物理隔离网闸——入门篇(1)

一、物理隔离网闸的概念
    我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。

物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络,但是我国的涉密网络与公共网络,特别是与互联网是无任何关联的独立网络,不存在与互联网的信息交换,也用不着使用物理隔离网闸解决信息安全问题。所以,在电子政务、电子商务之前,物理隔离网闸在我国因无市场需求,产品和技术发展较慢。

近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备,由此开始,物理隔离网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。

1.1 物理隔离网闸的定义

物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

    1.2 物理隔离网闸的信息交换方式

我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。

网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。说到“摆渡”,我们会想到在1957年前,长江把我国分为南北两部分,京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨,又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时,它必然与粤汉铁路断开,反之依然。与此类似,物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储(写入)和转发(读出)。

物理隔离网闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。下面以内网与专网之间的物理隔离网闸为例,说明通过物理隔离网闸的信息交换过程。

当内网与专网之间无信息交换时,物理隔离网闸与内网,物理隔离网闸与专网,内网与专网之间是完全断开的,即三者之间不存在物理连接和逻辑连接,如图1所示。

当内网数据需要传输到专网时,物理隔离网闸主动向内网服务器数据交换代理发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的协议剥离,将原始数据写入存储介质。在写入之前,根据不同的应用,还要对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等。

在此过程中,专网服务器与物理隔离网闸始终处于断开状态,见图2所示。

一旦数据完全写入物理隔离网闸的存储介质,开关立即打开,中断与内网的连接。转而发起对专网的非TCP/IP协议的数据连接请求,当专网服务器收到请求后,发出“读”命令,将物理隔离网闸存储介质内的数据导向专网服务器。专网服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了内网到专网的信息交换。详见图3所示。

物理隔离网闸——入门篇(1)相关推荐

  1. 物理隔离网闸——入门篇(2)

    至于从专网到内网的信息交换,与上述类似,只是方向相反.     由上不难看出:每一次数据交换,物理隔离网闸都经历了数据的写入.数据读出两个过程:内网与外网(或内网与专网)永不连接:内网和外网(或内网与 ...

  2. 网闸——(好)物理隔离网闸——入门篇

    一.物理隔离网闸的概念     我国2000年1月1日起实施的<计算机信息系统国际联网保密管理规定>第二章第六条规定,"涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网 ...

  3. 女友问粉丝过万如何庆祝,我发万字长文《保姆级大数据入门篇》感恩粉丝们支持,学姐|学妹|学弟|小白看了就懂

    2021大数据领域优质创作博客,带你从入门到精通,该博客每天更新,逐渐完善大数据各个知识体系的文章,帮助大家更高效学习. 有对大数据感兴趣的可以关注微信公众号:三帮大数据 目录 粉丝破万了 新星计划申 ...

  4. Android10.0 Binder通信原理(二)-Binder入门篇

    摘要:本节主要来讲解Android10.0 Binder的设计原理,如何设计一个Binder通信 阅读本文大约需要花费15分钟. 文章首发微信公众号:IngresGe 专注于Android系统级源码分 ...

  5. 运动控制器编程_快速入门 | 篇二十一:运动控制器ZHMI组态编程简介一

    点击上方"正运动小助手",随时关注新动态! 运动控制器ZHMI组态编程简介一  今天我们来学习一下,运动控制器的ZHMI组态编程简介.本文主要从产品概述.控制器连接触摸屏使用.HM ...

  6. 【C/C++语言入门篇】-- 文件操作

    [C/C++语言入门篇]-- 文件操作 收藏 此文于2010-03-09被推荐到CSDN首页 如何被推荐? 最近实在是太忙了,这篇整整就推迟了1个月了,实在是对不起.之前本打算这个模块就结束了,文件操 ...

  7. OSGi入门篇:模块层

    1 什么是模块化 模块层是OSGi框架中最基础的一部分,其中Java的模块化特性在这一层得到了很好的实现.但是这种实现与Java本身现有的一些模块化特性又有明显的不同. 本文介绍模块层的一些基础知识, ...

  8. 【GamePlay】入门篇

    [GamePlay]入门篇 游戏性编程是指通过一系列游戏系统将游戏想法变成现实的过程. 本次的简例以NPC设计为主. 通常在进行脚本设计前,对NPC的属性进行基本的添加和设定,诸如动画系统.物理系统等 ...

  9. [洪流学堂]Hololens开发入门篇3:使用基本功能开发一个小应用

    本文首发于"洪流学堂"公众号. 洪流学堂,让你快人几步 本教程基于Unity2017.2及Visual Studio 2017 本教程编写时间:2017年12月4日 本文内容提要 ...

最新文章

  1. linux 在硬盘中创建文件系统,linux mkfs命令创建Linux文件系统
  2. java代码如何写出打印_java - 为什么这个代码向后写,打印“Hello World!”
  3. springboot配置ssl-pfx
  4. 使用R画桑基图(流程图)
  5. 万国数据联合阿里云发布混合云系列产品 助力企业落地云端
  6. 服务器端与客户端TCP连接入门(三:多线程)
  7. 怎么改变github的用户名字,身份?
  8. centos 新建swap区文件
  9. java class _Java Class文件详解
  10. java url重写 session_Java Web学习之Cookie和Session的深入理解
  11. 如何将分表汇总到总表_总表输入数据,自动拆分到分表,你会吗?
  12. linux设置ntp开机同步时间同步,linux ntp时间同步
  13. [No000013F]WPF学习之X名称空间详解
  14. 情人节来了,教你个用 Python 表白的技巧
  15. MOSEK优化包的安装、使用及注册:以Matlab中的二次规划为例
  16. 记一次查深圳磨房百公里徒步照片历程
  17. 输入一个字符串,判断这个字符串中有多少字母,数字
  18. HDU1071微积分公式求曲线面积
  19. 关闭amazon kindle 个人文档服务“请在48小时内点击下方以验证此请求”
  20. python ppt 图片_python ppt 转 pdf 图片

热门文章

  1. 互联网背后的DDOS黑色产业链
  2. STM32F103学习笔记(1)掌握GPIO操作—输出模式(推挽/开漏)
  3. operate1c语言,operate的第三人称单数和例句
  4. 【java】LinkedList1.8源码详解
  5. 超强文本半监督方法MixText
  6. SpringBoot 定时任务的实现
  7. OpenCV常用图像拼接方法(一) :直接拼接(硬拼)
  8. TXT批量文本分割器Python
  9. AHP层次分析法求解过程(matlab代码)
  10. 写微博授权时遇到的麻烦2之签名问题