单向隔离网闸的设计及其传输可靠性探讨.docVIP

精品论文 参考文献 单向隔离网闸的设计及其传输可靠性探讨 　 颜敏燕淤YAN Min-yan曰韦樑于WEI Liang（淤同济大学，上海200092；于上海市信息安全测评认证中心，上海200011）（淤Tongji University，Shanghai 200092，China；于Shanghai Information Security Testing Evaluation and Certification Center，Shanghai 200011，China） 　　摘要院当今各行各业信息化应用已经相当广泛和深入，而在信息化的大数据时代，信息的交互必不可少。但不同网络间的信息交换，特别是信任网络与信任网络间的交换往往存在着诸多风险。本文基于现有的网络隔离与信息交换技术，对单向隔离传输的方式进行了研究，对其可能存在传输可靠性问题进行了分析，探讨了几种提高其传输可靠性的方法。 　　Abstract院Nowadays, the information application in all walks of life is quite wide and deep, and in the big data information era, theinformation interaction is necessary. But there are often a lot of risks in the exchange of information between different networks, especially inthe exchange between trust and trust network. Based on the existing network isolation and information exchange technology, this paperstudies the one-way isolated transmission mode, analyzes its possible transmission reliability problems, and discusses several methods toenhance the reliability of its transmission.关键词院信息隔离与信息交换；网闸；传输可靠性Key words院information isolation and information exchange；net gap；transmission reliability中图分类号院TP393 文献标识码院A 文章编号院1006-4311（2014）27-0219-02 　　0 引言如今各行各业越来越依赖信息系统，而且跨部门、跨行业、跨条线的数据交互需求越来越多。但是在信息交互的过程中有些情况不得不考虑，那就是交互双方或者几方信息系统的重要性不同，比如：民政信息系统要与公安系统、卫生计生等系统交互信息，它们间的信息系统重要等级可能会不同；并且某些系统为了其自身强调与互联网隔离，但同时部分数据又必须通过互联网进行采集传递，如：网上银行需要向银行核心业务系统传递网上交易信息等。 　　所以，在做好重要系统安全隔离的前提下进行安全的有条件的信息传输一直是信息安全界研究讨论的话题。 　　1 安全隔离和信息交换1.1 网闸的概念和技术1995 年俄罗斯人RyJones 等人提出了“AirGap”的概念，用于描述网络之间的状态，即指空气形成的用于隔离的缝隙（网络链路层的断开）。而现在我们俗称的“网闸”（GAP）是AirGAP 的延伸和扩展，它是指通过硬件的方式在两个不连通的网络间进行数据传递或者交换的技术。 　　它进行数据安全传递的基本原理是通过切断网络之间的TCP/IP 连接；分解TCP/IP 数据包；由自有协议进行数据包转发；重组TCP/IP 数据包；进行安全性检查（包括协议检查、内容确认等），将数据交换传输出去。因为在同一时刻只连接一端网络（内部或者外部），而不同时连接两端，所以信息在传输时可以看作为一种物理的摆渡，而且因为内部传递不使用TCP/IP 协议，所以网闸在防止了内部木马病毒反向连接的同时也可以避免因为TCP/IP 协议本身漏洞而带来的安全风险。 　　1.2 网闸的组成及其一般结构网闸一般设计为双主机结构（内、外网主机），两台主机用于对源数据的安全检查和协议转换，其功能一般包括：数据源确认、数据定向推送（获取）、协议分析、协议转换、访问控制、病毒检测、日志审计、文件格式检查、自纠错协议、自校验协议、设备管理配置等。 　　在两台主机间有专用的数据交换卡，主机与交换卡之间放置了电子开关，系统的控制逻辑使得电子开关1 和