南京海关单向光闸测试报告

南京海关单向光闸
测试报告
1
目 录
1任务来源 ............................................... 0 2测试目标 ............................................... 1 3测试内容 ............................................... 1 3.1 文件传输 ............................................. 1 3.1.1文件传输测试架构图 ................................ 1 3.1.2单向光闸技术说明 .................................. 2 3.1.3文件传输测试情况 .................................. 4 3.2 视频传输 ............................................. 5 3.2.1视频传输测试架构图 ................................ 6 3.2.2视频技术说明 ...................................... 6 3.2.3视频测试情况 ...................................... 6 4测试结论 .. (7)
1任务来源
随着海关电子政务的发展，建立了海关内网和专网，内网、专网同公网之间需要实现信息交换，这些交换都是以安全为前提，一旦内网或专网的敏感信息外泄，可能造成无法估量的损失。

因此，需要一种专用物理隔离跨网单向传输设备，可将公共网络的信息单向可靠传输到海关内网和专网且不能存在从海关内网向公共网络传输的物理信道，以防海关内网的敏感数据外泄。

2测试目标
目前，海关最常见的跨网传输信息主要是文件传输和视频传输。

从外网向海关内网传文件，方便海关内部获取外网的信息资源；将各港口的视频监控传输到海关内网，方便海关业务监控。

本次主要测试单向光闸两方面的功能：
（1）从外网向海关内网传输文件；
（2）将海关港口视频监控实时传输到海关内网。

3测试内容
3.1 文件传输
从公共网络向海关内网传输文件。

3.1.1文件传输测试架构图
外网主机连接到公共网络，内网主机链接到海关内网，公共网络和海关内网通过单向光闸连接，单向光闸中间透明可见，没有任何物理连接，如下图所示：
1
图 1 文件传输测试架构图
3.1.2单向光闸技术说明
3.1.2.1 单向通信
为了切断高密网向低密网传输信息的物理通道，外网和内网中间通过单模光纤光收发装置连接，如图1所示：
图2 光收发装置
在图1中，A端的光发射头通过单模光纤连接外网，C端的光接收头通过单模光纤连接到内网，光发射头和接收头之间没有任何物理连接，A端只能发光，C端只能接收，信号只能从A端向C端单向发送，不可逆。

该设计模型实现了外网和内网绝对的物理隔离、单向传输、没有任何物理连接。

3.1.2.2 中间透明
在网闸和普通单向光闸中，设备都是黑匣子，是否单向不能一目了然，如果被改装，高密网敏感数据外泄，存在严重的潜在安全问题，本装置中间设置为透明，如图3所示：
2
图3 单向光传输示意图
在图3中，外网表示低密级网，内网表示高密级网。

A端与外网相连接，C 端与内网相连接，中间通过单向光传输设备连接，中间部分对外可见。

是否单向可一目了然，有效防范了普通黑匣子光闸存在的隐形通道，防止高密网敏感信息外泄。

3.1.2.3 可靠传输
由于本系统采用单向传输，没有反馈通道，在理论上不可能达到完全可靠，对于很多应用可能会发生丢包和超时等问题，这给信息可靠传输带来一定影响。

为了解决可靠传输问题，系统采用如图4所示方式实现：
图4 单向光闸原理图
在图4中，A1、B1、C1为单模光纤光电转换器，主板A连接外网，同时和主板B正常双向通信，主板C连接内网，主板A将发送给主板B的TX信号复制到C1的接收端。

通过如上实现方式，可以达到如下目的：
3
（1）主板C接收到与主板B相同的信息；
（2）主板B给主板A发送ACK应答信号。

这样，外网可以将信息单向发送到内网，也能收到反馈信号，既能满足信息可靠传输，也能达到单向传输的目的。

3.1.3文件传输测试情况
在外网主机和海关内网主机安装单向光闸传输系统客户端应用程序，外网主机负责发送，海关内网主机负责接收。

图 5 发送文件
4
图6 接收文件
在海关内网通过linux系统命令iftop查看网络情况，数据单向传输，只有RX，没有任何TX数据。

图7 文件单向传输测试图
3.2 视频传输
张家港海关网络分港口办电子口岸网（以下简称电子口岸网）和市区海关网（与南京海关网络互通），港口摄像头等视频源部署在电子口岸网。

单向传输光闸将电子口岸网段视频传输到市区海关网络。

5
3.2.1视频传输测试架构图
管理服务器
流媒体服务器
流媒体服务器
单向传输光闸
流媒体服务器
图 8 视频传输架构图
3.2.2视频技术说明
单向传输光闸可以用来传输RTSP实时视频流。

如图8所示，单向传输光闸A 端从流媒体获取源视频流，然后按照单向传输原理将视频数据包发送到C端，C 端获取视频流之后推送到目的流媒体服务器。

单向传输光闸目前支持传输RTSP 格式的H264、MPEG4等编码格式的视频流。

3.2.3视频测试情况
测试在港区办部署一套cVideo视频综合平台，将视频源添加到cVideo平台，在单向传输光闸A端和C端配置传输视频流，将视频流传输到张家港市区海关（通往南京）。

测试分别进行单个光闸设备同时传输60路、100路、140路分辨率720P、码率2048kpbs视频流；100路、200路、300路、320路CIF 500kpbs视频流。

测试结果如表1 720P测试、表2CIF测试所示。

表 1 720P 2048kpbs视频流
A-CPU% A-IO A-内存C-CPU% C-IO C-内存结论
6
KB/s MB KB/s MB
60路32 11092 857 35 11260 1187 正常100路52 20010 1271 55 20707 1988 正常140路73 32686 1626 74 35173 2628 正常150路80 37150 1742 85 38010 2685 视频
卡顿
表2 CIF 500kpbs 视频流
A-CPU% A-IO
KB/s A-内存
MB
C-CPU% C-IO
KB/s
C-内存
MB
结论
100路33 6300 1319 33 6700 1871 正常200路50 12132 2227 55 12992 2869 正常300路66 17575 3191 77 19351 3078 正常320 路72 21706 3337 82 22784 3007 视频
卡顿
通过测试，在保证视频传输质量的时候720P 2048kbps视频流最大能够传输140路；CIF 500kbps视频流最大能够传输300路。

4测试结论
通过单向光闸从外网向海关内网进行文件传输和实时视频流传输进行测试，文件传输速度稳定，没有任何反馈信息，能够有效解决外网向海关内网传输文件
7
并防止海关内网敏感信息外泄。

在视频测试中，将张家港港口视频实时传输到海关内网，南京海关可正常访问视频数据，多路实时视频流跨网再生成，有效解决港口视频监控向海关内网传输问题。

8。