基本介紹
- 中文名:光閘
- 外文名:FGAP
- 含義:由安全隔離網閘(GAP)基礎上
- 產生時間:2000
定義,產生,技術,功能,特點,
定義
用於對安全性要求極高的網路的數據交換場景,如涉密網路與非涉密網路之間,行業區域網路與公共網路之間。
產生
自2000年,我國產生了安全隔離網閘(GAP)(簡稱“網閘”)技術,它解決了電子政務興起帶來的政務區域網路和外網之間安全隔離、適度可控的數據交換的需求,網閘技術是基於雙向的,即通過配置,是允許高安全網路和低安全網路之間雙向數據交換的。
但在一些安全級別極高的網路,如涉密網路中,按照信息保密的技術要求,涉密網路不能與網際網路直接連通;涉密網路與非涉密網路連線時,若非涉密網路與網際網路物理隔離,則採用雙向網閘隔離涉密網路與非涉密網路;若非涉密網路與網際網路是邏輯隔離的,則採用單向網閘隔離涉密網路與非涉密網路,保證涉密數據不從高密級網路流向低密級網路。
光閘技術(FGAP)的產生即為滿足這一類單向隔離場景的需求。
技術
系統組成
單向隔離光閘由三部分組成:區域網路單元、外網單元、分光單向傳輸單元。其中區域網路單元和區域網路相連,外網單元與外網相連,分光單向傳輸單元是內外網之間唯一且安全的數據傳輸通道。
內/外網單元安全功能
區域網路單元和外網單元所實現的安全功能是一致的,只是連線不同的網路,以區域網路單元為例,其包括區域網路接口單元與區域網路數據緩衝區。接口部分負責與區域網路的連線,並終止區域網路用戶的網路連線,對數據進行病毒檢測、防火牆、入侵防護等安全檢測後剝離出“純數據”,作好交換的準備,也完成來自區域網路對用戶身份的確認,確保數據的安全通道;數據緩衝區是存放並調度剝離後的數據,負責與隔離交換單元的數據交換。
分光單向傳輸單元工作原理
分光單向傳輸單元能夠實現從一個主機系統向另外一個主機系統單向傳輸數據主要依賴於以下兩點:
光傳輸的單向性,在光纖通道設備內,連線光纖的兩端分別為光發生器、光接收器,在光纖通道設備內不允許也不能實現光纖兩端都具有光發生器以及光接收器;光傳輸的可複製性,利用分光設備(如多稜鏡)可將一束光複製為兩束或更多束光線,利用這一特性,我們可將在一個系統內部傳輸的數據以光的方式複製一個副本供使用。
單向隔離技術
單向隔離技術的發展經過了三個階段:物理單向技術、電氣單向技術、光單向技術。
1、物理單向技術
早期的單向傳輸技術一般使用一次性光碟等技術實現,當需要從低密級網路向高密級網路傳輸數據時,首先在低密網路中將數據刻錄寫入到光碟碟片中,然後再在高密網路中使用唯讀光碟機將數據讀取出來。此種方式可確保單向技術的絕對有效,但缺點也非常明顯:效率低下,每小時只能交換數GB的數據;延遲極大,以分鐘計算;可靠性差,由於需要人工操作,容易出現數據傳輸差錯;最後,這種技術帶來總體擁有成本高,且不環保。
2、電氣單向技術
由於使用了完全自動的計算機技術,基於電氣的單向技術效率比原來的物理單向技術大幅提升,可滿足多數場合的數據傳輸需求;延遲一般可控制在毫秒級;基於程式計算及傳輸,同時在傳輸的數據上加入差錯校驗,可提高數據傳輸的可靠性,並在數據傳輸出現錯誤時進行提示。
3、光的單向技術
由於光傳輸只需考慮光強度,而不存在差錯,系統可靠性進一步提升;基於物理光的單向技術保證了極高的安全性。
單向隔離光閘即是基於光的單向技術的安全產品。
功能
根據業務場景需求,單向隔離光閘一般支持資料庫傳輸、檔案傳輸功能。
檔案傳輸
檔案傳輸主要有以下幾個功能點:
專用客戶端實現檔案主動獲取
高優先權檔案優先處理
資料庫傳輸
資料庫傳輸主要有以下幾個功能點:
基於檔案傳輸功能實現
三種傳輸方式:全表複製、觸發同步、標記同步
特點
高效率:光單向技術效率極高,使用普通多模光纖網卡即可達到千兆線速;延遲可控制在納秒級。
高可靠性:使用高可靠性硬體設計,數據傳輸模組內置差錯校驗機制,數據差錯率小於1Bit/1Tbit
完善的業務功能:在單向檔案傳輸基礎上實現了資料庫內容的單向同步,極大豐富單向光閘設備功能,具有更好的套用適應性。
高安全性:
3、通過可進行擴展定義的內容檢查機制為白名單策略提供進一步的保障機制。