合众单向光闸白皮书

合众单向光闸白皮书

Versio n 7.0

合众数据技术有限公司2015 年

目录

1. 背景概述 (1)

2. 产品用途 (1)

2.1. 从互联网采集信息或发布信息至互联网的用户 (2)

22 非涉密网向涉密网单向传输的用户 (2)

3. 产品组成 (2)

4. 工作原理 (3)

5. 产品主要功能 (5)

5.1. 文件单向导入导岀 (5)

5.2. 数据库单向同步 (7)

5.3. 单向UDP (8)

5.4. 数据恢复 (8)

6. 产品特点 (8)

6.1. 绝对物理单向，防止信息泄密 (9)

6.2. 没有丢包 (9)

6.3. 通量大 (10)

6.4. 支持数据库同步 (10)

6.5. 流量控制 (10)

6.6. 抗故障能力 (10)

1. 背景概述

计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷。而采用以防火墙、网闸为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护，我国历来采用了物理断开的方法，保密局在《计算机信息系统国际联网保密管理规定》中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。按照保密局的要求，如果涉密网需要与国际互联网交换数据，只能采用手工拷贝的方式，除此之外，没有其他可行的办法。

但是许多政府部门所需要的基础数据往往来自互联网。同时为了满足向服务

型政府转型的要求，各级政府部门也必须加强对外服务的力度，需要为社会公众提供信息查询、在线审批、请求服务等新型应用。形势要求我们，在保证安全的前提下，积极探索解决涉密网与互联网数据传输问题的方案。

合众公司针对政府部门互联网传输链路数据交换的需求，根据目前国外最新的技术成果，专门研发了合众单向光闸这一创新产品，采用分光镜像的原理解决涉密网络与非涉密网络之间的互联问题。

2. 产品用途

合众单向光闸是采用分光镜像技术实现的用于单向数据传输的隔离设备，主要用来解决政府部门网络与外部公共网络之间存在的单向数据传输需求。它采用分光镜像的原理，通过分光器将源主机上的数据镜像到目标主机上，最终实现数据的单向传输。

合众单向光闸主要适合如下的用户：

2.1. 从互联网米集信息或发布信息至互联网的用户

有很多用户需要从互联网上采集信息或将本单位部的信息发布在互联网上

供其他单位或社会公众获知。为了保护自身网络和应用系统的安全，保证不发生信息泄露安全事件，因此需要采用单向数据传输设备。而合众单向光闸基于光传输的单向性保证数据传输从物理层面而言就是单向的，反向绝无传输的可能性，因此能够保证没有信息泄密的可能。

22 非涉密网向涉密网单向传输的用户

根据保密局的规定，非涉密网与涉密网进行数据交换时，绝对禁止高等级网络的涉密数据流向低等级网络。因此，非涉密网与涉密网数据交换只能采用单向传输方式。合众单向光闸基于光传输的单向性保证数据传输从物理层面而言就是单向的，反向绝无传输的可能性，因此能够保证涉密网没有信息泄密的可能。

3. 产品组成

合众单向光闸是一种基于分光技术的数据还原装置，它由两台计算机、一个

分光器等部分组成。它采用分光镜像的原理，通过分光器将源主机上的数据镜像到目标主机上，最终实现数据的单向传输。

网端的源主机上存在两个不同的光卡逻辑上分离成发送主机和接收主机， 光信号 由发送主机发送至分光器，而接收主机通过分光器接收一路光信号并还原成数 据，通过置的数据确认机制（数据签名和收发确认校验方式） 来保证数据传输是 否正确和完整。 4. 工作原理

合众单向光闸是一种基于分光 技术的数据还原装置，它由两台计 算机、一个分光器等部分组成。它 采用分光镜像的原理，通过分光

器 将源主机上的数据镜像到目标主机 上，最终实

现数据的单向传输。

如图所示，合众单向光闸由源 主机、目标主

机和分光器构成。分 光器是组建光通道网络的一

个组 件，是一个连接光缆终端设备（OLT ） 和光

接收节点（ONU ）的无源设备，它的功能是分发下

行数据。分光器带有一 个上行光接口，和若干个

下行光接口，从上行光接口过来的光信号被分配到

所有 的下行光接口传输出去。

源主机 目标光卡1

目标主机 合众单向光闸有别于传统单向网闸， 它在逻辑上由三台主机构成，即处于外

发送光卡 接收光卡

Rx 分光器 Tx0-> Tx1 Tx2 Txn 图1分光数据还原系统原理图

合众单向光闸的源主机安装在外部网络中，目标主机安装在部网络中。源主机上有两个光通道网卡，目标主机上有一个光通道网卡；分光器的输入端和源主机的一个光卡（称为发送光卡）的输出端用一条单向光纤连接，使光信号可以从发送网卡的发送端发射到分光器的输入端。

源主机的另一个网卡（称为接收光卡）的输入端和分光器的一个分光输出端连接，接收光卡的输出端与发送光卡的输入端相连接。分光器的另一个输出和目标主机上的光通道网卡（称为目标光卡）的输入端一一相连。

源主机上运行两个进程：发送进程和接收进程。发送进程通过发送光卡发送数据包。这些数据包被发送光卡转换成光信号，从发送光卡的输出端发出。而这一光信号被分光器分成2束与接收到的光信号相同的光信号。其中一束光信号被源主机的接收光卡接收；另外一束光信号被目标主机的目标光卡接收。

发送进程将组装好的数据块通过发送光卡的输出端发送，并检查来自接收进

程的重发请求。如果没有重发请求，则按照上述方法继续发送下一个数据块；如果收到重发请求，则重发这一块数据块，发送完重发的数据块后再继续发送待发送的其他数据块。

在目标主机上安装有光通道网卡，其接受端与分光器的输出端连接，从而可以收到来自分光器的光信号。这些光信号来自分光器输入的光信号的分光，所以其容与源主机上发送光卡的输出端发送的容是一致的。目标主机上的目标接收进

程将光通道网卡上的接收到的光信号还原为数据块，并组装成与源端一致的数据

库记录或数据文件。

5. 产品主要功能

合众单向光闸主要实现数据的单向导入或导出，根据导入导出的数据不同，