述安全隔離與信息交換系統的識別源的多對一功能的實現過程。應用要求C 郵件接收端能夠收到A 和B 郵件發送端所傳輸的郵件，并能夠對A 和B 的郵件發送端進行區分，其應用示意圖如圖2所示。

圖2 安全隔離與信息交換系統的指定源多對一應用示意圖

其具體實現過程：系統在客戶端監聽自己的5000端口，將A發送來的數據重定向到5001端口，將B發送來的數據重定向到5002端口。當A發送給C實現郵件傳輸時，客戶端根據A的地址執行重定向后的端口5001對應的任務，經過數據擺渡到服務端，服務端再通過指定源地址A將數據轉發至C 郵件接收端。同理，C將接收到B發來郵件。最終，C可以收到A和B發送來的郵件，并可成功的對它們進行區分。

通過這種方式，實現了對安全隔離與信息交換系統中多對一單播功能的擴展，使其能夠支持識別源的多對一模式，在保證網絡安全隔離的同時，豐富了原有的信息交換內容，進一步滿足用戶的業務需求。

4 組播應用支持

安全隔離與信息交換系統一般是不支持組播需求，為了滿足用戶對組播的實際需要，需要對現有的安全隔離與信息交換系統進行組播應用支持的擴展。

4.1 實現原理

安全隔離與信息交換系統工作在應用層，在兩個網絡之間一方面代理服務端響應客戶端的請求，另一方面發起代理發送端對服務端的訪問，其工作原理決定了其無法像路由器、交換機那樣直接透明轉發的方式對多播進行支持。

安全隔離與信息交換系統需要通過將一端主機以組播單元的身份加入組播組，接受組播內的信息，收到組播報文信息后，通過隔離交換模塊，將組播報文交換到另外一端。另外一端以另外一個組播單元的身份加入另外一個組播組，將交換過來的數據組包發給到整個組播組。通過這種將內網主機和外網主機分別加入兩個物理隔離的組播組，然后通過數據擺渡來實現組播數據的傳輸方式，實現了對組播應用的支持。

4.2 應用實例

以RTP語音系統為例，進一步闡述安全隔離與信息交換系統中組播應用支持的實現原理，應用示意圖如圖3所示。

圖3 安全隔離與信息交換系統的組播應用示意圖

安全隔離與信息交換系統將客戶端主機加入RTP語音機C所在的組播組A，將組服務端主機加入RTP語音機D所在的組播組B。當C需要和D實現組播語音交互的時候，C和D分別將自己需要發送的語音數據發送到所屬組播組內，此時由于系統兩端主機已經分別加入組播組A和組播組B，因此C和D發送的組播數據會分別被兩端主機接收。兩端主機各自接收數據后，然后將數據通過數據擺渡的方式擺渡到另一端主機，然后另一端主機將該數據發送至指定的組播組內，C和D即可分別收到對端發送的語音數據，實現組播語音數據的交互。

通過這種方式，實現了對安全隔離與信息交換系統中組播應用功能的擴展，使其能夠支持組播模式，在保證網絡安全隔離的同時，豐富了原有的信息交換內容，進一步滿足用戶業務需求。

5 結束語

經過多年的發展與不懈的探索，網絡安全隔離與信息交換技術的發展日漸成熟，已成為防范網絡攻擊、保護信息安全的重要手段。采用安全隔離與信息交換系統后，可以真正實現網絡間硬件上的隔離，保護信息安全，避免網絡攻擊事件的發生，同時防止數據泄露。本文通過對安全隔離與信息交換系統的相關配置項的擴展，使其能夠支持識別源的多對一單播和組播功能。擴展后的安全隔離與信息交換系統可以通過具體配置項靈活的對其通訊方式進行控制，并且組播功能可實現內外網不同組播組之間的通信，增強了安全隔離與信息交換系統對實際業務需求的適應性。