山毓俊 王玥 王軼男

【摘要】 為實(shí)現(xiàn)檢測(cè)數(shù)據(jù)在物理隔離的網(wǎng)絡(luò)間交換傳輸，本文設(shè)計(jì)了一套數(shù)據(jù)中轉(zhuǎn)服務(wù)器，包含硬件配置和軟件代碼設(shè)計(jì)，相較于市面上的網(wǎng)閘設(shè)備，易于部署，安全、性?xún)r(jià)比高。

【關(guān)鍵詞】 數(shù)據(jù)中轉(zhuǎn);物理隔離;涉密網(wǎng)絡(luò);網(wǎng)閘

Abstract： In order to realize the exchange and transmission of test data between physically isolated networks，this paper designs a set of data transfer server， including hardware configuration and software code design. Compared with the gateway equipment on the market，it is easy to deploy，safe and cost-effective.

Key words： data transfer;physical isolation;classified network;gateway

隨著互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，互聯(lián)網(wǎng)給人們的生活帶來(lái)了極大的便利。然而互聯(lián)網(wǎng)暗藏的風(fēng)險(xiǎn)也如懸在頭頂?shù)睦麆?，隨時(shí)可能帶來(lái)致命的傷害。因此，即便是今天，依然有許多涉密單位和網(wǎng)絡(luò)，既存在與互聯(lián)網(wǎng)交換數(shù)據(jù)的實(shí)際需求，又希望能與互聯(lián)網(wǎng)能夠物理隔離。傳統(tǒng)解決的辦法是在兩個(gè)網(wǎng)絡(luò)之間增加安全網(wǎng)閘。然而，安全網(wǎng)閘本身結(jié)構(gòu)比較復(fù)雜，購(gòu)置成本較高，而且配置部署需要專(zhuān)業(yè)人士，安全性甚至由網(wǎng)絡(luò)管理員技術(shù)水平?jīng)Q定。

本文提出建立個(gè)數(shù)據(jù)中轉(zhuǎn)服務(wù)器，在兩個(gè)物理隔離的網(wǎng)絡(luò)之間進(jìn)行數(shù)據(jù)中轉(zhuǎn)。并通過(guò)程序代碼予以實(shí)現(xiàn)。

1 建立中轉(zhuǎn)服務(wù)器

在兩個(gè)物理隔離的網(wǎng)絡(luò)之間設(shè)置一臺(tái)普通的計(jì)算機(jī)作為數(shù)據(jù)中轉(zhuǎn)站。該計(jì)算機(jī)安裝兩個(gè)網(wǎng)卡，分別連接兩個(gè)網(wǎng)絡(luò)。平時(shí)兩個(gè)網(wǎng)卡均為禁用狀態(tài)，連路斷開(kāi)，兩個(gè)網(wǎng)絡(luò)與數(shù)據(jù)中轉(zhuǎn)站為物理隔離狀態(tài)。

數(shù)據(jù)中轉(zhuǎn)站中安裝有數(shù)據(jù)中轉(zhuǎn)應(yīng)用服務(wù)器，由計(jì)劃任務(wù)或者其他喚醒程序啟動(dòng)。運(yùn)行分三步：

1.開(kāi)啟源服務(wù)器網(wǎng)絡(luò)連接，連接源服務(wù)器，約定下次通訊的方式（可選），獲取數(shù)據(jù);

2.關(guān)閉與源服務(wù)器網(wǎng)絡(luò)的連接，開(kāi)啟目標(biāo)服務(wù)器網(wǎng)絡(luò)連接，向目標(biāo)服務(wù)器寫(xiě)入數(shù)據(jù);

3.關(guān)閉與目標(biāo)服務(wù)器網(wǎng)絡(luò)的連接，進(jìn)入緘默模式，等待下一次被喚醒。

2 中轉(zhuǎn)應(yīng)用服務(wù)器實(shí)現(xiàn)代碼

本文的中轉(zhuǎn)應(yīng)用服務(wù)器實(shí)現(xiàn)的功能是定期從內(nèi)部涉密網(wǎng)絡(luò)數(shù)據(jù)庫(kù)讀取預(yù)先設(shè)定好的可以公開(kāi)的信息，寫(xiě)入Internet中的數(shù)據(jù)庫(kù)中。

3 中轉(zhuǎn)服務(wù)器與網(wǎng)閘比較

中轉(zhuǎn)服務(wù)器能夠?qū)崿F(xiàn)網(wǎng)閘的功能，確保在兩個(gè)物理隔離的網(wǎng)絡(luò)間就是定期交換預(yù)先設(shè)定好的數(shù)據(jù)。其部署過(guò)程可以由用戶(hù)參與，自行設(shè)定交換哪些數(shù)據(jù)信息。而一旦數(shù)據(jù)交換完畢，中轉(zhuǎn)服務(wù)器立即斷開(kāi)物理連接。這種斷開(kāi)用戶(hù)也可以直觀的檢查其工作狀態(tài)，也能極大地降低被掃描、入侵的風(fēng)險(xiǎn)。

相比網(wǎng)閘，中轉(zhuǎn)服務(wù)器更易于部署。而且價(jià)格比網(wǎng)閘便宜多了。一臺(tái)當(dāng)下最普通的個(gè)人電腦，可以作為工作站，再安裝一個(gè)如前文所提及的幾十K字節(jié)的中轉(zhuǎn)服務(wù)器小程序即可工作。

【參考文獻(xiàn)】

[1] 騰訊科技（深圳）有限公司.一種數(shù)據(jù)處理方法和數(shù)據(jù)中轉(zhuǎn)站：CN201810213702.6[P].2019-10-08.

[2] 網(wǎng)宿科技股份有限公司.一種數(shù)據(jù)傳輸方法、中轉(zhuǎn)服務(wù)器及接入網(wǎng)點(diǎn)服務(wù)器：CN201910251968.4[P].2019-07-23.

[3] 廖光忠，劉思遠(yuǎn).基于Socks5代理的FTD協(xié)議網(wǎng)閘研究與設(shè)計(jì)[J].計(jì)算機(jī)與數(shù)字工程，2019（10）：2613-2616+2626.

[4] 高小清.基于網(wǎng)閘的內(nèi)外網(wǎng)安全交互設(shè)計(jì)與實(shí)現(xiàn)[J].廣播電視信息，2019（8）：74-76.

[5] Anonymous.VASCO Data Security aXsGUARD Gatekeeper[J].SC Magazine，2013（3）.

【作者簡(jiǎn)介】

山毓?。?978-），男，高級(jí)工程師，碩士，研究方向?yàn)樾畔⒓夹g(shù)、包括自動(dòng)化檢測(cè)、圖像模擬、圖像識(shí)別。

王玥（1983-），女，高級(jí)工程師，碩士，研究方向?yàn)橥ㄐ排c信息系統(tǒng)。

王軼男（1992-），女，助理工程師，學(xué)士，研究方向?yàn)橘|(zhì)量管理，計(jì)算機(jī)通訊。