隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索.docx_第1頁
隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索.docx_第2頁
隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索.docx_第3頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用探索lil劉宏娟(中國(guó)國(guó)土資源航空物探遙感中心,北京,UXJO83)摘要:本文通過對(duì)網(wǎng)絡(luò)隔離技術(shù)的研究,介紹了隔離網(wǎng)閘(GAP)的工作原理并對(duì)比了其優(yōu)勢(shì)和先進(jìn)性。結(jié)合地質(zhì)數(shù)據(jù)的特點(diǎn)和應(yīng)用場(chǎng)景,介紹了隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信息化方面的應(yīng)用實(shí)踐。關(guān)鍵詞:網(wǎng)絡(luò)隔離;GAP;協(xié)議剝離;信息化收稿日期:2018-09-12作者簡(jiǎn)介:劉宏婿(1981),女.碩士,1:程師,從市自然資源信息化建設(shè)與研究工作,1網(wǎng)絡(luò)隔離1.1網(wǎng)絡(luò)隔離的重要性網(wǎng)絡(luò)和信息化的發(fā)展極大地便利了信息交互,為各行各業(yè)的生產(chǎn)發(fā)展帶來了極大便利,但網(wǎng)絡(luò)的開放性和無界性對(duì)信息安全的威脅亦日趨復(fù)雜,尤其是一些安全

2、級(jí)別較高的部門如政府、軍隊(duì)、科研單位、銀行、金融機(jī)構(gòu)的敏感信息不能直接對(duì)外公布,其核心網(wǎng)絡(luò)必須與外界網(wǎng)絡(luò)相對(duì)隔離。區(qū)別于完全開放的互聯(lián)網(wǎng),涉及國(guó)家秘密的網(wǎng)絡(luò)空間都是涉密域,須嚴(yán)格遵守保密規(guī)定。國(guó)家保密局頒布的計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定中明確規(guī)定:“涉及國(guó)家秘密的計(jì)算機(jī)系統(tǒng)不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相聯(lián)接.必須實(shí)行物理隔離?!辈簧婕皣?guó)家秘密但涉及本部門單位或本系統(tǒng)工作秘密的網(wǎng)絡(luò)空間是非涉密域,不涉及國(guó)家秘密或工作秘密、向互聯(lián)網(wǎng)完全開放的網(wǎng)絡(luò)空間是公共服務(wù)域。不同安全級(jí)別的網(wǎng)絡(luò)空間必須進(jìn)行物理或邏輯隔離,以保障網(wǎng)絡(luò)與信息安全。1.2網(wǎng)絡(luò)隔離技術(shù)及其發(fā)展網(wǎng)絡(luò)隔離(Netw

3、orkIsolation)是基于數(shù)據(jù)流動(dòng)和交換基礎(chǔ)上的一種網(wǎng)絡(luò)安全技術(shù),能夠在保障信息安全的前提下實(shí)現(xiàn)不同安全等級(jí)的網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞。根據(jù)隔離方法的不同可以分為物理隔離(PhysicalIsolation)和協(xié)議隔離(ProtocolIsolation)o物理隔離較好理解,是指兩個(gè)網(wǎng)絡(luò)之間完全不存在直接或間接的物理線路連接,是最可靠、最安全的隔離。協(xié)議隔離是指通過不可路由的協(xié)議(如1PX/SPX、NetBEUI)將兩個(gè)或兩個(gè)以上的可路由網(wǎng)絡(luò)(如TCP/IP)連接進(jìn)行數(shù)據(jù)交互,從而達(dá)到隔離的目的。區(qū)別于物理隔離,協(xié)議隔離屬于虛擬隔離,網(wǎng)絡(luò)間存在著直接或可路由的物理連接,具有一定的安全風(fēng)險(xiǎn)C另一

4、方面.現(xiàn)實(shí)中不同安全級(jí)別的網(wǎng)絡(luò)往往需要進(jìn)行直接的數(shù)據(jù)交互,甚至是實(shí)時(shí)的數(shù)據(jù)交互以提供必要的服務(wù)。在完全物理隔離的要求下,傳統(tǒng)方式是使用介質(zhì)拷貝,效率較為低下,而且無法對(duì)拷貝交換的數(shù)據(jù)進(jìn)行安全審查,容易導(dǎo)致信息泄露、偽造等安全問題。網(wǎng)絡(luò)隔離性與數(shù)據(jù)流通性、信息安全性與應(yīng)用便捷性,是網(wǎng)絡(luò)安全一直以來需要取舍平衡的“矛”與''盾”O(jiān)截至目前網(wǎng)絡(luò)隔離技術(shù)大致經(jīng)歷了五個(gè)發(fā)展階段:第一代是完全物理隔離;第二代引入了硬件插卡,獨(dú)立控制硬盤或其他存儲(chǔ)介質(zhì);第三代利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制數(shù)據(jù)實(shí)現(xiàn)了相對(duì)隔離;第四代引人臨時(shí)緩存器的概念,使用單刀雙擲開關(guān)分時(shí)訪問緩存器來隔離內(nèi)外網(wǎng)絡(luò);第五代則是目前應(yīng)用較

5、為廣泛的安全通道隔離技術(shù),通過專用的通信硬件和安全協(xié)議等機(jī)制,從而實(shí)現(xiàn)網(wǎng)絡(luò)隔離和數(shù)據(jù)交換。1212隔離網(wǎng)閘的工作原理隔離網(wǎng)閘(GAP)是第五代網(wǎng)絡(luò)隔離技術(shù)的代表性成果,源于英語中的“AirCap”,是通過專用硬件和傳輸協(xié)議實(shí)現(xiàn)兩個(gè)或者以上的網(wǎng)絡(luò)在不連通的情況下安全傳輸數(shù)據(jù)的網(wǎng)絡(luò)安全技術(shù)。隔離網(wǎng)閘綜合了物理隔離和協(xié)議隔離兩種隔離技術(shù),在物理層面上通過隔離傳輸硬件設(shè)備保證了任意時(shí)刻網(wǎng)絡(luò)鏈路層都是斷開狀態(tài)從而阻隔網(wǎng)絡(luò)攻擊,同時(shí)又繼承了協(xié)議隔離的高效性,使用專門開發(fā)的私有協(xié)議阻斷TCP/IP協(xié)議及其他網(wǎng)絡(luò)協(xié)議,從而杜絕網(wǎng)絡(luò)協(xié)議漏洞。隔離網(wǎng)閘不僅能有效地把不同安全等級(jí)的網(wǎng)絡(luò)隔離開來,還能高效地實(shí)現(xiàn)不同安

6、全等級(jí)網(wǎng)絡(luò)之間數(shù)據(jù)的安全交換,透明支持基于網(wǎng)絡(luò)的應(yīng)用。隔離網(wǎng)閘的基本架構(gòu)和原理是在需要隔離的系統(tǒng)之間構(gòu)建起一片“安全隔離區(qū)”,核心模塊是物理隔離和協(xié)議剝離。物理上需要隔離的網(wǎng)絡(luò)空間不能直接連接,通過類似空氣開關(guān)的單刀雙擲開關(guān)保障同一時(shí)間只有一方網(wǎng)絡(luò)空間與隔離設(shè)備建立起非TCP/IP協(xié)議的數(shù)據(jù)連接。任何一方的網(wǎng)絡(luò)包都不能宜接進(jìn)入另一方,必須在隔離區(qū)進(jìn)行數(shù)據(jù)檢查,對(duì)網(wǎng)絡(luò)層協(xié)議進(jìn)行數(shù)據(jù)提取和私有化安全協(xié)議再封裝,確保隔離區(qū)交換的只是應(yīng)用數(shù)據(jù)。因此隔離網(wǎng)閘所連接的兩個(gè)或兩個(gè)以上系統(tǒng),不存在沒有TCP/IP連接或其他通信連接,沒有協(xié)議、沒有包轉(zhuǎn)發(fā)、沒有網(wǎng)絡(luò)命令,只有數(shù)據(jù)塊的無協(xié)議“擺渡”,對(duì)固態(tài)存儲(chǔ)介質(zhì)

7、只有“讀”和“寫”兩個(gè)命令。因此隔離網(wǎng)閘和透明橋、IPoverUSB以及通過其他方式來進(jìn)行包轉(zhuǎn)發(fā)的隔離有著本質(zhì)的區(qū)別。外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)CTU以最常見的網(wǎng)絡(luò)傳輸數(shù)據(jù)包處理為例,當(dāng)數(shù)據(jù)流由外向內(nèi)傳輸時(shí),隔離網(wǎng)閘的外網(wǎng)處理單元會(huì)完整地接收所有的TCP/IP數(shù)據(jù)包,經(jīng)過入侵檢測(cè)、防病毒、防惡意代碼等一系列安全檢查后去掉協(xié)議頭,將數(shù)據(jù)包按照私有安全協(xié)議的格式分解重組成私有數(shù)據(jù)塊,由此切斷了網(wǎng)絡(luò)層之間通用的協(xié)議連接,再交由安全隔離和交換處理單元,將私有數(shù)據(jù)塊“擺渡”到內(nèi)網(wǎng)處理單元,通過身份驗(yàn)證的內(nèi)部用戶獲取最終數(shù)據(jù)。向由內(nèi)向外的數(shù)據(jù)流處理亦然。3隔離網(wǎng)閘的應(yīng)用實(shí)例本文以航遙中心為例介紹隔離網(wǎng)閘在地質(zhì)數(shù)據(jù)信

8、息化中的應(yīng)用實(shí)踐“目前航遙中心共有3個(gè)數(shù)據(jù)網(wǎng)絡(luò),接收原始衛(wèi)星遙感數(shù)據(jù)的內(nèi)網(wǎng)屬于非涉密域,負(fù)責(zé)數(shù)據(jù)處理加工的數(shù)據(jù)網(wǎng)屬于涉密域.向地質(zhì)同業(yè)及社會(huì)大眾發(fā)布推送信息的外網(wǎng)屬于公共服務(wù)域。其中數(shù)據(jù)網(wǎng)中處理存儲(chǔ)的地質(zhì)數(shù)據(jù)是國(guó)家秘密.要求與互聯(lián)網(wǎng)完全物理隔離,僅從內(nèi)網(wǎng)中傳輸接收原始數(shù)據(jù)。內(nèi)網(wǎng)與外網(wǎng)存在交互,向地質(zhì)同業(yè)及企業(yè)單位提供原始數(shù)據(jù)目錄,共享推廣地質(zhì)測(cè)繪成果。整體上呈現(xiàn)出以下特點(diǎn):(1) 數(shù)據(jù)傳輸量大。地質(zhì)數(shù)據(jù)總量偏大,一項(xiàng)測(cè)繪數(shù)據(jù)總量約為100GB,單個(gè)文件大小在400MB以上。(2) 應(yīng)用場(chǎng)景單一。不同于銀行、政府等電子政務(wù)內(nèi)網(wǎng)的應(yīng)用場(chǎng)景,航遙中心以數(shù)據(jù)文件傳輸和處理為主,成果展示為輔,暫不需要支

9、持視頻、郵件、通話等較為復(fù)雜的應(yīng)用。(3) 信息安全要求高。數(shù)據(jù)網(wǎng)屬于涉密網(wǎng),對(duì)安全級(jí)別要求高,與外網(wǎng)要做到物理隔離,有效隔絕來自外部的惡意攻擊,防止內(nèi)部涉密數(shù)據(jù)泄露。(4)通過讀寫速度快°網(wǎng)閘是不同安全級(jí)別網(wǎng)絡(luò)速度的“瓶口”.對(duì)于大缺數(shù)據(jù)的響應(yīng)處理以及內(nèi)外網(wǎng)閘的切換速度,是決定網(wǎng)絡(luò)隔離效果的重賀因素。(5)傳輸協(xié)議透明性。網(wǎng)閘對(duì)TCP/IP數(shù)據(jù)包進(jìn)行協(xié)議解析并進(jìn)行私有協(xié)議再封裝,對(duì)用戶應(yīng)當(dāng)完全透明。此外還能夠?qū)λ接袇f(xié)議及端口進(jìn)行定制,為業(yè)務(wù)發(fā)展留下出口。綜合以上,航遙中心采用的是天融信TR-91166-RB隔離網(wǎng)閘,使用的是透?jìng)魉接袇f(xié)議。在內(nèi)網(wǎng)與數(shù)據(jù)網(wǎng)之間、內(nèi)網(wǎng)與外網(wǎng)之間各部署一套

10、隔離網(wǎng)閘來實(shí)現(xiàn)網(wǎng)絡(luò)隔離。其中內(nèi)網(wǎng)與外網(wǎng)之間的網(wǎng)閘設(shè)置僅為單向通過,即僅允許內(nèi)網(wǎng)向外網(wǎng)發(fā)送原始數(shù)據(jù)的元文件目錄文件,杜絕禁止外網(wǎng)向內(nèi)網(wǎng)的一切命令、協(xié)議、鏈接、包轉(zhuǎn)發(fā)、路由探測(cè),以最大程度地保護(hù)涉密信息的絕對(duì)安全。外g心外g心外河服齊尊(葬泠在帔核。交雄內(nèi)偵為例,在網(wǎng)閘的安全策略配置中放開TCP/IP協(xié)議的21端口(ftp的定義端口),數(shù)據(jù)包檢測(cè)中僅對(duì)ftp協(xié)議端口的數(shù)據(jù)包進(jìn)行協(xié)議解析及再封裝,從而實(shí)現(xiàn)內(nèi)外網(wǎng)數(shù)據(jù)通過fip協(xié)議進(jìn)行傳輸交換。經(jīng)過實(shí)際測(cè)試,隔離網(wǎng)閘不影響地質(zhì)數(shù)據(jù)的快速傳輸,實(shí)現(xiàn)了相互隔離的網(wǎng)絡(luò)間數(shù)據(jù)交互,對(duì)數(shù)據(jù)安全進(jìn)行了有效保護(hù)。4結(jié)語通過制定安全策略,隔離網(wǎng)閘還可以實(shí)現(xiàn)強(qiáng)制性的分級(jí)

11、隔離訪問控制、可控的數(shù)據(jù)交換、權(quán)限管理、身份認(rèn)證等安全功能,大大提高數(shù)據(jù)交互的安全性和可靠性。同時(shí)我們也應(yīng)該看到網(wǎng)絡(luò)隔離自身的局限性,作為安全技術(shù)的一種,要與防火墻、入侵檢測(cè)、代理服務(wù)器等基于邏輯機(jī)制的安全技術(shù)合理配合使用,才能共同筑建好信息安全防護(hù)的鐵壁銅墻°參考文獻(xiàn):1公安部.信息安全等級(jí)保護(hù)管理辦法EB.北京:公安部.2007網(wǎng)絡(luò)隔離與網(wǎng)閘.萬平國(guó)編蓍.機(jī)械匚業(yè)出版社,2004.(3 賀文華.網(wǎng)絡(luò)安全隔離CAP技術(shù)研究|J.科學(xué)技術(shù)與工程.2007(9).4 丹煒,網(wǎng)絡(luò)安全與網(wǎng)絡(luò)隔離GAP技術(shù)的研究J.微型電腦應(yīng)用,2007(8):56-57內(nèi)網(wǎng)與數(shù)據(jù)網(wǎng)之間的數(shù)據(jù)安全交互,以f

12、tp協(xié)議ApplicationofIsolationGatekeeperinGeologicalDataInformatizationLiuHongjuan(ChinaLandResourcesGeophysicalAviationandRemoteSensingCenter,Beijing100083)Abstract:Thispaperintroducestheprincipleworkingofisolatedgatekeeper(CAP)andcomparesitsadvantagesandadvancementbytheresearchonnetworkisolationtechnology.Combinedwiththecharacteristicsandapplication

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論