CopAdd400科博安全隔离与信息单向导入系统技术白皮书

《CopAdd400科博安全隔离与信息单向导入系统技术白皮书》由会员分享，可在线阅读，更多相关《CopAdd400科博安全隔离与信息单向导入系统技术白皮书（27页珍藏版）》请在装配图网上搜索。

1、 科博安全隔离与信息单向导入系统（CopAdd400 V2.0）技术白皮书中铁信安（）信息安全技术2013年3月目 录1.产品研制背景42.产品介绍52.1.概述52.2.体系结构62.2.1.桌面型结构62.2.2.网络型结构72.3.功能性能指标82.3.1.功能指标83.产品功能描述103.1.桌面型功能描述103.1.1.非涉密数据单向导入功能103.1.2.安全功能113.1.3.管理功能113.2.网络型功能描述123.2.1.信息单向传输功能123.2.2.安全控制功能153.2.3.系统监控与审计功能164.技术特点174.1.单向数据通道174.2.数据封装与传输184.3.

2、协议终止194.4.数据容错处理205.产品使用方式215.1.部署方式215.2.管理方式226.产品应用围236.1.桌面型应用围236.2.网络型应用围236.2.1.个人文件单向同步236.2.2.静态文件单向传输246.2.3.数据库单向同步256.2.4.单向中继266.2.5.网页单向发布277.联系方式281. 产品研制背景计算机网络的开放性产生了许多安全问题，网络攻击、信息泄漏、网上犯罪层出不穷。而采用以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，却难以解决涉密信息系统等重要网络的保护问题。对于涉密网络的保护，我国历来采用了物理断开的方法，国家局在计算

3、机信息系统国际联网管理规定中将涉密信息系统的安全防御要求定格为与任何非涉密信息系统必须“物理断开”。断开了就安全的（事实上也并非如此）。但是，断开了却严重影响了业务信息系统的运行。目前，很多部委的重要业务系统都处于涉密网络，而业务系统需要的基础数据却来自外部业务网络，甚至互联网络。物理断开造成了应用与数据的脱节，影响了政府执行能力和行政效率。包括国家局在的信息化建设的主管部门都充分的认识到，断开不是目的，保护涉密网络的安全才是目的。现在之所以要断开，是因为还没有一种值得信赖的技术实现互联。看来，如何实现涉密信息系统与非涉密网络之间的连接问题，成为我国信息化建设中一个亟需解决的问题。但现在断开了

4、，数据如何交换，在隔离政策出台之前已经形成的各种重大应用系统如何延续，如何解决安全与应用之间的矛盾？应用的需要和安全的需要催生了一种新型的技术，物理隔离技术（GAP）。这种技术在1993年由Myong H.Kang在“A Pump for Rapid, Reliable, Secure Communication”一文中提出，并在1996年对这种概念进一步深化为一种适于网络应用的“数据泵”技术。GAP技术是一种什么技术？从字面上理解，可以译为“缺口、豁口”，即在两个网络之间形成一个缺口。有了缺口当然就能保证安全。也有将GAP译为“Gap All Protocol”的说法，说明这个“缺口”不是什

5、么都不让通过，而只是将协议隔离，应用数据还是可以利用这个缺口通过安全方式交换的。遵从这种理解方式，如Myong H.Kang所刻画，GAP应该是一个三系统的设备：一个外端机、一个端机、一个中间交换缓存。外端机用于终止网络协议，对解析出的应用数据进行安全处理。同时能够通过中间的交换缓存通过非TCP/IP协议的方式进行数据交换。我国的信息安全产业界从1999年即开始了一种声音：GAP技术就是物理隔离，以此希望实现涉密网络与非涉密网络的联网突破。这一思想也影响了信息安全界的厂商和部分主管部门，一时间专注GAP技术研究的厂商如雨后春笋蓬勃发展。但隔离产品的市场却始终十分脆弱。在Gap技术初生之际，国家

6、局就在不同场合正本清源：“GAP技术不是物理隔离，不能用于涉密网络与非涉密网络之间的连接”。既然GAP技术不能用于涉密网络与非涉密网络之间的连接，但从目前国家的一些重要的业务系统的实际运行情况来说，涉密网络与外界完全断开不现实，从业务流程、可用投资和发展潮流上都不允许。到底什么技术可能实现这种突破？国外又在做哪些尝试呢？国际上浮出水面的一种技术是“数据二极管”（Data Diode）的纯单向技术。美国的Owl公司一直在从事这种技术研究。06年初澳大利亚特尼克斯数据门公司研制的“数据二极管”设备已经通过美国国家信息安全保障合作组织(NIAP)的最高安全认证 ，并首次通过EAL 7(评估担保等级)

7、的认证。“数据二极管”技术以其纯单向性，能够保证数据信息从低密级网络向上流动，同时保证高密级信息不可能流到低密级网络中，从而达到数据推移、防止泄密的有效折衷。可以说，美国的敏感信息系统与外接互联问题也如我国的涉密网络一样受到困扰，也正寻求联网的技术方法。但是现在他们找到了答案。科博安全隔离与信息单向导入系统就是基于这种应用数据二极管纯单向传输技术形成的边界安全防护设备。这种设备的研制动机就是要解决涉密网络与非涉密网络之间的互联问题。2. 产品介绍2.1. 概述科博安全隔离与信息单向导入系统（CopAdd）是由中铁信安（）信息安全技术自主研发的数据单向传输安全产品。该产品能在保证信号绝对单向的情

8、况下，实现可靠的数据单向传输。该产品的绝对单向性传输特征，决定了其适用于如下两种应用场景：其一数据导入，保证网信息不在导入过程中泄漏到外网；其二是信息单向发布，保证网在向外网单向推移数据时，外网无法入侵部敏感网络。CopAdd共分两个系列，四个型号。一个系列是桌面型科博应用数据二极管系统，另一个是网络型科博应用数据二极管系统。三个型号分别是CopAdd400-D600（桌面型型）、CopAdd400-E1000（网络型）、CopAdd400-G3000（网络型）和CopAdd400-G5000（网络型）。网络型的两个型号在安全功能是完全一致的，唯一区别表现在性能上的差异上，桌面型型单向系统与网

9、络型在功能和性能上有所区别。其中CopAdd400-D600主要适用于将普通优盘数据单向导入到涉密计算机中的场合，CopAdd400-E1000为百兆级，适用于通信量较小、传输实时性要求不高的应用场景。CopAdd400-G3000为千兆低端，CopAdd400-G5000为千兆高端，适用于数据传输量较大，或者传输实时性要求较高的不同需求的场景。2.2. 体系结构2.2.1. 桌面型结构桌面型单向系统（下称桌面型（型）单向导入系统）是一个便于在涉密计算机终端使用的，可以将优盘等移动存储介质上的文件导入到涉密主机的系统。这里优盘中的文件是指从非涉密网获取而存在于非涉密移动存储介质中的（例如从互联

10、网下载的文件等）文件。桌面型（型）单向导入系统必须是一个安全且易用的系统，为了做到这一点，我们考虑到需要导入的数据来源于移动存储设备，如果能使涉密主机的使用者在计算机上使用单向导入系统时操作方便简单，可视化效果强，这样将带来极大的便利。通过设计，桌面型（型）单向导入系统的总体结构如图2-1所示。整个单向导入系统由单向导入装置和单向导入接收控制系统两个子系统构成。图2-1 桌面型（型）单向导入系统总体结构其中，单向导入装置是一个独立的硬件设备，负责完成非涉密移动存储介质信息向部的单向传输，单向导入装置的普通USB接口与非涉密移动存储设备连接，用于读取非涉密移动存储介质中的文件信息，单向导入装置的

11、MINI USB接口与涉密计算机连接，用于将文件信息传输到涉密计算机上。单向导入接收控制系统运行在涉密计算机上，主要完成两方面的工作：一是负责接收单向导入装置传输过来的文件并存储；二是完成一些安全控制工作。2.2.2. 网络型结构CopAdd400-E1000/G3000/G5000单向传输系统（下称网络型单向传输系统）是一套软件与硬件结合的系统，其中包含了大量的硬件介质，也包括运行在操作系统中的各种安全控制软件。网络型单向传输系统的总体结构如下：图2-2网络型单向传输系统总体结构设计如下图，网络型单向传输系统主要由外端机、端机、单向传输通道与应用支持模块构成。其中外端机与端机是两台独立的主机

12、，外端机与端机中同样存在硬件主板、光通信模块、操作系统平台与应用代理模块等。外端机与端机之间存在唯一的连接接口，即通过光通信模块和单向数据传输卡（具有光通信模块）形成的数据单向传输通道。网络型单向传输系统共具有两块单向数据传输卡，分别通过PCI-E接口与外端机相连。两块单向数据传输卡之间采用单向的光通道相连。插于外端机的单向数据传输卡只具有光发射模块；插于端机的单向数据传输卡只具有光接收模块，由此保证光信号在外网网络间单向传输。为了保证信息在无反馈的情况下数据被完整高效的传输，在外单向数据传输卡中都实现了数据冗余传输、前向纠错编码/解码、信号扰动等功能，同时在应用层传输机制中也大量融合了冗余传

13、输与扰码传输机制。端机与外端机的应用代理模块负责完成对外部数据的获取、分析与传输。外端机应用代理模块可以获取外端机网络数据源中的待传输文件，通过发送给端机的代理模块，然后再由端机代理模块传输给端机网络的目的数据源。因此，数据在传输过程中的数据流一定是从外端机到端机，没有任何反向信息的传输。为了支持多用应用模式与应用数据，网络型单向传输系统有一个专门的应用支持模块，通过该模块，网络型单向传输系统可以与各种使用环境整合，实现对文件、数据库、网络应用等的单向信息传输。应用支持模块部署使用灵活，既可以集成到网络型单向传输系统部，也可以单独部署在相应服务器中，更高效的对数据进行捕获与传输。2.3. 功能

14、性能指标2.3.1. 功能指标（1） 桌面型单向导入系统功能指标：功能类功能项功能说明文件单向传输功能优盘文件的单向导入提供普通优盘文件的自动单向导入功能移动硬盘文件的单向导入提供移动硬盘文件的自动单向导入功能按钮选择功能实现哑终端按钮选择功能，支持文件重传、终止，文件选择和手动调节传输速率等功能。安全控制功能性能调整提供对导入文件的性能调节功能容过滤提供对导入文件的格式过滤功能系统监控与审计功能文件导入监视提供对文件导入的进度查看与存储功能异常处理提供对导入文件的实时异常监控功能，与时提示使用者错误导入的文件信息（2） 网络型单向传输系统功能指标：功能类功能项功能说明信息单向传输功能个人文件

15、传输提供基于Web的个人文件传输功能，实现基于用户的文件传输与对文件的安全过滤功能。支持一对一，一对多文件单向同步。文件单向传输提供文件的单向摆渡功能数据库单向传输提供各种关系型数据库的数据单向同步功能，支持异构数据库同步单向中继提供的单向发布功能消息单向传输提供短消息的单向传输功能安全控制功能身份认证提供系统管理的安全身份鉴别功能，身份鉴别基于用户名/口令、硬件令牌等实现；提供数据发送方和数据承受方身份认证功能容检查提供传输数据容的检查功能，检查机制基于关键字完成文件深度检查提供传输文件类型与文件后缀的一致性检测功能病毒防护提供置的病毒防护功能，支持自动和手动的病毒库升级流量控制提供关键应用

16、与网络接口的流量管理功能系统监控与审计功能系统监控提供对系统运行状态的实时监控功能日志审计提供对用户访问行为、安全事件信息、系统日志信息的记录与审计功能3. 产品功能描述3.1. 桌面型功能描述3.1.1. 非涉密数据单向导入功能桌面型单向导入系统最核心的功能是实现了对非涉密数据的单向导入。在非涉密数据单向导入的过程中，实现了以下功能：（1） 哑终端按键桌面单向导入系统支持哑终端按键，实现对所需目录下的文件进行选择，对所传文件的传输速率进行选择。（2） 优盘文件的单向导入实现将优盘中的文件单向导入到网涉密主机中，在导入时支持特定目录的导入与根目录文件的导入。（3） 移动硬盘文件的单向导入实现将

17、移动硬盘中的文件单向导入到网涉密主机中，在导入时支持特定目录的导入与根目录文件的导入。（4） 文件重传功能在出现文件传输丢失的情况下，系统提供重传功能，只要将优盘或移动硬盘从非涉密USB口拔出再重新插入后，文件将自动重新传输。3.1.2. 安全功能为了保证系统导入过程的安全性，系统具备以下安全功能：（1） 基于光纤的单向传输采用单向光纤方式从外端将文件导入到部涉密主机，必须保证信号无反馈；（2） 数据容错功能由于单向光纤无信号反馈，端设备将无法验证传输数据的完整性，系统通过采取一定的容错机制，保证单向传输数据的可靠性，使得误码率小于；（3） 防冒用功能单向导入装置是通过USB线与涉密主机进行连

18、接，在单向导入装置端机上与USB连接的是USB网卡，因此，单向导入接收控制系统将采用虚拟网卡（由USB虚拟）接收单向传输数据。使用该方式将产生一个安全风险：如果攻击者使用同样的USB网卡，将可以连接涉密计算机并进行通信。为了防止这种风险产生，系统设计了一个网络控制模块，该模块将对USB网卡虚拟的网络进行控制，只允许单向导入装置的数据向涉密主机发送，其他任何流入流出的数据均不允许通过USB网卡。3.1.3. 管理功能在进行非涉密数据的单向导入时，系统提供一个独立的管理模块对导入数据进行接收。系统的管理模块具有以下功能：（1） 文件导入进度查看使用者可以实时查看文件已经导入到哪个状态。例如：正在导

19、入哪个文件，导入了多少字节，已经导入了多少个文件等。（2） 存储目录配置使用者可以配置导入的文件存储在涉密主机的哪个目录。（3） 异常导入信息查询由于单向光纤导入无反馈信号，从理论上讲一定存在数据丢失的情况。系统具备错误提示功能，使得使用者能够查看本次导入过程中是否存在数据丢失，以与哪些文件数据丢失。这样便于进行文件重传。（4） 多功能选择按钮实现哑终端按钮选择功能，支持文件重传、终止，文件选择和手动调节传输速率等功能。（5） 自动转向功能每一次成功的文件单向导入过程完毕后，管理模块将自动转向存储导入文件的目录，方便使用者定位与使用导入的文件。3.2. 网络型功能描述3.2.1. 信息单向传输

20、功能3.2.1.1. 个人文件文件单向同步CopAdd400的个人文件单向传输功能如下：1.用户管理单向导入系统提供对文件传输使用者的身份管理功能，所有使用单向导入系统进行文件传输的用户将在系统中建立独立的身份，使用者通过该身份可以进行文件的上传、下载与单向传输。用户身份管理与单位部门对应，可以根据需要随时增删用户信息。系统为每一个用户分配可用的存储空间用于进行文件储存与传输。2.访问控制单向导入系统的公文传输功能提供身份认证与可信管理主机的访问控制功能。身份认证保证管理员与使用者具有安全的身份，该机制通过CA证书实现。可信管理需要保证只有授权的计算机才能对系统进行管理，减少使用风险。3.文件

21、传输为方便使用者，单向导入系统的文件传输模块提供多种方式的文件传输使用方式。使用者可以通过Web界面的方式登录系统并进行文件的上传与下载，同时，单向导入系统还需要提供客户端方式，通过该方式使用者能够将需要的文件拖拽到任务栏上的图标中，自动将文件传输到服务器上，以达到适合不同使用习惯用户的目的。4.文件审核单向导入系统的文件传输模块提供了对文件的安全审核功能，保证只有授权的文件才能从业务网传输到工作网。文件安全审核功能包括手工审核与自动审核。手工审核保证只有审核员在线或下载浏览确认过的文件才允许传输；自动审核功能结合文件类型深度检查、关键字正则过滤与病毒木马检查，实现对文件的安全过滤，其中病毒木

22、马检查功能结合第三方病毒软件实现，目前要求支持金山、瑞星与360等常用杀毒软件。3.2.1.2. 文件单向传输CopAdd的文件单向传输功能是核心功能，该功能支持两种方式的文件传输，一种是推文件方式，另一种是拉文件方式。文件单向传输模块同时也支持几种文件访问方式，包括Windows共享方式、FTP服务方式、SAMBA映射方式等。根据实际应用场合的不同，可以选择适合的文件访问方式与文件传输方式。文件单向传输模块支持的传输文件没有限制，任何数据文件，如doc、txt、dat、exe、rar、pdf等，都可以作为传输文件。管理员可以设置策略允许或禁止何种文件被传输。所有被传输的文件都需要进行必要的安

23、全控制，控制容包括容检查、病毒检测、文件深度检查等，具体见3.2安全控制功能部分的描述。由于文件单向传输模块对文件格式没有限制，因此，通过该模块也可以实现静态网页的单向传输、文件的单向传输等功能。3.2.1.3. 数据库单向传输数据库的同步在实际应用场合中经常出现，CopAdd自主研发了功能强大的数据库单向同步模块。该模块将在CopAdd的外端机部署数据库数据采集代理程序，在端机部署数据发布代理程序。数据采集代理负责采集外端机网络需要同步的数据库信息，并通过单向通道发送到端机，然后由数据发布程序发布到端机网络的数据库服务器上。数据库单向同步模块支持多种对数据库的单向同步方式，包括全表镜像、全表

24、复制、增量复制、先全表再增量的复制等。对于两端数据库表结构不同的情况，数据库单向同步模块也能够针对字段进行同步。数据库单向同步模块支持同构与异构数据库之间的单向同步。该模块也同时支持两端有多个数据库的情况，例如外端机网络有两个数据库分别要单向同步到端机网络的两个数据库上。数据库单向同步模块同步的数据容受到安全控制模块的监控，包括容检查、病毒查杀等。3.2.1.4. 单向中继如果需要从外端机网络将发送到端机网络的服务器上，就可以使用CopAdd的单向中继功能实现。单向中继功能将在外端机建立基于SMTP的中继服务，在端机建立发布代理。外部网络的将首先发送到中继服务，然后通过单向通道传输到端机，再通

25、过发布代理最终发送到端机网络的服务器上。通过管理员设置的安全策略，可以对中继的域名、时间、附件大小、头、发件人、收件人等进行控制。通过单向通道传输时将受到安全控制模块的监控，包括附件深度检查、病毒查杀等。所有中继的配置与中继过程将通过审计模块进行记录与审计。3.2.1.5. 消息单向传输一旦CopAdd在实际环境中部署完成后，如何检测环境配置是否正确，最简单的方法就是通过消息单向传输模块检测。消息单向传输模块通过在外端机管理界面输入简单的发送信息，通过单向通道发送到端机，管理员登录端机管理界面如果显示收到的消息，说明配置与安全通道没有问题。在使用过程中也可以通过该功能检测通道的连通性。另外，在

26、需要向端机发送短信息的时候，也可以通过单向消息模块完成。3.2.2. 安全控制功能3.2.2.1. 身份认证CopAdd的身份认证功能主要是指在管理员访问网闸置的管理器时的身份认证。CopAdd对管理员的认证方式可配置为基于用户名/口令的方式、基于数字证书的方式、支持硬件令牌的方式等。3.2.2.2. 容检查CopAdd传输的数据是无协议格式的上层应用数据，比如发送的主体容，的附件。CopAdd在传输这些数据时，实现了三方面的数据容审查：（1）关键词过滤：对含有黑中出现的关键词的应用数据进行基于策略的安全处理，包括拒绝发送、日志审计、关键词替换等三种处理方式。（2）模糊查询：对于应用数据中包含

27、经过处理、伪装的敏感词语进行控制和处理，比如识别类似“法*轮*功”这样的敏感词汇。控制处理的方式包括：拒绝发送、日志审计和关键词查找三种。（3）病毒扫描：CopAdd在摆渡每一个数据块时，都进行病毒扫描。详见“病毒防护功能”描述。CopAdd的数据容审查功能在外端机基于计算机CPU实现。3.2.2.3. 文件深度检查管理员可能需要对通过CopAdd传输的文件类型进行控制，比如，不允许外部的exe或者bat文件传输到网。但是，攻击者可以将文件的后缀修改为txt等被允许的后缀并传输，以逃避安全规则的检查。为此，CopAdd实现了文件的一致性检查，即一个声称的exe是否真是exe文件，一个声称的pd

28、f文件是否真是pdf文件等。这种功能即为CopAdd的深度检查功能。目前，CopAdd支持几乎所有的文件类型的一致性检查。3.2.2.4. 病毒防护CopAdd集成了专业的第三方病毒查杀模块，能在应用层实现基于特征的病毒查杀。为此，CopAdd提供了病毒库在线升级功能，以与病毒库手工导入功能。对于包含有病毒数据的应用数据，CopAdd在清除病毒之外，还对其进行日志记录，供安全管理员使用。对于病毒清除失败的文件，CopAdd会将其放在隔离区，并通知管理员手工处理。3.2.2.5. 流量控制为了保证CopAdd建立的服务（如文件服务、中继服务）保持应有的带宽，防止网络接口流量异常，CopAdd实现

29、了流量监视与控制模块。通过该模块能够对进入网闸的网络流量进行全面的控制。流量监视与控制模块能够基于不同的服务对流量设置上限。另外，流量监视与控制模块还可以对CopAdd的特定网络端口进行上行与下行的流量监视与控制，使管理员能够随时掌握网络流量的状态，分析网络的稳定性。3.2.3. 系统监控与审计功能3.2.3.1. 系统监控CopAdd提供对系统运行状态的实时监控功能，包括网络接口监视、CPU利用率监视、存使用率监视、网络状况监视、硬件系统监视、进程监视。CopAdd提供对监控结果的多种图表显示方式，如动态坐标图、饼状图和柱状图。3.2.3.2. 日志审计CopAdd提供了强大的日志查询、日志

30、存储和日志审计功能。系统支持welf、syslog等多种日志格式输出，支持第三方软件查看日志，支持日志分级，支持本机和远程存储日志功能。提供对应用交换信息、安全控制信息、系统日志信息的记录与审计功能。4. 技术特点CopAdd400拥有许多关键技术，这些关键技术保证了CopAdd产品无论从功能、性能，还是安全性上都是业界领先的。以下以网络型单向传输系统为例说明相关的技术特点，桌面型单向导入系统同样拥有这些技术。4.1. 单向数据通道单向传输系统使用两块高效的安全数据传输卡实现应用数据的单向传输，两块安全数据传输卡通过光纤连接，中间传输的是转换后的光信号，通过芯片的独特设计与光传输的特点，即达到

31、了单向要求，又满足数据的高性能传输要求。单向传输系统的单向数据通道技术结构如以下图所示：图4-1 单向传输通道结构从图中可以看出，单向传输系统采用外两块安全板，两块安全板之间通过光纤信道传送信息。外端安全板具有光发送适配器，端安全板具有光接收终结器。光发送适配器将外端机需要发送的数字信号调制为光信号并通过光纤信道发送出去，单向传输系统将使用多种方式保证传输信息的完整性，包括前向纠错、编码与扰动等。端安全板的光接收终结器负责接收发送端传递的光信号并转换为数字信号，然后提交到芯片处理模块进行进一步的处理，最终将接收的完整信息放入端机缓存，并通知上层应用去获取。单向传输系统的单向传输特性在于端安全板

32、只有光发送适配器，端安全板只有光接收适配器，中间只有光传输信道。这样一方面保证不可能有光信号从端传向外端；另一方面保证其它数字信号、模拟信号与电信号不能通过光纤通道传输。4.2. 数据封装与传输单向传输系统为了保证数据完整、有序、高效的从外端传输到端，开发了专业的数据封装与传输模块。数据封装与传输模块分为两部分，一是应用层数据封装与传输；二是芯片级的数据封装与传输。应用层数据封装与传输模块将需要传送的数据进行分片处理，每次仅传输安全板可承受的数据大小（并通过流量监视自动调整分片大小）。分片数据再使用高效压缩算法进行压缩，提高传输吞吐量。压缩数据再进行签名，保证传输数据完整性。签名数据最后加上传

33、头信息，保证端机接收到到数据后能成功的将分片信息重组为应用数据。整个协议可以用以下图表示：图4-2 应用层数据传输结构在安全板中自主研发了安全高速数据传送卡接口的数据传输协议，这个协议完全不同于以太网协议标准与其它任何数据传输协议，具有完全的独立性。其他用户无法通过搭接等方式桥接到本设备上，从硬件设计角度杜绝网络侦听的可能。外端安全板物理层按照部特殊协议结构对应用层分片数据包（见图4-2）进行封装处理。封装后的数据流进行RS编码（Reed-Solomon编码，一种大容量数据传输中使用的前向纠错编码），端安全板根据RS编码结果进行收包，提高了系统可靠性。数据流经扰码后，以光信号方式传输到另一块接

34、收卡上，这种硬件结构可以防止线路搭接，另外，在传输中也通过多冗余通道传送光信号，增加数据传输的容错率。单向传输系统安全芯片接收端处理过程为发送端处理过程的逆过程，发送端处理流程如下：图3-3 安全芯片发送端处理流程4.3. 协议终止单向传输系统是采用推或拉数据的方式进行单向数据传输的。最终采用哪种方式运行要根据用户使用的具体环境来定。以文件传输为例，如果用户在外网没有专门的文件服务器，就可以采用推的方式进行文件传输。这里的推方式是指在单向传输系统的外端机建立文件服务器，使用者将需要单向传输的文件从外网上传到文件服务器，然后上传的文件通过外端机的代理程序进行数据封装、分片等处理，再由外端安全板通

35、过光纤信道传输到端机，端机代理程序接收并合并文件后，通过文件传输协议上传到端机网络的特定文件服务器上。如果外网有专门的文件服务器，就可以采用拉方式进行文件传输。这里拉方式是指在单向传输系统外端机上将驻留文件客户端代理程序，该程序定期去文件服务器上获取需要传输的文件，然后上传的文件通过外端机的代理程序进行与推方式同样的处理。从以上的描述可以看出，无论是单向传输系统外端机还是端机，最终都将数据包解析到应用层并进行处理，外端机之间传输的也是应用数据。任何TCP/UDP协议在单向传输系统的某一端都是解析到应用层进行处理的。因此，任何基于协议的攻击要穿过单向传输系统都不可能。4.4. 数据容错处理由于单

36、向传输系统从硬件上屏蔽了任何信号的反馈，这样就没有握手机制来保证传输数据是否完整、可靠。为了减少在数据单向传输中的出错的概率，单向传输系统采用了多种技术进行纠正与检测，这主要包含以下方面：（1） 基于RS算法的前向纠错机制。安全板通过将数据进行RS编码，在接收端使用RS编码，不但能够发现错误码元，而且能够对错误码元进行纠错。另外，系统也采用卷积编码与RS编码结合的方式，进一步减少误码率；（2） 扰码机制。安全芯片中对每一个传输的数据包进行扰码处理，该处理对数据流进行了随机化，防止数据流中长连0或长连1的出现，减少在传输中的出错率；（3） 双冗余通道发送光信号。为了更好的保证信息传输的完整性，单

37、向传输系统安全芯片允许将光信号通过两个冗余通道同时发送，再由接收端对接收的信号进行裁决，从而减少信号丢失与干扰；（4） 应用层数据签名。以上两种方式主要在安全板硬件中实现，在应用层我们将传输的每一个文件进行签名，一旦传输中出现数据错误或丢失，在接收端能够迅速的检测出来，端系统将给出警告。通过这种方式主要是对错误数据传输起到报警作用。5. 产品使用方式5.1. 部署方式（1） 桌面型单向导入系统桌面型（型）单向导入系统（CopAdd400-D600）是一个独立的硬件设备，主要配合涉密计算机使用，提供非涉密信息的单向导入。其典型的部署方式如以下图所示：图5-1 单向导入系统部署图（2） 网络型单向

38、导入系统网络型单向导入系统CopAdd是一个硬件设备，主要解决低安全级别网络向高安全级别的数据纯单向传输问题。因此，CopAdd产品主要部署在两个网络之间。CopAdd400部署时对网络的要求如下：1) 使用网络为基于TCP/IP协议标准的网络；2) 对于百兆网络，适用CopAdd百兆系列产品，对于千兆网络，适用CopAdd千兆系列产品；3) 对于需要光纤通信的网络，使用CopAdd千兆系列具有光纤接口的版本，根据需要可以选择自带光接口模块或外接光接口模块。CopAdd产品适合的部署位置包括：1) 不同的涉密网络之间。也就是在秘密网络与网络之间，网络与绝密网络之间等；2) 同一涉密网络的不同安

39、全域之间；3) 与互联网逻辑隔离的网络和涉密网络之间。也就是允许CopAdd在非涉密网络与涉密网络之间进行信息交换，前提是要求非涉密网络达到等级保护第三级，涉密网络为秘密级网络；4) 未与涉密网络连接的网络和互联网之间。也就是非涉密网络与互联网之间可以使用CopAdd进行信息导入；5) 非涉密网络的不同安全等级网络，或者统一安全等级网络中的不同安全域之间。5.2. 管理方式桌面型单向导入系统有一个专门的接收端软件，可以配置接收目录，使用者通过该模块进行导入查看，操作非常简单，不做说明。以下说明均指网络型单向传输系统的管理方式。为了方便产品的使用，CopAdd具有多种形式的管理维护方式，保证在出

40、现任何情况时均能进行现场维护管理。CopAdd的基本管理方式是基于Web的管理模块，通过该模块可以进行系统的所有功能配置、查询分户析与日常维护，Web管理方式分为端管理与外段管理，管理员需要分别登录外端管理服务进行配置管理。Web管理模块是CopAdd最主要的管理模块，提供给现场技术支持人员维护使用，也可以做为用户单位的维护人员日常维护使用。CopAdd的第二种管理方式是基于串口的命令行管理。这种管理方式主要是在系统出现故障，Web管理方式不能正常使用，或者网络出现故障，导致不能连接CopAdd设备时使用。基于串口的管理方式使用时需要连接维护计算机与CopAdd之间的串口线，基于Windows

41、的超级终端进行连接收理。CoAdd提供的第三种管理方式是使用远程命令SSH进行管理。该方式提供了维护计算机与CopAdd外端机之间的安全连接通道。通过系统提供的用户名/口令登录后进行远程操作管理。这种管理方式主要提供给产品厂家的技术支持人员进行故障排除时使用。对于用户管理人员，在必要时可以使用该方式进行管理。由于该方式对系统管理权限非常高，如果使用不当可能造成系统数据丢失，因此该方式要慎用。6. 产品应用围6.1. 桌面型应用围桌面型单向导入系统是一个便于携带的终端隔离产品，在使用中可以将移动存储设备中的数据单向、无反馈的传输到主机中。这种特性对于涉密网络，或者有重要信息的部网络特别适合。事实

42、上，现阶段许多政府或企业的核心数据存储在单独建立的网络中，政府一般是在涉密网中，企业在自己的核心网络中，该网络与外部公共网络与互联网是物理隔离的，这样做是为了防止信息泄密，但是，这样带来一个问题，就是外部数据如何与该网络进行数据交换，现在的普遍做法是建立一台摆渡机，通过光盘刻录的方式完成，不仅费时费力，成本也很高。在这些网络中如果使用单向导入系统，将能成功解决外部数据向传输的问题。很好的满足用户需要，同时也防止信息泄露，解决了安全问题。6.2. 网络型应用围网络型单向传输系统主要实现数据的单向传输，根据传输数据的不同，主要有四种应用场合：一是个人文件的单向传输；二是静态文件的单向传输；三是数据

43、库的单向发布；四是的单向中继；五是网页的单向发布。五种场合的应用如下：6.2.1. 个人文件单向同步个人文件单向传输从外网（业务网）单向传输到网（工作网），部署方式如以下图所示：图6-1： 外到文件单向传输部署示意图如上图所示，在单向导入系统的外端机与端机将分别部署用户管理模块与文件管理模块，提供用户的身份管理，文件上传与下载服务管理。在单向导入系统外端机实现文件深度检查、关键字过滤与病毒查杀等。在业务网与工作网使用的计算机上部署单向导入系统文件传输的客户端模块，通过该模块使用者可以通过C/S模式或B/S的方式进行文件的上传与下载管理。同时，使用者也可以通过访问单向导入系统外端机端的Web文件

44、服务实现文件的上传与下载管理。6.2.2. 静态文件单向传输我们指的静态文件通常是指在物理存储介质（如硬盘、光盘、优盘、软盘等）中创建与使用的文件。这些文件通过FTP、Windows映射等方式可以作为网络型单向传输系统同步的文件。静态文件单向传输的典型部署场景如下所示：图6-2 静态文件单向传输部署示意图图中显示了具有独立文件服务器的场景，如果用户环境中没有文件服务器也可以在网络型单向传输系统的外端机上建立FTP文件服务，在端机也可以同样处理。通过网络型单向传输系统能实现以下文件单向传输：（1） 基于FTP服务的静态文件单向传输；（2） 静态Web网页基于Windows映射的单向传输；（3）

45、服务器基于Windows映射的单向传输；（4） 文本型数据库文件（如mdb、dbf文件）的单向传输。6.2.3. 数据库单向同步由于网络结构的划分、安全域的不同与应用需求的不同，在实际环境中经常存在外网双数据库的应用系统，这些应用系统需要实现外网数据库之间的数据容同步。在安全性要求较高的网络中，也需要外网数据向网的单向同步。网络型单向传输系统的单向数据同步模块正适合这样的应用要求，这时的典型部署场景如下：图6-3 数据库单向传输部署示意图这时数据库只能从图中上部的外端机网络向下部的端机网络传输数据，反之则不行。使用时要求外端机能够连接到外端机网络的数据库服务器，端机能够连接到端机网络的数据库服

46、务器，并且分别需要适宜的数据库账号与口令，其它没有要求。6.2.4. 单向中继如果在外网和网没有对称的服务器，又需要向网发送的情况下，就需要使用中继的功能。中继的典型部署如下：图6-4 单向中继部署示意图如下图，为了向端机网络的服务器发送，我们将在外端机开启中继服务，外网发送的先到达外端机服务，再传入端机，最后到达端机服务。6.2.5. 网页单向发布如果敏感网产生的信息需要与时向外界披露、发布，但又希望不要因此而导致外网对部网络产生攻击，则可以采用CopAdd的单向网页发布功能满足上述需求。网页发布情形下，CopAdd的典型部署如下：图6-5 网页发布部署示意图如下图，高密级网络中产生的网页信息被与时发布到外部网络的WEB服务器上，承受外部用户的浏览。外部用户不能跨越CopAdd对部网络造成攻击。7. 联系方式中铁信安（）信息安全技术市场部地址：市海淀区马连洼北路59号 ：100044：0，62667471-8010 ：2-800727 / 27