摘要：隨著計算機、通信、網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，全球信息化的步伐越來越快，網(wǎng)絡(luò)信息安全問題已成為影響國家長遠利益而亟待解決的重大關(guān)鍵問題。人們對信息傳輸?shù)陌踩浴⒓皶r性、有效性要求越來越高。安全隔離與信息交換系統(tǒng)部署于物理隔離的兩個或多個網(wǎng)絡(luò)之間，提供安全可控的信息交換，與此同時也限制了業(yè)務(wù)的支持種類。通過擴展安全隔離與信息交換系統(tǒng)，實現(xiàn)了系統(tǒng)支持識別源的多對一單播功能和組播功能，并給出了相應(yīng)的應(yīng)用實例。擴展后的安全隔離與信息交換系統(tǒng)，可以通過具體配置項靈活地對其通訊方式進行控制，并且組播功能可實現(xiàn)內(nèi)外網(wǎng)不同組播組之間的通信，增強了安全隔離與信息交換系統(tǒng)對實際業(yè)務(wù)需求的適應(yīng)性。

　　關(guān)鍵詞：安全隔離與信息交換系統(tǒng)；多對一；組播

　　中圖分類號：TP393.0 文獻標識碼：J

　　1引言

　　隨著計算機、通信、網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，全球信息化的步伐越來越快，網(wǎng)絡(luò)信息安全問題已成為影響國家長遠利益而亟待解決的重大關(guān)鍵問題。人們對信息傳輸?shù)陌踩?、及時性、有效性要求越來越高[1]。在網(wǎng)絡(luò)環(huán)境中，要想更好地防止內(nèi)部網(wǎng)絡(luò)漏洞，保護內(nèi)部網(wǎng)絡(luò)的安全性，最好的辦法就是實現(xiàn)外網(wǎng)和內(nèi)網(wǎng)的安全隔離[2]。以防火墻產(chǎn)品為核心的傳統(tǒng)邏輯隔離安全解決方案，可以在一定程度上保障網(wǎng)絡(luò)數(shù)據(jù)通信的安全，但在高安全性需求的網(wǎng)絡(luò)環(huán)境中，其提供的安全保障水平相對不足，無法滿足用戶的實際需求。隨著電子政務(wù)等網(wǎng)上業(yè)務(wù)的不斷發(fā)展，網(wǎng)絡(luò)間的信息交換需求日益強烈。為應(yīng)對不同級別網(wǎng)絡(luò)間信息交換的諸多風險，網(wǎng)絡(luò)安全隔離與信息交換技術(shù)也隨之產(chǎn)生。

　　在上世紀90年代中期，俄羅斯人RyJones首先提出了“AirGap”隔離概念。隨后，以色列研制成功了物理隔離卡，實現(xiàn)了網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的安全隔離。美國WhaleCommunications公司和以色列SpearHead公司先后推出了e-Gap和NetGap產(chǎn)品，利用專有硬件實現(xiàn)兩個網(wǎng)絡(luò)在不連通的情況下進行數(shù)據(jù)的安全交換和資源共享，從而使安全隔離技術(shù)從單純的實現(xiàn)“網(wǎng)絡(luò)隔離禁止交換”發(fā)展到“安全隔離和可靠、可控交換”的程度[3]。

　　安全隔離技術(shù)在提高了安全性的同時，也限制了業(yè)務(wù)的支持種類，拓展安全隔離產(chǎn)品支持更多的實際業(yè)務(wù)需求是安全隔離產(chǎn)品發(fā)展的主要方向。根據(jù)實際業(yè)務(wù)需要，網(wǎng)絡(luò)安全隔離產(chǎn)品需要能夠支持識別源的多對一單播功能和組播功能的安全隔離與信息交換系統(tǒng)。本文從安全隔離與信息交換系統(tǒng)入手進行研究，擴展了安全隔離與信息交換系統(tǒng)的基本功能，使系統(tǒng)能夠支持識別源的多對一單播和組播功能，并給出了相應(yīng)的應(yīng)用實例。

　　2安全隔離與信息交換系統(tǒng)

　　安全隔離與信息交換系統(tǒng)，是具有隔離與信息交換兩個特點的網(wǎng)絡(luò)信息安全系統(tǒng)，是一種通過專用硬件使不同網(wǎng)絡(luò)在不連通的情況下實現(xiàn)安全數(shù)據(jù)傳輸和資源共享的技術(shù)。隔離指的是把不安全的外部網(wǎng)絡(luò)和安全的內(nèi)部網(wǎng)絡(luò)隔離起來；交換指的是利用第三方系統(tǒng)，為外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)提供數(shù)據(jù)交換的能力。它采用獨特的硬件設(shè)計，并在此基礎(chǔ)上繼承了多種安全技術(shù)，能夠顯著提高內(nèi)部用戶網(wǎng)絡(luò)的安全強度。對需要傳輸?shù)臄?shù)據(jù)進行定義，稱為“白名單”，符合定義的數(shù)據(jù)時允許，其余的禁止。

　　安全隔離與信息交換系統(tǒng)的應(yīng)用需求主要有兩大類：一類是用于因特網(wǎng)和涉密網(wǎng)絡(luò)之間，如因特網(wǎng)與政務(wù)內(nèi)網(wǎng)（涉密網(wǎng)）之間，此處需要數(shù)據(jù)只能從互聯(lián)網(wǎng)流向涉密網(wǎng)絡(luò)，而不能從涉密網(wǎng)絡(luò)流向互聯(lián)網(wǎng)；另一類是用于其他類別的網(wǎng)絡(luò)之間，如政務(wù)內(nèi)網(wǎng)（涉密網(wǎng)，與互聯(lián)網(wǎng)物理隔離）和政務(wù)外網(wǎng)（非涉密網(wǎng)，與互聯(lián)網(wǎng)邏輯隔離）之間等。

　　安全隔離與信息交換系統(tǒng)由內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)、隔離交換模塊共三部分組成，使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立的主機系統(tǒng)，模擬人工在兩個隔離網(wǎng)絡(luò)之間實現(xiàn)信息交換。安全隔離與信息交換系統(tǒng)本質(zhì)在于：兩個獨立主機系統(tǒng)之間，不存在通信的物理連接和邏輯連接，不存在依據(jù)TCP/IP協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)塊的無協(xié)議“擺渡”。安全隔離與信息交換系統(tǒng)的工作原理如圖1所示。

　　安全隔離與信息交換系統(tǒng)支持雙向數(shù)據(jù)交換，以應(yīng)用代理訪問的方式實現(xiàn)。系統(tǒng)一端主機作為客戶端接收來自訪問客戶端的訪問，對通過預(yù)先配置的檢測控制規(guī)則的報文，以格式化數(shù)據(jù)塊的方式通過隔離交換模塊交換到服務(wù)端。服務(wù)端再以訪問客戶端代理身份訪問真實的應(yīng)用服務(wù)器。

　　3多對一單播的擴展

　　安全隔離與信息交換系統(tǒng)一般是一個訪問客戶端訪問一臺應(yīng)用服務(wù)器，但隨著用戶需求的增加，可能會存在多個訪問客戶端訪問同一臺應(yīng)用服務(wù)器的需求，這就需要對現(xiàn)有的安全隔離與信息交換系統(tǒng)進行多對一單播的擴展。

　　3.1實現(xiàn)原理

　　識別源的多對一業(yè)務(wù)需求是指多個訪問客戶端能夠訪問同一應(yīng)用服務(wù)器的同一端口，并且應(yīng)用服務(wù)器能夠區(qū)分開數(shù)據(jù)是哪個源訪問客戶端發(fā)來的。由于當前的安全隔離與信息交換系統(tǒng)在服務(wù)端轉(zhuǎn)發(fā)數(shù)據(jù)到真實應(yīng)用服務(wù)器時，總是以一個默認的地址轉(zhuǎn)發(fā)，導致應(yīng)用服務(wù)器不能夠區(qū)分真實的源地址?；诖司鸵笙到y(tǒng)服務(wù)端針對不同源地址的訪問端建立不同的任務(wù)，并以真實的源地址轉(zhuǎn)發(fā)數(shù)據(jù)。但客戶端在啟動不同任務(wù)時不能夠配置本機地址綁定相同端口。針對這兩個問題，系統(tǒng)可以在服務(wù)端增加指定源地址的配置項以解決發(fā)送端只能以固定地址轉(zhuǎn)發(fā)的弊端，并通過在客戶端增加端口重定向模塊以解決不同任務(wù)本機地址不能同時綁定一個端口的問題。

　　安全隔離與信息交換系統(tǒng)進行上述功能改進后，當客戶端在某端口監(jiān)聽到數(shù)據(jù)時，首先把數(shù)據(jù)接收下來，查找端口重定向規(guī)則表，找到后把數(shù)據(jù)轉(zhuǎn)給重定向后的端口，經(jīng)任務(wù)檢測控制后經(jīng)隔離交換模塊擺渡到服務(wù)端，服務(wù)端按照配置的源地址轉(zhuǎn)發(fā)給實際的應(yīng)用服務(wù)器。

　　3.2應(yīng)用實例

　　本文以郵件收發(fā)系統(tǒng)為例，進一步闡述安全隔離與信息交換系統(tǒng)的識別源的多對一功能的實現(xiàn)過程。應(yīng)用要求C郵件接收端能夠收到A和B郵件發(fā)送端所傳輸?shù)泥]件，并能夠?qū)和B的郵件發(fā)送端進行區(qū)分，其應(yīng)用示意圖如圖2所示。

　　其具體實現(xiàn)過程：系統(tǒng)在客戶端監(jiān)聽自己的5000端口，將A發(fā)送來的數(shù)據(jù)重定向到5001端口，將B發(fā)送來的數(shù)據(jù)重定向到5002端口。當A發(fā)送給C實現(xiàn)郵件傳輸時，客戶端根據(jù)A的地址執(zhí)行重定向后的端口5001對應(yīng)的任務(wù)，經(jīng)過數(shù)據(jù)擺渡到服務(wù)端，服務(wù)端再通過指定源地址A將數(shù)據(jù)轉(zhuǎn)發(fā)至C郵件接收端。同理，C將接收到B發(fā)來郵件。最終，C可以收到A和B發(fā)送來的郵件，并可成功的對它們進行區(qū)分。

　　通過這種方式，實現(xiàn)了對安全隔離與信息交換系統(tǒng)中多對一單播功能的擴展，使其能夠支持識別源的多對一模式，在保證網(wǎng)絡(luò)安全隔離的同時，豐富了原有的信息交換內(nèi)容，進一步滿足用戶的業(yè)務(wù)需求。

　　4組播應(yīng)用支持

　　安全隔離與信息交換系統(tǒng)一般是不支持組播需求，為了滿足用戶對組播的實際需要，需要對現(xiàn)有的安全隔離與信息交換系統(tǒng)進行組播應(yīng)用支持的擴展。

　　4.1實現(xiàn)原理

　　安全隔離與信息交換系統(tǒng)工作在應(yīng)用層，在兩個網(wǎng)絡(luò)之間一方面代理服務(wù)端響應(yīng)客戶端的請求，另一方面發(fā)起代理發(fā)送端對服務(wù)端的訪問，其工作原理決定了其無法像路由器、交換機那樣直接透明轉(zhuǎn)發(fā)的方式對多播進行支持。

　　安全隔離與信息交換系統(tǒng)需要通過將一端主機以組播單元的身份加入組播組，接受組播內(nèi)的信息，收到組播報文信息后，通過隔離交換模塊，將組播報文交換到另外一端。另外一端以另外一個組播單元的身份加入另外一個組播組，將交換過來的數(shù)據(jù)組包發(fā)給到整個組播組。通過這種將內(nèi)網(wǎng)主機和外網(wǎng)主機分別加入兩個物理隔離的組播組，然后通過數(shù)據(jù)擺渡來實現(xiàn)組播數(shù)據(jù)的傳輸方式，實現(xiàn)了對組播應(yīng)用的支持。

　　4.2應(yīng)用實例

　　以RTP語音系統(tǒng)為例，進一步闡述安全隔離與信息交換系統(tǒng)中組播應(yīng)用支持的實現(xiàn)原理，應(yīng)用示意圖如圖3所示。

　　安全隔離與信息交換系統(tǒng)將客戶端主機加入RTP語音機C所在的組播組A，將組服務(wù)端主機加入RTP語音機D所在的組播組B。當C需要和D實現(xiàn)組播語音交互的時候，C和D分別將自己需要發(fā)送的語音數(shù)據(jù)發(fā)送到所屬組播組內(nèi)，此時由于系統(tǒng)兩端主機已經(jīng)分別加入組播組A和組播組B，因此C和D發(fā)送的組播數(shù)據(jù)會分別被兩端主機接收。兩端主機各自接收數(shù)據(jù)后，然后將數(shù)據(jù)通過數(shù)據(jù)擺渡的方式擺渡到另一端主機，然后另一端主機將該數(shù)據(jù)發(fā)送至指定的組播組內(nèi)，C和D即可分別收到對端發(fā)送的語音數(shù)據(jù)，實現(xiàn)組播語音數(shù)據(jù)的交互。

　　通過這種方式，實現(xiàn)了對安全隔離與信息交換系統(tǒng)中組播應(yīng)用功能的擴展，使其能夠支持組播模式，在保證網(wǎng)絡(luò)安全隔離的同時，豐富了原有的信息交換內(nèi)容，進一步滿足用戶業(yè)務(wù)需求。

　　5結(jié)束語

　　經(jīng)過多年的發(fā)展與不懈的探索，網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的發(fā)展日漸成熟，已成為防范網(wǎng)絡(luò)攻擊、保護信息安全的重要手段。采用安全隔離與信息交換系統(tǒng)后，可以真正實現(xiàn)網(wǎng)絡(luò)間硬件上的隔離，保護信息安全，避免網(wǎng)絡(luò)攻擊事件的發(fā)生，同時防止數(shù)據(jù)泄露。本文通過對安全隔離與信息交換系統(tǒng)的相關(guān)配置項的擴展，使其能夠支持識別源的多對一單播和組播功能。擴展后的安全隔離與信息交換系統(tǒng)可以通過具體配置項靈活的對其通訊方式進行控制，并且組播功能可實現(xiàn)內(nèi)外網(wǎng)不同組播組之間的通信，增強了安全隔離與信息交換系統(tǒng)對實際業(yè)務(wù)需求的適應(yīng)性。

　　參考文獻

　　[1]張慶.網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的系統(tǒng)分析[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014.

　　[2]王詩琦.網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的系統(tǒng)分析[J].信息通信，2012.

　　[3]安全隔離與信息交換系統(tǒng)技術(shù)白皮書[Z].2011.10.

　　[4]劉瑩.Internet組播體系結(jié)構(gòu)[M].北京：科學出版社，2008.

　　[5]韋新.域間組播解決方案[M].北京：人民郵電出版社，2003.

　?。ū本┼]電大學教務(wù)處，北京100876）

　　邵大鵬

關(guān)注讀覽天下微信， 100萬篇深度好文， 等你來看……