数据二极管技术应用初探

摘要 随着网络信息安全技术的发展,网络隔离研究的前沿领域出现了一种新技术,称为数据二极管。本文简要介绍了其单向无反馈特性在数据安全传输中的应用,实现内网从互联网获取信息同时又能防止信息泄露和黑客攻击,提高了网络信息交换的安全性,具有广泛的应用前景。

关键词 数据二极管;单向传输;网络隔离;信息安全

中图分类号TP393.0 文献标识码A 文章编号 1674-6708(2010)26-0195-02

0 引言

计算机网络的开放性产生了许多安全性问题,如网络攻击、病毒传播,信息泄漏等。网上犯罪层出不穷,网络安全威胁无处不在。而采用以防火墙为核心的网络边界防御体系只能够满足一般性安全。因此,许多机构不得不将其内部网络与外界进行隔离,又根据业务性质划分成了多个安全级别的网络,如外网、办公网、内网,专网等。而随着电子政务、电子税务等网络业务的广泛应用,不同网络间的信息交换需求也越来越频繁。采用人工手动拷贝数据的方式效率低且不灵活。目前,被广泛使用的是“网闸”技术。然而在实际应用中却发现“网闸”也并不能够完全防止网间泄密。网闸等隔离产品普遍存在的问题是:受保护网络和外部网络之间的通信是双向进行的,存在一定的安全风险。例如如何能够防止内部工作人员由于误操作而造成的重要数据泄漏?因此,国家保密局明文规定“网闸”不得用于网络与互联网之间进行物理隔离和数据交换。只有完全切断受保护网络到外界的通路,才允许进行单向的数据传递,形成物理上的绝对隔离。实现受保护内网实时获取外部信息同时又能防止信息泄露和黑客攻击,是信息安全技术的前沿研究领域。目前,国际上出现了一种新的单向物理隔离技术,称为“数据二极管”(Data Diode)。

1 什么是数据二极管

数据单向传输的思想最初来源于“数据泵”技术(Data Pump)。数据泵技术只允许单方向地传送数据,反方向只有控制信息可以通过,比如数据的收到确认、差错控制,流量控制等。而如果连反向的通信信道和控制协议也取消,也就是说,没有任何反馈信息,即使是确认信息。具有这种原理和机制的单向装置就称为“数据二极管”。数据二极管在数据通信中只选择一个方向,一方只发送,另一方只接收,实现数据单向推送,如图1。这有点类似于电力系统,其过程是不可逆的。数据二极管最大的优势就在于防泄密,既保证了外网数据又能够传输到内网,满足内网查看外网数据的需求,同时内网数据不会往外泄漏。由于数据二极管的单向无反馈特性,取消了反向的通信信道,掐断了黑客的控制方式和获取途径,自然也就使攻击失去了的意义。

2 应用数据二极管的单向传输系统安全机制

应用数据二极管的单向传输系统,具有一进一出两个独立端口,分别连接外部网络和内部网络。内部网络的计算机通过该系统获取外网数据信息。两个网络在任何时刻处于物理隔离的状态,而且从电路上保证数据是单向发送的,内外系统之间没有建立任何连接通路。即使外部网络出现网络故障,如系统瘫痪或电气故障,也不可能影响到内部网络。其中,单向控制技术的核心通常采用光-电耦合器来实现。其工作方式是一方把发送的数据电信号转换调制成光信号,光信号通过单向控制器发送给对方,对方接收到光的信号再转换成电信号,解成需要的数据包。单向控制器的数据信号同步迁移机制的实现是整个系统设计的关键。

单向控制器的系统内核采用了开源设计,通过对总线协议的配置,仅保留了单一方向的数据通讯协议软件处理模块。同时把系统固化到只读DOM中,采用系统加载在内存中的工作模式。这样既保证了系统的数据传输效率,同时也保证了系统的可靠和稳定性。

由于是单向的“盲发”,发送方不知道对方收到没有,接收方也无法得知收到的数据是否完整。为了保证接收数据的完整性,发送方应适当增加数据的冗余度。如发送“ABCD”时,改为“AABBCCDD”,以减少出错的概率。可以定间隔地把一份数据重复地再发送两次。接收方比较收到的三个副本,取其两个是相同的。与冗余传输机制相配合,在数据传输时定时插入数据帧校验码序列,如CRC。若接收方发现数据异常,系统则立即报警或放弃该检测码之前某固定区间内收到的数据。这样做尽管会损失一定的有效数据带宽,但在实际工程应用中是可以接受的。

几种网络安全隔离传输方式的对比如表1所示。通过比较,可以看出数据二极管在安全性方面的独特优势。

3 数据二极管的应用场景

数据二极管技术由于其单向无反馈的传输特性,主要用于非交互性的数据传输环境。包括以下一些应用场景:

1)资料收集

数据二极管应用在电子政务和电子商务中,可以完成许多重要数据信息的资料收集任务。内部办公网与外界物理隔离,但是外网上有很多有价值的资料信息。例如气象部门需要定时收集更新当天的气象信息,税务部门定期接收财务报表,受理网上申请,政府部门需要及时从外网上获取政务信息等等。如果外网大量的信息不能够及时地传递到内部,将对信息资料的汇总与统计将带来极大困难。由于外部网络和互联网直接相连,可以在外网文件服务器上安装一个数据采集模块,实现数据采集并与内网进行数据同步传输。这靠人工拷贝的方式工作量很大,而采用数据二极管可以把外网的文件及时传送到内网。当需要从外网接收文件信息时,保证数据信息流由低密级网络向高密级网络单向推送,其实现方式如图2所示。

2)邮件转发

在物理隔离的网络环境下,工作人员必须分别访问内、外网两个邮箱,非常不方便。可在外网建立一个单独的邮件服务器,并对外公布收集信件的邮件地址。应用数据二极管技术实现邮件实时转发,将外部帐户收到的邮件单向转发到内部邮件服务器。

3)信息

由于信息的需要,例如金融、证卷,股票信息的实时单向,政府的门户网站或对外信息窗口。应用数据二极管技术可以防止外网非法入侵,防止内部帐户等敏感信息泄漏。

4)系统升级

由于网络长期与互联网处于物理隔离状态,内部的服务器和个人计算机操作系统得不到及时有效的升级而老化。应用数据二极管技术可以支持外部提供的系统补丁、更新升级等公共服务。

4 结论

数据二极管实现的核心技术专利目前主要在国外,比较著名的有澳大利亚Tenix公司、美国Owl、HP公司等。而且作为国家战略资源,其产品大都应用在国防、军事,金融等领域。国内的某些厂商和研究机构也开始逐渐关注,投入并开发了类似的研究成果和产品,出现在政府机关、公安,交通等许多场合。

数据二极管是信息安全领域的新兴技术,特别是在防止网络攻击和防泄密等方面效果显著,具有广泛的应用前景。但是单纯依靠它并不能解决所有的网络安全问题。例如其单向隔离机制并无判断传输数据内容的合法性和阻止已经感染病毒的文件进入内网的能力,必须和其它安全监控手段如漏洞扫描、病毒过滤等技术相结合运用。近年来,国家不断加强信息化、网络化建设,原始的信息孤岛时代已经过去,网络融合是未来的大势所趋。随着网络间信息沟通和资源共享需求的不断加大,数据二极管技术必将发挥其更大的作用。

参考文献

[1]Tenix Datagate Inc, /.

[2]Owl Computing Technologies Inc, www.owlcti. com/.

[3]张少波.网络安全隔离解决方案[J].信息安全与通信 保密,2003,2:48-51.

[4]蔡东蛟.安全隔离与信息交换系统实现机理与应用[J].信 息技术,2007(12):30-32.

[5]蔡林.浅谈网络安全隔离与信息交换系统[J].计算机时 代,2004(8):17-18.

[6]国家保密局.计算机信息系统国际联网保密管理规定[Z], 2000-01-01.

[7]周春燕.公安内外网安全接入平台安全体系建设的探讨 [J].信息网络安全,2007(1).

[8]徐茂智,刘欣.内外网安全保护方案的新视角[J].信息安 全与通信保密,2004(8).