单向文件传输光闸在部队计算机网络中的应用

单向文件传输光闸在部队计算机

网络中的应用

2014年1月

第 1 页/共 15 页

目录

1

建设目标和参考依据 ............................................................................................................... 3 1.1 建设目标 ....................................................................................................................... 3 1.2 部队的安全需要 ........................................................................................................... 3 1.3 安全策略 ....................................................................................................................... 3 总体设计 ................................................................................................................................... 4 2.1 总体架构 ....................................................................................................................... 4 2.2 安全设计 ....................................................................................................................... 5

2.2.1 物理安全设计 ................................................................................................... 5 2.2.2 网络安全设计 ................................................................................................... 5 2.2.3 主机安全设计 ................................................................................................... 6 2.2.4 应用安全设计 ................................................................................................... 7 2.2.5 数据安全设计 ................................................................................................... 7 2.3 管理设计 ....................................................................................................................... 8

2.3.1 安全管理制度 ................................................................................................... 8 2.3.2 系统建设管理 ................................................................................................... 8 2.3.3 系统运维管理 ................................................................................................... 8 建设方案 ................................................................................................................................... 9 3.1 部署方案 ....................................................................................................................... 9 3.2 逻辑隔离 ..................................................................................... 错误！未定义书签。 3.3 边界保护区 ................................................................................................................. 10 3.4 应用服务区 ................................................................................................................. 10 3.5 安全隔离区 ................................................................................................................. 11

3.5.1 数据导入 ......................................................................................................... 11 3.5.2 数据导出 ......................................................................................................... 14 3.6 与等级保护三级的对应 ............................................................................................. 15 方案总结 ................................................................................................. 错误！未定义书签。

2

3

4

第 2 页/共 15 页

1 建设目标和参考依据

1.1 建设目标

20世纪90年代以来，网络在全球的迅猛发展为人们提供了方便、自由的网络环境，网络逐渐成为生活中的重要介质。我国的部队在科技发展大潮中，提出科技强军的口号，出现了自动化、网络化的趋势，网络迅速普及，被广泛应用于人员管理、物资管理、作战指挥、命令的上传和上达等工作中。随着网络的迅速普及，网络系统本身所具有的脆弱性日益显现出来。部队是有极高涉密性的单位，其系统中的信息和数据被非法窃取、篡改、伪造或者删除，会给部队安全乃至国宝安全带来巨大的威胁。所以，加强部队网络安全势在必行。基于以上情况，我们提出针对部队网络的安全方案。

1.2 部队的安全需要

通过对部队系统的风险分析及需要解决的安全问题，我们需要制定合理的安全策略及安全方案来保证部队网络系统的机密性、完整性、可用性、可控性、可审查性和可恢复性。 机密性：信息不暴露给未授权的实体或进程。 完整性：保证数据不被未授权修改。 可用性：授权实体有权访问数据。

可控性：控制授权范围内的信息流向及操作方式。 可审查性：对出现的安全问题提供依据与手段。

可恢复性：对于删除、篡改和破坏的数据能够恢复达到继续使用的目的，对物理力破坏的网络瘫痪，能迅速维修网络达到畅通可用。

1.3 安全策略

针对以上分析，提出以下安全策略： 1. 对部队内部网络相对低密度网络

（1） 采用漏洞扫描技术，对重要的网络设备进行风险评估，保证部队网络系统在最优状

态下运行

（2） 采用防火墙技术、NAT技术、VPN技术、网络加密技术、网络实时监测等技术构建

防御系统。

（3） 实时响应与恢复：制定和完善安全管理体制，提高对网络攻击等实时响应和恢复能

力。

（4） 建立分层管理和各级网络安全管理中心

2. 对部队高保密的网络

在物理层面进行物理隔离，采用文件数据单向传输的方式，保证高机密文件的绝对安全。

第 3 页/共 15 页

2 总体设计

2.1 总体架构

图1 总体架构设计

边界接入平台整体架设在部队外部网络与部队内部网络之间，分为路由接入区、边界保护区、应用服务区、安全隔离区及安全监测管理区5个区域。

路由接入区负责线路接入，此区域内设备一般为原有设备，如接入路由器。本方案中，接入链路为互联网链路。

边界保护区负责对网络边界的保护，主要设备有防火墙、防毒墙、三层交换机、入侵检测/防御系统（IDS/IPS）、可信边界网关等，负责实现网络身份认证、访问控制和权限管理、数据机密性和完整性保护、防御网络攻击和嗅探等。

应用服务区内主要处理各类与应用相关的操作，是部队内网对外信息服务、信息采集、数据交换的中间区域。区域内的服务器设备一般由业务应用系统承建商提供，为用户主要的应用系统。该区域主要安全功能为：作为接入终端网络连接的终点，实现应用级身份认证、访问控制、应用代理、数据暂存等功能；防止对部队内网的非法访问和信息泄露。对此区域，应加强对服务器等设备的安全保

第 4 页/共 15 页

护，应具有病毒、木马防护功能，防止病毒传播与非法控制。

安全隔离区实现部队高绝密计算机网络与应用服务区的安全隔离与信息交换。该区域主要功能是实现部队高绝密计算机网络与应用服务区的安全网络隔离。根据安全策略，对出入部队内网的数据分别进行协议剥离、格式检查和内容过滤，实现部队高绝密计算机网络和应用服务区之间的安全数据交换。主要设备为安全数据交换系统，由导入前置机、单向隔离光闸、导入服务器串行连接组成。

安全监测管理区实现整个接入平台的安全监测，管理与维护。该区域主要安全功能为：对接入平台运行情况进行安全监测与审计；对接入平台及业务信息进行注册管理，各种安全策略管理，流量监测，统计分析，安全审计等；接入平台中网络设备、安全设备的配置管理及日常运行维护；补丁升级，漏洞扫描与病毒防范。

2.2 安全设计 2.2.1 物理安全设计

部队网络所依托的部队信息采集链路的设备部署于部队部门的信息中心。各级部队机关的信息中心在物理安全上一直尤为注重，对等级保护第三级所要求的物理位置、物理访问控制、防盗窃和防破坏、防雷击、防火、水、潮、静电、温湿度，电力供应，电磁防护等技术上均有严格的标准和制度，故在本方案设计中，仅需要遵循部队信息中心有关物理安全的已有设计即可。

2.2.2 网络安全设计

结构安全：根据业务实际需要并考虑扩展，选用业务处理能力比实际需求较高的产品。

访问控制：在网络边界可选部署集网闸类、防火墙类、网关类产品，可对进行细粒度的访问控制。可对进出网络的信息内容进行过滤，实现对应用层 HTTP、FTP、TELNET、SMTP、POP3等协议命令级的控制；拥有细粒度为端口级，并根据会话状态信息为数据流提供明确的允许/拒绝访问处理，可将会话处于非活跃一定时间或会话结束后终止网络连接并通过限制网络最大流量数及网络连接数以

第 5 页/共 15 页

提升安全等访问控制能力。

安全审计：IDS/IPS拥有全面的安全审计能力，可对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；可进行包括：事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息完善的审计信息，并能生成审计报表，增加可读性，审计记录需要管理员及经认证后方可删除、修改或覆盖。

边界完整性检查：IDS/IPS设备可对非授权设备私自联到内部网络及内部网络用户私自联到外部网络等行为进行检查，并能实时阻断。

入侵防范：IDS/IPS可有效防范端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等，一旦发生攻击，主动切段攻击源，并进行实时报警。

恶意代码：防火墙类、网闸类或网关类，IDS/IPS均集成反病毒模块，可升级特征，针对各种恶意代码进行有效查杀。

另外，三层交换设备拥有强身份认证功能，对登录其上的设备进行身份鉴别，可对管理员登录地址进行限制，如不允许远程登录等。

2.2.3 主机安全设计

主机安全防护是保证部队计算机网络和公网信息采集服务域的重要环节，为保护这个层面的安全性，需要进行针对主机安全的各种措施。

身份鉴别：对访问接入平台的各类主机，操作系统层面进行设置，要求进行强身份认证方可登录操作系统或相应的数据库系统，强制要求口令具有足够的复杂度并要求定期更换；并限制登录次数，多次输入错误锁定系统，远程管理上，有限制采用安全的ssh登录，禁用非安全的Telnet，最大限度保证其安全性。

访问控制：制定严格的安全访问策略，权限用户可访问有限资源，根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限，删除多余的、过期的帐户，避免共享帐户的存在。

安全审计：全面细粒度的审计，对系统管理员等重要账户、对系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件进行包括事件的日期、时间、类型、主体标识、客体标识和结果等审计，并可生成详实的审计报表。

第 6 页/共 15 页

入侵防范：对重要的服务器，如前置服务器等进行入侵检测，各类操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。

恶意代码防范：安装杀毒软件，并定期升级特征库，有效防范恶意代码。 资源控制：对重要服务器进行监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况，限制单个用户对系统资源的最大或最小使用限度，并到达下限进行实时报警。

2.2.4 应用安全设计

在应用安全层面，需要进行多方面的安全措施进行综合防御。

利用应用安全监测与异常流量分析系统等应用安全产品，并对应用系统的合理配置，安全加固等手段，满足应用安全需求，符合等保三级应用安全的技术要求。

各应用系统基于应用的强身份认证，对各类应用的访问进行细粒度的访问控制，并授予不同帐户为完成各自承担任务所需的最小权限，提供基于应用的安全审计能力，对应用系统重要安全事件进行审计等等手段来保证具有应用的安全性。

2.2.5 数据安全设计

为保证数据安全，在安全隔离区，导入前置机和导出前置机独立分开，在物理上保证数据的独立性。

在数据的完整性上，利用数据校验码等技术手段，保证从内网导出服务器上的数据未经破坏、篡改，并可对传入部队内网的暂存数据进行签名等技术手段，内网导入服务器进行完整性校验。

无论是在物理隔离的基础上，通过U盘、光盘的形式将数据进行离线处理(手动导出)的技术手段，或是使用单向隔离光闸设备将数据单向导入，均可有效保证数据的不被非法窃取，保证数据的保密性。

在数据备份和恢复上，在主要网络设备、通信线路和数据处理系统推荐采用硬件冗余手段，定期进行本地数据备份与恢复，及异地数据备份。

第 7 页/共 15 页

2.3 管理设计 2.3.1 安全管理制度

各部队机关信息中心，在安全管理制度上，逐渐形成了一套标准，包括：管理制度、制定和发布、评审和修订三个方面均有已经符合等保三级的具体要求，针对公网信息采集链路，参照已有的安全管理制度即可。

2.3.2 系统建设管理

部队信息采集链路建设，是根据技术和相关制度要求，并参照等保三级的要求进行建设，因此本系统定级为等级保护的第三级。根据信息系统的等级划分情况，统一考虑安全保障体系的总体安全策略、安全技术框架、安全管理策略、总体建设规划和详细设计方案；设备选购和使用均符合国家及有关部门的具体要求和规定；在工程实施方面，有专门的技术团队按照实施方案负责工程实施；工程竣工后，将委托第三方测试单位对系统进行安全性测试，并出具安全性测试报告；制定详细的系统交付清单，并根据交付清单对所交接的设备、软件和文档等进行清点，负责系统运行维护的技术人员进行相应的技能培训。

2.3.3 系统运维管理

系统运维管理可参照部队现行的运维管理制度。建设监管中心，对设备状态、业务运行情况等进行管理。

第 8 页/共 15 页

3 建设方案

3.1 部署方案

图2

链路拓扑

根据互联网信息采集和导出的需求，并结合“等保三级”的技术指导及相关政策规范的要求，设计如下：

1、在部队外网和部队内部计算机网络之间建设“公网信息采集链路”，它严格参照等级保护第三级的技术设计构建。

2、互联网和“公网信息采集服务域”可选用防火墙进行逻辑隔离。 3、“公网信息采集服务域”与部队计算机网咯通过“安全隔离与信息单向导入系统”——单向光闸进行安全隔离，在数据入方向，经过单向光闸单向传入至内网，导入服务器，同时，通过防火墙进行逻辑隔离，进一步增强部队计算机网络的安全性。

4、“公网信息采集服务域”和部队计算机网咯内均建设有安全监测管理区，以满足对内、对外的安全审计、流量分析、运行维护等需求。

第 9 页/共 15 页

3.2 边界保护区

参照等保三级的指导要求，在这个逻辑分区内，在技术层面上，实现网络安全。

在功能方面实现：访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范等要求。

主要的安全设备为：防火墙、IDS/IPS、三层交换机。

防火墙和互联网实现逻辑隔离，在边界保护区实现等保三级需求的网络安全的相关功能。

3.3 应用服务区

该区域主要处理各类与应用相关的操作，主要为部队人员提供应用服务。区域内的服务器设备可由业务应用系统承建商提供，但要求按照本方案要求进行配置管理。

根据等保三级的要求，本区域主要实现的是应用安全。

本区域主要安全功能为：身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范等。

为实现不同的应用，在应用服务区，部署有两类应用服务器：采集类应用服务器和发布类服务器。

采集类应用的服务器将需要进入内网的数据，传输给导入前置机；发布类应用的服务器，由导出前置机推送需要向外发布的数据。

对此类应用服务器，都需要进行安全加固，如采用经过安全加固的Linux操作系统及可信服务器设备，通过裁剪Linux系统的方式对前置机操作系统进行安全加固，卸载所有不必要的应用程序和服务；或使用其他最小化安装的操作系统；关闭所有非必要开放的对外端口，特别是远程控制服务端口，并且对操作系统及时进行补丁更新；并安装病毒查杀系统软件，通过定期的手动病毒库升级保障安全；关闭系统中guest用户，对系统用户设置强口令认证；开启系统审计等。

第 10 页/共 15 页

3.4 安全隔离区

为保证部队计算机网络的安全，在低密级应用服务区和高密级计算机网络之间利用单向隔离等技术手段保证两个网络之间的安全隔离。

参照等级保护的要求，本区域主要实现：主机安全和数据安全。

本区域主要实现的安全功能有：安全审计、安全隔离、格式检查、内容过滤、单向导入、安全加固等

3.4.1 数据导入

在安全隔离区，在数据采集进入部队高绝密计算机网络方向，通过单向光闸将导入前置的数据单向摆渡至导入服务器，然后利用防火墙进一步净化数据，传入至内网应用系统。

3.4.1.1 导入前置机和导入服务器

单向光闸两侧分别部署导入前置机和导入服务器。单向光闸设备从导入前置机主动获取数据，单向摆渡至导入服务器上。

单向隔离光闸设备利用光的单向性的物理特性，保证数据仅能利用光闸从导入前置机单向传入至导入服务器，而没有任何反向的可能，为进一步增强安全性，导入服务器和部队内网应用系统之间采用防火墙作为逻辑隔离手段。

对两侧的导入服务器，均需要进行安全加固和安装正版的杀毒软件等一系列安全处理。保证服务器以最精简、最安全的方式运行。

3.4.1.2 单向隔离光闸

安全隔离与信息单向导入系统，在产品形式上，即为此处提及的单向隔离光闸。

单向隔离光闸由内网单元、外网单元、分光单向传输单元三个逻辑部分组成，它基于光隔离平台的通信服务，采用经过优化的传输和分组算法，将数据传输的功能整合统一，使得用户在享受光闸的超高强度安全性的同时，可以灵活的制定

第 11 页/共 15 页

隔离解决方案，实现 “在特定的时间，特定的地点，用特定的身份，以特定的方式传输特定的数据”，安全性、灵活性、高可靠性以及高可配置性等需求同时满足最大限度平衡用户的安全、功能和效率要求。

图3 单向隔离光闸

单向隔离光闸根据业务的具体需求，不仅可以实现文件数据的单向安全传输，而且可实现数据库的单向同步传输，支持主流的FTP、Samba文件传输协议，支持Oracle、SQL Server、Sybase、DB2主流的数据库。

产品特性：

? 支持异构不同数据库之间的数据交换，现在支持四大常用的数据库之间

的互相交换。

? 数据库交换模式包含全表机制和触发器机制全表机制按照用户定义的时

间间隔，根据用户配置过的表和字段把源表的全部数据传送到目的表中。

? 支持对交换的数据进行内容的过滤，根据用户的定义内容黑名单对数据

库中的数据进行过滤，对不符合的数据不进行交换。

? 支持对数据库数据中的大字段进行格式检查。查看大字段中有没有木马

和病毒的特征码的判断和大字段数据的数据具体的文件格式是不是符合要求。

? 可依据用户设置的同步条件判断是否同步以及同步策略。

? 可自行调度任务的执行周期、频率、次数、每周期数据处理量等，满足

特殊的要求。

第 12 页/共 15 页

? 支持文件传输优先级设定；

? 网闸关机/重启缓存中的目录和文件不丢失；

? 能够自动清理缓存中的文件碎片，修复文件系统错误； ? 保证文件传输效率。

单向隔离光闸产品在本方案中，用于将导入前置机的互联网暂存数据安全摆渡至导入服务器，并采用防火墙逻辑隔离手段，进一步净化数据至部队内网应用服务系统，以供业务使用。

银河玉衡文件单向传输管理系统YH-FTMS技术规格

2009年12月该系统通过了中国人民解放军信息安全测评认证中心的认证，获得了军B级的高安全等级。目前，银河玉衡文件单向传输系统已成功应用于解放军报、国防科技大学、中电54所等单位，取得了良好的应用效果和用户好评。

产品外观 功能分类 个人网盘 功能项 用户网盘 文件上传 文件下载 文件新建 文件修改 文件删除 文件重命名 文件移动 新建目录 删除目录 WEB界面文件单向传输功能 端系统文件同步 文件单向传输 单向传输流量控制 手动传输文件 文件夹自动同步 功能说明 每个注册用户拥有独立的网盘空间。 合法用户可把文件从本地磁盘空间上传到网盘空间。 合法用户可以WEB页面的形式从网盘空间下载文件。 在网盘空间内新建文件。 对网盘空间内的文件内容进行编辑修改。 删除网盘空间内的文件。 将网盘空间的文件重命名。 将网盘空间的文件移动到不同的目录。 在网盘空间内新建一个目录。 删除网盘空间内的用户目录及其中所有文件。 将外端机中注册用户的文件单向传输到内端机中相应注册用户网盘空间内，且保持目录结构不变。 对系统全局的单向传输速率进行控制，较低的传输速率可以加大文件传输的成功率。 从外网端系统向内网端系统传输单个文件。 将外网端系统指定文件夹中的文件自动同步到内网端系统特定文件夹中。 手动将外网中的数据库信息单向同步到内网中的数据库。 定时将外网中的数据库变化信息自动单向同步到内网中的数据库。 第 13 页/共 15 页

数据库同步 数据库手动同步 数据库自动同步

支持多种数据库类型 外网向内网发送邮件 用户管理 内外网邮件代理 邮件从外网发送到内网 用户注册 支持Oracle、SQLServer等多种数据库的同步。 在内外网分别提供邮件代理服务 通过内外网邮件代理，外网用户可以向内网邮件服务器发送邮件。 支持两种用户注册方式： （1）管理员代为注册：管理员手工添加一个用户，用户分为普通用户和管理员用户两类。 （2）用户自助注册：用户自助提交注册申请，由管理员审核后注册生效。 删除一个系统用户及其所有的文件和目录。 修改用户相关的特定个人信息。 用户口令加密存储，保护用户隐私。 提供系统管理的安全身份鉴别功能，身份鉴别基于用户名/口令实现。 可限定系统的管理终端使用范围。 用户删除 用户信息修改 用户口令加密存储 安全控制功能 密码身份认证 管理终端限制 病毒检测（YH-FTMS 对上传的文件进行病毒扫描和查杀。 TR800） 文件类型检测（YH-FTMS TR800） 内容深度检查（YH-FTMS TR800） 系统监控与审计功能 系统监控 日志审计 提供传输文件类型与文件后缀的一致性检测功能。 提供传输数据文件内容的检查和过滤功能。 提供对系统运行状态的实时监控功能。 提供对用户访问行为、安全事件信息、系统日志信息的记录及审计功能。

3.4.2 数据导出

出于保护部队内网绝密信息的安全，对于数据从部队内网流出而应用于部队网络的需求，采用离线处理的数据导出方式或光闸单向传输方式进行物理隔离，保证高安全性，并在安全隔离区和部队绝密内网建立导出服务器，采用安全加固、强审计等技术手段经一步提升安全性。

3.4.2.1 导出前置机和导出服务器

安全隔离区和内网分别部署数据导出前置机和导出服务器组成单向导出系统。它们结合离线数据导入处理机制，实现数据的离线导出。

数据的离线处理（导出），只允许从内网的数据导出服务器经由物理存储设

第 14 页/共 15 页

备人工导出的方式导出。每次导出的数据以文件形式存储，并附加校验码和时间戳，导出到应用服务区的导出前置机之后进行校对，确保数据完整性；如有必要，进行加密存储。

对导出前置机和导出服务器均需要进行安全加固和安装正版的杀毒软件等一系列安全处理。保证服务器以最精简、最安全的方式运行。

3.4.2.2 离线处理

针对目前部队共享网络需要利用部队计算机网络内部的数据的需求，局限于目前的技术水平和相关制度规范的制约，为保证部队计算机网络数据的安全性，不能直接利用网络进行交换。

为保证数据可控安全地导出，需要在部队计算机网络内部设置专门的“导出服务器”，对可导出的数据可进行大小限制，对导出时间，导出设备硬件特征码等等进行强审计，对数据打包签名，以便数据导出前置进行完整性校验。

使用的设备可选用U盘、光盘、移动硬盘的形式，由专人在限定的时间内限次导入至前置服务区的“导出前置机”供互联网业务应用。

建议：也可以通过增加一套单向传输系统进行数据和文件导出

3.5 与等级保护三级的对应

1、物理安全主要依托于部队现有的先行物理安全技术，它已经完全能响应等保三级的要求细节，本方案不作其他建议。

2、网络安全方面，可选用防火墙设备，并结合IDS/IPS设备及三层交换设备来响应。

3、在应用服务区，部署有和互联网相关的应用服务器，它们主要采用安全加固、漏洞补丁、防篡改等手段保证应用安全。

4、主机安全、数据安全通过对安全隔离区的导入前置机、导出前置机、导入服务器的系统进行精简、安全加固，安装正版杀毒软件等安全手段，并借助单向隔离光闸及离线处理（导出）等方式满足等保三级的两个方面要求。

第 15 页/共 15 页

本文来源：https://www.bwwdw.com/article/04w3.html