单向光闸主要用于各地电子政务、军队、军工的信息化建设,下列场合都可使用(但不限于以下几种场合)单向光闸保障业务系统安全:
1、由政务外网向政务内网报送数据;
2、行业内下级向上级报送数据;
3、低密网向高密网传输数据;
4、低安全域向高安全域传输数据;
5、 工业生产网向MIS网/办公网传输数据。
单向光闸是采用外网、内网双端机结构,通过单向分光方式,实现不同网络间数据的单向安全传输。 光闸产品形态均采用的双主机结构,分为发送端和接收端。一般,发送端连接非涉密网络,接收端连接涉密网络。发送端和接收端使用单向分光器连接,接收端光网卡只有接收光网口连接光纤,发送口不连接任何物理介质,保证数据传输的单向性。
1、单向性
无反馈单向光安全传输系统。
2、易用性
单向光安全传输系统的应用配置全部采用web图形界面管理,通过web后台高级功能,可以对光闸软件的发送端和接收端传输配置文件中的所有内容进行修改和保存,并使配置生效。在集成方案应用中单向光安全传输系统提供可二次开发的接口从而真正做到简单易用。
3、可用性
多个应用系统可以通过建立多个FTP或者SAMBA用户的方式同时对一台光闸进行数据传输,每个用户有各自的操作权限,用户在传输的过程中相互看不到对方的传输数据,相互之间不会干扰对方,每个用户都传输到指定的目录下。各个用户的数据只有自己才能够操作,无法查看和操作其他用户的数据。
用户与光闸的文件交互支持方式,分为主动和被动两种方式。主动方式是光闸自动把用户指定外网机器目录下的文件搬运到内网的用户指定机器目录下,支持一对一或者多对多。被动方式为用户手动把文件放到光闸发送端,再手动从光闸接收端取文件。主动和被动两种方式用户可以根据实际情况选择一种,或者混合使用,以方便日常工作。
4、传输功能
4.1传输连续性
在传输大量的数据时候,让数据持续从外网向内网发送数据,可以保证连续96小时传输无间断。
4.2传输速率
基于物理层的单向光传输的速度与延迟等性能参数,与传统安全隔离设备通过“数据二极管”或“隔离芯片”技术相比有质的飞跃。。MS2000传输应用中峰值能达到800Mbps线速传输。光闸内部单向传输稳定传输速度为500Mbps。在百兆以太网环境下,光闸与外界用户交互数据速度可达85Mbps,持续传输速率达到400Mbps。
4.3传输优先级
光闸系统现在具有三种优先级的文件传输方式,分别是文件后缀名优先、小文件优先、用户目录优先。
4.4传输延时
当系统从外网开始传输数据的时到内网接收数据时,系统会提供一个日志文件,记录从外网传输的开始时间以及传输到内网接到数据的结束时间,(结束时间-开始时间)可以检测出时间差小于2秒。
在实际的应用中,无论是1u还是2u的光闸产品的传输的时间一般小于1秒。
5、数据完整性保证
光闸提供多重文件校验机制来保证数据的完整性。将光传输与自纠错、自校验算法有机结合,在现有稳定光单向传输基础上进一步提升无回馈光单向传输的可靠性,能满足用户的实际需求。
6、并发连接
当有30个以上的linux系统或者windows系统的用户连接同一个光闸时,在连接的过程中传输到内网的数据都不会产生任何丢失。光闸默认支持的并发用户连接数是没有限制的。
7、数据消除
当外网发送端和内外接收端出现问题,存储数据量达到页面设置的告警阀值时,会自动告警同时提供页面告警和短信告警来通知管理员。当管理员得知消息以后,可以通过web界面手动删除积压的过期数据。
8、掉电保护
为了防止掉电突发事件,会在发送端与接收端各接入一个U盘,系统提供备份功能,把重要配置文件,系统状态文件等分别拷入U盘当中,当出现掉电的情况,下次启动的时候如果出现系统无法正常情况下,会替换成之前的备份文件,保证系统正常、快速的运行。
9、断网恢复
当系统出现断网的情况下,光闸由发送端传输到接收端的过程是不受任何影响的,光闸的内部传输机制是不受影响的,当网络恢复正常以后,可以立即自动与前、后业务系统恢复连接。
10、断点续传
由于光闸传输速率完全能满足用户需求,所以当出现人为或者意外情况出现数据传输中止的时候,会采用重新传输的方式来达到用户的需求。
目前光闸支持基于FTP协议的上传下载的断点续传功能,光闸内部单向传输使用的是重传方式。
11、数据库同步
支持基于文件的单向传输数据库同步技术,支持市面上主流的数据库系统,包括MYSQL,ORACLE,ACCESS等。同步方式支持数据库全库同步与增量同步
12、数据流同步
支持SOCKET接口方式的数据流同步方式。这需要客户外网和内网的业务系统支持。即外网客户系统可通过TCP协议与光闸外网段建立TCP SOCKET连接。客户内网业务系统提供TCP SCOKET端口,以便光闸接收端可以连接发送数据给内网系统。
13、用户管理
1)系统管理员:系统管理员进行系统管理,系统管理员负责对系统相关项服务的配置、系统初始化设置以及建立用户、删除用户、修改用户等用户管理。
2)系统安全员:系统安全员进行管理,系统安全员负责对每一个用户分配相应的权限,决定用户属于那个管理角色。
3)审计管理员:审计管理员负责对系统事件进行审计,包括鉴别登录成功、鉴别登录失败、系统配置修改、用户文件的传输记录,上传下载日志,同时日志的导出功能也有系统审计员来操作。
4)业务管理:
业务管理员进行传输业务的配置和传输策略的管理,包括传输业务策略配置、业务的导入导出、高级用户可以查看低用户的设置规则,都有业务管理员进行操作。
14、审计功能
14.1审计记录
系统的审计记录包括鉴别登录成功、鉴别登录失败、系统配置修改、用户设置、文件单向传输记录、用户通过FTP、SAMBA文件上传下载等操作的详细记录,这些操作记录只有系统审计员查看和操作,其它管理员不能进行相应的查阅与修改。
14.2审计内容
审计日志包括当前事件发生的时间、修改的源地址与目的地址、用户身份、发生什么类型的事件以及事件成功失败与否。
审计的记录分为两类,一类是系统审计记录,包括登录成功、鉴别登录失败、系统配置修改、用户设置,一类是用户使用日志记录,包括文件单向传输记录,用户FTP和SAMBA上传下载记录,还包括发送端和接收端文件日志的比对记录。
记录默认按照时间顺序显示,每页显示10条记录,可以根据文件名查询审计内容和记录。
14.3导出审计数据功能
审计日志默认导出当前查询所有结果日志,用户也可以选择时间段导出相关日志,WEB日志默认导出不大于100000条日志记录。审计日志导出的格式默认是txt文档。
15、内容检查
对外网导入的数据进行格式与内容信息检查,实现对导入数据的细颗粒控制。
16、阻断系统间的网络协议、进行病毒查杀
内网网之间唯一的物理通道,阻断所有协议连接仅支持纯数据的导入网络攻击无法通过设备。集成国产第三方的恶意代码检查木块,实现对导入数据的病毒与恶意代码的过滤功能。
