產品介紹
奇安信光單向安全隔離數據自動導入系統(簡稱“單向光閘”)是一款用於由低密級網絡向高密級網絡單向導入數據的隔離裝置,可廣泛應用於電子政務、軍工、電力等涉及敏感涉密信息的用户網絡,從而取代傳統人工拷盤方式,實現基於網絡的自動化單向數據導入。該系統通過單向二極管技術實現物理層面的單向無反饋通道,通過私有通信協議實現對數據的封裝和傳輸,並採用FEC前向糾錯編碼技術和動態流量控制技術,確保數據單向傳輸的完整性、可靠性和機密性。
核心功能
1.安全隔離、基於硬件的單向無反饋通道
採用“2+1”模塊結構設計,即發送端、接收端和光單向物理隔離通道。發送端、接收端具有獨立運算單元和存儲單元,分別連接內、外網,對訪問請求進行預處理,之間不存在任何網絡連接。2.文件導入
根據用户需求主動抓取指定文件服務器指定目錄下的文件,然後單向推送到另一側的文件服務器目錄,實現不同安全等級網絡間文件的單向導入,同時可針對文件類型、關鍵字進行安全過濾。3.數據庫導入
通過靈活的同步機制,無需在用户服務器上安裝任何第三方軟件,由單向光閘主動連接數據庫進行數據抓取,並單向推送到目標數據庫中,實現不同安全等級網絡間的數據庫系統的單向導入。4.郵件導入
單向光閘啓用郵件服務,將接受到的郵件單向推送到高敏感環境的目標郵件服務器,實現郵件數據單向導入,同時支持地址URL、郵件標題、正文、內容等多種不同維度的安全檢測與防護。5.分發訪問
採用兩套單向光閘一進一出部署,形成兩條物理層面相互獨立的單向傳輸通道,分別支撐信息導入和導出工作,滿足在安全隔離場景下實現雙向業務交互和數據交換的需求。6.攻擊防禦
系統集成雙引擎病毒模塊,可對單向導入數據進行有效的病毒防護。同時,產品具備針對UDP Flood攻擊、DoS攻擊等多種攻擊類型的安全防護能力。產品特點
1.免客户端實現數據庫同步
內嵌數據庫同步技術,無需安裝任何客户端軟件或額外開放任何端口即可實現數據庫同步,避免與業務系統產生兼容性衝突和資源搶佔,並使傳輸過程安全性更高。2基於前向糾錯技術,確保傳輸可靠
為保證在單向無反饋情況下數據傳輸的可靠性,產品充分利用前向糾錯技術的特性,使用交換卡的空餘帶寬,在待發送的數據上附加一定的冗餘糾錯碼後一併發送,接收方則根據糾錯碼對數據進行差錯檢測,如果發現差錯,由接收方進行糾正,保障數據接收的完成整度,同時,通過FC組件,靈活調整發送端與接收端速率,確保在最大傳輸速率基礎上“發送端速率≤接收端速率”,避免因“接收端速率<發送端速率”形成的阻塞問題,在高效傳輸的同時保障單向傳輸的可靠性。3.協議兼容性廣,滿足多場景需求
通過對多種標準和非標準協議的兼容適配,例如支持UDP協議的單向傳輸、基於JMS消息應用的單向數據傳輸、基於ZMQ和KAFKA的消息傳遞等,滿足多場景應用。4.雙系統冗餘設計,業務運行更可靠
採用自主研發的多核並行操作系統SecOS,通過管理、數據平面分離確保系統高穩定性運行。同時,單台設備採用雙系統冗餘設計,可更大限度提升系統可靠性。適用場景
1.文件和數據庫單向導入
在兩個不同密級安全域之間有文件或數據庫等信息從低密級安全域向高密級安全域單向傳輸需求的場景下,單向光閘部署於兩個安全域之間,實現從低安全域向高安全域的數據單向導入。2.隔離網絡間的單向數據採集
部署於低密級安全域的大數據分析平台(如態勢感知平台、工業互聯網運行監測平台等)需採集高密級安全域中特定數據的場景下,單向光閘利用其集成的ZMQ、KAFKA等消息傳輸接口,分別對接數據源與大數據分析平台,將高密集安全域的數據實時推送至低密級安全域中的分析平台進行深入分析,確保數據在單向傳輸過程中做到僅採集、不落地。部署方式
光單向安全隔離數據自動導入系統主要實現低密級安全域向高密級安全域網絡的數據單向導入。設備部署在兩個不同密級的安全域之間,低密級安全域連接設備外網接口,高密級安全域連接設備內網接口。