跨网传输（二）

静静的看一看 2021-10-14

展开全文

1.前言

前期跨网传输（一）主要是对介绍几种模式，本次是收集到通过《下一代安全隔离与信息交换产品原理与应用》此书呈现的各种交换平台实现原理、技术实现及典型部署应用。

2.概述

随着互联网技术的不断发展，网络黑客入侵、病毒攻击、网络泄密等安全事件的不断发生，网络安全问题越来越被重视起来。各国都在采取不同的措施来应对这一问题，比如美国军方就有规定——一些负责特殊作用的设备必须与互联网进行物理隔离。然而在现有安全技术标准和框架下，不同安全级别网络（安全域）间的数据交互需求日益强烈，安全隔离与信息交换技术正式在这种背景下应运而生。

由于安全隔离与信息交换技术采取了全新独特的架构，因此安全隔离与信息交换技术具备网络边界隔离、广播/攻击风暴抑制、安全访问控制、应用协议安全检查、内容过滤及抗攻击能力，很好的解决了防火墙、IDS等安全产品的不足。

3.安全隔离与信息交换产品的实现

3.1.产品发展历史

3.1.1.FTP/SQL应用代理

基于FTP和SQL数据库相关协议/命令进行过滤的一种应用代理隔离技术。具体流程是应用服务器通过FPT/SQL将需要交换的数据推向FTP/SQL检查模块，模块完成检查后即与对应模块进行摆渡交换。这种交换模式的优点是对FTP/SQL提供了细粒度更细的访问控制。

图 1

3.1.2.PULL&PUSH数据同步

通过管理员预先配置的数据同步交换任务完成摆渡交换。具体流程是数据库服务器/文件服务器将文件推送至相应模块，然后该模块执行管理员预设好的同步任务完成摆渡交换。这种方式的优点在于安全隔离与信息交换系统不对外开放任何服务端口。

图 2

3.1.3.单向数据中继

某些特定的应用场合，内部往来需要确保不收外网的任何攻击，这个需求发展出了一种专用的安全隔离与单向数据中继系统。

该系统：

1.采用物理单向传输器件—一般是光纤。

2.多中数据冗余纠错机制，保证在单向无反馈传输中的数据完整性。

3.统一采用文件方式完成数据的单向中继传输。

图 3

3.1.4.安全交换平台

目前国内存在一部分安全交换平台，主要应用在对数据保密性要求高的一些政务的部门。这些部门内部网络按照保护数据的不同，划分等级并进行相应的安全保密系统建设。边界处部署安全交换平台，与外部网络进行数据交互。

安全交换平台整体架构图如下：

图 4

3.2.安全隔离与信息交换系统数据交换方式

安全隔离与信息交换系统需要对结构化数据、非结构化数据、各类协议等均提供交换服务。基本框架如下：

图 5安全隔离与信息交换系统基本框架

1.文件数据库同步模块：用于实现结构化数据交换和非结构化数据的交换服务。

2.定制协议数据交换模块：可以根据特定协议，对固定协议的混合数据提供数据交换服务。

3.实施应用高强度安全交换模块：用于实现实时请求/响应数据交换服务，向应用系统提供高强度安全交换通道服务。

4.数据缓存单元：实现交换信息的缓存。

5.消息服务模块：用于实现数据收发消息的控制功能。

6.安全隔离交换板：用于实现安全隔离交互功能。

3.3.产品原理概况

3.3.1.结构化和非结构化数据交换实现原理

结构化和非结构化数据共用一个数据安全交换模块进行交换，采用数据抽取/装载的方式，有对应的数据安全交换设备进行交换。这种交换方式主要实现：数据交互、资源共享、安全鉴别、消息通知、信息级别权限控制、结构化数据和非结构化数据交换安全控制等。

实现原理如下图所示：

图 6结构化和非结构化数据交换工作原理

3.3.2.定制协议数据交换实现原理

定制协议数据交换方式采用XML格式化数据封装形式，可接收数据库记录、图片文件、应用系统定制协议等混合数据。主要实现了：复杂数据类型交换、高性能数据交换、应用程序接入认证等。

实现原理如下图所示：

图 7定制协议数据交换工作原理

3.3.3.实施应用高强度安全交换实现原理

实时应用高强度安全交换采用安全代理工作模式，通过采集实体指纹对接入主机与应用进程进行接入认证。这种交换方式主要解决内外网间实时访问类应用的功能需求，采取信息摆渡交换的方式，而非建立TCP/IP实时连接，所以没有破坏内外网间的网络隔离安全性。

实现原理如下图所示：

图 8实时应用数据交换工作原理

3.3.4.数据完整性

安全隔离与信息交换系统在各个步骤采取签名、验签技术实现对源数据完整性和合法性的校验。

3.4.关键技术实现

3.4.1.关键技术思路和原则

1、保密策略及目标：

（1）在确保内部核心资源安全的情况下，尽可能保持与外部网络的连接。而传统的防火墙的保密策略为在保持内外部网络连通的同时，尽可能保证内部受保护资源的安全。

（2）隔离设备自身的安全：采用安全的操作系统、核心的隔离功能不可编程、设备管理机制的安全性。

（3）隔离设备提供的安全性：

1)双主机模式中，在外网采用瘦客户终端。这使得就算外网主机被攻陷了，对内网的影响也非常小。

2)通过隔离开关和双主机模式可以物理断开内外网之间的物理连接。由于电子开关是可控的，关键时刻可以使用开关断开内网网之间的物理连接，保障内外的安全性。

3)隔离设备可以断开TCP连接。

4)隔离只提供原始应用数据的交换，而不是基于TCP协议的应用数据交换。

5)隔离设备提供内容检查机制。

6)细粒度足够细的日志审计功能。

7)稳定性。

8)可管理性。

2、基本组成及功能描述、外部接口说明：

（1）组成

安全隔离与信息交换系统通常采用2+1安全体系架构，即外端安全处理子系统、隔离不见子系统和内部安全处理子系统，如下图所示：

图 9系统结构

（2）系统功能

图 10系统功能框架

主要功能：

1)网络隔离与安全防护

采用专用的基于ASIC设计的隔离芯片；
断开信息内、外网间TCP/IP网络连接；
具备身份认证功能，支持用户名/口令、数字证书等多种认证方式；
具备内容过滤功能，能够对HTTP、FTP、邮件等内容进行关键字过滤；、
提供日志审计功能，能对管理日志、通信日志进行审计。

2)结构化和非结构化数据交换

支持单、双向结构化、非结构化数据交换；
支持文件格式特征检查功能，方式伪造格式文件传输，能对EXE、DOC、XLS等常见格式进行特征检查；
支持主流数据库全表和增量同步功能；
针对表中制定的字段的特定阙值进行条件同步；
支持多种数据库间的异构同步；
支持函主键自增字段数据库的表同步；
支持FTP或SMB协议文件同步，支持增量文件同步，支持一对多、多对一方式文件同步交换；
支持断点重传功能，在断电或传输中断等情况下，不出现数据丢失现象。

3)定制协议交换

采用分布式体系架构，支持定制协议负载均衡集群服务；
支持短信息、结构化数据、非结构化数据、自定义数据及以上数据类型的混合数据同步交换；
支持同步阻塞和异步传输两种数据交换方式；
对保存的所有数据进行AES256等加密，保证数据安全；
支持数据对账功能，提供与业务系统间的自动对账功能；
支持数据交付优先级控制；
通过浏览器可查看拓扑结构及定制协议应用情况；
提供定制协议数据交换实时监控功能，通过监控页面及时查询数据交换状态和日志信息；
提供Web Service数据传输接口。

4)实时应用高强度安全交换功能

具有应用进程认证功能．能够根据设置的应用程序进程的白名单禁止非法程序通过设备访问服务器；
具备应用进程完整性验证功能，能够识别应用进程的完整性；
具备应用程序识别功能，能够识别 1000 余种常用应用程序及实现对应用程序关联性的安全检查；
具有动态端口开放／关闭功能，可以对动态端口进行打开及关闭；
具备对 SSL 加密协议的数据报文内容的安全检查功能；
具有ACL 访问控制功能，包括源、目的IP、端口、时间、时间端口等。

5)数据缓存功能

具备存储集群功能，能够在线增加和删除缓存节点，实现对存储空间的无缝扩充；
内里缓存数据库和文件缓存目录，支持Oracle 、 MysQL 等主流数据库和文件缓存目录；
具备缓存数据自动备份功能，缓存数据存入存储空间时能够自动实现多个副本备份，数据备份副本存储在不同的物理磁盘上，保证数据完整性；
支持 SQL99 / 92、NFS、iSCSi、REST、S3 等多种访问接口，与 S3 接口完全兼容，支持应用系统通过教据库管理工具连接数据缓存单元管理缓存数据库；
具备运行监控能力，自动监控存储空间和运行状态，能够对缓存空间目录大小、目录文件数、CPU、磁盘、网卡流量、进程、磁盘读写速度、磁盘使用量等关键参数进行监控；
具备审计功能，能够对缓存空间的管理操作进行审计。

6)消息服务功能

提供 Web Service数据收发控制消息服务接口，具备消息注册、数据收发通知服务、消息告警（缓存空间告警、缓存数据删除、平台故障告警、应用系统在线状态监测等）、数据对账等服务接口，接口规范符合招标文件接口规范技术要求；
具备结构化、非结构化和定制协议数据交换消息服务功能；
具备业务系统安全接入TOKEN认证功能；．
具备数据交换任务监控功能；
与平台集中管理、安全隔离交换装置无缝对接；
支持分布式应用系统消息服务，支持一对一、一对多消息通知服务；
提供数据完整性检查功能；
具备应用系统间消息隔离机制；
支持消息服务集群，提供高可用性负载均衡。