海上目標信息跨域安全共享實現(xiàn)方案探索?

文云峰 鐘華超 余舟川 郝延彪

（91001部隊 北京 100841）

1 引言

近年來，隨著信息跨域共享技術的發(fā)展，地方政府廣泛運用網(wǎng)絡隔離與交換技術，充分整合互聯(lián)網(wǎng)開源數(shù)據(jù)、行業(yè)數(shù)據(jù)和內(nèi)部涉密數(shù)據(jù)等，為海上信息跨域安全交換提供了很好的借鑒。但在軍隊涉密領域，數(shù)據(jù)仍為單向輸入為主，很少考慮雙向共享設計，無法與地方系統(tǒng)形成互通共享。

在海域態(tài)勢感知領域，相關涉海機構和單位在涉海活動中獲取了大量海上目標信息，但多處于自成體系、獨立運行狀態(tài)，對本系統(tǒng)本領域支撐不足。特別是海上目標具有數(shù)量多、分布廣、識別難的特點，依托單一手段無法滿足海上全域監(jiān)控、精準識別的現(xiàn)實需求，急需打破信息壁壘，改變封閉機制，打通海上目標信息融合共享鏈路，充分整合利用好涉海信息資源。研究跨域信息安全交換方案，實現(xiàn)海上信息在不同安全域系統(tǒng)之間可享、可控、可管，是實施海上信息資源融合共享的關鍵支撐［1～5］。

2 現(xiàn)有網(wǎng)絡隔離與交換主要技術及驗證

2.1 隔離網(wǎng)閘

使用專有數(shù)據(jù)傳輸協(xié)議代替通用的TCP∕IP協(xié)議，采用外網(wǎng)單元、安全隔離交換單元和內(nèi)網(wǎng)單元的架構，將外網(wǎng)信息以非IP形式隔離擺渡到內(nèi)網(wǎng)。該技術在軍內(nèi)運用較多，通過驗證，可作為實時海上目標數(shù)據(jù)低密網(wǎng)接入高密網(wǎng)的重要渠道之一，但傳輸效率受制于協(xié)議轉換，在用設備數(shù)據(jù)吞吐量最大為50Mbps，且該設備屬于邏輯隔離傳輸設備，不能用于互聯(lián)網(wǎng)直接接入軍隊網(wǎng)絡。

2.2 光盤擺渡

通常采用機電一體化、軟硬結合的技術，實現(xiàn)不同網(wǎng)段隔離下的數(shù)據(jù)單向傳輸。單次擺渡數(shù)據(jù)量由采用光盤類型決定，如：DVD單次擺渡數(shù)據(jù)量可達4GB，藍光光盤按照規(guī)格不同可達25GB、50GB甚至100GB。通過技術驗證，能保證數(shù)據(jù)單向傳輸?shù)陌踩裕m用于保密要求高、傳輸數(shù)據(jù)量大，但擺渡頻率不高的場景，如時敏性較低的海量海上目標歷史數(shù)據(jù)、氣象水文數(shù)據(jù)的定時導入，但由于單次擺渡數(shù)據(jù)量大，擺渡間隔時間長，單次擺渡最短需要10min左右時間，不適合實時性高的海上信息數(shù)據(jù)跨網(wǎng)接入。

2.3 影像擺渡

通常采用二維碼編碼技術，主機將數(shù)據(jù)進行二維碼編碼后，在顯示屏上顯示，高清攝相機采集二維碼，由系統(tǒng)解碼后導入數(shù)據(jù)。通過技術驗證，多通道二維碼圖像可以并發(fā)擺渡，8通道可達到1Mbps的系統(tǒng)吞吐量，數(shù)據(jù)交換時延約1s，但單一通道生成的二維碼圖像所攜帶數(shù)據(jù)信息有限，適用于安全保密要求高、實時性要求高、傳輸頻次的高場景，如互聯(lián)網(wǎng)文字類開源信息數(shù)據(jù)，不適合實時海量海上信息數(shù)據(jù)的跨網(wǎng)接入。

2.4 單向光閘

通過結合網(wǎng)閘技術和光傳輸技術的信息安全隔離技術，發(fā)送端、接收端各配有發(fā)光、感光組件及兩套獨立數(shù)據(jù)處理系統(tǒng)，實現(xiàn)數(shù)據(jù)單向傳輸。通過技術驗證，單向光閘實時性強，系統(tǒng)吞吐量可達800Mbps，但內(nèi)部發(fā)送端與接收端具有線纜連接，一般定義為邏輯隔離傳輸設備，不能用于互聯(lián)網(wǎng)直接接入軍內(nèi)密網(wǎng)，但可作為低密網(wǎng)向高密網(wǎng)實時海量海上信息數(shù)據(jù)的跨網(wǎng)接入渠道。

3 海上目標信息跨域共享網(wǎng)絡隔離與安全交換的實現(xiàn)

3.1 系統(tǒng)架構設計

通過在軍隊網(wǎng)絡與相關機構專網(wǎng)間再搭建一個海上目標信息跨域共享網(wǎng)絡，構建跨網(wǎng)跨域數(shù)據(jù)安全可控交換系統(tǒng)，實現(xiàn)基礎網(wǎng)絡安全保密、計算環(huán)境安全保密、應用與數(shù)據(jù)安全保密等功能［6～11］，同時滿足海上維權、聯(lián)合搜救等各類應用場景下的信息安全共享，總體架構如圖1所示。

圖1 跨域共享安全架構示意圖

物理層：安全保密功能的實現(xiàn)載體。通過安全保密功能部件，提供安全保密能力。

功能層：由物理層綜合形成的安全保密功能虛擬邏輯形態(tài)，是形成安全保密應用服務的通用支撐。包括存儲加密、數(shù)字簽名、身份認證、行為審計追蹤、軟件簽名驗證、訪問控制、準入控制、惡意代碼防范、入侵偵測、監(jiān)測預警、虛擬機防護和攻防驗證等功能。

應用層：安全保密功能的應用形態(tài)，是針對特定場景環(huán)境的功能選擇組合形式，根據(jù)通信網(wǎng)絡和業(yè)務應用系統(tǒng)的特點，構建共用基礎設施、共享服務環(huán)境安全保密系統(tǒng)和信息應用系統(tǒng)安全保密系統(tǒng)等具體應用。

在高密網(wǎng)與跨域共享網(wǎng)絡之間部署安全訪問平臺，實現(xiàn)安全受控的數(shù)據(jù)交換功能。網(wǎng)間信息交換系統(tǒng)同時支持軍隊網(wǎng)絡、涉海機構專網(wǎng)等涉密網(wǎng)絡之間的安全受控數(shù)據(jù)交換。互聯(lián)網(wǎng)等公共網(wǎng)絡通過單向傳輸系統(tǒng)向海上目標信息跨域共享網(wǎng)絡引接相應的數(shù)據(jù)［12～13］。

3.2 分級實施信息管控

共享平臺具備對相關涉海系統(tǒng)專線接入的信息資源綜合管理、展示和交換的能力。按角色設置用戶權限，實現(xiàn)基于用戶權限和用戶需要，集成展現(xiàn)各類信息資源和專業(yè)信息應用的能力。針對需要嚴格控制用戶范圍的在線信息資源，提供涉海信息資源按需申請服務，通過在線申請、審核、批準等流程實現(xiàn)信息資源的共享。提供以任務、事件等背景的產(chǎn)品數(shù)據(jù)，經(jīng)信息組織處理后通過數(shù)據(jù)交換模型，提供特定用戶［14～17］。

3.3 安全訪問平臺管控

建設統(tǒng)一的安全訪問平臺。基于應用與數(shù)據(jù)分離的原則，在業(yè)務流程中嵌入身份認證及權限控制，實現(xiàn)訪問用戶的身份可信，確保業(yè)務僅對合法用戶可見；持續(xù)監(jiān)測評估終端等環(huán)境的安全狀態(tài)，結合業(yè)務場景和使用環(huán)境進行精細化的動態(tài)授權；保護數(shù)據(jù)安全訪問，具備抵御網(wǎng)絡攻擊的能力；實現(xiàn)訪問過程中用戶行為及網(wǎng)絡風險的全面發(fā)現(xiàn)與審計。

安全訪問平臺是其他網(wǎng)絡與數(shù)據(jù)中心交換數(shù)據(jù)的統(tǒng)一通道，通過該平臺實現(xiàn)軍隊網(wǎng)絡與涉海機構專網(wǎng)、互聯(lián)網(wǎng)等其他網(wǎng)絡之間的數(shù)據(jù)安全交換。其中，數(shù)據(jù)交換安全服務具備設備準入控制、安全隔離與交換、訪問控制、網(wǎng)絡安全防護、網(wǎng)絡流量檢測等安全能力［18～19］。

圖2 共享系統(tǒng)與涉海系統(tǒng)間的數(shù)據(jù)安全

圖3 安全訪問平臺結構圖

3.4 構建安全防御體系

系統(tǒng)內(nèi)部網(wǎng)絡結構可以劃分為網(wǎng)絡接入?yún)^(qū)、安全服務區(qū)、傳輸服務區(qū)、應用服務區(qū)和用戶作業(yè)區(qū)等。網(wǎng)絡接入?yún)^(qū)主要解決網(wǎng)絡安全接入問題，對于源于外部信源的信息，經(jīng)過安全訪問平臺接入中心系統(tǒng)。安全服務區(qū)由網(wǎng)絡入侵檢測系統(tǒng)、網(wǎng)絡防病毒系統(tǒng)、漏洞掃描系統(tǒng)、安全配置終端、主機監(jiān)控系統(tǒng)（防信息泄漏系統(tǒng)）和數(shù)據(jù)安全導入終端系統(tǒng)等組成。傳輸服務區(qū)通過傳輸交換機接入網(wǎng)絡接入?yún)^(qū)，由各種傳輸服務器組成，為系統(tǒng)提供各種傳輸服務。應用服務區(qū)通過服務區(qū)交換機和防火墻連接在主交換機上，由各種業(yè)務服務器組成，為保證服務器運行安全，應為服務器配置網(wǎng)絡防病毒客戶端、主機監(jiān)控客戶端等安全防護客戶端設備。用戶作業(yè)區(qū)通過用戶交換機連接在主交換機上，由各種業(yè)務處理終端組成，為保證終端安全，應為終端配置網(wǎng)絡防病毒客戶端、主機監(jiān)控客戶端等安全防護客戶端設備［20］。

安全保密設施另一部分針對向軍隊系統(tǒng)實施單向傳輸，采用在網(wǎng)際交換節(jié)點新增單向安全隔離設備，使其兼具信息輸入和信息防泄露的能力。

4 結語

海上信息跨域安全共享不僅僅是個單純技術問題，需要從機制、技術、規(guī)則、管控等方面，建立起對海上目標數(shù)據(jù)的區(qū)別對待、全程監(jiān)管和分級保護，實現(xiàn)高密級域、低密級域之間的雙向網(wǎng)絡連接。基于此，本文研究了海上目標信息跨域安全共享實現(xiàn)方案，滿足了不同安全等級海上信息實時共享需求，在未來體系建設中具有重要參考價值。