互联网交通安全综合服务平台边界接入解决方案 2016-09-07 10:17

根据国家保密局的要求,涉密网与互联网之间必须进行物理隔离,即主机、网络均需完全独立;如果涉密网需要与国际互联网交换数据,只允许采用手工拷贝方式。

 

互联网交通安全综合服务平台边界接入解决方案

1.            建设背景

近年来,各级公安交管部门根据《机动车登记规定》、《机动车驾驶证申领和使用规定》、《公安部14项便民利民措施》等文件要求,以便民利民为导向,积极推行网上业务受理和信息服务,利用信息化手段打造“网络警务平台”,拓展和延伸服务渠道,取得了一定成效。但是对照群众和社会的期望,目前网上交管业务和信息服务还无法适应“便民、利民、惠民”整体需要。按照郭部长在全国公安厅局长会议上提出的“坚持以信息化服务社会公众,让数据多跑腿、让群众少跑腿”的要求,为规范和加强交管业务网上服务平台建设,提升服务水平,公安部交管局组织公安部交通管理科学研究所(以下简称科研所)调研了铁道部、中国银行、中国移动等不同部门、不同行业门户网站和网上服务平台建设应用情况,并组织北京、上海、江苏、广东等8个交警总队科技和业务专家进行了研讨,编制了《互联网交通安全综合服务平台总体建设方案》。2013年5月下旬,公安部交管局发函征求部科信局意见,并根据反馈意见对方案进行了完善。6月5日,公安部交管局在无锡组织召开方案专家论证会,对方案进行了充分论证和进一步完善。下一步,拟启动互联网交通安全综合服务平台建设。

根据国家保密局的要求,涉密网与互联网之间必须进行物理隔离,即主机、网络均需完全独立;如果涉密网需要与国际互联网交换数据,只允许采用手工拷贝方式。公安信息通信网虽然属于非涉密网,但参照涉密网的要求进行安全管理。因此,公安部《公安信息通信网边界接入平台安全规范(试行)》(以下简称《安全规范》)中提出明确要求:边界接入平台不能直接连接互联网。公安部科技信息化局于2013年11月制定了《公安信息通信网边界接入平台安全规范——公网信息采集部分》(以下简称《规范》)规范了公安机关通过公网采集社会信息的安全接入建设。

互联网与公安信息通信网的信息交换,已经成为互联网交通安全综合服务平台建设中一个亟需解决的问题。需要采用创新型的安全技术,既满足国家保密局等单位对涉密网的安全管理要求,又从实战角度出发,满足实际业务应用的需求,避免对公安业务应用造成限制。

2.            建设方案(单向光闸导入,光盘摆渡机导出)

2.1. 项目拓扑图

2.2. 方案设备地址规划

 

设备名称

地址规划

IP数量(个)

备注

导入前置机1

互联网IP

1

 

导入前置机2

互联网IP

1

 

导入服务器1

私网IP

1

 

导入服务器2

私网IP

1

 

主控服务器1

私网IP

1

 

主控服务器2

私网IP

1

 

受控服务器1

互联网IP

1

 

受控服务器2

互联网IP

1

 

防火墙

公安网IP

4

 

FTP文件服务器

公安网IP

1

 

 

2.3. 方案说明

互联网交通安全综合服务平台边界接入整体划分为以下几个区域:网上服务平台互联网系统、安全隔离区、网上服务平台公安网系统。

安全隔离区

该区域实现公安信息通信网与网上服务平台互联网系统的安全隔离和信息交换,利用单向传输、光盘库等技术手段保证两个网络之间的安全隔离。

参照等级保护的要求,本区域主要实现:主机安全和数据安全。

本区域主要实现的安全功能有:安全审计、安全隔离、格式检查、内容过滤、单向导入、安全加固等

主要设备为单向光闸(包括导入前置机、导入服务器)、光盘库系统。

防火墙

主要实现安全隔离区设备主控服务器、导入服务器安全访问公安网开展业务指定资源(比如FTP文件资源)。另外确保在公安网内,可以实现对主控服务器,导入服务器的管理访问。

2.3.1. 单向光闸

单向光闸实现公安信息通信网与互联网等公网之间的物理单向隔离,并在此基础上进行数据单向导入,既保证了内网的安全,又能够满足业务数据的采集需求。

单向光闸由源主机、目标主机和分光器三部分组成。

设备采用分光镜像原理,通过分光器的单向分光方式,将源主机上的数据镜像到目标主机上,实现不同网络间数据的单向安全传输,确保网络间的物理隔绝。

  • 物理单向性

如图所示,单向光闸由源主机、目标主机和分光器构成。分光器是组建光通道网络的一个组件,是一个连接光缆终端设备(OLT)和光接收节点(ONU)的无源设备,它的功能是分发下行数据。分光器带有一个上行光接口,和若干个下行光接口,从上行光接口过来的光信号被分配到所有的下行光接口传输出去。

单向光闸采用分光器进行发送主机和接收主机的物理连接,接收主机只有输入接口与分光器的输出光纤连接,接收主机的输出接口没有连接任何光纤,确保数据只能进入到接收主机,不能从接收主机流出,从而保证了数据传输的物理单向性。

  • 数据完整性保证

数据丢包是单向数据导入的一大技术难题。单向光闸通过“分光回馈”的设计保证数据单向传输的可靠性。发送主机通过比较发送的数据和从分光器“分光回馈”的数据,判断是否存在丢包的情况、是否需要重发数据,以此来保证数据发送的可靠性。

  • 应用安全

单向光闸采用白名单控制原则,对传输数据进行严格过滤。单向光闸根据事先设置的规则,对所传输数据进行格式检查和内容过滤(关键词),所有不符合要求的数据都不会被传输。并且,单向光闸具备详细完整的文件传输和数据库传输审计日志,能够实时报送边界接入平台集中监控与管理系统。

单向光闸还具有自身安全保护功能,提供管理员身份认证、访问控制、日志审计功能。

  • 设备功能

单向光闸主要实现数据的单向导入或导出,根据导入导出的数据不同,主要有三种应用功能:

  • 一是文件的单向导入:支持通过FTP、Samba协议获取文件或装载文件;
  • 二是数据库的单向导入:支持ORACLE、MS-SQLSERVER、MYSQL、SYBASE、DB2等多种数据库类型,支持异构数据库交换;
  • 三是数据恢复:针对单向传输的应用特点,极少情况下可能产生丢包现象,单向光闸提供以下便捷的丢包恢复功能:碎片恢复(指定某条记录或某个文件单独进行恢复)、起点恢复(从某个序列号重新开始恢复)、全部恢复(将源数据全部同步一次)。

2.3.2. 导入前置机和导入服务器

单向光闸两侧分别部署导入前置机和导入服务器,组成数据单向导入通道。

各类互联网数据采集应用系统采集到的数据存储于各自的应用服务器。根据业务的不同,各应用系统的应用服务器将数据以数据库、文件等方式存储,数据格式也随应用系统的不同而各有不同。导入前置机对各应用服务器进行设备认证,通过安全的协议,汇聚各应用服务器上采集到的数据,并对数据进行格式和内容安全检查,最后统一通过单向光闸设备导入到位于公安信息通信网的导入服务器,并进行传输过程的审计。

单向光闸利用光的单向性的物理特性,保证数据仅能单向导入。同时,导入前置机、单向隔离光闸和导入服务器串接部署,单项光闸只提供导入前置机与导入服务器两个专用设备之间的数据单向导入,不与各种应用服务器交互,避免引入额外的安全风险。

导入服务器向公安信息通信网提供服务。公安信息通信网上的用户和应用系统经过认证,获取导入服务器上的数据。

2.3.3. 光盘摆渡机(单向)

采用光盘摆渡机组成单向导出通道,利用物理机械臂将光盘在刻录光驱(公安网)和只读光驱(互联网)之间进行切换,数据只能从公安网进入到互联网网,最终实现数据的单向传输。

合众光盘摆渡机是一种以光盘作为载体,通过刻录光盘的方式模拟手工拷贝交换自动进行离线数据交换的隔离交换设备。系统由主控服务器(连接源端)、隔离光盘库、受控服务器(连接目标端)三部分构成。

系统架构图如下图所示:

  • 发送服务器:主要用作数据采集。该服务器与数据源端进行连接,将源端需要对外导出的数据采集到本地后进行过滤等处理,之后通过刻录光驱将数据刻录到光盘中。
  • 光盘摆渡机:光盘摆渡机为刻录光驱提供空白光盘,并通过机械臂将刻录好的光盘从刻录光驱移动到只读光驱。光盘摆渡机无任何操作系统,只有固化了的摆渡机调度控制软件。
  • 接收服务器:主要用于数据接收与装载。该服务器通过只读光驱读取光盘,从而获取源端对外导出的数据,并将这些数据装载到与之相连的目标端服务器中。

发送服务器除了通过专用数据线与光盘摆渡机的刻录光驱相连以外,还通过网线连接光盘摆渡机的控制口,通过指令控制光盘摆渡机,实现光盘刻录、光盘摆渡和光盘回收等功能。

接收服务器仅通过专用数据线与光盘摆渡机的只读光驱相连,当监测到只读光驱中放入了光盘后,自动读取光盘中的数据。接收服务器无法对光盘摆渡机进行任何控制操作。

 

2.4. 业务流程

2.4.1. 公安网服务系统与互联网服务系统之间的数据交换

2.4.1.1. 数据导入(互联网服务系统公安网服务系统)

该类业务需要通过互联网采集外部数据,并将数据导入到公安内网。

业务流程:

  • 通过应用服务区内的业务应用系统收集外部数据;
  • 导入前置机从业务应用系统的数据库或文件系统获取需要导入公安内网的数据,并进行过滤、打包、安全审计等处理;
  • 单向光闸将导入前置机处理完成的文件导入内网,暂存在导入服务器中;
  • 导入服务器对文件进行校验、解包等处理,并推送给内网的业务系统;
  • 整个过程能够留下详细的审计记录。

2.4.1.2. 数据导出(公安网服务系统互联网服务系统)

该类业务是将公安内部数据通过光盘库隔离交换设备,以源端刻录光盘——机械臂交换光盘——目标端读取光盘的方式,交换到互联网。

业务流程:

  • 将需要导出的数据存放在公安网的交换前置机上;
  • 由光盘摆渡机的源端主控服务器根据安全策略主动获取该数据,并对数据进行严格过滤,之后打包成加密的数据文件,刻录到光盘中;
  • 机械臂自动将刻录完成的光盘从刻录光驱中移动到只读光驱中;
  • 光盘摆渡机的目标端受控服务器会读取该光盘中的数据文件,并进行解密、校验、过滤等处理,最后将得到的数据装载到互联网的指定位置。

整个过程能够留下详细的审计记录

 

 

2.4.1.3. 项目设备机柜安装部署

1列10架

  

4列10架

 

 

3.            合众光盘物理摆渡系统V3.0说明

3.1. 产品用途

合众光盘物理摆渡系统(简称:合众光盘摆渡机)是基于物理传输设备——隔离光盘库,来实现相互隔离网络的数据同步。系统主要用于从涉密网对外单向导出数据。具体如下:

  • 实现物理隔离网络间的数据单向同步

合众光盘摆渡机可以将内网源端服务器中的数据库或文件数据,通过光盘刻录→光盘摆渡→光盘读取的方式,单向同步到外部其他网络的目标端服务器中,并且可以保证网络间的物理隔离性。

  • 解决数据同步过程中的各种应用需求

合众光盘摆渡机支持异构系统之间的数据同步,并通过数据过滤、数据加密、在线杀毒、同步审计等功能保证数据安全,提供数据恢复功能保证数据可靠性,还能够对所有同步的数据进行详细的安全审计,从而能够满足数据同步过程中的各种应用需求。

3.2. 产品组成

合众光盘摆渡机是一种以光盘作为数据载体,通过刻录光盘这一模拟手工拷贝的方式,自动进行离线式数据交换的隔离交换系统。它由主控服务器(主控机)、隔离光盘库、受控服务器(受控机)三部分组成。

其拓扑图如下:

  • 主控机通过网线和专用SATA数据线与隔离光盘库相连,SATA线连接刻录光驱,网线连接隔离光盘库的控制口,通过指令控制隔离光盘库,实现光盘刻录、光盘摆渡和光盘回收;
  • 受控机仅通过专用SATA数据线与隔离光盘库的只读光驱连接,当监测到只读光驱中放入了光盘后,自动读取光盘中的数据。受控机无法对隔离光盘库进行任何控制操作;
  • 隔离光盘库无任何操作系统,只有固化后的光盘库调度控制软件;
  • 主控机的数据通过隔离光盘库的刻录光驱刻盘,通过隔离光盘库的机械臂将刻录好的光盘摆渡到只读光驱,受控机从只读光驱进行数据的读取与分发。

3.3.        工作原理

  • 主控机:主要用作数据采集。该服务器与数据源端进行连接,将源端需要对外导出的数据采集到本地后进行过滤等处理,之后通过刻录光驱将数据刻录到光盘中;
  • 隔离光盘库:隔离光盘库为刻录光驱提供空白光盘,并通过机械臂将刻录好的光盘从刻录光驱移动到只读光驱。隔离光盘库无任何操作系统,只有固化后的光盘库调度控制软件;
  • 受控机:主要用于数据接收与装载。该服务器通过只读光驱读取光盘,从而获取源端对外导出的数据,并将这些数据装载到与之相连的目标端服务器中。

由于合众光盘摆渡机采用光盘这一物理介质作为数据交换的载体,从而保证了源端与目标端之间不存在任何网络连接,能够保证不同网络间的物理隔离。

3.4. 产品主要功能

合众光盘摆渡机的主要功能包括数据传输功能、安全访问功能、安全审计功能、安全监管功能和配置文件及日志的导入导出功能。

3.4.1. 数据传输功能

3.4.1.1. 数据库单向同步

系统能够实现源数据库对目标端数据库的数据单向同步。

  • 数据库支持范围

系统支持几乎所有主流数据库的交换,包括Oracle、SQL Server、Sybase、Db2、Mysql等各种版本。

  • 数据库同步方式

系统支持全表同步方式和触发器方式。

  • 数据装载模式

系统支持至少三种数据库装载模式,包括:单条装载模式、批装载模式和存储过程装载模式。

  • 异构数据转换

系统支持各种数据库之间的异构数据转换,如:不同类型数据库、不同版本数据库、异构表、异构字段名、异构字段类型、异构字符类型、异构数据库字符集、异构大字段等等。

  • 调度功能

系统支持三种调度模式:实时调度、定时调度、手工调度。

  • 数据库分发功能

系统支持数据合并与分发,既可以实现多个数据源到一个目标的合并,也能实现一个数据源到多个目标的分发。

  • 条件选择交换

系统支持条件选择交换,系统可以根据事先设置的条件,自动筛选数据表中需要进行交换的行记录。

 

3.4.1.2. 文件单向同步

系统能够实现源端对目标端服务器的文件单向传输。

  • 文件交换模式

系统支持文件新增同步、文件夹镜像同步、文件同步后源端移动或删除等文件交换模式。

  • 文件获取方式

系统支持SMB、NFS、FTP和专用的代理客户端等模式读取本地或远程的文件。

SMB/NFS共享方式,是指将源端共享文件夹中的文件,同步更新至目标端共享文件夹中。

FTP方式,是指通过FTP获取源端服务器中的文件,系统既可以作为FTP Server,又可以作为FTP Client来传输文件。

专用代理客户端模式:在源端安装专用的Agent程序,进行文件的捕捉。

  • 文件装载冲突处理

在目标端进行文件装载过程中,系统能够提供多种冲突处理机制,支持覆盖、放弃、重命名(加以时间后缀)等处理模式。

  • 调度功能

系统支持实时、定时或手动等调度方式。

 

3.4.1.3. 数据错误恢复

在数据同步过程中,可能会因为种种原因导致数据出错、丢包。因此,系统提供数据错误恢复功能,以保证同步数据的完整性。

数据错误恢复主要包括以下几种方式:

  • 碎片恢复:是指根据出错、丢失数据包的重传序号,来恢复单个数据包;
  • 区间恢复:是指恢复指定编号区间范围内的数据包;
  • 全部恢复:将源数据全部同步一次;
  • 手动文件上传:是指将不规则的出错、丢失数据包压缩为一个导出文件,然后将导出文件中包含的数据包予以恢复。该种方式的特点为,可以恢复不特定范围内的数据包。

3.4.1.4. 数据传输安全

  • 数据加密传输

系统源端采集到的数据在刻录到光盘中之前,会对数据进行加密处理,目标端服务器读取光盘数据时,再对数据进行解密还原,这样一来,能够保证光盘上的数据不会被非法窃取,保证数据的安全性。

  • 数据过滤

系统可以采用白名单机制对所传输的数据内容和数据格式进行过滤,阻止非法格式或含有非法内容的数据通过系统进行传输。

如通过关键字、字段长度、枚举值、数值范围等手段进行数据内容的过滤;通过文件后缀名、文件扫描等手段进行数据格式的过滤。

  • 病毒查杀

系统通过流杀毒引擎对所交换的数据进行过滤,阻断含有病毒或木马的数据进行传输。

3.4.2. 安全访问功能

3.4.2.1. 安全管理

  • 安全管理

系统提供基于安全的HTTPS+数字证书方式进行系统管理。

  • 双端管理

系统采用双端模式进行系统管理,即主控机及受控机分别具有单独的Web管理模块,有效保证管理的安全性。

  • 三权分立

系统根据三权分立的管理思想,由系统管理员、系统安全员、系统审计员、操作员构成分权限、分责任、分平台管理系统。系统管理员对系统的网络、基础信息、用户进行配置、管理;系统安全员对操作员、服务、资源进行安全标记;系统审计员对安全审计机制进行管理;操作员进行业务及服务的管理。这样的管理结构,不仅大大增强了系统的安全保障能力,而且便于后期的扩展和维护。

  • 安全标记

系统安全员会对系统中每个操作员、每个服务、每个数据资源都进行安全标记。安全标记分为四个安全等级,系统将根据安全等级的高低来对实行严格的权限控制,只有主体的安全等级不低于客体时,才能够对客体进行操作。(安全等级为2的操作员将不能够对安全等级为2以上的服务进行任何配置修改)

3.4.2.2. 访问控制

  • 可信主机认证

系统会依据约束发送方的IP/MAC地址、开放端口范围等安全属性对源端服务器和目标端服务器进行身份认证,保证源端、目标端服务器是合法可靠的。

  • 访问控制

系统可以根据IP限制、错误口令次数限制等措施对用户进行管理。未授权的用户无法进行访问。

3.4.3.      安全审计功能

安全审计是实现数据传输行为抗抵赖的重要安全功能

3.4.3.1. 业务统计功能

系统提供按业务/服务名、服务类型、运行状态、主管部门、主管人、联系电话等条件,显示各项服务的业务概览情况。

3.4.3.2. 流量统计功能

系统提供功能丰富的统计报表功能,通过曲线图或者柱状图等方式,统计日流量、月流量等,更直观地反应每个业务的数据交换情况。

系统还可以根据设定的统计范畴、时间纬度、服务类型、服务纬度,将审计日志灵活的生成饼图或线形图等方式,便于用户进行数据分析。

3.4.3.3. 日志审计功能

系统提供对整个数据交换行为的完整审计,包括数据来源、发生时间、交换目标、交换内容、交换行为是否成功、失败后重试次数、交换结束时间等。

系统提供对整个用户操作行为的完整审计,包括开始时间、结束时间、操作事件和用户名、单独或组合查询、用户操作审计信息等。

3.4.3.4. 报警审计功能

系统提供对数据交换过程中发生故障时的报警审计,且提供自定义统计查看,可以按服务名称、用户、报警类型、产生时间、解除时间、时间单独或者组查询报警审计信息。

3.4.3.5. 日志管理功能

系统提供对审计日志的管理功能,包括管理用户操作审计、文件服务审计、报警审计表,设置健康值、阀值等,以保证日志记录的正常使用。

3.4.4. 安全监管功能

管理功能主要包括对系统、服务、硬件设备的监控,对异常情况的报警及各类运行信息的统计等功能,系统的主控机和受控机上均部署了相关功能模块,分别提供主控机和受控机的管理功能。

3.4.4.1. 服务监控功能

系统可以实时监控每个服务的当前状态,包括数据流量、数据包数、每分钟传输文件个数、运行状态、队列深度等。

3.4.4.2. 硬件状态监控

系统可以分别监控主控服务器和受控服务器的设备状态。

主控服务器:可以全面监管主控机的运行状况,包括CPU、内存、硬盘的使用率,隔离光盘库运行状态,服务流量走势,系统自检信息,网络情况等。

受控服务器:可以全面监管受控机的运行状况,包括CPU、内存、硬盘的使用率,系统自检信息,网络情况,业务处理情况,丢包情况,缓存使用情况等。

3.4.4.3. 报警监管功能

系统可以根据配置通过邮件、短信等方式及时向管理员报警。

3.4.5. 导入导出功能

系统提供系统配置文件导入导出和日志文件导出功能。将日志信息以标准格式(SYSLOG格式)导出给第三方系统备份,并结合第三方系统对日志进行分析。

3.5. 产品特点

3.5.1. 绝对物理单向,防止信息泄密

隔离光盘库采用刻录光驱、机械臂与主控机连接,证明物理上不基于协议传输;采用只读光驱与受控机连接,证明绝对没有反向传输的可能,同时也是物理隔离的。

3.5.2. 符合等级保护三级要求的安全功

系统实现系统管理员、系统审计员和系统安全员三权分产各司其职的管理,使得对系统的管理更加安全可控,避免人为因素带来的安全风险。

3.5.3. 支持光驱热备

支持光驱热备功能,即主控服务器和受控服务器支持两个光驱,一个运行,一个备用,运行光驱的出现故障,自动切换到备用光驱,提高系统的稳定性。

3.5.4. 支持隔离光盘库热备

支持隔离光盘库热备,即主控服务器和受控服务器支持同时连接两台中间隔离光盘库,一个运行,一个备用,运行的隔离光盘库出现故障时,系统自动切换至备用隔离光盘库,提高系统的稳定性和可靠性。

3.5.5. 零代码,无需二次开发

系统支持文件同步、各种数据库同步、异构操作系统、异构数据库之间文件和数据库数据的同步,支持按行、列条件同步,支持历史数据和增量数据同步等功能满足客户需求,无需二次开发。

系统提供全中文、图形化界面完成配置,最大限度减少用户操

 

 

4.            合众安全隔离与单向传输系统V1.0说明

4.1. 产品用途

合众单向光闸是采用分光镜像技术实现的用于单向数据传输的隔离设备,主要用来解决政府部门网络与外部公共网络之间存在的单向数据传输需求。它采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输。

合众单向光闸主要适合如下的用户:

非涉密网向涉密网单向传输的用户

根据国家保密局的规定,非涉密网与涉密网进行数据交换时,绝对禁止高等级网络的涉密数据流向低等级网络。因此,非涉密网与涉密网数据交换只能采用单向传输方式。合众单向光闸基于光传输的单向性保证数据传输从物理层面而言就是单向的,反向绝无传输的可能性,因此能够保证涉密网没有信息泄密的可能。

4.2. 产品组成

合众单向光闸是一种基于分光技术的数据还原装置,它由两台计算机、一个分光器等部分组成。它采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输。

合众单向光闸有别于传统单向网闸,它在逻辑上由三台主机构成,即处于外网端的源主机上存在两个不同的光卡逻辑上分离成发送主机和接收主机,光信号由发送主机发送至分光器,而接收主机通过分光器接收一路光信号并还原成数据,通过内置的数据确认机制(数据签名和收发确认校验方式)来保证数据传输是否正确和完整。

4.3. 工作原理

图1 分光数据还原系统原理图

合众单向光闸是一种基于分光技术的数据还原装置,它由两台主机、一个分光器等部分组成。它采用分光镜像的原理,通过分光器将源主机上的数据镜像到目标主机上,最终实现数据的单向传输。

1)单向光闸系统原理

合众单向光闸由源主机、目标主机和分光器构成。分光器是组建光通道网络的一个组件,是一个连接光缆终端设备(OLT)和光接收节点(ONU)的无源设备,它的功能是分发下行数据。分光器带有一个上行光接口,和若干个下行光接口,从上行光接口过来的光信号被分配到所有的下行光接口传输出去。

2)单向光闸系统组成

合众单向光闸的源主机安装在外部网络中,目标主机安装在内部网络中。源主机上有两个光通道网卡,目标主机上有一个光通道网卡;分光器的输入端和源主机的一个光卡(称为发送光卡)的输出端用一条单向光纤连接,使光信号可以从发送网卡的发送端发射到分光器的输入端。

源主机的另一个网卡(称为接收光卡)的输入端和分光器的一个分光输出端连接,接收光卡的输出端与发送光卡的输入端相连接。分光器的另一个输出和目标主机上的光通道网卡(称为目标光卡)的输入端一一相连。

2)单向光闸数据同步原理

源主机上运行两个进程:发送进程和接收进程。发送进程通过发送光卡发送数据包。这些数据包被发送光卡转换成光信号,从发送光卡的输出端发出。而这一光信号被分光器分成2束与接收到的光信号相同的光信号。其中一束光信号被源主机的接收光卡接收;另外一束光信号被目标主机的目标光卡接收。

发送进程将组装好的数据块通过发送光卡的输出端发送,并检查来自接收进程的重发请求。如果没有重发请求,则按照上述方法继续发送下一个数据块;如果收到重发请求,则重发这一块数据块,发送完重发的数据块后再继续发送待发送的其他数据块。

在目标主机上安装有光通道网卡,其接受端与分光器的输出端连接,从而可以收到来自分光器的光信号。这些光信号来自分光器输入的光信号的分光,所以其内容与源主机上发送光卡的输出端发送的内容是一致的。目标主机上的目标接收进程将光通道网卡上的接收到的光信号还原为数据块,并组装成与源端一致的数据库记录或数据文件。

4.4. 核心功能介绍

4.4.1. 数据的单向导入功能

合众单向光闸主要实现数据的单向导入或导出,根据导入导出的数据不同,主要有三种应用功能:一是静态文件的单向导入;二是数据库的单向导入;三是单向UDP。

4.4.1.1. 文件单向导入导出

静态文件通常是指在物理存储介质(如硬盘、光盘、优盘、软盘等)中创建及使用的文件。这些文件通过FTP、Windows映射等方式可以作为合众单向光闸导入导出的文件。静态文件单向导入的典型部署场景如下所示:

1)通过合众单向光闸能实现以下文件单向传输:

  • 基于FTP服务的静态文件单向导入导出;
  • 基于Windows映射的单向导入导出;
  • 文本型数据库文件(如mdb、dbf文件)的单向导入导出。

2)支持文件动态同步

单向光闸对源端服务器文件夹进行监控,当文件有增、删、改操作时,目标端文件夹里的文件也进行同步的增删改操作。

3)支持同文件夹双向同步

使用两套单向光闸进行双向文件同步时,支持源端到目标端使用使用相同的文件夹。

4.4.1.2.   数据库单向同步

由于网络结构的划分、安全域的不同及应用需求的不同,在实际环境中经常存在内外网双数据库的应用系统,这些应用系统需要实现内外网数据库之间的数据内容同步。

合众单向光闸数据库同步支持全表同步和增量同步两种模式。其中,全表同步可以按周期或时间同步所有数据,确保内外网数据库数据的一致性;而增量同步可以获取增量变化,并单向同步,该模式也支持历史数据一次性同步,确保内外网数据库数据的一致性。

合众单向光闸的单向数据库同步功能正适合这样的应用要求,这时的典型部署场景如下:

1)合众单向光闸能实现以下数据库的单向传输:

  • ORACLE 8I/9I/10G/11G;
  • SQL SERVER 2000/2003/2008;
  • SYBASE;
  • DB2。

2)数据库数据同步方式有以下几种:

  • 奉献方式:数据库同步时将源端的数据同步到目标端后,删除源端同步表里的记录。
  • 升序增量方式:通过用户指定的增量字段(如主键字段、时间戳字段)来实现业务。
  • 快照日志方式:oracle数据库的快照是一个表,它包含有对一个本地或远程数据库上一个或多个表或视图的查询的结果。也就是说快照根本的原理就是将本地或远程数据库上的一个查询结果保存在一个表中。

4.4.1.3. 单向UDP

合众单向光闸支持用户应用系统通过UDP协议连接,外主机收到UDP连接后单向同步到内主机,内主机将UDP连接转发至指定IP地址。

4.4.2. 数据安全机制

4.4.2.1. 掉电保护

支持自动备份、自动恢复、自启动等功能,能够在设备意外掉电时保护重要数据(如:正在传输的文件、重要配置文件、系统状态文件等),下次启动时可以正常、快速进入系统,且系统能够正常运行。

4.4.2.2. 断网恢复

支持自动恢复功能,在网络异常或断网的情况下,设备能够尝试进行网络快速修复,在网络恢复正常后,能自动恢复数据传输。

4.4.2.3. 数据恢复

支持丢包数据恢复功能,恢复的方式为以下三种:

  • 碎片恢复:指定某条记录或某个文件单独进行恢复;
  • 起点恢复:从某个序列号重新开始恢复;
  • 全部恢复:将源数据全部同步一次。

4.4.2.4. 传输优先级

支持指定待传输数据的优先级,来保证重要业务数据的安全,并提供三种优先级方式:用户优先、文件优先和服务优先。

4.4.2.5. 数据消除

支持数据消除功能,当一个数据传输服务的数据占用了接收主机存储总空间的1/5时,该服务将被系统设定为非正常服务,系统将进行报警。同时,系统将不再存储该服务的数据,自动删除该服务的后续数据。已堆积的数据可以根据需要,进行手动删除。

4.4.2.6. 业务验证功能

在进行数据库同步设置时,能够根据数据库同步方式对部署的业务自动检测,提示业务部署的准确性。

4.4.3. 系统安全控制功能

4.4.3.1. 安全管理

合众单向光闸对管理员权限的登录都会进行数字身份证书+用户名密码的双层次身份认证。根据其数字证书、输入的用户名、密码,来确认当前用户是否为合法用户。若是合法用户,允许访问;若是非法用户,拒绝访问。

4.4.3.2. 三权分立管理

系统符合等级保护三级的要求,采用三权分立原则进行用户设计,包括系统管理员、系统安全员、系统审计员和业务操作员进行管理。

4.4.3.3. 鉴别失败处理

合众单向光闸可以设置登录IP次数限制,该功能可以设置一个用户名或一台客户端登录系统的最大重试次数。

1)每用户名登录系统的最大重试次数默认为三次。当超过三次时,将被锁定,并产生审计记录。

2)每台客户端登录系统的最大重试次数(即,所有用户名的登录次数之和),系统默认为5次,并允许管理员重新设置。但最少重试次数不能低于1次;最大重试次数不能高于10次。当一台客户端尝试登录系统的次数,超过最大重试次数,将被锁定。

4.4.3.4. 管理接口限制

合众单向光闸配备了专用的管理口,所有对光闸的管理和配置操作只能通过管理接口进行。

4.4.3.5. 登录超时认证

合众单向光闸具有登录认证超时功能。在设定时间段内没有任何操作的情况下,需要再次进行身份认证才能重新进行操作。最大超时时间仅能由授权管理员设定。

4.4.3.6. 用户访问控制

合众单向光闸可以根据用户权限对用户进行管理。未授权的用户无法进行查询和修改。

4.4.3.7. 登录信息安全

为了保证登录信息安全,预防登录信息被冒用,合众单向光闸不会显示默认的登录用户名。

4.4.3.8. 可信主机

在Client模式下,合众单向光闸在进行传输服务配置的时候,需要填写发送方的IP/MAC等属性,由安全管理员进行审核,并设置服务规则,以保证该服务只能从指定发送方获取数据资源。

在service模式下,合众单向光闸可以通过后台设置与其连接的client的IP/MAC地址。

4.4.4. 系统监控及安全审计功能

4.4.4.1. 系统监测功能

系统可通过WEB方式进行远程管理,监控范围包括网络接口实时速率、CPU利用率、内存利用率等,系统可通过SNMP简单网络管理协议传输设备监控信息,支持与第三方网管软件对接。

系统可对数据处理状态进行监控分为红、黄、绿三级,红色表示网络堵塞或发送端死机;黄色表示网络负载较大,容易引起堵塞或死机;绿色表示系统运行良好,网络通畅。

系统通过WEB页面监控源端、目标端数据库同步表的表结构变动情况、记录数据抽取入库情况等信息。

4.4.4.2. 日志审计功能

合众单向光闸具备详细的审计功能,具体包括:操作审计信息、业务审计、备份文件操作日志、单向传输日志。同时在此基础上提供详细的审计记录,审计内容包括事件发生时间、源/目的地址、用户身份、事件类型和结果(成功/失败)等;并提供审计数据的导出功能。

4.4.4.3. 热备授权功能

两套相同型号、相同系统、传输方向一致的设备,支持热备功能来保障数据的可用性;在软件授权页面通过导入License授权许可证激活热备功能,在WEB页面显示授权信息:授权模块名称、授权起始日期、授权截止日期、状态等信息;

4.4.4.4. 单主机设备可靠性设计

单主机设备采用采用CF卡+硬盘模式保障设备的可靠性,当单主机设备硬盘故障时,不影响业务服务数据的正常使用,及时的对设备故障进行报警。

4.5. 产品特点

4.5.1. 产品优势

合众单向光闸在逻辑上由三台主机构成,即处于外网端的源主机上存在两个不同的光卡逻辑上分离成发送主机和接收主机,光信号由发送主机发送至分光器,而接收主机通过分光器接收一路光信号并还原成数据,通过内置的数据确认机制(数据签名和收发确认校验方式)来保证数据传输是否正确和完整。从原理上而言,处于内网侧的目标主机与接收主机收到同一个分光器分送的两路光信号,如果接收主机没有收到会通知发送主机重发数据,这样目标主机也就能够收到重发的数据了。该原理极大的提高了合众单向光闸数据传输的可靠性。

  • 绝对物理单向,防止信息泄密

合众单向光闸采用分光器镜像,物理上就是单向的,绝对没有反向传输的可能。

  • 没有丢包

由于合众单向光闸采用逻辑三主机模型(发送主机、接收主机、目标主机),因此丢包率小,而且即使有丢包通过程序自身的纠错功能就可以纠错,因此,基本上能够保证绝不丢包。

  • 通量大

由于合众单向光闸采用逻辑三主机模型,不需要通过冗包来纠错,因此传输通量增大,最大可以达到640M,基本达到千兆网络数据传输需求。

  • 支持数据库同步

合众单向光闸支持主流的数据库单向同步,支持内外网数据库异构同步。

  • 流量控制

合众单向光闸三主机模型存在流量控制机制,如果发送过快接收主机会返回流量控制信号。

  • 抗故障能力

合众单向光闸具有较大物理缓存,可以保存三个月以上的数据。

4.5.2. 与单向网闸对比

由于采用了分光镜像技术,合众单向光闸的稳定性和准确性相比数据二极管单向网闸更胜一筹。