自主可控的网间安全传输系统设计与应用

姚志芳，张大伟，陈洪雁，杨 欢

（北京跟踪与通信技术研究所，北京 100094）

0 引 言

随着信息化建设水平的不断提高，政府、军队、军工等单位均组建了内部专用网络，并且还具有多个不同密级的涉密网络。无论在军事单位还是政府机构，涉密信息都不可以随意泄露。国家相关法律也规定，涉及国家秘密和安全的计算机不可以随意连接其他公共网络，必须在一定条件下进行物理隔离。但是，在日常的工作和生活中，我们不可避免需要从网络中下载数据或进行查询，这就需要我们将涉密网络和互联网连通，然后获取相关信息，即低密级网络向高密级网络进行数据传输。另一方面，高密级网络的业务数据常常需要低密级网络的数据支撑。因此，基于“摆渡”技术的信息交换模式成为当前研究的重点[1]。本文针对以上问题，提出了一种由低密级向高密级进行信息交换的军事科研系统，此系统主要基于“摆渡”技术实现[2]。

1 现状分析

许多军事科研机构对秘密级以上文件的安全均有要求，需要将这些文件存放在一个与外界隔离且安全的空间，但用户将这些文件进行安全传输与存储时需使用物理隔离网闸，而保证物理隔离网闸技术的实施就需要用到“摆渡”技术[3]。

数据传输时通过物理隔离网闸，经过逻辑连接后，当传输的数据通过“摆渡”技术进行高低密级网络信息交换时，低密级网络服务器主机的传输介质不可避免的被病毒和木马攻击，部分病毒只有在传输前通过相关软件才能够检查出来，也可以考虑利用360等杀毒软件进行病毒查杀，但这些软件无法防止隐藏病毒的攻击。“摆渡”机在使用过程中可以保证高密级服务器数据的安全，因为数据的单向传输只允许低密级服务器向高密级服务器通信，一旦低密级网络中带有隐藏的病毒，那么传输数据时还是会对高密级网络造成一定的影响[4]，即使数据在传输前可以备份，但仍旧为使用造成了一定麻烦。

2 体系模式设计

2.1 基本原则

（1）所有涉密数据只能在涉密单机和涉密用户终端上使用；

（2）严禁所有外来介质接入高密级机器；

（3）授权的可信介质只能在授权的摆渡机上使用；

（4）高密级向低密级网络进行信息传输的数据必须使用摆渡机完成。

信息交换示意图如图1所示。

图1 信息交换示意图

2.2 设计思路

军事科研机构内部的涉密信息必须使用注册授权的涉密机器进行信息交换；外来的介质经过摆渡机进行数据传输时必须进行病毒查杀，以降低相关病毒和木马入侵的风险，一旦风险集中在按照密级防护的摆渡机上，就可以大大降低传输过程中的风险[5-6]。跨网数据交换系统应用模式如图2所示。

图2 跨网数据交换系统应用模式

2.3 设计方案

2.3.1 “摆渡”机设计方案

（1）保证系统安全防护的前提是保证“摆渡”系统不存储任何涉密介质，“摆渡”介质在使用时应该确保使用盘的功能；

（2）机密级的防护是较高密级的防护，“摆渡”机应该按照机密级的措施布置；

（3）系统的安全防护十分重要，“摆渡”机在使用时应该由专人维护，并对“摆渡”机进行定期升级和杀毒[7]；

（4）传输介质可能会带有隐藏的病毒，“摆渡”机上应该安装360等杀毒软件进行防护。

2.3.2 移动介质设计方案

（1）办公系统在使用涉密介质时应该至少提供一台计算机供外单位的移动介质使用；

（2）摆渡介质在注册时，应该按照不同的功能和用途将涉密介质和高密级的服务器形成一对多或者多对多的授权，便于涉密介质和涉密系统更好地发挥其作用；

（3）外来的移动介质在使用时，必须使用“摆渡”机从低密级网络摆渡到高密级网络。

2.3.3 摆渡要求

（1）为确保文件的安全传输，用户在使用“摆渡”介质时应该提前查看“摆渡”机中是否存有其他文件，并及时对其进行格式化处理，按照要求传输数据；

（2）网络管理人员应该定期检查“摆渡”系统中是否存有其他文件，并及时清理，同时也应该及时登记介质的使用人。

数据摆渡步骤如下：

（1）将外来可信介质接入普通机进行安全检测；

（2）将外来可信介质接入“摆渡”机，“摆渡”机使用相关杀毒软件对可信介质进行病毒查杀和安全检测；

（3）相关数据拷贝等。

低密级网导入高密级网流程如图3所示。

图3 低密级网导入高密级网流程

3 关键技术

3.1 安全涉密介质

对于注册授权技术，按照科研性质将涉密介质和涉密机群之间形成一对多或者多对多授权，摆渡介质即可信介质的正常使用便可以得到保证。通常情况下，科研机构的涉密载体应该严格控制其使用数量，并且提供一台计算机作为摆渡机，避免交叉使用带来的风险。外来移动载体必须通过摆渡机摆渡到高密级网络服务器上。

3.2 安全“摆渡”机

当不同密级的网络之间不存在数据交换时，物理隔离网闸断开，它们三者之间不存在逻辑连接和物理连接。一般情况下，当低密级的数据传输到高密级的网络时，物理隔离网闸主动向低密级网络服务器发送非TCP/IP协议数据连接请求，同时发送“写”命令，将原始数据写入介质并存储。物理隔离网闸断开后，低密级网络服务器连接并进行安全检查，若数据安全，则物理隔离网闸向高密级网络服务器发送连接请求，当高密级网络服务器收到连接请求后通过发送“写”命令将物理隔离网闸的介质导向高密级网络服务器，高密级网络服务器收到数据后，按照TCP/IP协议对接收的数据进行重新封装，完成不同密级网络之间的信息存储；若数据存在安全隐患，则物理隔离网闸不会向高密级网络服务器发送连接请求[8-10]。摆渡系统示意如图4所示。

图4 摆渡系统示意图

4 结 语

本文通过高低密级网络服务器之间的信息传输进而引出了物理隔离网闸技术的关键—“摆渡”技术。对高低密级网络数据和信息的传输，“摆渡”技术是一种安全、实用的方法，将高低密级网络数据的安全与“摆渡”技术相结合，更好地保证了数据和信息在传输过程中的安全性。摆渡系统在提升数据安全性能的同时导致数据存储缓慢和文件传输冗余，但笔者相信在未来的几年中，随着科技的发展，这些问题可以被更好地解决[11-13]。