电子政务建设中的隔离网闸技术应用研究

刘丽娜

济南职业学院 山东 250014

0 引言

2000年1 月1 日，国家保密局发布实施《计算机信息系统国际联网保密管理规定》明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。该规定在互联网发展初期具有前瞻性的提出，政府上网必须“物理隔离”，及时的把政府上网安全提到一个重要的高度，具有重大意义，因此，各种安全隔离产品应运而生，满足电子政务中高安全性的物理隔离需求。

1 隔离网闸技术概念

隔离网闸是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，并能够在网络间进行安全适度的应用数据交换的网络安全设备。系统通常实现不同安全级别网络之间的安全隔离，并提供适度可控的数据交换的软硬件系统。

2 隔离网闸的组成

隔离网闸一般分三个基本部分：内网处理单元、外网处理单元和隔离数据交换子系统构成，完成两个网络之间的安全受控数据交换，如图1所示。

图1 隔离网闸系统的体系组成结构

内网机与高安全级别网络(内网)相连，外网机与低安全级别网路(外网)相连，数据交换子系统包括即将研制的数据交换卡和专用数据交换协议，数据交换卡为内网机和外网机惟一物理通道，并通过物理开关连接内网机和外网机，隔离网闸系统内部将由独立的两套网络处理系统构成：内网机和外网机。内网机用以处理内部网络数据，外网机用以处理外部网络数据，内网机和外网机之间将采用自主研制的HRI™技术相连。HRI™技术支持芯片间的纯数据交换，其通路由专用硬件组成而非网络硬件、软件组成，因此可保证在内外网间的数据交换不依赖并且不存在网络通路。在内网机和外网机之间将建立起完全隔离的两条数据通道：一条仅传输内网到外网的数据，另一条仅传输外网到内网的数据。通过研制专有通信协议(安全隔离交换协议)保证内网和外网之间只传递纯数据而不传递网络信息、控制信息等存在安全隐患的内容，保证和内外网间交换信息的纯洁、安全、可靠。同时“公用网络协议➔安全隔离交换协议➔公用网络协议”的协议转换也可以过滤掉绝大部分基于公用网络协议漏洞的攻击，做到了内外网间的协议隔离。

3 隔离网闸数据交换方式

计算机网络依据物理连接和逻辑连接来实现不同网络之问、不同主机之间、主机与网络之间的数据交换和信息共享。隔离网闸既能隔离、阻断了网络的所有连接，实际上就是隔离、阻断了网络的连通。在电子政务系统设计中，必须确定隔离网闸在前网数据服务器和后网数据处理服务器之间的数据交换模式。

在电子政务中，为实现政务内网和政务外网间数据的安全隔离和交换。根据电子政务系统业务的特点及应用要求，隔离网闸的数据交换模式主要集中在数据库模式。

数据库模式：其功能主要负责完成在两个网络之间隔离的前提下的基于数据库的安全数据交换。原理主要是外网机与外网数据库进行连接，并通过根据配置对需要传输数据表进行监控，内网机与内网数据库进行连接，并通过配置对需要传输数据表进行监控。内外网机一旦发现所监控的数据表有更新(包括增加、删除、修改)，立即对该数据进行提取通过隔离网闸系统放置在另外一边网络的数据库中以实现数据的同步。数据库交换模式如图2所示。

图2 数据库模式

隔离网闸系统的数据库数据交换过程如下：

如图3所示，正常情况下，数据交换子系统和内外网机之间是完全断开的。这样，保证了外网和内网之间是完全断开的。

图3 正常状态

首先外网机一边与非信任网络数据库建立数据连接并通过触发机制监视待传输表的数据变化，另外一边通过证书验证机制与数据交换子系统建立安全连接；当数据表中的数据发生变化时，外网机就会提取非信任网络的需要交换的数据，并通过外网机把数据交给数据交换子系统的暂存区，此时两边在链路层是断开的(如图4)。

图4 从外网机读数据到数据交换子系统

然后数据暂存区的数据分析处理完后就会交给内网机，此时外网机与数据交换子系统断开(如图5)。

图5 数据交换子系统将数据传输到内网机

内网机把交换数据进行安全分析检查后，确认数据的有效性后递交给信任网络的数据库，把变化数据更新到内部的数据库中，此时数据交换子系统与内外网又恢复到了正常状态(如图6)。

图6 数据库同步完成

在数据传输中可以看到：数据传输的任一阶段在信任网络和非信任网络之间都没有物理链路上通路，链路上是隔断的。

4 隔离网闸技术在电子政务中的应用

隔离网闸系统可应用在不同安全级别的网络之间，主要应用在：

(1) 不同的涉密网络之间(如图7)；

(2) 同一涉密网络的不同安全域之间(如图8)；

(3) 与互联网物理隔离的网络与秘密级涉密网络之间；

(4) 未与涉密网络连接的网路与Internet之间。具体部署位置如图7所示。

隔离网闸系统应用在不同的涉密网络之间：

图7 不同的涉密网络之间

隔离网闸系统应用在同一涉密网络的不同安全域之间：

图8 同一涉密网络的不同安全域之间

隔离网闸系统应用在与互联网物理隔离的网络与秘密级涉密网络之间(如图9)：

图9 与互联网物理隔离的网络与秘密级涉密网络之间

隔离网闸系统应用在未与涉密网络连接的网路与 Internet之间(如图10)：

图10 未与涉密网络连接的网路与Internet之间

5 结语

本节根据政府部门电子政务系统应用的特点，在政务内网与政务外网之间需要进行信息数据交换，应用隔离网闸系统，提供多种数据交换方式以满足系统多方位应用需求，本文的隔离网闸技术即可保护政府电子这个内衬内网数据的保密性，又能方便政府的高校实时地办公。

[1] 张红江.网闸技术在社会保障信息系统中的应用.电子工程师.2007.

[2] 邓智群,刘福,慕德俊等.网络隔离体系结构研究.计算机应用研究.2005.

[3] 李涛.网络安全概论.北京：电子工业出版社.2004.