产品介绍

奇安信光单向安全隔离数据自动导入系统(简称“单向光闸”)是一款用于由低密级网络向高密级网络单向导入数据的隔离装置,可广泛应用于电子政务、军工、电力等涉及敏感涉密信息的用户网络,从而取代传统人工拷盘方式,实现基于网络的自动化单向数据导入。该系统通过单向二极管技术实现物理层面的单向无反馈通道,通过私有通信协议实现对数据的封装和传输,并采用FEC前向纠错编码技术和动态流量控制技术,确保数据单向传输的完整性、可靠性和机密性。

核心功能

1.安全隔离、基于硬件的单向无反馈通道
采用“2+1”模块结构设计,即发送端、接收端和光单向物理隔离通道。发送端、接收端具有独立运算单元和存储单元,分别连接内、外网,对访问请求进行预处理,之间不存在任何网络连接。
2.文件导入
根据用户需求主动抓取指定文件服务器指定目录下的文件,然后单向推送到另一侧的文件服务器目录,实现不同安全等级网络间文件的单向导入,同时可针对文件类型、关键字进行安全过滤。
3.数据库导入
通过灵活的同步机制,无需在用户服务器上安装任何第三方软件,由单向光闸主动连接数据库进行数据抓取,并单向推送到目标数据库中,实现不同安全等级网络间的数据库系统的单向导入。
4.邮件导入
单向光闸启用邮件服务,将接受到的邮件单向推送到高敏感环境的目标邮件服务器,实现邮件数据单向导入,同时支持地址URL、邮件标题、正文、内容等多种不同维度的安全检测与防护。
5.分发访问
采用两套单向光闸一进一出部署,形成两条物理层面相互独立的单向传输通道,分别支撑信息导入和导出工作,满足在安全隔离场景下实现双向业务交互和数据交换的需求。
6.攻击防御
系统集成双引擎病毒模块,可对单向导入数据进行有效的病毒防护。同时,产品具备针对UDP Flood攻击、DoS攻击等多种攻击类型的安全防护能力。

产品特点

1.免客户端实现数据库同步
内嵌数据库同步技术,无需安装任何客户端软件或额外开放任何端口即可实现数据库同步,避免与业务系统产生兼容性冲突和资源抢占,并使传输过程安全性更高。
2基于前向纠错技术,确保传输可靠
为保证在单向无反馈情况下数据传输的可靠性,产品充分利用前向纠错技术的特性,使用交换卡的空余带宽,在待发送的数据上附加一定的冗余纠错码后一并发送,接收方则根据纠错码对数据进行差错检测,如果发现差错,由接收方进行纠正,保障数据接收的完成整度,同时,通过FC组件,灵活调整发送端与接收端速率,确保在最大传输速率基础上“发送端速率≤接收端速率”,避免因“接收端速率<发送端速率”形成的阻塞问题,在高效传输的同时保障单向传输的可靠性。
3.协议兼容性广,满足多场景需求
通过对多种标准和非标准协议的兼容适配,例如支持UDP协议的单向传输、基于JMS消息应用的单向数据传输、基于ZMQ和KAFKA的消息传递等,满足多场景应用。
4.双系统冗余设计,业务运行更可靠
采用自主研发的多核并行操作系统SecOS,通过管理、数据平面分离确保系统高稳定性运行。同时,单台设备采用双系统冗余设计,可更大限度提升系统可靠性。

适用场景

1.文件和数据库单向导入
在两个不同密级安全域之间有文件或数据库等信息从低密级安全域向高密级安全域单向传输需求的场景下,单向光闸部署于两个安全域之间,实现从低安全域向高安全域的数据单向导入。
2.隔离网络间的单向数据采集
部署于低密级安全域的大数据分析平台(如态势感知平台、工业互联网运行监测平台等)需采集高密级安全域中特定数据的场景下,单向光闸利用其集成的ZMQ、KAFKA等消息传输接口,分别对接数据源与大数据分析平台,将高密集安全域的数据实时推送至低密级安全域中的分析平台进行深入分析,确保数据在单向传输过程中做到仅采集、不落地。

部署方式

光单向安全隔离数据自动导入系统主要实现低密级安全域向高密级安全域网络的数据单向导入。设备部署在两个不同密级的安全域之间,低密级安全域连接设备外网接口,高密级安全域连接设备内网接口。