单向隔离网闸的设计及其传输可靠性探讨

单向隔离网闸的设计及其传输可靠性探讨
发表时间：2014-12-23T14:42:34.590Z 来源：《价值工程》2014年第9月下旬供稿作者：颜敏燕韦樑[导读] 对基于物理隔离的信息传输设备“网闸”进行了介绍，对普遍的双向信息网闸存在的安全隐患进行了分析
颜敏燕淤YAN Min-yan曰韦樑于WEI Liang（淤同济大学，上海200092；于上海市信息安全测评认证中心，上海200011）（淤Tongji University，Shanghai 200092，China；于Shanghai Information Security Testing Evaluation and Certification Center，Shanghai 200011，China）
摘要院当今各行各业信息化应用已经相当广泛和深入，而在信息化的大数据时代，信息的交互必不可少。

但不同网络间的信息交换，特别是信任网络与信任网络间的交换往往存在着诸多风险。

本文基于现有的网络隔离与信息交换技术，对单向隔离传输的方式进行了研究，对其可能存在传输可靠性问题进行了分析，探讨了几种提高其传输可靠性的方法。

Abstract院Nowadays, the information application in all walks of life is quite wide and deep, and in the big data information era, theinformation interaction is necessary. But there are often a lot of risks in the exchange of information between different networks, especially inthe exchange between trust and trust network. Based on the existing network isolation and information exchange technology, this paperstudies the one-way isolated transmission mode, analyzes its possible transmission reliability problems, and discusses several methods toenhance the reliability of its transmission.关键词院信息隔离与信息交换；网闸；传输可靠性Key words院information isolation and information exchange；net gap；transmission reliability中图分类号院TP393 文献标识码院A 文章编号院1006-4311（2014）27-0219-02
0 引言如今各行各业越来越依赖信息系统，而且跨部门、跨行业、跨条线的数据交互需求越来越多。

但是在信息交互的过程中有些情况不得不考虑，那就是交互双方或者几方信息系统的重要性不同，比如：民政信息系统要与公安系统、卫生计生等系统交互信息，它们间的信息系统重要等级可能会不同；并且某些系统为了其自身强调与互联网隔离，但同时部分数据又必须通过互联网进行采集传递，如：网上银行需要向银行核心业务系统传递网上交易信息等。

所以，在做好重要系统安全隔离的前提下进行安全的有条件的信息传输一直是信息安全界研究讨论的话题。

1 安全隔离和信息交换1.1 网闸的概念和技术1995 年俄罗斯人RyJones 等人提出了“AirGap”的概念，用于描述网络之间的状态，即指空气形成的用于隔离的缝隙（网络链路层的断开）。

而现在我们俗称的“网闸”（GAP）是AirGAP 的延伸和扩展，它是指通过硬件的方式在两个不连通的网络间进行数据传递或者交换的技术。

它进行数据安全传递的基本原理是通过切断网络之间的TCP/IP 连接；分解TCP/IP 数据包；由自有协议进行数据包转发；重组TCP/IP 数据包；进行安全性检查（包括协议检查、内容确认等），将数据交换传输出去。

因为在同一时刻只连接一端网络（内部或者外部），而不同时连接两端，所以信息在传输时可以看作为一种物理的摆渡，而且因为内部传递不使用TCP/IP 协议，所以网闸在防止了内部木马病毒反向连接的同时也可以避免因为TCP/IP 协议本身漏洞而带来的安全风险。

1.2 网闸的组成及其一般结构网闸一般设计为双主机结构（内、外网主机），两台主机用于对源数据的安全检查和协议转换，其功能一般包括：数据源确认、数据定向推送（获取）、协议分析、协议转换、访问控制、病毒检测、日志审计、文件格式检查、自纠错协议、自校验协议、设备管理配置等。

在两台主机间有专用的数据交换卡，主机与交换卡之间放置了电子开关，系统的控制逻辑使得电子开关1 和电子开关2 之间快速地交替开闭，这样实现了在任一时间段内，“外网”与“内网”之间都不相连，以实现安全隔离。

结构如图1 所示。

2 单向信息传输隔离2.1 单向传递概念上述对现有网闸一般所采用的交换技术进行了分析，我们可以看到基于这种方式的传递，理论上在同一时间只连接一边的网络，但是在产品实现上是通过快速的电子开关切换来达到这个目的的，而电子开关的执行是依靠设备的软件来进行控制的。

所以，控制软件的安全与否直接关系到信息摆渡是否遵循单向连接隔离的实现，所以严格来讲这种网闸是否可以实现真正的物理隔离仍然值得探讨。

在现实的数据传递需求中，绝大部分的数据是从非信任区向信任区传递，或者是低安全保障区向高安全保障区传递。

这些传递其实是单向的传递。

所以数据的单向传递应该严格依照Bell-LaPadula 模型中的“下读上写”的控制思想进行设计，即：高等级区域可以向低等级区域读取信息，反之不行；低等级区域只能向高等级区域主动写入数据，反之不行。

这就能保证数据按照安全级别进行单向流动。

2.2 基于光技术的单向传递光信号传递在网络中已有广泛且成熟的应用，比如我们普遍使用光网卡进行光纤网络连接，使用笔记本的红外光收发器进行红外设备连接等。

光传递在硬件实现上有个特点，就是发射通道Tx 和接收通道Rx 是独立的，传输双方两端相互交叉对应，从而实现了信息的双向传递。

基于此原理，可以利用光单向传递通道的物理特性来实现数据的单向流动，从而不必担心因一般的网闸
所存在软件被攻击篡改形成隐秘通道的安全隐患。

由于光网卡的控制电路需要在Rx 端接收到光信号才能正常使用，所以为了确保光单向传递的实现必须要在进行数据发送的光网卡Rx 端加载用于控制电路激活的光信号。

这可以通过在发送的光网卡和接收光网卡之间加装分光器来实现，连接示意图如图2 所示。

在发送光网卡Tx 端出来后加装分光器，通过分光器反馈一部分光信号至发送网卡的的Rx 端，使其可以正常工作。