技术
Special Technology
I G I T C W 专题
80DIGITCW
2021.05
随着企业数字化转型的逐步深入,无论是国有企业还是私营企业都投入了大量资源进行信息系统建设,信息化程度日益提升。在这一过程中,企业也越来越重视核心数据资产的保护,数据资产的安全防护成 为企业面临的重大挑战。因此绝大多数企业为了防止内部核心数据泄露,都实施了内外网隔离来保证网络安全和数据安全。 目前,政府机构,事业单位,高端制造、银行等大中型企业,根据国家安全保密管理要求,均已建立了多个网络环境,例如涉密网、非涉密网、生产网、测试网、互联网等。为了杜绝基于网络连接的信息和数据泄密事件的发生,通常使用防火墙、网闸等方式实现网络隔离,所有涉及企业秘密、非涉密的应用和数据同样受到严格控制,阻碍了不同等级网络之间的信息沟通,也一定程度上限制了企业信息化发展。
为了在网络隔离的环境下仍然可以有跨网数据和文件交换的途径,本文研究跨网信息安全平台建设方案,满足企业多张网络物理隔离基础上的数据安全交换需求。 1 信息安全交换平台架构设计
1.1 跨网络数据交换技术
防火墙技术和网闸技术是目前在不同安全等级网络之间进行信息安全传输及交换的主流技术。防火墙技术解决的是网络逻辑隔离条件下的数据交换需求,而网闸以数据摆渡的方式实现不同网络之间的数据交换,能保证两张网络在任何时候没有电气连接情况下,实现数据的往返传输,可以有效解决企业
不同网络物理隔离条件下的信息共享需求。因此,本文研究的信息安全交换平台选用网闸技术作为企业跨网络数据安全交换技术。
网闸由内端机、数据交换单元和外端机组成,并通过两套固态开关控制数据分时读写,同一时间仅能有一个开关处于闭合状态,从而实现不同网络物理隔离基础
上的数据交换,如下图所示
:
图1 网闸系统架构示意图
信息流从互联网向企业内部网络转发时,流量先经过网闸外端机进行协议剥离,再经过数据交换单元进行纯数据包摆渡,数据摆渡过程中,还要对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等,经安全检查之后的数据传输至内端机,并在内端机重新进行协议封装。网闸对数据包进行协议剥离、纯数据摆渡,协议重组的过程,一方面实现了纯数据的安全交换,另一方面消除了应用层协议漏洞带来的安全风险。
1.2 信息交换平台物理架构
安全网闸的使用大大提高了不同网络间数据交换的安全性。在实际应用中,网闸支持为标准的应用层协议提供数据传输接口,如HTTP 、HTTPS 、SMTP 、POP3、流媒体、TNS 、SOAP 、TELNET 、FTP 等。但安全网闸传输机制具有不可编程的特性,优点是不会受到病毒感染,缺点是难以适应复杂多样的应用系统架构。为更好的实现与不同应用之间的对接,可在安全网闸的内外两侧配置对应的前置机及后置机,用于对数据进行采集、存储、安全过滤、流控、分发及监控处理。前后置机可根据具体应用特性和架构进行接口编程,进一步提高对应用协议的支持扩展性,以充分适应各种应用场合。前后置机与网闸设备配合使用,共同构成双网安全交换解决方案,如下图所示:
苏皖信息安全交换平台采用外置机、隔离网闸、内置机组成2+1结构。隔离网闸包括外端机、隔离部件和内端机,也是2+1结构,外端机和内端机上安装经安全加固
跨网络信息安全交换平台建设方案研究
陈志军,洪莎莎
(中国铁路设计集团有限公司,天津 300308)
摘要:主要研究企业管理和生产活动过程中,信息系统数据、电子文件在不同安全等级网络间进行安全交换的方案。文章提出了采用外置机、隔离网闸、内置机构建信息安全交换平台的技术方案,从硬
件架构和系统功能方面对信息安全交换平台进行整体架构设计,从网络隔离、访问控制等方面对信息安全交换平台进行安全防护设计,解决了信息交换过程中物理隔离、数据同步、访问控制等技术难题。
关键词:信息安全;跨网交换;数据与文件doi :10.3969/J.ISSN.1672-7274.2021.05.033中图分类号:TP393.08 文献标示码:A 文章编码:1672-7274(2021)05-0080-02麦克斯韦分布
作者简介:陈志军(1979-),男,山西原平人,高级工程师,主要研究方向为网络安全、云计算与人工智能。 洪莎莎(1985-),女,福建龙岩人,高级工程师,主要研究方向为组网设计、网络安全与云计算。
Special Technology
专题技术
DCW
81
数字通信世界
负压病房2021.05
(上接第79页)网络主干网技术先后经历了155M 、1G 、10G 、40G 、100G 等不同发展阶段。当下,光纤技术已成为构建主干网的优质选项。随着技术的发展,当100G 技术不能满足网络传输需求,400G 将是超高速、大容量、融合、智能化光传输网的演进方向。伴随多个400G 标准颁布,MTP 多芯光纤并行传输正给400G 网络创造绝佳的条件。此外,伴随数据中心对高带宽、高速度应用的需求增长,OM5光纤跳线将会成为用于高速数据中心应用的新型多模光纤跳线。OM5光纤跳线借鉴了单模光纤的波分复用(WDM )技术,延展了网络传输时的可用波长范围,降低了网络的布线成本。此外,OM5可扩展性强,可向下兼容OM3和OM4类型的光纤。OM5光纤将会给光通信领域带来巨大的变化。
参考文献
[1] 中华人民共和国工业和信息化部.数据中心设计规范:GB50174-2017[S].北京:中国计划出版社,2017:79.
[2] 张晓微,陈宇通,等.数据中心布线国际标准研究报告[R].北京:中国工程建设标准化协会信息通信专业委员会,2019.
[3] 张晓微,房毅,等.数据中心40G/100G 布线技术白皮书[R].北京:中国工程建设标准化协会信息通信专业委员会,2015.
[4] 张晓微,王君原,陈宇通等.数据中心400G 网络布线技术白皮书[R].北京:中数智慧信息技术研究院,2019.
[5] 陆睿,程传胜,等.100G 开放光模块技术规范 [R]北京:开放数据中心委员会,2017.
[6] 美国康宁公司.抗弯曲光纤在数据中心的应用[J].智能建筑与城市信息,2010,7(164):44-48.
[7] 中国工程建设标准化协会信息通信专业委员会综合布线工作组.数据中心综合布线测试方法[J].智能建筑与城市信息,2011,2(171):54-56.
的linux 操作系统。这种架构是目前最先进、最安全的双网安全数据交换技术,国铁集团客票系统采用该架构进行内外网数据安全交换。
1.3 信息交换平台功能设计
安全网闸提供网络安全隔离功能,在网络物理隔离基础上建立数据传输通道,内端机和外端机之间通过私有协议进行纯数据摆渡,确保不同网络之间无任何的网络协议直接穿透,传输的原始数据不具有攻击或对网络安全有害的特性。
前置机和后置机提供跨网络文件同步代理、数据库代理、应用访问代理功能。文件代理从服务器中抓取需要传输的文件,存储到本地,根据管理策略将文件推送到对应网络指定的文件服务器,或等待对应网络文件服务器来提取文件。数据库代理从指定数据库服务器中抓取需要传输的数据库变化信息,形成文件存储在本地,并推送给对应网络指定的数据库。应用代理是为各类应用穿越不同安全等级网络所构建的应用层协议代理系统,提供跨网络访问应用的通道,解决各种应用协议跨网络进行信息传输的安全问题。
2 信息安全交换平台安全防护设计
信息安全交换平台在实现企业跨网络数据交换的同
时,网络安全防护技术符合等保2.0安全要求,为企业网络、应用和数据提供安全保障。
安全隔离网闸是在网络物理隔离的基础上实现互联互通,符合等保2.0规定的“重要网络区域与其他网络区
域之间应采取可靠的技术隔离手段”要求。
安全网闸基于IP 五元组实现访问控制机制,符合等保2.0规定的“应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信”要求。
马王堆传奇前后置机的文件代理模块对需要采集的远程文件资源和本地文件传输目录进行配置;数据库代理模块对需要同步的源及目的数据库进行配置;应用代理模块对需要传输数据的应用系统进行网络协议的代理配置。通过文件代理模块、数据库代理模块和应用代理模块的安全配置,不允许非授权数据及协议通过信息安全交换平台进行数据交换。
3 结束语
本文主要研究了不同网络物理隔离条件下的跨网络数据安全交换技术,提出信息安全交换平台建设方案,详细设计了信息安全交换平台的物理架构和功能架构,并研究了信息安全交换平台的安全防护技术。随着企业内外网信息交换需求的逐渐增多,建设信息安全交换平台对企业跨网络数据交换发挥重要意义,研究成果经试验验证具备推广实施条件。承德市南营子小学
参考文献
[1] 周磊.计算机网络信息安全研究及其防护对策[J].神华科技,2019(08):6-10.
[2] 刘志成,王瑞.基于网络隔离的信息安全交换平台的设计与实现[J].警察技术,2008(4):8-11.
[3] 赵小刚,王创科.物理隔离网闸系统设计浅析[J].科技与创新,2014(18):133-134.
[4] 张友能.基于网闸技术的网络安全研究[J].通信技术,2008(05):133-苏教版教材插图
135+148.
图2 信息安全交换平台物理架构示意图
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议