安盟信息：杜绝非授权的高密低传问题

　　在我国的军工、研究所等网络环境中，一些涉密网络为了保证其自身的安全性、保密性，进行了物理网络隔离。但是，由于存在数据交换的需求，所以采用光盘拷贝的形式进行数据传递。这种形式传输数据存在以下弊端：无法解决数据的时效性问题，产生了大量的资源浪费（如人力资源、光盘耗材等）。

　　军工、研究所等涉密单位有着类似的应用数据单向传输需求。以军工行业为例来说，网络分为涉密内网、办公内网、办公外网，也有部分军工单位用于生产控制的网络或者具有特定应用的局域网。不同安全域之间存在数据传输的需求，其中高密低传部分涉及很多定密级、多层审批、数据脱敏、加解密等应用，所以不在本文讨论范围之列。这里只探讨数据低密高传时，如何自动、快速的实现。由于军工单位具有严格的保密制度，它们的信息共享、数据导入通常采用光盘刻录的形式，不能有效保证信息导入的及时性，一旦遇上紧急情况则可能因为数据传递的延误而带来较为严重的后果。因此，如何在保证涉密单位的涉密网络在物理隔离的前提下，还可以及时高效地进行单向信息传输，是一个亟待解决的问题。

　　通过对军工涉密系统的风险分析和安全问题研究我们发现，用户需要制定合理的安全策略和数据传输方案，以保证涉密网络的保密性、完整性、可用性、可控性、可审查性和可恢复性。在不同密级的网络之间，需要在物理层面进行隔离，并采用文件、数据库等应用的单向传输方式，杜绝非授权的高密低传的问题。

　　如今，有一种高效、安全、稳定的新技术为此类应用提供了一份具有实际操作意义的解决方案。这种技术利用了光信号传输的单向性的物理特点，从物理层保证只有单向的数据流转。采用此技术的产品目前定义为安全隔离与信息单向导入产品。

　　安全隔离与信息单向导入系统（简称单向光闸）在产品形式上是由内网单元、外网单元、光单向传输单元三个物理部分组成。它基于光隔离平台的通信服务，采用经过优化的传输和冗余算法，将数据传输的功能进行整合，在保证内网数据不泄密的情况下，可以灵活地制定传输策略，从而实现在特定的时间、特定的地点，使用特定的身份，以特定的形式传输特定的数据。它在满足安全性、保密性、灵活性和高可靠性等需求的同时，还可以平衡用户的安全、保密、功能和效率要求。

　　单向光闸产品已经面市三年以上，产品相对较成熟，功能越来越丰富。如专注网络隔离产品市场十几年的北京安盟信息技术有限公司的单向光闸产品，不仅可以实现文件的单向传输，而且可以实现数据库的单向同步传输、邮件转发、单向Socket通信等功能，并可支持国外主流数据库和国产数据库。

　　单向光闸阻断了网络的直接连接，从物理层保证了数据的单向传输。单向光闸使用数据“摆渡”的方式实现两个网络之间的数据单向传输。单向传输单元按照设定的周期，由外网处理单元的安全数据交换区将数据内容提取，并单向传输至内网处理单元的安全数据下载区，等待用户的读取或传输至指定的计算机上。同时，系统集成防病毒技术、内容过滤技术、扩展入侵检测技术，形成一套具有多重防护的单向传输安全解决方案。

　　为保证军工、研究所等涉密单位网络环境的安全，在整体的网络环境中需要建立安全隔离区，在低密级应用服务区和高密级计算机网络之间，利用单向隔离等技术手段保证两个网络之间的安全隔离。在低密级网络和高密级网络之间建立安全隔离区，先通过单向光闸将导入前置机的数据单向“摆渡”至导入服务器，单向光闸两侧分别部署导入前置机和导入服务器。单向光闸设备从导入前置机主动获取数据，单向“摆渡”至导入服务器上。单向光闸设备利用光的单向性的物理特性，保证数据仅能利用光闸从导入前置机单向传输至导入服务器，而没有任何反向传输的可能。这样既可以解决物理隔离的问题，防止高密低传，又可以解决数据传输的时效性问题，还可以在单向数据摆渡中进行差错校验、内容过滤、格式检查、反病毒和入侵防御，保证数据内容的安全性。