王进

（中国科学院空天信息创新研究院 北京市 100190）

1 引言

大工业时代的分工协作要求信息跨部门、跨组织、甚至跨国流转，信息的安全流转尤其是敏感信息的安全流转就显得尤为重要。过去各部门、组织的局域网间信息流转通过防火墙设备将病毒、非法信息阻挡在局域网外面以此达到信息的安全流转，但是局域网间以防火墙作为安全防护来连接的这种方式实质上局域网间是物理连接的，只要是物理连接就会在信息流转过程中造成很大信息泄露危险及网络安全风险。有的组织用内部刻盘专人报送的方式消除风险，但只适用于小量、非实时且近距离的信息流转。当涉及到大量、实时、长距离的信息流转就迫切的需要新思路来设计一套跨网信息流转单向导入导出安防系统以达到信息有效流转及网络安全的目的。

2 设计思路

本文通过对局域网进行等级划分后，基于局域网等级来设计信息流转单向导入导出系统，使得信息即安全流转，各局域网也得到安全防护，同时防护成本得到有效控制。文中举例说明，首先，定义A 组织局域网为高等级简称A 网，B 组织局域网为低等级简称B 网。当B 网向A 网流转信息时部署防火墙+单向网闸+单向网关；当A 网向B 网流转信息时部署防火墙+光盘摆渡+单向网关。通过专用安防设备实现信息自动流转，配合强制安全控制机制，实现流转前病毒查杀、端口控制、审批审计，确保信息安全、受控流转。该跨网信息流转单向导入导出系统既能满足大数据量、高实时性的信息流转需求，也能兼顾网络安全。

3 系统架构

在B 网与A 网之间建立跨网信息流转单向导入系统，考虑到极端情况下B 网与A 网距离很远，跨区、跨市、甚至跨省，需要租赁运营商广域网专线来进行连接，B 网信息经过长距离运营商广域网专线，传输过程中不保证会出现 “入侵”问题，B 网信息进A网前通过防火墙进行第一轮的访问控制，过滤掉非法地址、地址组、地址池；访问控制精度到应用功能，应用识别与入侵检测、防病毒相结合；第一时间获取最新威胁信息，准确检测并防御针对漏洞的攻击。 通过信息安全后进入单向网闸进行数据完整性检查、关键字过滤、文件类型检查、文件大小过滤等强制处理后再由单向网闸利用内部单向机制进行信息流转（物理隔离传输方式，没有任何物理连接或信息传递），具有实时性好，高速快捷的传输性能，适用于所有类型信息传送。单向网闸通过内部的发送端、接收端两套独立的信息处理系统实现网络协议剥离，内部发送端与接收端服务器通过私有协议传输。做到信息强制单向传输到单向网关指定目录，另一个单向网关网卡接入A 网，A 网可以读取到单向网关指定目录流转到的B 网信息。

在A 网与B 网之间建立跨网信息流转单向导出系统，A 网作为高等级网络的业务信息更敏感、安全性更高，因此往B 网流转的信息首先由人工审查、审批后再通过防火墙进行访问控制和信息安全处理后进入光盘摆渡进行病毒查杀、关键字过滤、文件类型检查、文件大小过滤等强制处理后再由光盘摆渡采用机械臂模拟手工操作光盘，实现外部网络和内网在物理隔离的情况下，数据自动单向传输。光盘摆渡属于完全物理隔离传输方式，没有任何物理连接或信息传递。光盘摆渡设备支持CDDVDBD 等多种光盘介质，再将信息发送到单向网关指定目录，另一个网卡接入B 网，B 网读取到单向网关定目录流转的A 网信息。通过光盘摆渡高级物理隔离，异构隔离做到信息由高向低的安全流转。

系统架构如图1所示。

图1：系统架构图

4 系统功能

防火墙可防护各种针对Web 的攻击，包括SQL 注入攻击和跨站脚本攻击等；主动响应恶意扫描行为，快速发现，记录恶意行为，实现对企业威胁的实时防护；对传输的文件和内容进行识别过滤，可准确识别常见文件的真实类型，如Word、Excel、PPT、PDF等，并对内容进行过滤；可基于用户对访问内容进行审计、溯源；支持丰富高可靠性的VPN 特性，如IPSec VPN、SSL VPN、L2TP VPN、MPLS VPN、GRE 等；提供自研的VPN 客户端SecoClient，实现SSL VPN、L2TP VPN 和L2TP over IPSec VPN 用户远程接入，支持DES、3DES、AES、SHA、SM2/SM3/SM4 等多种加密算法。检测并防御隐藏在SSL 加密流量中的威胁，包括入侵防御、反病毒、内容过滤、URL 过滤等应用层防护。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS 等服务。Finger 显示了主机的所有用户的注册名、真名，最后登录时间和使用shell 类型等。但是Finger 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS 信息，这样一台主机的域名和IP 地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet 服务性的企业内部网络技术体系VPN（虚拟专用网）。进出网络的数据都必须经过防火墙，防火墙通过日志对其进行记录，能提供网络使用的详细统计信息。当发生可疑事件时，防火墙更能根据机制进行报警和通知，提供网络是否受到威胁的信息。

单向网闸指定需要文件传输的B 文件夹以及A 文件夹，设备就会实时同步增量文件。支持大量小文件及大文件的传输，支持重名策略，支持多级目录嵌套，支持不依赖于文件扩展名的文件格式检查；单向网闸提供精确检查确认文件是否正确传输到目的端功能，并且能帮助用户方便快捷确定丢失的文件以及重传未成功的文件；单向网闸向数据库同步提供ORACLE、SYBASE、MS SQLSERVER 等常见数据库的单向同步功能。支持同种数据库或异种数据库之间的同步、支持精度到字段级同步以及特殊的条件同步；提供稳定且高效的邮件单向导入和邮件过滤功能。单向网闸提供邮件单向导入功能提供邮件从B 网到A 网的邮件单向传输功能。高效的邮件传输能够支撑大部分应用环境日常应用的需求.另外单向邮件传输模块会对每封邮件的相关信息进行记录,最大限度的保证了单向邮件导入功能的可靠性，同时单向网闸提供邮件过滤功能包括邮件地址过滤,邮件域名过滤,邮件内容过滤,邮件附件过滤和ip 地址端口过滤可以最大限度保证有害信息和敏感信息无法导入A网应用系统；这样通过防火墙逻辑隔离、单向网闸物理隔离，两次异构隔离做到信息由低向高的安全流转。在不降低安全性的前提下能够完成内外网之间高速的数据交换，安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的。虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的，但却提供了比第一代网闸更多的网络应用支持，并且由于其采用的是专用高速硬件通信卡，使得处理能力大大提高，达到第一代网闸的几十倍之多。而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性，从而在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

光盘摆渡各种类型文件自动摆渡，包括文件、图像、视频等不同类型文件的自动摆渡，支持主流商用数据库和国产数据库的单向摆渡，支持同构或异构数据库之间的单向摆渡。外部专网可指定某台计算机共享数据摆渡目录，将产生的数据存入该目录，单向光闸实时监控该目录，发现有新增文件，即时将文件增量（或全量）摆渡至隔离缓冲区，调度网关收到文件自动判别文件类型，将数据量小的文件产生的文件发送给影像摆渡设备，实时摆渡至内网端的数据交换网关；将数据量大的文件发送给光盘摆渡设备，定时进行文件自动摆渡。内网端的数据交换网关收到文件后，存入预设的文件目录内，实现一次完整的数据摆渡。可对用户身份进行认证，只有合法用户才可进入系统，进行数据摆渡。光盘摆渡能够通过IP 地址、MAC 地址进行检查，只有IP 地址、MAC 地址都匹配的数据包才能够通过，以此来限制发送方和接收方终端违规传输数据。光盘摆渡当实时性不强的大数据量文件从外网导入内网时，必须通过审批或审计才可进行摆渡，支持自定义审批流程设置，用户可根据实际需求设置审批流程，确保导入内网的数据可控可查。光盘摆渡能够根据摆渡的数据类型、大小，设置不同摆渡任务，分别调用不同摆渡设备，实现不同类型的数据分别由不同设备摆渡至内网。后续摆渡数据量增加，追加摆渡设备后，还可进行设备空闲状态自动检查，提高系统的使用效率。光盘摆渡日志审计内容包括任务日志与管理日志，任务日志记录摆渡任务执行情况；管理日志记录管理员操作、系统状态等内容。任务日志内容包括任务时间、任务类型、任务用户等内容，同时也支持基于任务时间、任务类型、任务用户等条件进行日志检索。管理日志包括系统日志、调试日志等，记录系统交互时的系统消息、系统运行情况，管理人员根据调试日志能够快速定位系统故障，并能够对系统运行是否正常做出判断。

单向网关感知网络接入的能力，网关首先是具有对各节点属性、状态等信息的获取功能，即可以感知各节点的实时状态。其次是具有对节点的远程控制、唤醒、诊断和数据传输等功能，即实现节点的自动化管理；异构网络互通的能力，因为家庭内网和互联网外网的IP 是不一样的，是无法通讯的，这样网关接入必然存在跨域通信的要求，因此需要完善的寻址技术，以确保所有节点的信息都能被准确、高效、安全地进行定位和查询；随着物联网应用的发展，节点地址的数量会逐渐增大，且其编码结构与DNS 中的域名结构不同，因此需要有一套与互联网不同的寻址技术以满足需求；通讯与数据格式标准化，网关必须实现传感网络到传统通信网络的协议转换，将协议适配层上传输的标准格式数据进行统一封装，将广域接入层下发的数据解包成标准格式数据，实现命令的解析，之后转换为感知层协议可以识别的信号和控制指令。

通过设计，将四类类设备功能有机地组合在一起实现跨网信息有效流转及网络安全。通过防火墙+单向网闸+单向网关串联方式构建异构隔离通道，通过三种技术原理不同的异构隔离设备，实现数据单向导入，具备较强的防攻击能力，能够更加有效的防止外部威胁侵入。防火墙+光盘摆渡+单向网关串联方式构建异构隔离通道，通过三种技术原理不同的异构隔离设备，实现数据单向导出，具备较强的防攻击能力，能够更加有效的防止外部威胁侵入。其中，单向网闸是数据单向摆渡，且传输时进行了网络协议剥离，光盘摆渡设备是目前安全级别最高的完全物理隔离设备，二者技术原理、实现方式、传输介质截然不同，增强了系统的防攻击能力，提高系统的安全防范级别。

5 结束语

在目前的网络安全建设标准规范中，还没有完整的信息跨网流转建设依据，在几个相关建设标准中，涉密内网与非涉密网应始终保持物理隔离状态；本设计充分考虑并抓住物理隔离的关键进行设计。即使这样本设计并不适用任何信息跨网流转建设，随着新入侵手段的不断发展，更新的防护思路也要随之而来，包括制定新的标准规范，设计更新的防护方案，选用更新的防护设备。总之要与时俱进地实时提升网络安全意识。