1、合眾單向光閘白皮書Version7.0專業資料合眾數據技術有限公司2015年專業資料目錄1. 背景概述12. 產品用途12.1. 從互聯網采集信息或發布信息至互聯網的用戶22.2. 非涉密網向涉密網單向傳輸的用戶23. 產品組成24. 工作原理35. 產品主要功能55.1. 文件單向導入導出55.2. 數據庫單向同步75.3. 單向UDP85.4. 數據恢復86. 產品特點86.1. 絕對物理單向，防止信息泄密96.2. 沒有丟包96.3. 通量大106.4. 支持數據庫同步106.5. 流量控制106.6. 抗故障能力.10專業資料專業資料1 .背景概述計算機網絡的開放性產生了許多安全問題，

2、網絡攻擊、信息泄漏、網上犯罪層出不窮。而采用以防火墻、網閘為核心的網絡邊界防御體系只能夠滿足信息化建設的一般性安全需求，卻難以解決涉密信息系統等重要網絡的保護問題。對于涉密網絡的保護，我國歷來采用了物理斷開的方法，保密局在計算機信息系統國際聯網保密管理規定中將涉密信息系統的安全防御要求定格為與任何非涉密信息系統必須“物理斷開”。按照保密局的要求，如果涉密網需要與國際互聯網交換數據，只能采用手工拷貝的方式，除此之外，沒有其他可行的辦法。但是許多政府部門所需要的基礎數據往往來自互聯網。同時為了滿足向服務型政府轉型的要求，各級政府部門也必須加強對外服務的力度，需要為社會公眾提供信息查詢、在線審批、請

3、求服務等新型應用。形勢要求我們，在保證安全的前提下，積極探索解決涉密網與互聯網數據傳輸問題的方案。合眾公司針對政府部門互聯網傳輸鏈路數據交換的需求，根據目前國外最新的技術成果，專門研發了合眾單向光閘這一創新產品，采用分光鏡像的原理解決涉密網絡與非涉密網絡之間的互聯問題。2 .產品用途合眾單向光閘是采用分光鏡像技術實現的用于單向數據傳輸的隔離設備，主要用來解決政府部門網絡與外部公共網絡之間存在的單向數據傳輸需求。它采用分光鏡像的原理，通過分光器將源主機上的數據鏡像到目標主機上，最終實現數據的單向傳輸。合眾單向光閘主要適合如下的用戶：專業資料2.1. 從互聯網采集信息或發布信息至互聯網的用戶有很多

4、用戶需要從互聯網上采集信息或將本單位部的信息發布在互聯網上供其他單位或社會公眾獲知。為了保護自身網絡和應用系統的安全，保證不發生信息泄露安全事件，因此需要采用單向數據傳輸設備。而合眾單向光閘基于光傳輸的單向性保證數據傳輸從物理層面而言就是單向的，反向絕無傳輸的可能性，因此能夠保證沒有信息泄密的可能。2.2. 非涉密網向涉密網單向傳輸的用戶根據保密局的規定，非涉密網與涉密網進行數據交換時，絕對禁止高等級網絡的涉密數據流向低等級網絡。因此，非涉密網與涉密網數據交換只能采用單向傳輸方式。合眾單向光閘基于光傳輸的單向性保證數據傳輸從物理層面而言就是單向的，反向絕無傳輸的可能性，因此能夠保證涉密網沒有信

5、息泄密的可能。3 .產品組成合眾單向光閘是一種基于分光技術的數據還原裝置，它由兩臺計算機、一個分光器等部分組成。它采用分光鏡像的原理，通過分光器將源主機上的數據鏡像到目標主機上，最終實現數據的單向傳輸。專業資料合眾單向光閘有別于傳統單向網閘，它在邏輯上由三臺主機構成，即處于外網端的源主機上存在兩個不同的光卡邏輯上分離成發送主機和接收主機，光信號由發送主機發送至分光器，而接收主機通過分光器接收一路光信號并還原成數據，通過置的數據確認機制(數據簽名和收發確認校驗方式)來保證數據傳輸是否正確和完整。4 .工作原理合眾單向光閘是一種基于分光技術的數據還原裝置，它由兩臺計算機、一個分光器等部分組成。它采

6、用分光鏡像的原理，通過分光器將源主機上的數據鏡像到目標主機上，最終實現數據的單向傳輸。如圖所示，合眾單向光閘由源主機、目標主機和分光器構成。分光器是組建光通道網絡的一個組件，是一個連接光纜終端設備(OLT)專業資料和光接收節點（ONU）的無源設備，它的功能是分發下行數據。分光器帶有一個上行光接口，和若干個下行光接口，從上行光接口過來的光信號被分配到所有的下行光接口傳輸出去。合眾單向光閘的源主機安裝在外部網絡中，目標主機安裝在部網絡中。源主機上有兩個光通道網卡，目標主機上有一個光通道網卡；分光器的輸入端和源主機的一個光卡（稱為發送光卡）的輸出端用一條單向光纖連接，使光信號可以從發送網卡的發送端發

7、射到分光器的輸入端。源主機的另一個網卡（稱為接收光卡）的輸入端和分光器的一個分光輸出端連接，接收光卡的輸出端與發送光卡的輸入端相連接。分光器的另一個輸出和目標主機上的光通道網卡（稱為目標光卡）的輸入端一一相連。源主機上運行兩個進程：發送進程和接收進程。發送進程通過發送光卡發送數據包。這些數據包被發送光卡轉換成光信號，從發送光卡的輸出端發出。而這一光信號被分光器分成2束與接收到的光信號相同的光信號。其中一束光信號被源主機的接收光卡接收；另外一束光信號被目標主機的目標光卡接收。發送進程將組裝好的數據塊通過發送光卡的輸出端發送，并檢查來自接收進程的重發請求。如果沒有重發請求，則按照上述方法繼續發送下

8、一個數據塊；如果收到重發請求，則重發這一塊數據塊，發送完重發的數據塊后再繼續發送待發送的其他數據塊。在目標主機上安裝有光通道網卡，其接受端與分光器的輸出端連接，從而可以收到來自分光器的光信號。這些光信號來自分光器輸入的光信號的分光，所以其容與源主機上發送光卡的輸出端發送的容是一致的。目標主機上的目標接收進程將光通道網卡上的接收到的光信號還原為數據塊，并組裝成與源端一致的數據專業資料庫記錄或數據文件。5 .產品主要功能合眾單向光閘主要實現數據的單向導入或導出，根據導入導出的數據不同，主要有三種應用功能：一是靜態文件的單向導入；二是數據庫的單向導入；三是數據恢復。三種應用如下：5.1. 文件單向導

9、入導由靜態文件通常是指在物理存儲介質（如硬盤、光盤、優盤、軟盤等）中創建及使用的文件。這些文件通過FTP、Windows映射等方式可以作為合眾單向光閘導入導出的文件。靜態文件單向導入的典型部署場景如下所示：專業資料文件陽巖器WEB晤案數據采集后務考范送式照道餞也先酒透分光先通通文件m西器/八通過合眾單向光閘能實現以下文件單向傳輸:基于FTP服務的靜態文件單向導入導出;基于Windows映射的單向導入導出;文本型數據庫文件（如mdb、dbf文件）的單向導入導出。專業資料5.2. 數據庫單向同步由于網絡結構的劃分、安全域的不同及應用需求的不同，在實際環境中經常存在外網雙數據庫的應用系統，這些應用系

10、統需要實現外網數據庫之間的數據容同步。合眾單向光閘的單向數據庫同步功能正適合這樣的應用要求，這時的典型部署場景如下:通過合眾單向光閘能實現以下數據庫的單向傳輸:ORACLE8I/9I/10G/11G;SQLSERVER2000/2003/2008;專業資料SYBASEDB25.3. 單向UDP合眾單向光閘支持用戶應用系統通過UDP協議連接，外主機收到UDP連接后單向同步到主機，主機將UDP連接轉發至指定IP地址。5.4. 數據恢復針對單向傳輸的應用特點，極少情況下可能產生丟包現象，合眾單向光閘提供丟包數據的方便恢復功能。當發生丟包后，能知道丟了哪些數據的問題，并能在人工協作下比較方便的進行數據

11、恢復。恢復的方式為以下三種：碎片恢復：指定某條記錄或某個文件單獨進行恢復；起點恢復：從某個序列號重新開始恢復；全部恢復：將源數據全部同步一次。6 .產品特點目前市場主要的單向網閘就是采用數據二極管技術來實現數據單向傳輸的網閘。單向網閘是把通訊的收、發兩個鏈路完全分開，發送方只管發送數據，接收方只管接收數據，至于數據是否有錯誤、是否完整都不去管它，反向沒有數據通道也沒有控制通道，完全處于盲狀態。雖然單向網閘采用了發送冗余校驗的方式來對抗傳輸錯誤，能夠起到一定的防數據丟失和數據錯誤的效果，但是由于單向網閘沒有任何交互式的控制協議，數據傳輸的一致性和完整性保證還是不具備專業資料的。也就是說，采用單向

12、網閘不能保證所傳輸的數據一定正確。合眾單向光閘有別于數據二極管單向網閘，它在邏輯上由三臺主機構成，即處于外網端的源主機上存在兩個不同的光卡邏輯上分離成發送主機和接收主機，光信號由發送主機發送至分光器，而接收主機通過分光器接收一路光信號并還原成數據，通過置的數據確認機制（數據簽名和收發確認校驗方式）來保證數據傳輸是否正確和完整。從原理上而言，處于網側的目標主機與接收主機收到同一個分光器分送的兩路光信號，如果接收主機沒有收到會通知發送主機重發數據，這樣目標主機也就能夠收到重發的數據了。該原理極大的提高了合眾單向光閘數據傳輸的可靠性。由于采用了分光鏡像技術，合眾單向光閘的穩定性和準確性相比數據二極管單向網閘更勝一籌。合眾單向光閘相比于單向網閘的優點主要有：6.1. 絕對物理單向，防止信息泄密合眾單向光閘采用分光器鏡像，物理上就是單向的，絕對沒有反向傳輸的可能。6.2. 沒有丟包由于合眾單向光閘采用邏輯三主機模型（發送主機、接收主機、目標主機），因此丟包率小，而且即使有丟包通過程序自身的糾錯功能就可以糾錯，因此，基本上能夠保證絕不丟包。專業資料6.3. 通量