基于單向隔離網閘的水利工程標準化管理數據安全傳輸技術

于桓飛，丁揚威，高小婭，耿　楠，黃小彬，陸乙君

（杭州定川信息技術有限公司，浙江　杭州　310020）

?

基于單向隔離網閘的水利工程標準化管理數據安全傳輸技術

于桓飛，丁揚威，高小婭，耿楠，黃小彬，陸乙君

（杭州定川信息技術有限公司，浙江杭州310020）

在信息化的大數據時代，信息的交互必不可少，但不同網絡間的信息交換，特別是信任網絡與非信任網絡間的交換往往存在著諸多風險。介紹了基于單向隔離網閘的數據傳輸技術，內、外部數據服務器通過單向隔離網閘連接，數據傳輸以單向數據庫同步的方式來實現，并按照設定的數據表同步策略完成外部數據庫表的實時更新。

單向隔離網閘；數據庫同步；標準化管理；水利工程

1　問題的提出

2016年初浙江省開始全面推進水利工程標準化管理?！墩憬∪嗣裾k公廳關于全面推行水利工程標準化管理的意見》（浙政辦發〔2016〕4號）和《浙江省水利廳關于印發全面推進水利工程標準化管理實施方案（2016—2020年）》（浙水科〔2016〕1號）等對水利工程標準化管理信息化系統的建設提出了要求。其中明確要求市、縣級水行政主管部門和水利工程管理單位建立水利工程標準化運行管理平臺，并將數據上報至浙江省水利工程標準化監督管理平臺實現對各水利工程的監管。

運行管理平臺采集的數據包含水庫、山塘、海塘、堤防、水閘、泵站、大中型灌區、農村供水工程等水利工程的基礎數據信息。目前各市縣運行管理平臺設計搭建在公網環境中，以滿足前端各類測站數據接入、控制系統數據上傳、移動端數據上報和信息實時查詢等功能的實現；由于平臺是運行在公網環境中，直接導致提供基礎數據信息的各類水利工程信息化系統的運行環境由原有的內網間接變成了外網。水利工程信息化系統中，閘門自動控制系統、泵站遠程測控系統和水電站監控系統等控制系統的安全性要求比較高，要求控制在內網運行。系統如果暴露在外網，將時刻遭受著各種各樣的安全隱患威脅，如病毒、黑客等不良行為的干擾，致使機電設備不在可控范圍內?！?015年我國互聯網網絡安全態勢綜述》指出我國工業互聯網面臨著嚴峻的網絡安全威脅，全年有數百個境內外IP地址對互聯網上暴露的工控設備進行訪問。因此，網絡安全已經成為水利工程管理系統運行過程中的首要安全隱患。

針對目前水利工程標準化管理信息化系統建設過程中數據傳輸存在的網絡信息安全問題，本文詳細介紹基于單向隔離網閘的數據安全傳輸技術在水利工程標準化管理中的應用，為全省水利工程標準化管理工作提供參考。

2　工作原理

網閘是一種信息安全隔離部件，位于2個不同物理網絡或安全域之間，通過協議轉換的手段，以信息擺渡的方式實現數據交換，且只有被系統明確要求傳輸的信息可以通過。單向光閘是結合網閘技術和光傳輸技術的一種信息安全隔離部件，其特性是利用光的單向傳播特性進行信息傳輸，確保信息在物理傳導上的單向性，同時具有網閘的協議轉換手段和信息擺渡方式［1］。設備在不同安全級別網絡間實現無回饋的安全隔離單向數據傳輸，為指定的應用提供安全的信息交換和共享，所有通信都是在阻斷網絡協議的前提下實現數據單向傳輸。網閘采用“2+1”架構設計，即由內網主機、外網主機和專用無反饋光單向隔離部件（以下簡稱“光單向隔離部件”）構成無反饋光單向數據單向導入系統。內網主機連接內網，外網主機連接外網，光單向隔離部件作為內外網雙主機系統之間唯一的物理通道，阻斷任何形式的網絡協議連接，通過協議轉換手段，以信息單向導入的方式實現，且只有數據源、數據格式和數據內容均滿足安全策略要求的數據才能通過安全隔離部件。內網主機和外網住機是內部網絡和外部網絡通用TCP/IP協議的終點，保證了內網和外網完全的物理隔離［2］。

以信息流從內網傳輸到外網為例，簡要闡述單向隔離網閘的工作流程。

在沒有數據傳輸時，內網主機、外網主機和光單向隔離部件之間都沒有建立連接（見圖1）。

圖1　網閘工作流程圖

當內網有數據流到達外網的時候，內網主機獨立完成網絡協議剝離、內容監測與日志審計，將符合安全策略的數據內容提交至光單向隔離部件的安全數據交換區等待數據傳輸，一旦數據完全寫入安全數據交換區，內網主機立即發起對光單向隔離部件的非TCP/IP協議的數據連接。光單向隔離部件由安全數據交換區將數據內容提取并傳輸至內存儲介質存儲（見圖2）。

圖2　網閘工作流程圖

提取過程結束立即中斷與內網主機的連接，轉而發起對外網主機的非TCP/IP協議的數據連接。光單向隔離部件由安全數據交換區提取數據內容并發送至內網主機，內網主機收到數據后，立即進行TCP/IP封裝，并存放至安全數據下載區，傳輸至應用系統（見圖3）。

圖3　網閘工作流程圖

在外網主機接收到完整的數據流信息之后，單向隔離部件立即切斷和外網主機的連接（見圖1）。因此保證了內、外網絡不能同時連接在物理隔離網閘上，內、外網之間的原始數據傳遞通過單向“擺渡文件”的形式實現。

單向隔離網閘采用基于光技術的單向無反饋傳輸，其發送方式實質上是一種盲發方式，一方只負責發送，另一方只負責接收，因此對數據完整性及正確性具有一定要求。針對數據糾錯、容錯等問題，網閘采用前向糾錯編碼等高可靠保障技術的同時，提供定時校驗重發、手動校驗重發、增加冗余校驗等多種數據校驗技術保證數據傳輸的可靠性［3］。

3　數據傳輸的設計與實現

3.1數據傳輸設計

結合水利工程標準化管理建設中運行管理平臺的建設模式，設計基于單向隔離網閘的數據傳輸系統。

由于WEB發布的需要，具備管理平臺的主流水利工程信息化系統各子系統都是搭建在同一個網絡中，并通過數據發布服務器實現信息的外網發布。閘泵控制系統作為安全度較高的工控系統，一般運行在內網環境中，然而由于信息發布的需要，工控系統數據庫應與其它子系統數據庫一起為數據服務器提供基礎數據，系統安全防護僅依靠防火墻及網絡安全策略進行保護，閘泵控制系統運行存在一定的安全隱患。主流系統網絡結構見圖4。

圖4　主流系統網絡架構圖

基于單向隔離網閘的數據傳輸系統由單向隔離網閘、內部數據服務器、外部數據服務器以及傳輸鏈路構成，系統網絡架構見圖5。

圖5　系統網絡架構圖

系統網絡分為內部控制網絡和外部信息網絡，2個網之間通過單向隔離網閘進行隔離，數據信息只能從內部控制網傳輸至外部信息網；并在外部網絡配置外部數據服務器，在內部網絡配置內部數據服務器。內部控制網絡中的信息化系統包含閘門自動控制系統、泵站遠程測控系統和電站監控系統等信息敏感的系統，內部數據服務器實時采集各子系統的閘門開度、啟閉機運行狀態、水泵運行狀態、電壓、電流等工況信息以及泄洪流量、供水流量、渠道水位等水量信息，并存儲至服務器數據庫。內部數據服務器中的數據通過單向隔離網閘傳輸至外部數據服務器中。在外部信息網絡的外網入口設置防火墻、入侵防御系統等網絡安全設備并規劃布置網絡安全策略，實現對外部信息網絡的安全保護。

水利工程的運行管理平臺搭建在外部信息網絡中，平臺直接調用外部數據服務器數據庫的各類工程信息，實現對工程的電子化臺賬管理、數字化檔案管理、巡查管理和工程實時監測管理。平臺軟件能夠與省市縣監管平臺對接，實現工程運行管理數據信息的實時上報。水利管理人員和外來訪問人員只能通過外網訪問運行管理平臺，并根據平臺分配的權限內容進行各自的操作運用。外界訪問都是針對外部服務器，即使外部數據服務器被外界攻擊，也能保證內部控制網絡的系統正常穩定運行。該方案可以最大限度地保證內部數據的安全性。

3.2數據傳輸方式

內部數據服務器到外部數據服務器之間的數據傳輸是通過實時數據庫同步更新實現的，數據庫同步只對內部數據服務器需要的數據表做同步，不對內部數據服務器數據庫中的所有數據同步。

由于內外部服務器的數據庫是通過單向隔離網閘進行連接的，而網閘是一種時通時斷的連接，即同一時間只能和內、外網中的一方數據庫相連，而且數據傳遞是非TCP/IP協議的“擺渡”，因此數據庫之間的同步不能使用傳統的基于網絡連接的方式實現［5］。要實現內、外部數據庫的同步更新，可以使用基于觸發器的數據庫同步功能，或者直接利用單向隔離網閘的單向數據庫同步功能［4］。

在本方案中，內部服務器和外部服務器的數據庫同步是基于單向隔離網閘的數據庫同步功能實現的。單向隔離網閘支持ORACLE、SYBASE、DB2、MS SQLSERVER等主流數據庫，支持同構數據庫同步、異構數據庫同步、支持字段級別的同步、支持自增字段的同步、支持大字段的同步、支持按照用戶條件的同步等。通過在系統內置的單向數據庫同步模塊中添加需要同步的數據表，并設置數據表的同步策略，包括同步插入、同步更新、同步刪除等，實現由高安全域向低安全域數據庫同步相應的數據（見圖6）。

圖6　數據庫同步示意圖

4　結　語

本文主要介紹了單向隔離網閘在水利工程標準化運行管理平臺數據安全傳輸中的應用，即內、外部服務器之間用單向隔離網閘進行物理隔離，數據傳輸采用單向數據庫同步的方式，保證內部控制系統的控制及數據安全。該技術能夠最大限度地保證水利工程控制內網的數據安全。

隨著全省大力推進水利工程標準化管理，省市縣等各級運行管理平臺的建設，數據傳輸的網絡安全將會成為水利工程標準化管理進程中的一大難題?；趩蜗蚋綦x網閘的數據傳輸技術以其高度的數據安全保障性，能夠有效地解決標準化管理中數據傳輸的安全問題。

［1］ 張欣琦.單向光閘原理及功能淺析［J］.網絡安全技術與應用，2016（5）：99 - 100.

［2］ 李江崍.隔離網閘技術的現狀與應用［J］.軟件導刊，2005（18）：34 - 35.

［3］ 陰元榮.專用網絡安全隔離關鍵技術的研究［J］.網絡安全技術與應用，2016（2）：66 - 69.

［4］ 崔恒香.基于隔離網閘的異構數據庫同步技術研究與實現［J］.軟件工程，2016，19（2）：10 - 13.

［5］ 董慧勤.跨安全網閘的內外網數據庫同步的實現［J］.科技通報，2007，23（2）：266 - 270.

（責任編輯郎忘憂）

TP274

B

1008 - 701X（2016）05 - 0048 - 03

10.13641/j.cnki.33 - 1162/tv.2016.05.019

2016-00-00

于桓飛（1969 - ），男，高級工程師，大學本科，主要從事水利信息自動化研究。E-mail：609142328@qq.com