一、跨网传输背景安全隔离概念及产品最早出现在国外,上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念;接着,以色列首先研制成功物理隔离卡,实现网络之间的安全隔离;后来,美国WhaleCommunications公司和以色列SpearHead公司又先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使网络隔离从单纯实现“网络隔离禁止交换”的安全隔离发展到“安全隔离和可靠交换”的安全隔离,逐渐实现跨网数据传输交互。 在网络建设早期,很多网络建设从安全建设考虑,采用物理隔离的建设方式实现安全防护,对应与外部其他网络也就进行了数据隔离,因此,很多网络应用数据如果需要传输都是通过人为手工操作传输的,另外就是应用系统的数据比较少、功能比较单一、数据交互频次少和时效性要求不是很高,通过一些人为操作就可以满足业务数据传输需求,再就是针对安全威胁考虑和相关标准缺乏,跨网传输相对没有成体系的解决,但随着业务系统的扩展和大数据建设,需要将各个业务系统的数据需要进行数据整合、数据治理、数据分析,通过大数据建模分析形成有效的数据呈现,实现数据信息的共享。 二、跨网传输分类网络安全形势愈发严峻,数据泄露、勒索攻击等网络安全事件频发,针对跨网传输使用场景中,安全隔离与信息交换类产品应运而生,用来解决业务数据共享交换和网络的数据的互联互通,并经过相关的论证,满足网络安全建设要求,实现高密和低密网络系统之间、不同安全域之间的数据传输。 隔离与交换系统主要使用场景包括文件同步和数据库同步、应用服务访问、视频同步、视频终端跨网接入等场景,标准的安全隔离与信息交换类产品(如网闸)均采用“2+1”系统架构,由内网主机系统、外网主机系统、隔离与交换模块组成,通过内网网单独的主机系统配合隔离与交换模块进行数据交换共享。实现数据跨网传输的方式主要为以下六种: 1、人工光盘刻录 人工光盘刻盘,通过人工刻盘的方式进行数据传输,将外部网络的数据刻录到光盘,到内部网络中拷贝光盘数据,拷贝完之后再将光盘销毁,这种方式实现了外部网络和内部网络物理隔离,但人力资源消耗大,需要投入专人来负责刻盘和导入到内部网络的工作;同时效率也低,在刻盘时,首先需要对被刻录的文件进行安全性检查,导入到内网时,也需要人手工来对文件进行安全性检查。 2、光盘摆渡 在人工拷盘之后,又出现了光盘摆渡机,摆渡机由源数据导出服务器、光盘摆渡机、目标数据导入服务器三部分组成。利用机械臂代替手动的方式以光盘为载体在两个刻录服务器之间摆渡,将源数据与目标数据传输到对方,实现文件、数据库等内容的进行数据摆渡。用机械臂虽然可以节省人工,但仍是以“拷盘”的方式传输数据,只是换了一种传输方式。 3、单向传输 单向传输是通过光纤连接模式、激光模式、光盘阵模式、二维码模式等实现单向数据无反馈传输方式,实现网络进行数据安全传输。典型的产品为单向网闸,单向网闸在传输层面是单向的,只能通过A端到B端,反之不行,单向网闸只允许数据从低安全域向高安全域传输,反向则物理断开,从而保证了高安全级别网络的安全性和信息的机密性,对应可以采用有前置机、后置机的部署模式,也可采用无前后置机的模式,有一些个别业务场景需要使用双单向传输设备进行数据传输。特别说明:二维码模式是以二维图像作为内外网之间传递数据的载体,通过读取二维图像实现数据单向传输,完成数据传输。 4、双向传输 双向传输顾名思义就是协议是双向的,数据传输也是双向交互的,典型产品是双向网闸,实现不同安全级别网络之间的安全隔离和信息交换的专用产品,设备通过链路阻断、协议转换的方式,使数据在两个网络之间进行“摆渡”传输,实现不同安全级别网络之间的数据安全交换。 5、视频传输 音频、视频流媒体应用是电子政务网络建设的重要组成部分,由于流媒体的特殊性,其传输内容为二进制的数据流,视频应用协议各个厂家差异较大,利用传统数据隔离网闸进行协议分析剥离和传输内容过滤变得困难,典型的视频网闸可以满足对应流媒体应用的视频数据进行传输。 6、跨网服务调用平台 跨网服务调用平台是将数据传输系统进行整合,实现服务资源调用,系统包括服务管理平台、服务调用网关及网络传输设备(如网闸设备)。采用API接口服务调用与发布、API服务整合与编排及服务审批,在跨网、跨域数据交换的强隔离场景下,不同应用系统之间采用以接口服务的形式进行数据交换,应用系统通过调用API的方式实现信息共享和业务调用。
|
|
|
