陈志军，洪莎莎

（中国铁路设计集团有限公司，天津 300308）

随着企业数字化转型的逐步深入，无论是国有企业还是私营企业都投入了大量资源进行信息系统建设，信息化程度日益提升。在这一过程中，企业也越来越重视核心数据资产的保护，数据资产的安全防护成为企业面临的重大挑战。因此绝大多数企业为了防止内部核心数据泄露，都实施了内外网隔离来保证网络安全和数据安全。

目前，政府机构，事业单位，高端制造、银行等大中型企业，根据国家安全保密管理要求，均已建立了多个网络环境，例如涉密网、非涉密网、生产网、测试网、互联网等。为了杜绝基于网络连接的信息和数据泄密事件的发生，通常使用防火墙、网闸等方式实现网络隔离，所有涉及企业秘密、非涉密的应用和数据同样受到严格控制，阻碍了不同等级网络之间的信息沟通，也一定程度上限制了企业信息化发展。

为了在网络隔离的环境下仍然可以有跨网数据和文件交换的途径，本文研究跨网信息安全平台建设方案，满足企业多张网络物理隔离基础上的数据安全交换需求。

1 信息安全交换平台架构设计

1.1 跨网络数据交换技术

防火墙技术和网闸技术是目前在不同安全等级网络之间进行信息安全传输及交换的主流技术。防火墙技术解决的是网络逻辑隔离条件下的数据交换需求，而网闸以数据摆渡的方式实现不同网络之间的数据交换，能保证两张网络在任何时候没有电气连接情况下，实现数据的往返传输，可以有效解决企业不同网络物理隔离条件下的信息共享需求。因此，本文研究的信息安全交换平台选用网闸技术作为企业跨网络数据安全交换技术。

网闸由内端机、数据交换单元和外端机组成，并通过两套固态开关控制数据分时读写，同一时间仅能有一个开关处于闭合状态，从而实现不同网络物理隔离基础上的数据交换，如下图所示：

图1 网闸系统架构示意图

信息流从互联网向企业内部网络转发时，流量先经过网闸外端机进行协议剥离，再经过数据交换单元进行纯数据包摆渡，数据摆渡过程中，还要对数据进行必要的完整性、安全性检查，如病毒和恶意代码检查等，经安全检查之后的数据传输至内端机，并在内端机重新进行协议封装。网闸对数据包进行协议剥离、纯数据摆渡，协议重组的过程，一方面实现了纯数据的安全交换，另一方面消除了应用层协议漏洞带来的安全风险。

1.2 信息交换平台物理架构

安全网闸的使用大大提高了不同网络间数据交换的安全性。在实际应用中，网闸支持为标准的应用层协议提供数据传输接口，如HTTP、HTTPS、SMTP、POP3、流媒体、TNS、SOAP、TELNET、FTP 等。但安全网闸传输机制具有不可编程的特性，优点是不会受到病毒感染，缺点是难以适应复杂多样的应用系统架构。为更好的实现与不同应用之间的对接，可在安全网闸的内外两侧配置对应的前置机及后置机，用于对数据进行采集、存储、安全过滤、流控、分发及监控处理。前后置机可根据具体应用特性和架构进行接口编程，进一步提高对应用协议的支持扩展性，以充分适应各种应用场合。前后置机与网闸设备配合使用，共同构成双网安全交换解决方案，如下图所示：

信息安全交换平台采用外置机、隔离网闸、内置机组成2+1结构。隔离网闸包括外端机、隔离部件和内端机，也是2+1结构，外端机和内端机上安装经安全加固的linux 操作系统。这种架构是目前最先进、最安全的双网安全数据交换技术，国铁集团客票系统采用该架构进行内外网数据安全交换。

图2 信息安全交换平台物理架构示意图

1.3 信息交换平台功能设计

安全网闸提供网络安全隔离功能，在网络物理隔离基础上建立数据传输通道，内端机和外端机之间通过私有协议进行纯数据摆渡，确保不同网络之间无任何的网络协议直接穿透，传输的原始数据不具有攻击或对网络安全有害的特性。

前置机和后置机提供跨网络文件同步代理、数据库代理、应用访问代理功能。文件代理从服务器中抓取需要传输的文件，存储到本地，根据管理策略将文件推送到对应网络指定的文件服务器，或等待对应网络文件服务器来提取文件。数据库代理从指定数据库服务器中抓取需要传输的数据库变化信息，形成文件存储在本地，并推送给对应网络指定的数据库。应用代理是为各类应用穿越不同安全等级网络所构建的应用层协议代理系统，提供跨网络访问应用的通道，解决各种应用协议跨网络进行信息传输的安全问题。

2 信息安全交换平台安全防护设计

信息安全交换平台在实现企业跨网络数据交换的同时，网络安全防护技术符合等保2.0安全要求，为企业网络、应用和数据提供安全保障。

安全隔离网闸是在网络物理隔离的基础上实现互联互通，符合等保2.0规定的“重要网络区域与其他网络区域之间应采取可靠的技术隔离手段”要求。

安全网闸基于IP 五元组实现访问控制机制，符合等保2.0规定的“应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信外受控接口拒绝所有通信”要求。

前后置机的文件代理模块对需要采集的远程文件资源和本地文件传输目录进行配置；数据库代理模块对需要同步的源及目的数据库进行配置；应用代理模块对需要传输数据的应用系统进行网络协议的代理配置。通过文件代理模块、数据库代理模块和应用代理模块的安全配置，不允许非授权数据及协议通过信息安全交换平台进行数据交换。

3 结束语

本文主要研究了不同网络物理隔离条件下的跨网络数据安全交换技术，提出信息安全交换平台建设方案，详细设计了信息安全交换平台的物理架构和功能架构，并研究了信息安全交换平台的安全防护技术。随着企业内外网信息交换需求的逐渐增多，建设信息安全交换平台对企业跨网络数据交换发挥重要意义，研究成果经试验验证具备推广实施条件。