合众单向光闸白皮书探究.docVIP

合众单向光闸 白皮书 Version 7.0 杭州合众数据技术有限公司 2015年 目录 1. 背景概述 1 2. 产品用途 1 2.1. 从互联网采集信息或发布信息至互联网的用户 1 2.2. 非涉密网向涉密网单向传输的用户 2 3. 产品组成 2 4. 工作原理 3 5. 产品主要功能 4 5.1. 文件单向导入导出 4 5.2. 数据库单向同步 6 5.3. 单向UDP 7 5.4. 数据恢复 7 6. 产品特点 7 6.1. 绝对物理单向，防止信息泄密 8 6.2. 没有丢包 8 6.3. 通量大 8 6.4. 支持数据库同步 8 6.5. 流量控制 8 6.6. 抗故障能力 8 背景概述 计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷。而采用以防火墙、网闸为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护，我国历来采用了物理断开的方法，国家保密局在《计算机信息系统国际联网保密管理规定 》中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。按照国家保密局的要求，如果涉密网需要与国际互联网交换数据，只能采用手工拷贝的方式，除此之外，没有其他可行的办法。 但是许多政府部门所需要的基础数据往往来自互联网。同时为了满足向服务型政府转型的要求，各级政府部门也必须加强对外服务的力度，需要为社会公众提供信息查询、在线审批、请求服务等新型应用。形势要求我们，在保证安全的前提下，积极探索解决涉密网与互联网数据传输问题的方案。 合众公司针对政府部门互联网传输链路数据交换的需求，根据目前国内外最新的技术成果，专门研发了合众单向光闸这一创新产品，采用分光镜像的原理解决涉密网络与非涉密网络之间的互联问题。 产品用途 合众单向光闸是采用分光镜像技术实现的用于单向数据传输的隔离设备，主要用来解决政府部门网络与外部公共网络之间存在的单向数据传输需求。它采用分光镜像的原理，通过分光器将源主机上的数据镜像到目标主机上，最终实现数据的单向传输。 合众单向光闸主要适合如下的用户： 从互联网采集信息或发布信息至互联网的用户 有很多用户需要从互联网上采集信息或将本单位内部的信息发布在互联网上供其他单位或社会公众获知。为了保护自身网络和应用系统的安全，保证不发生信息泄露安全事件，因此需要采用单向数据传输设备。而合众单向光闸基于光传输的单向性保证数据传输从物理层面而言就是单向的，反向绝无传输的可能性，因此能够保证没有信息泄密的可能。 非涉密网向涉密网单向传输的用户 根据国家保密局的规定，非涉密网与涉密网进行数据交换时，绝对禁止高等级网络的涉密数据流向低等级网络。因此，非涉密网与涉密网数据交换只能采用单向传输方式。合众单向光闸基于光传输的单向性保证数据传输从物理层面而言就是单向的，反向绝无传输的可能性，因此能够保证涉密网没有信息泄密的可能。 产品组成 合众单向光闸是一种基于分光技术的数据还原装置，它由两台计算机、一个分光器等部分组成。它采用分光镜像的原理，通过分光器将源主机上的数据镜像到目标主机上，最终实现数据的单向传输。 合众单向光闸有别于传统单向网闸，它在逻辑上由三台主机构成，即处于外网端的源主机上存在两个不同的光卡逻辑上分离成发送主机和接收主机，光信号由发送主机发送至分光器，而接收主机通过分光器接收一路光信号并还原成数据，通过内置的数据确认机制（数据签名和收发确认校验方式）来保证数据传输是否正确和完整。 工作原理 合众单向光闸是一种基于分光技术的数据还原装置，它由两台计算机、一个分光器等部分组成。它采用分光镜像的原理，通过分光器将源主机上的数据镜像到目标主机上，最终实现数据的单向传输。 如图所示，合众单向光闸由源主机、目标主机和分光器构成。分光器是组建网络的一个组件，是一个连接和ONU）的无源设备，它的功能是分发下行数据。分光器带有一个上行光接口，下行光接口从上行光接口过来的光信号被分配到所有的下行光接口传输出去。indows映射等方式可以作为合众单向光闸导入导出的文件。静态文件单向导入的典型部署场景如下所示： 通过合众单向光闸能实现以下文件单向传输： 基于FTP服务的静态文件单向导入导出； 基于Windows映射的单向导入导出； 文本型数据库文件（如mdb、dbf文件）的单向导入导出。 数据库单向同步 由于网络结构的划分、安全域的不同及应用需求的不同，在实际环境中经常存在内外网双数据库的应用系统，这些应用系统需要实现内外网数据库之间的数据内容同步。合众单向光闸的单向数据库同步功能正适合这样的应用要求，这时的典型部署场景如下： 通过合众单向光闸能实现以下数据库的单向传输： ORACLE 8I/9I/10G/11G； SQL S