王永连 李树虎 贺佃鹏

摘 要：基于安全考虑，物理隔离两网之间数据通讯采用单向传输的通讯方式更为可靠、安全。论文从技术和管理上设计了人工刻录光盘这种单向传输方式的传输策略，在实际工作中具有更强的实用性。

关键词：物理隔离；网间；单向传输；策略；网间传输管理员

中图分类号：520.1060 文献标识码：A

Abstract： Based on security consideration， the communication mode of one-way transmission between networks of physical isolation is more reliable and safe. This paper designs the transmission strategy of the one-way transmission mode from the technology and management， which is more practical in the practical work.

Key words： physical isolation between networks one-way transmission strategy Inter network transmission Manager

1 引言

物理隔离是指内部网络不得直接或间接地与公共网络连接，以避免内部网络信息受到来自外部网络黑客的攻击，这样就为内部网络划定了明确的安全边界，便于管理，可控性更强。目前，网络物理隔离网间数据传输的技术方案有五种。

（1）人工拷盘。目前，最简单、最安全的隔离网络间数据交换方式，通过纯手工在两网间实现，效率低，不能实现数据的实时交换。两个物理隔离的内网与外网，将要交换的外网计算机上的数据刻录到光盘，然后通过手工将该光盘放入内网指定计算机中，并将数据复制导出。

（2）安全隔离网闸。网闸由外端机、内端机、交换控制模块组成，外端机和内端机两者之间完全隔离，外端机连接外网，内端机连接内网，控制软件大都采用非通用操作系统或改造的专用操作系统，主要实现不同安全级别网络之间的适度可控的数据交换。

（3）光盘摆渡。利用机械臂模拟手工拷盘的方式进行数据传输，外网上需要传递的数据刻录光盘后，通过机械臂将该光盘移置内网中，实现外网向内网的数据传递。由外网服务器端、外网客户端、光盘摆渡机、内网服务器端、内网客户端和软件系统组成。

（4）影像摆渡。利用摄像头捕捉显示屏上的信息进行数据传输，由发送端和接收端两个部分组成，两部分之间完全隔离，发送端由编码端和一块液晶屏组成，接收端由解码端和一个高清摄像头组成，接收端摄像头自动捕捉发送端显示屏上的二维码或其它自定义码，然后再解码还原，实现数据的单向传输。

（5）光纤单向导入。基于光的单向传输特征构建一条单向的传输通道实现网间的数据传输，由置于内网的内端机、置于外网的外端机、光电转换器、发送器和接收器组成。外端机上装有单向光纤发送器，仅有数据发送功能，内端机上装有单向光纤接收器，仅有数据接收功能，实现单向的数据传输。

（2）、（3）、（4）、（5）虽已实现安全隔离，但内外之间都部分共用了硬件设备或网络设备及线路，违反了物理隔离的要求，虽然这些产品可提供多种安全防范措施以实现网间数据交换，但防范总是被动的，仍有待改进与完善。

本文设计的网间单向数据传输策略是基于手工拷盘方式，兼顾技术和管理需要，同时根据各种应用和业务的处理类型来制定相应的传输策略。

2 传输策略设计

2.1 设置网间传输管理员

网络系统的运维有网络系统管理员，网络安全的管理有安全管理员和安全审计员，应用系统的运维有应用系统管理员。建议网间单向传输系统的运维设置网间传输管理员，该管理员需要一定的知识及培训才能对传输系统进行有效、安全地管理。

网间传输管理员专职或由其他系统管理员兼职都可，也可安排另一人作为B角，组成AB角色，以防止A角不在或其他情况对网间单向传输系统进行负责与管理。

2.1.1 网间传输管理员的职责

协助网络安全管理员、网络系统管理员、系统应用管理员及网站管理员等使用网间单向传输系统。

2.1.2 网间传输管理员的角色

网间单向数据传输策略的制定与更改都是由网络安全管理员、网络系统管理员、系统应用管理员及网站管理员按规则共同决定的，而网间传输管理员只是负责协助他們使用网间单向数据传输系统。各个管理员决定哪些数据、什么时候、是使用全网间单向传输或增量网间单向传输以及网间单向传输的保存期限等。

2.2 传输任务划分

按业务系统划分，确定各系统的网间单向传输数据量，并为每个网间单向传输任务制定专用的网间单向传输计划。为每一个计划设置一个计划ID，为每一个任务也设置一个任务ID。当有一个任务进行网间单向传输时，外网端会将网间单向传输的文件进行打包，生成一个任务ID并写入一个配置文件，数据到达内网后，内网端检查任务ID和配置文件来计算出该任务的相应附属信息，以保证每一次网间单向传输任务都有据可查，有章可循，出现问题时能及时定位问题所发生的区域和原因。

2.3 用户身份认证，任务ID绑定

只有通过审批的用户才能获取到网间单向传输过来的数据，并支持任务与身份的绑定，当数据到达内网后，内网服务器根据任务ID的不同将数据分发给指定的用户，因此身份信息决定了所能获取到的数据。任务与用户身份的绑定由系统管理员进行配置，用户就是接收数据的内网用户，可分为单一用户和批量用户。

2.4 传输协议

主要指传输数据的压缩与解压缩，可以根据需要采用自定义压缩/解压缩、通用压缩/解压缩、不压缩等方式，其中自定义方式安全性更高。

2.5 传输文件大小控制

根据各业务系统、用户身份及安全保密要求，对传输的文件大小进行控制，如分为最大10M、100M、1G、不限等，当超过规定大小时要进行严格的审批等。

2.6 传输时间控制

在选择传输时间时，可将多个传输任务设置在同一时段内，这样可以提高传输效率，减少对光盘的浪费。根据各业务系统对传输的需求，以及内部网络对数据时间的要求，可以为每个传输计划制定传输时段。建议两点。

（1）实时性要求比较高的数据，如协同办公中的新闻、消息等数据，为降低数据对业务系统运行的影响，可采用2～3次/天传输一次的策略，如每天上班8：30～9：00、中午11：30～12：30、下午4：30～5：00进行。

（2）实时性要求不高的数据，如一些业务数据等，可采用平均每天传输一次的策略，建议每天传输的时段可以和实时性要求高的传输任务设置在同一个时段进行，如中午11：30～12：30。

2.7 过滤控制

增加文件过滤，对于一些单一类型的数据，可减少外部安全风险，确保从外网进入到内网的数据安全可靠。可设置的过滤参数。

（1）文件类型过滤，对于一些类型的文件禁止传输，如*.exe文件，多个文件类型可使用分隔符，如英文逗号或空格符等。

（2）文件名中关键字过滤，传输文件名中有特殊的关键字禁止此文件传输，如“*秘密*.docx”。

（3）文件内容过滤，文件内容中含有敏感关键字禁止传输，对传输的文件设置敏感词检查，涉及到该内容的文件禁止传输。

2.8 数据保存期限

设定传输数据在内外网中指定存储区的保存期限，其长短由系统业务及密级决定，便于今后的安全审计。

2.9 病毒木马扫描

对要传输的数据是否启用病毒木马扫描。

2.10 光盘盘片管理

（1）使用过的光盘不再使用，保证每次使用都是新的空白刻录光盘。

（2）每次使用的光盘都进行登记造册。

2.11 调度策略统一规划

在确定以上内容后，对普通传输任务的调度策略进行统一规划，尽量采用大小数据量相匹配，重要业务与普通业务相匹配的方式，在同一时间段内进行，以确保重要业务的数据网间单向传输。

2.12 传输策略的修改

一些硬件、软件及应用需求的改变都需要对传输策略进行修改。这时，网间单向传输管理员要会同各个管理员按相应的程序进行，而不是由网间单向传输管理员自行决定修改。

首先由网络安全管理员、网络系统管理员、系统应用管理员及网站管理员提出需求，将需要改变的内容以书面方式提交给网间传输管理员。

网间传输管理员收到修改需求后，确定修改内容的合理性以及是否对其它网间单向传输造成影响。如果確认可以修改，再对网间单向传输系统进行修改，并将修改的内容以书面方式登记备查。更改后，再对网间单向传输部分进行相应的测试。

3 结束语

采用本文设计的物理隔离网间单向数据传输策略编制的内网端控制软件和外网端控制软件，在使用时可使数据的传输在技术和管理上更加安全可靠。

参考文献

[1] 史萌，丁阿丹.物理隔离的网间“摆渡”技术应用研究[J].通信技术，2013，46（06）：114-116.

[2] 周建宁，季君，彭璇，方艾芬.公安内外网数据交换平台的设计研究[J].智能交通， 2017，47（02）：73-77.

[3] 张欣琦.单向光闸原理及功能浅析[J].网络安全技术与应用，2016（5）：99-100.