山毓俊 王玥 王軼男

【摘要】 為實現(xiàn)檢測數(shù)據(jù)在物理隔離的網(wǎng)絡(luò)間交換傳輸，本文設(shè)計了一套數(shù)據(jù)中轉(zhuǎn)服務(wù)器，包含硬件配置和軟件代碼設(shè)計，相較于市面上的網(wǎng)閘設(shè)備，易于部署，安全、性價比高。

【關(guān)鍵詞】 數(shù)據(jù)中轉(zhuǎn);物理隔離;涉密網(wǎng)絡(luò);網(wǎng)閘

Abstract： In order to realize the exchange and transmission of test data between physically isolated networks，this paper designs a set of data transfer server， including hardware configuration and software code design. Compared with the gateway equipment on the market，it is easy to deploy，safe and cost-effective.

Key words： data transfer;physical isolation;classified network;gateway

隨著互聯(lián)網(wǎng)應(yīng)用的飛速發(fā)展，互聯(lián)網(wǎng)給人們的生活帶來了極大的便利。然而互聯(lián)網(wǎng)暗藏的風險也如懸在頭頂?shù)睦麆?，隨時可能帶來致命的傷害。因此，即便是今天，依然有許多涉密單位和網(wǎng)絡(luò)，既存在與互聯(lián)網(wǎng)交換數(shù)據(jù)的實際需求，又希望能與互聯(lián)網(wǎng)能夠物理隔離。傳統(tǒng)解決的辦法是在兩個網(wǎng)絡(luò)之間增加安全網(wǎng)閘。然而，安全網(wǎng)閘本身結(jié)構(gòu)比較復(fù)雜，購置成本較高，而且配置部署需要專業(yè)人士，安全性甚至由網(wǎng)絡(luò)管理員技術(shù)水平?jīng)Q定。

本文提出建立個數(shù)據(jù)中轉(zhuǎn)服務(wù)器，在兩個物理隔離的網(wǎng)絡(luò)之間進行數(shù)據(jù)中轉(zhuǎn)。并通過程序代碼予以實現(xiàn)。

1 建立中轉(zhuǎn)服務(wù)器

在兩個物理隔離的網(wǎng)絡(luò)之間設(shè)置一臺普通的計算機作為數(shù)據(jù)中轉(zhuǎn)站。該計算機安裝兩個網(wǎng)卡，分別連接兩個網(wǎng)絡(luò)。平時兩個網(wǎng)卡均為禁用狀態(tài)，連路斷開，兩個網(wǎng)絡(luò)與數(shù)據(jù)中轉(zhuǎn)站為物理隔離狀態(tài)。

數(shù)據(jù)中轉(zhuǎn)站中安裝有數(shù)據(jù)中轉(zhuǎn)應(yīng)用服務(wù)器，由計劃任務(wù)或者其他喚醒程序啟動。運行分三步：

1.開啟源服務(wù)器網(wǎng)絡(luò)連接，連接源服務(wù)器，約定下次通訊的方式（可選），獲取數(shù)據(jù);

2.關(guān)閉與源服務(wù)器網(wǎng)絡(luò)的連接，開啟目標服務(wù)器網(wǎng)絡(luò)連接，向目標服務(wù)器寫入數(shù)據(jù);

3.關(guān)閉與目標服務(wù)器網(wǎng)絡(luò)的連接，進入緘默模式，等待下一次被喚醒。

2 中轉(zhuǎn)應(yīng)用服務(wù)器實現(xiàn)代碼

本文的中轉(zhuǎn)應(yīng)用服務(wù)器實現(xiàn)的功能是定期從內(nèi)部涉密網(wǎng)絡(luò)數(shù)據(jù)庫讀取預(yù)先設(shè)定好的可以公開的信息，寫入Internet中的數(shù)據(jù)庫中。

3 中轉(zhuǎn)服務(wù)器與網(wǎng)閘比較

中轉(zhuǎn)服務(wù)器能夠?qū)崿F(xiàn)網(wǎng)閘的功能，確保在兩個物理隔離的網(wǎng)絡(luò)間就是定期交換預(yù)先設(shè)定好的數(shù)據(jù)。其部署過程可以由用戶參與，自行設(shè)定交換哪些數(shù)據(jù)信息。而一旦數(shù)據(jù)交換完畢，中轉(zhuǎn)服務(wù)器立即斷開物理連接。這種斷開用戶也可以直觀的檢查其工作狀態(tài)，也能極大地降低被掃描、入侵的風險。

相比網(wǎng)閘，中轉(zhuǎn)服務(wù)器更易于部署。而且價格比網(wǎng)閘便宜多了。一臺當下最普通的個人電腦，可以作為工作站，再安裝一個如前文所提及的幾十K字節(jié)的中轉(zhuǎn)服務(wù)器小程序即可工作。

【參考文獻】

[1] 騰訊科技（深圳）有限公司.一種數(shù)據(jù)處理方法和數(shù)據(jù)中轉(zhuǎn)站：CN201810213702.6[P].2019-10-08.

[2] 網(wǎng)宿科技股份有限公司.一種數(shù)據(jù)傳輸方法、中轉(zhuǎn)服務(wù)器及接入網(wǎng)點服務(wù)器：CN201910251968.4[P].2019-07-23.

[3] 廖光忠，劉思遠.基于Socks5代理的FTD協(xié)議網(wǎng)閘研究與設(shè)計[J].計算機與數(shù)字工程，2019（10）：2613-2616+2626.

[4] 高小清.基于網(wǎng)閘的內(nèi)外網(wǎng)安全交互設(shè)計與實現(xiàn)[J].廣播電視信息，2019（8）：74-76.

[5] Anonymous.VASCO Data Security aXsGUARD Gatekeeper[J].SC Magazine，2013（3）.

【作者簡介】

山毓俊（1978-），男，高級工程師，碩士，研究方向為信息技術(shù)、包括自動化檢測、圖像模擬、圖像識別。

王玥（1983-），女，高級工程師，碩士，研究方向為通信與信息系統(tǒng)。

王軼男（1992-），女，助理工程師，學士，研究方向為質(zhì)量管理，計算機通訊。