空管網(wǎng)間信息受控交換系統(tǒng)研究

隨著技術的不斷發(fā)展,網(wǎng)絡隔離數(shù)據(jù)傳輸方式中出現(xiàn)了隔離網(wǎng)閘、隔離光閘以及基于二維碼光單向傳輸技術,美國因其軍方的需要,是最早研究網(wǎng)絡隔離技術的國家,以色列和俄羅斯等國家都實行內(nèi)網(wǎng)與外網(wǎng)的網(wǎng)絡隔離,因此在網(wǎng)絡隔離方面的技術和產(chǎn)品較多也相對成熟'氣我國網(wǎng)絡隔離技術發(fā)展迅速,相關網(wǎng)絡安全模型成熟,在我國政府、公安等行業(yè)逐步得到應用。

當今時代為信息時代,智能化作為時代熱門核心快速發(fā)展,新形勢對空管系統(tǒng)的信息傳輸體系提出了更高的要求,尤其是不同密級網(wǎng)系間信息受控交換問題急需解決,通過分析不同密級間信息隔離傳輸?shù)那兰胺椒?,根?jù)不同方式的適用條件,結(jié)合空管不同網(wǎng)系自身特點及各自的信息傳輸需求,進一步研究空管網(wǎng)間信息受控交換系統(tǒng)的組成,并詳細介紹不同結(jié)構(gòu)在傳輸過程中發(fā)揮的使用功能及其必要性,為空管網(wǎng)間信息受控交換的實現(xiàn)提供相關參考。

信息化作為時代主流在各行各業(yè)都發(fā)揮著舉足輕重的作用,在軍事作戰(zhàn)領域甚至可以直接決定戰(zhàn)爭的勝負、國家的存亡、人民的命運,因此,在全球范圍內(nèi)能夠打贏信息戰(zhàn)的需求迫在眉睫??展苄畔⑾到y(tǒng)包括不同的網(wǎng)系,軍航、民航、通航等,各網(wǎng)系密級存在一定的差異,導致現(xiàn)階段網(wǎng)系間信息傳輸存在障礙,影響信息共享、辦公效率以及重要情況的有效傳達。面對空管網(wǎng)系間存在的信息傳輸問題,提出利用相關隔離傳輸技術構(gòu)建空管網(wǎng)間信息受控交換系統(tǒng),基于該系統(tǒng)實現(xiàn)信息在不同密級網(wǎng)系間的安全受控交換。

1、概述

我國空管系統(tǒng)主要包括軍航、民航、通航等,軍民航空管系統(tǒng)已經(jīng)可以成體系運行,但各系統(tǒng)間技術體制、信息交換標準存在差異,也沒有空管基礎數(shù)據(jù)一致性的保障機制,系統(tǒng)間信息交換不暢,空管信息資源得不到充分共享,需要研究網(wǎng)間信息受控交換系統(tǒng),實現(xiàn)各空管系統(tǒng)信息的交換與共享,使得不同密級網(wǎng)絡系統(tǒng)信息平穩(wěn)可靠傳輸。

隨著信息化及智能化飛速發(fā)展,信息時代帶來便利與現(xiàn)代化的同時也帶來越來越多的突發(fā)事件及異常事件,這就要求我們在信息攻防兩方面都要不斷提升,根據(jù)國家保密局發(fā)布的《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》第二章第六條“涉及國家秘密的計算機信息系統(tǒng),不得直接或間接地與國際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡相聯(lián)接,必須實行物理隔離”,通常我們將密級高的一端稱為內(nèi)網(wǎng),密級低的一端稱為外網(wǎng),嚴格實行內(nèi)、外網(wǎng)的物理隔離,可以使涉密骨算機網(wǎng)絡的可控性加強,有利于內(nèi)網(wǎng)系統(tǒng)的管理及風險防范,但也會導致信息傳遞不順暢,影響工作效率,增加經(jīng)濟成本,因此,應不斷開發(fā)研究新技術、新產(chǎn)品,適應不同網(wǎng)系信息傳遞需求。

網(wǎng)絡隔離皿,是指兩個或兩個以上的計算機或網(wǎng)絡,不相連、不相通、相互斷開。在網(wǎng)絡隔離狀態(tài)下,數(shù)據(jù)主要通過人工優(yōu)盤、光盤、移動硬盤、輪渡等方式進行傳輸,通過人工將兩個完全斷開的計算機或者網(wǎng)絡連通,形成一個虛擬網(wǎng)絡傳輸系統(tǒng),迄今為止在不考慮傳輸人員素質(zhì)及傳輸工作效率的前提下,該方式是最安全可靠的數(shù)據(jù)傳輸途徑。

隨著技術的不斷發(fā)展,網(wǎng)絡隔離數(shù)據(jù)傳輸方式中出現(xiàn)了隔離網(wǎng)閘、隔離光閘以及基于二維碼光單向傳輸技術,美國因其軍方的需要,是最早研究網(wǎng)絡隔離技術的國家,以色列和俄羅斯等國家都實行內(nèi)網(wǎng)與外網(wǎng)的網(wǎng)絡隔離,因此在網(wǎng)絡隔離方面的技術和產(chǎn)品較多也相對成熟'氣我國網(wǎng)絡隔離技術發(fā)展迅速,相關網(wǎng)絡安全模型成熟,在我國政府、公安等行業(yè)逐步得到應用。

2、信息受控交換技術研究

目前常用的網(wǎng)間信息交換技術主要有兩類:一類是基于有連接和非IP數(shù)據(jù)傳輸通道的網(wǎng)絡隔離技術,其特點是網(wǎng)間有線纜連接,但使用專有數(shù)據(jù)傳輸協(xié)議代替通用的TCP/IP協(xié)議;另一類是基于無連接和非IP數(shù)據(jù)傳輸通道的網(wǎng)絡隔離技術,其特點是網(wǎng)間無線纜連接,并且使用專有數(shù)據(jù)傳輸協(xié)議代替通用的TCP/IP協(xié)議,即使設備被控制也不會造成高密級數(shù)據(jù)從高密級網(wǎng)絡到低密級網(wǎng)絡泄露。

2.1基于隔離網(wǎng)閘的信息交換

網(wǎng)閘是一種典型的網(wǎng)絡物理隔離技術,通過構(gòu)建不同密級網(wǎng)絡之間物理隔離但邏輯相連的數(shù)據(jù)交換機制,利用擺渡的方式實現(xiàn)數(shù)據(jù)交換。目前,國內(nèi)外都研制出不少隔離網(wǎng)閘產(chǎn)品。

數(shù)據(jù)擺渡與機場擺渡車類似,機場擺渡車是通過中間設備將人員從飛機停放點安全送達機場候機區(qū),數(shù)據(jù)擺渡用來運輸數(shù)據(jù),在內(nèi)外網(wǎng)進行數(shù)據(jù)交換的過程中,擺渡設備先與外網(wǎng)連接,與內(nèi)網(wǎng)斷開,將外側(cè)網(wǎng)絡過來的數(shù)據(jù)“卸載”到擺渡設備中,然后擺渡設備與外網(wǎng)斷開,與內(nèi)網(wǎng)仍然保持斷開狀態(tài),對擺渡設備中的數(shù)據(jù)進行協(xié)議剝離、格式檢查、內(nèi)容檢測、冗余數(shù)據(jù)去除等安全措施,留下“安全數(shù)據(jù)”,然后擺渡設備與內(nèi)部網(wǎng)絡連通,根據(jù)相應策略將數(shù)據(jù)轉(zhuǎn)入內(nèi)網(wǎng)。

網(wǎng)閘是一種由專用硬件,在電路上切斷網(wǎng)絡之間的鏈路層連接,能夠在物理隔離的網(wǎng)絡之間進行適度的安全數(shù)據(jù)交換,是由軟件和硬件組成的網(wǎng)絡安全設備四。網(wǎng)閘通常由三部分組成,內(nèi)網(wǎng)主機系統(tǒng)處理單元、外網(wǎng)主機系統(tǒng)處理單元以及信息隔離交換控制單元,兩個主機系統(tǒng)處理單元保障不同的主機系統(tǒng)與不同密級的網(wǎng)絡連接,實現(xiàn)物理隔離,不存在任何通用通信協(xié)議,避免協(xié)議可能存在的安全隱患,通過信息隔離控制單元進行純數(shù)據(jù)擺渡傳輸,經(jīng)過“安檢“后,按照某種協(xié)議對數(shù)據(jù)進行處理與重建。

隔離網(wǎng)閘在工作過程中,外網(wǎng)數(shù)據(jù)到達外網(wǎng)主機處理系統(tǒng)后,原來的網(wǎng)絡協(xié)議被阻斷會話中止,應用層信息被剝離為不包含任何附加信息的數(shù)據(jù),通過專用硬件和專用協(xié)議將數(shù)據(jù)發(fā)送給控制單元進行處理,處理后傳輸給內(nèi)網(wǎng)側(cè)主機系統(tǒng),進行標準協(xié)議還原。內(nèi)外網(wǎng)之間只傳遞數(shù)據(jù)而不傳遞存在有任何風險的冗余信息,保證信息交換的可靠性。雖然網(wǎng)閘技術不斷更新完善,但在負載均衡、冗余備份、硬件密碼加速、集成管理等方面卻有待完善,防止擺渡攻擊及信息泄露方面仍是要關注的技術課題。

2.2基于隔離光閘的信息交換

單向光閘是結(jié)合網(wǎng)閘技術和光傳輸技術的一種信息安全隔離部件,其特性是利用光的單向傳播特性進行信息傳輸,確保信息在物理傳導上的單向性,同時具有網(wǎng)閘的協(xié)議轉(zhuǎn)換手段和信息擺渡方式同。光閘可實現(xiàn)數(shù)據(jù)信息自非涉密網(wǎng)向涉密網(wǎng)的單向傳輸,相對網(wǎng)閘而言,可進一步防止涉密網(wǎng)信息的泄漏。

單向光閘數(shù)據(jù)擺渡包括兩種類型,一種不使用分光器,在插接光纖時通過改變光模塊的內(nèi)核驅(qū)動使其僅插接發(fā)送端時也可完成信號發(fā)送;_種使用分光器,通過參考文獻[6],該類型又可分為兩種數(shù)據(jù)傳輸方式,傳輸示意圖如圖1和圖2所示。

2345截圖20200908083720.png

圖1單向光閘數(shù)據(jù)傳輸示意圖一

在如圖1所示的數(shù)據(jù)傳輸過程中,外網(wǎng)處理單元周期性檢查外網(wǎng)主機系統(tǒng)的發(fā)緩存,當其中有數(shù)據(jù)時,讀至RAM中,關閉外端通信鏈路,利用光纖將數(shù)據(jù)單向傳至內(nèi)網(wǎng)處理單元的RAM中,打開內(nèi)端的通信鏈路,并將數(shù)據(jù)寫入到內(nèi)網(wǎng)主機系統(tǒng)的收緩存中,相應內(nèi)網(wǎng)程序會定時進行數(shù)據(jù)讀取。其中,外端光模塊的TX端插入光纖,光纖另_端分兩路連接分光器,_路接入內(nèi)端光模塊的RX端實現(xiàn)數(shù)據(jù)傳輸,另一路反饋至外端光模塊RX端。

2345截圖20200908083720.png

圖2單向光閘數(shù)據(jù)傳輸示意圖二

圖2中數(shù)據(jù)傳輸方式將外網(wǎng)主機系統(tǒng)邏輯分離為發(fā)送和接收兩部分,數(shù)據(jù)包通過發(fā)送光卡轉(zhuǎn)換成光信號后發(fā)出,并被分光器分成三路,_路被自身接收光卡接收,檢查發(fā)送數(shù)據(jù)的完整性;一路被內(nèi)網(wǎng)主機系統(tǒng)目標光卡接受完成數(shù)據(jù)傳輸;一路由內(nèi)網(wǎng)主機系統(tǒng)備用光卡接收,用于內(nèi)外網(wǎng)主機系統(tǒng)故障時的備用。

與網(wǎng)閘類似,單向光閘也是由軟件和硬件兩部分構(gòu)成,硬件部分通常由內(nèi)網(wǎng)主機系統(tǒng)、外網(wǎng)主機系統(tǒng)、光單向傳輸通道組成。軟件部分是操作人員與單向隔離設備進行交互的接口,用于完成硬件配置及單向傳輸業(yè)務管理。

2.3基于二維碼光單向傳輸

基于二維碼的數(shù)據(jù)單向傳輸方式可以滿足加密傳輸大容量文字信息的需求,而不需人工轉(zhuǎn)換,通過數(shù)字圖像處理技術,在保障數(shù)據(jù)高效傳輸?shù)耐瑫r,接收設備與發(fā)送設備完全斷開,充分保障數(shù)據(jù)的安全性。

二維碼傳輸數(shù)據(jù)流程包括文本輸入、文本加密、文本生碼、二維碼傳輸、文本解密、文本解碼與文本呈現(xiàn)等內(nèi)容,在傳輸過程中需對圖形進行分片并加密,以保證信息安全性。

數(shù)字圖像處理技術是指將圖像信號轉(zhuǎn)換成數(shù)字信號并利用計算機對其進行處理的過程,包括對圖像進行增強、除噪、分割、復原、提出特征等,處理精度比較高,而且能夠?qū)μ幚碥浖?、算法進行改進提升處理效果。

數(shù)字圖像處理常用的方法主要包括以下幾種:圖像變換、圖像編碼壓縮、圖像增強和復原、圖像分割、圖像描述、圖像識別等。

3、空管信息受控交換系統(tǒng)組成及功能

利用外網(wǎng)側(cè)自身安全防護系統(tǒng)、外網(wǎng)側(cè)安全監(jiān)測分析系統(tǒng)、外網(wǎng)側(cè)交換代理、網(wǎng)間信息隔離交換系統(tǒng)、內(nèi)網(wǎng)側(cè)交換代理、內(nèi)網(wǎng)側(cè)安全監(jiān)測分析系統(tǒng)、網(wǎng)間信息交換審計系統(tǒng)、網(wǎng)間信息交換管控系統(tǒng)組成空管網(wǎng)間信息受控交換系統(tǒng),系統(tǒng)示意圖如圖3所示。系統(tǒng)以網(wǎng)間信息交換隔離系統(tǒng)為核心,各系統(tǒng)相關功能如下:

2345截圖20200908083720.png

圖3空管信息受控交換系統(tǒng)組成示意圖

(1)內(nèi)外網(wǎng)側(cè)交換代理

內(nèi)外網(wǎng)交換代理系統(tǒng)在接入工作時需要先進行注冊申請,內(nèi)網(wǎng)代理向管控系統(tǒng)提交申請,外網(wǎng)代理向隔離網(wǎng)關的外網(wǎng)處理單元提交申請,申請成功后,系統(tǒng)將提供基于ID、IP地址、MAC地址等的綁定檢查和身份識別,并定期向管控系統(tǒng)發(fā)送狀態(tài)信息,申告在線情況,采用隧道封裝的方式傳輸跨網(wǎng)交換信息,不改變應用系統(tǒng)的使用性能。

(2)網(wǎng)間信息隔離交換系統(tǒng)

該系統(tǒng)為受控交換的核心部件,按照相關安全保密防護規(guī)范規(guī)定,涉密網(wǎng)絡空管信息系統(tǒng)必須與國際互聯(lián)網(wǎng)和其他公共信息網(wǎng)實行物理隔離,即涉密網(wǎng)絡空管信息系統(tǒng)必須與通航空管信息服務站、體育、公安、武警、民航信息系統(tǒng)之間實施物理隔離,涉密空管網(wǎng)內(nèi)部不同密級網(wǎng)絡之間要實行邏輯隔離。

根據(jù)與內(nèi)網(wǎng)空管信息系統(tǒng)進行信息交換的外網(wǎng)用戶屬性,涉密內(nèi)網(wǎng)空管信息系統(tǒng)與通航空管信息服務站、體育、公安、武警、民航等民用空管相關系統(tǒng)之間進行信息隔離交換時可以采用基于二維碼光單向傳輸?shù)膬?nèi)外網(wǎng)物理隔離交換系統(tǒng),通過2.3節(jié)的介紹,二維碼光單向傳輸可以保證發(fā)送與接收客戶端完全分離,可以高效安全地完成大容量數(shù)據(jù)的傳輸,根據(jù)2.1節(jié)及2.2節(jié)的介紹,對于涉密網(wǎng)絡自身高密級與低密級間信息隔離交換時可以采用隔離網(wǎng)閘與隔離光閘的內(nèi)外網(wǎng)物理隔離交換系統(tǒng),通過數(shù)據(jù)擺渡的方式進行傳輸。

(3)安全監(jiān)測分析系統(tǒng)

該系統(tǒng)主要用來對交換數(shù)據(jù)進行掃描監(jiān)視,實時偵測其中夾帶的病毒、木馬、蠕蟲等惡意代碼,以及其他攻擊入侵信息,識別已知攻擊,即時感知網(wǎng)絡入侵、病毒傳播等各類攻擊威脅情況,同時能夠分析未知攻擊,分析發(fā)現(xiàn)新型攻擊手段,并實施威脅告警與阻斷。

(4)網(wǎng)間信息交換審計系統(tǒng)

網(wǎng)間信息交換審計系統(tǒng)在工作過程中主要包括以下幾個方面:

1)對傳輸數(shù)據(jù)關鍵字進行篩查,主要包括敏感關鍵字和模糊關鍵字檢測功能。根據(jù)預先自定義的關鍵字過濾機制篩查通過平臺交換的所有空管數(shù)據(jù)信息,過濾出帶有敏感關鍵字的數(shù)據(jù)信息。同時也支持模糊關鍵字篩查,保證能夠篩查出經(jīng)過處理、偽裝的敏感關鍵字。

2)支持對所有通過系統(tǒng)數(shù)據(jù)的本地留存?zhèn)浞荩瑫r支持所有操作日志的本地記錄存儲,為系統(tǒng)平臺上發(fā)生的異常事件和安全事件的事后分析還原提供追溯和查證的數(shù)據(jù)依據(jù)。

3)進行人工復審,當從交換的數(shù)據(jù)中過濾出

敏感關鍵詞時,系統(tǒng)自動調(diào)出人工審批界面,改為人工復審,由系統(tǒng)管理員對過濾出敏感字的數(shù)據(jù)進行審核后決定處理方式,包括拒絕發(fā)送、日志審計、關鍵詞替換等3種。

4)存儲內(nèi)容數(shù)據(jù)分析,通過對本地存儲的數(shù)據(jù)包和操作日志進行快速、智能的深入挖掘和關聯(lián)分析,為系統(tǒng)提供ARP攻擊、蠕蟲、病毒、木馬、DDOS攻擊、端口掃描攻擊、針對空管業(yè)務傳輸協(xié)議的攻擊等關聯(lián)分析視圖。

(5)網(wǎng)間信息交換流程受控

在數(shù)據(jù)傳輸流程受控的過程中強調(diào)其動態(tài)性,在保證數(shù)據(jù)安全的情況下,通過防護、檢測和響應組成一個完整的、動態(tài)的安全循環(huán),如圖4所示。整個傳輸流程包括前期、傳輸過程、后期3部分,前期配置相應的信息受控交換規(guī)則和審計行為,傳輸過程中系統(tǒng)可以進行實時監(jiān)測,并完成相應記錄,后期主要完成數(shù)據(jù)管理功能,提供完整的網(wǎng)間信息受控交換平臺信息記錄表,并為安全事件的準確、快速追蹤和定位提供有力支持,確保系統(tǒng)正確、高效地運行。

2345截圖20200908083720.png

圖4動態(tài)安全循環(huán)模型

(6)網(wǎng)間信息受控交換系統(tǒng)自身的安全防護網(wǎng)間信息受控交換系統(tǒng)主要由各類主機、服務器、安全設備等組成,應符合各項保密管理規(guī)定,自身安全防護主要包括邊界防護、主機安全和數(shù)據(jù)安全。邊界防護防止空管相關信息系統(tǒng)的攻擊者假冒合法主機地址,過濾掉不安全服務,對用戶訪問進行監(jiān)控;

主機安全您包括漏洞掃描、防讎和補丁管理數(shù)據(jù)安全在保障數(shù)據(jù)安全傳輸?shù)耐瑫r,還應保障服務器備份管理,防止其故障情況影響網(wǎng)絡信息傳輸。

空管網(wǎng)間信息受控交換系統(tǒng)在以網(wǎng)間信息隔離交換系統(tǒng)為核心的前提下,綜合應用主體受控、傳輸受控、內(nèi)容受控、流程受控等多種安全措施,實現(xiàn)內(nèi)外網(wǎng)信息無風險傳輸。

4、結(jié)語

內(nèi)外網(wǎng)間的信息交換基于隔離網(wǎng)閘、隔離光閘及二維碼光單向傳輸技術來實現(xiàn),使得不同密級網(wǎng)系間可以進行信息數(shù)據(jù)的安全共享,在此基礎上,研究了空管網(wǎng)間信息受控交換系統(tǒng),滿足了不同安全等級空管網(wǎng)信息實時共享的需求,達到降低工作成本提高工作效率適應信息時代的 的,在未來網(wǎng)系建設中具有重要參考價值。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論