下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、隔离网闸在地质数据信息化方面的应用探索lil刘宏娟(中国国土资源航空物探遥感中心,北京,UXJO83)摘要:本文通过对网络隔离技术的研究,介绍了隔离网闸(GAP)的工作原理并对比了其优势和先进性。结合地质数据的特点和应用场景,介绍了隔离网闸在地质数据信息化方面的应用实践。关键词:网络隔离;GAP;协议剥离;信息化收稿日期:2018-09-12作者简介:刘宏婿(1981),女.硕士,1:程师,从市自然资源信息化建设与研究工作,1网络隔离1.1网络隔离的重要性网络和信息化的发展极大地便利了信息交互,为各行各业的生产发展带来了极大便利,但网络的开放性和无界性对信息安全的威胁亦日趋复杂,尤其是一些安全
2、级别较高的部门如政府、军队、科研单位、银行、金融机构的敏感信息不能直接对外公布,其核心网络必须与外界网络相对隔离。区别于完全开放的互联网,涉及国家秘密的网络空间都是涉密域,须严格遵守保密规定。国家保密局颁布的计算机信息系统国际联网保密管理规定中明确规定:“涉及国家秘密的计算机系统不得直接或间接地与国际互联网或其他公共信息网络相联接.必须实行物理隔离。”不涉及国家秘密但涉及本部门单位或本系统工作秘密的网络空间是非涉密域,不涉及国家秘密或工作秘密、向互联网完全开放的网络空间是公共服务域。不同安全级别的网络空间必须进行物理或逻辑隔离,以保障网络与信息安全。1.2网络隔离技术及其发展网络隔离(Netw
3、orkIsolation)是基于数据流动和交换基础上的一种网络安全技术,能够在保障信息安全的前提下实现不同安全等级的网络之间的数据传递。根据隔离方法的不同可以分为物理隔离(PhysicalIsolation)和协议隔离(ProtocolIsolation)o物理隔离较好理解,是指两个网络之间完全不存在直接或间接的物理线路连接,是最可靠、最安全的隔离。协议隔离是指通过不可路由的协议(如1PX/SPX、NetBEUI)将两个或两个以上的可路由网络(如TCP/IP)连接进行数据交互,从而达到隔离的目的。区别于物理隔离,协议隔离属于虚拟隔离,网络间存在着直接或可路由的物理连接,具有一定的安全风险C另一
4、方面.现实中不同安全级别的网络往往需要进行直接的数据交互,甚至是实时的数据交互以提供必要的服务。在完全物理隔离的要求下,传统方式是使用介质拷贝,效率较为低下,而且无法对拷贝交换的数据进行安全审查,容易导致信息泄露、伪造等安全问题。网络隔离性与数据流通性、信息安全性与应用便捷性,是网络安全一直以来需要取舍平衡的“矛”与''盾”O截至目前网络隔离技术大致经历了五个发展阶段:第一代是完全物理隔离;第二代引入了硬件插卡,独立控制硬盘或其他存储介质;第三代利用转播系统分时复制数据实现了相对隔离;第四代引人临时缓存器的概念,使用单刀双掷开关分时访问缓存器来隔离内外网络;第五代则是目前应用较
5、为广泛的安全通道隔离技术,通过专用的通信硬件和安全协议等机制,从而实现网络隔离和数据交换。1212隔离网闸的工作原理隔离网闸(GAP)是第五代网络隔离技术的代表性成果,源于英语中的“AirCap”,是通过专用硬件和传输协议实现两个或者以上的网络在不连通的情况下安全传输数据的网络安全技术。隔离网闸综合了物理隔离和协议隔离两种隔离技术,在物理层面上通过隔离传输硬件设备保证了任意时刻网络链路层都是断开状态从而阻隔网络攻击,同时又继承了协议隔离的高效性,使用专门开发的私有协议阻断TCP/IP协议及其他网络协议,从而杜绝网络协议漏洞。隔离网闸不仅能有效地把不同安全等级的网络隔离开来,还能高效地实现不同安
6、全等级网络之间数据的安全交换,透明支持基于网络的应用。隔离网闸的基本架构和原理是在需要隔离的系统之间构建起一片“安全隔离区”,核心模块是物理隔离和协议剥离。物理上需要隔离的网络空间不能直接连接,通过类似空气开关的单刀双掷开关保障同一时间只有一方网络空间与隔离设备建立起非TCP/IP协议的数据连接。任何一方的网络包都不能宜接进入另一方,必须在隔离区进行数据检查,对网络层协议进行数据提取和私有化安全协议再封装,确保隔离区交换的只是应用数据。因此隔离网闸所连接的两个或两个以上系统,不存在没有TCP/IP连接或其他通信连接,没有协议、没有包转发、没有网络命令,只有数据块的无协议“摆渡”,对固态存储介质
7、只有“读”和“写”两个命令。因此隔离网闸和透明桥、IPoverUSB以及通过其他方式来进行包转发的隔离有着本质的区别。外部网络内部网络CTU以最常见的网络传输数据包处理为例,当数据流由外向内传输时,隔离网闸的外网处理单元会完整地接收所有的TCP/IP数据包,经过入侵检测、防病毒、防恶意代码等一系列安全检查后去掉协议头,将数据包按照私有安全协议的格式分解重组成私有数据块,由此切断了网络层之间通用的协议连接,再交由安全隔离和交换处理单元,将私有数据块“摆渡”到内网处理单元,通过身份验证的内部用户获取最终数据。向由内向外的数据流处理亦然。3隔离网闸的应用实例本文以航遥中心为例介绍隔离网闸在地质数据信
8、息化中的应用实践“目前航遥中心共有3个数据网络,接收原始卫星遥感数据的内网属于非涉密域,负责数据处理加工的数据网属于涉密域.向地质同业及社会大众发布推送信息的外网属于公共服务域。其中数据网中处理存储的地质数据是国家秘密.要求与互联网完全物理隔离,仅从内网中传输接收原始数据。内网与外网存在交互,向地质同业及企业单位提供原始数据目录,共享推广地质测绘成果。整体上呈现出以下特点:(1) 数据传输量大。地质数据总量偏大,一项测绘数据总量约为100GB,单个文件大小在400MB以上。(2) 应用场景单一。不同于银行、政府等电子政务内网的应用场景,航遥中心以数据文件传输和处理为主,成果展示为辅,暂不需要支
9、持视频、邮件、通话等较为复杂的应用。(3) 信息安全要求高。数据网属于涉密网,对安全级别要求高,与外网要做到物理隔离,有效隔绝来自外部的恶意攻击,防止内部涉密数据泄露。(4)通过读写速度快°网闸是不同安全级别网络速度的“瓶口”.对于大缺数据的响应处理以及内外网闸的切换速度,是决定网络隔离效果的重贺因素。(5)传输协议透明性。网闸对TCP/IP数据包进行协议解析并进行私有协议再封装,对用户应当完全透明。此外还能够对私有协议及端口进行定制,为业务发展留下出口。综合以上,航遥中心采用的是天融信TR-91166-RB隔离网闸,使用的是透传私有协议。在内网与数据网之间、内网与外网之间各部署一套
10、隔离网闸来实现网络隔离。其中内网与外网之间的网闸设置仅为单向通过,即仅允许内网向外网发送原始数据的元文件目录文件,杜绝禁止外网向内网的一切命令、协议、链接、包转发、路由探测,以最大程度地保护涉密信息的绝对安全。外g心外g心外河服齐尊(葬泠在帔核。交雄内侦为例,在网闸的安全策略配置中放开TCP/IP协议的21端口(ftp的定义端口),数据包检测中仅对ftp协议端口的数据包进行协议解析及再封装,从而实现内外网数据通过fip协议进行传输交换。经过实际测试,隔离网闸不影响地质数据的快速传输,实现了相互隔离的网络间数据交互,对数据安全进行了有效保护。4结语通过制定安全策略,隔离网闸还可以实现强制性的分级
11、隔离访问控制、可控的数据交换、权限管理、身份认证等安全功能,大大提高数据交互的安全性和可靠性。同时我们也应该看到网络隔离自身的局限性,作为安全技术的一种,要与防火墙、入侵检测、代理服务器等基于逻辑机制的安全技术合理配合使用,才能共同筑建好信息安全防护的铁壁铜墙°参考文献:1公安部.信息安全等级保护管理办法EB.北京:公安部.2007网络隔离与网闸.万平国编蓍.机械匚业出版社,2004.(3 贺文华.网络安全隔离CAP技术研究|J.科学技术与工程.2007(9).4 丹炜,网络安全与网络隔离GAP技术的研究J.微型电脑应用,2007(8):56-57内网与数据网之间的数据安全交互,以f
12、tp协议ApplicationofIsolationGatekeeperinGeologicalDataInformatizationLiuHongjuan(ChinaLandResourcesGeophysicalAviationandRemoteSensingCenter,Beijing100083)Abstract:Thispaperintroducestheprincipleworkingofisolatedgatekeeper(CAP)andcomparesitsadvantagesandadvancementbytheresearchonnetworkisolationtechnology.Combinedwiththecharacteristicsandapplication
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2024年宿舍楼工程承包细则合同版B版
- 云南省景东县二中2025届高考临考冲刺数学试卷含解析
- 2025届四川省广元市实验中学高三第五次模拟考试英语试卷含解析
- 2024常年聘用协议格式范例版
- 2024年度服务承包专属协议版B版
- 2024年云计算数据中心建设与租赁合同标的、数据中心规格与租赁期限
- 2025届贵州省黔南布依族苗族自治州都匀市第一中学高考英语五模试卷含解析
- 陕西省咸阳市旬邑中学2025届高考英语倒计时模拟卷含解析
- 2024年度桥梁建设施工人员服务协议版B版
- 广东省揭阳一中2025届高三第二次模拟考试英语试卷含解析
- 德云社相声台词剧本
- 厂房彩钢墙面板拆除工程施工组织方案
- CSP2000系列技术说明书上册(第四版)学习资料
- 浅析先张法预应力混凝土空心板梁反拱度理论计算(市政工程协会杂志投稿)
- 真空断路器必须知道的基本常识(国标和IEC)
- 水运工程检验批表格
- 口袋妖怪XY精灵分布表
- 危险化学品生产企业主要负责人安全培训测试补考试卷
- 美国标准大气参数表(1976)-负5km到100万米
- 筛分系统安装施工组织设计(共47页)
- 《生产管理能力提升》PPT课件.ppt
评论
0/150
提交评论