網(wǎng)閘的英文名為GAP,源于英文的"Air Gap",,充分體現(xiàn)了物理隔離的概念,,最早出現(xiàn)在美國、以色列等國的軍方,,用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全問題,。網(wǎng)閘是單向隔離技術(shù)的典型代表產(chǎn)品,等保2.0的三級(jí)防護(hù)要求中提出:“工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域,,區(qū)域間應(yīng)采用單向的技術(shù)隔離手段”,。
下列場景通常需要使用網(wǎng)閘進(jìn)行安全隔離:
1. 不同的涉密網(wǎng)絡(luò)之間;
2. 同一涉密網(wǎng)絡(luò)的不同安全域之間,;
3. 工業(yè)系統(tǒng)的生產(chǎn)控制區(qū)域和管理信區(qū)域之間,,尤其是電力二次系統(tǒng)明確要求采用單向隔離裝置。
網(wǎng)閘內(nèi)部一般采用專用隔離硬件,,在雙向傳輸?shù)幕A(chǔ)上修改電路,,實(shí)現(xiàn)數(shù)據(jù)單方向的寫入和讀出,從而實(shí)現(xiàn)數(shù)據(jù)的單向傳輸,。早期的網(wǎng)閘一般利用單刀雙擲開關(guān),,即存儲(chǔ)數(shù)據(jù)的中介在同一時(shí)間只能和內(nèi)網(wǎng)或者外網(wǎng)相連,以此保證分時(shí)存取數(shù)據(jù),,完成數(shù)據(jù)交換,。就像現(xiàn)在的快遞員,先把快遞放入快遞柜,,然后我們?cè)俚娇爝f柜拿快遞,,我們和快遞員之間沒有直接接觸。隨著技術(shù)的發(fā)展,,專用交換通道PET(Private Exchange Tunnel)技術(shù)逐漸成熟,,PET技術(shù)綜合利用高速硬件通信卡,、私有通信協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)數(shù)據(jù)交換,保證數(shù)據(jù)的機(jī)密性,、完整性,,數(shù)據(jù)處理性能大大提升,讓網(wǎng)閘在復(fù)雜網(wǎng)絡(luò)環(huán)境中的應(yīng)用越來越廣泛,。
物理隔離網(wǎng)閘主要由三部分組成:外網(wǎng)處理單元,、內(nèi)網(wǎng)處理單元、隔離與交換控制單元,。體系結(jié)構(gòu)如下圖所示:
內(nèi)網(wǎng)處理單元:由內(nèi)網(wǎng)接口單元與內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)組成,,接口部分負(fù)責(zé)與內(nèi)網(wǎng)的連接,并終止內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)連接,。有些網(wǎng)閘在這里會(huì)對(duì)數(shù)據(jù)進(jìn)行身份認(rèn)證,、病毒檢測、入侵檢測,,剝離出安全的“純數(shù)據(jù)”,,為后續(xù)交換做好準(zhǔn)備。數(shù)據(jù)緩沖區(qū)用來存放剝離后的數(shù)據(jù),,與隔離交換單元進(jìn)行數(shù)據(jù)交換,。
外網(wǎng)處理單元:與內(nèi)網(wǎng)處理單元功能相似,主要區(qū)別是處理外網(wǎng)連接,。
隔離與交換控制單元:負(fù)責(zé)數(shù)據(jù)的擺渡控制,,相當(dāng)于數(shù)據(jù)交換中的擺渡船??刂茊卧鳛閮?nèi)外網(wǎng)之間的中介,,保證數(shù)據(jù)交換區(qū)在任意時(shí)刻只能與內(nèi)網(wǎng)或者外網(wǎng)其中一個(gè)建立連接,形成空間間隔GAP,,實(shí)現(xiàn)物理隔離,。
隨著光通信的發(fā)展,利用光傳輸?shù)膯蜗蛐?,產(chǎn)生了光閘用于安全隔離和數(shù)據(jù)單向傳輸,。光纖網(wǎng)卡的光發(fā)射、光接收是完全獨(dú)立的兩條光纖條件,,將其中一條光纖截?cái)?,就可以?shí)現(xiàn)物理上的單向傳輸,具有極高的安全性,。光纖通信只需考慮光強(qiáng)度,而不存在差錯(cuò),,系統(tǒng)可靠性進(jìn)一步提升,。
光閘主要由三部分組成:內(nèi)網(wǎng)處理單元,、外網(wǎng)處理單元和分光器,分光器負(fù)責(zé)完成數(shù)據(jù)的單向傳輸,,體系結(jié)構(gòu)如下圖所示:
內(nèi)網(wǎng)接口和外網(wǎng)接口都采用標(biāo)準(zhǔn)的以太網(wǎng)接口,,內(nèi)網(wǎng)接口收到數(shù)據(jù)后,經(jīng)內(nèi)網(wǎng)處理單元處理,,將數(shù)據(jù)通過光纖發(fā)送到分光器,;分光器反饋接收數(shù)據(jù),內(nèi)網(wǎng)處理單元收到后進(jìn)行校驗(yàn),,確保數(shù)據(jù)發(fā)送無誤,;分光器把數(shù)據(jù)通過單向光纖發(fā)送給外網(wǎng)處理單元,外網(wǎng)處理單元把光信號(hào)轉(zhuǎn)換為標(biāo)準(zhǔn)的以太網(wǎng)信息轉(zhuǎn)發(fā)出去,,從而實(shí)現(xiàn)數(shù)據(jù)的單向傳輸,。
光潤通單向傳輸網(wǎng)卡產(chǎn)品
光潤通的單向傳輸網(wǎng)卡F902E-DF/DS,是一種計(jì)算機(jī)網(wǎng)絡(luò)的單向傳輸網(wǎng)關(guān),,它包括發(fā)送方以太網(wǎng)光纖卡,、接收方以太網(wǎng)光纖卡以及連接它們的網(wǎng)絡(luò)光纖線。單向數(shù)據(jù)傳輸發(fā)送端和接收端分別部署于外網(wǎng)和內(nèi)網(wǎng),,一收一發(fā),,通過網(wǎng)絡(luò)接口與網(wǎng)絡(luò)隔離設(shè)備相連,并相互配合實(shí)現(xiàn)數(shù)據(jù)的單向傳輸,。
光潤通的單向傳輸網(wǎng)卡F902E-DF/DS,,一般成對(duì)使用(當(dāng)然也可以單獨(dú)采購),可以做到只收不發(fā)或者只發(fā)不收,,安全性能大大提高,,它既實(shí)現(xiàn)了內(nèi)外網(wǎng)或兩個(gè)相對(duì)獨(dú)立網(wǎng)絡(luò)之間的有效隔離和單向安全高效數(shù)據(jù)傳輸,同時(shí) 具有隔離度好,、數(shù)據(jù)傳輸速度快,、保密性強(qiáng)等特點(diǎn),可滿足多行業(yè)多領(lǐng)域的網(wǎng)絡(luò)隔離和單向數(shù)據(jù)傳輸需要,。目前,,本設(shè)備已在公安、政務(wù)系統(tǒng),、軍隊(duì)等要害部門以及其它需要保密的計(jì)算機(jī)網(wǎng)絡(luò)中配備使用,,客戶反饋效果良好,具有廣闊的應(yīng)用前景,。
