单向隔离网闸的具体实现技术体现分析

　　单向隔离网闸系统采用专用隔离设备分隔内端主机系统和外端主机系统，与传统意义上的网闸大的不同的是内网内置一个庞大的南向协议库，可对各种协议灵活适配，内外网主机采用非IP层的私有通信协议进行传输，让支持传统网络结构的所有协议均失效，从原理上实现切断所有的TCP连接，包括UDP、ICMP等其他各种协议，使各种恶意程序无法通过隔离网闸进入内网侧。系统支持设备密钥、工程参数的管理、备份与恢复。

　　单向隔离网闸具体的实现技术有下面几种：

　　1、数据泵技术(DataPump)：1993年为实现低级向高级数据库的可靠数据拷贝，由MyongH.Kang等提出Pump技术，称为“安全存储转发技术”。其方法是通过反向的确认来限制由内向外的数据传输，实现从外向内的单向数据流。

　　数据泵技术是在基于通讯的基础上，只允许单方向地传送数据，反方向只有控制信息的可以通过，比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。因此，数据泵技术实现起来相对简单，可以采用目前成熟的通讯协议。

　　数据泵技术中虽然数据是单方向的，但协议控制星系是双方向传递的，若协议本身存在漏洞，则有可能利用协议的漏洞达到反向发送数据的可能。

　　2、数据二极管技术(DataDiode)：若连反向的控制协议也取消，采用“盲发”的方式，也就是一方只管发送，另一方只管接收，至于数据是否有错误，是否完整都不去管它，反向没有数据通道也没有控制通道，*处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路，所以也称为信息流的单向技术。

　　单向隔离网闸为保证高密级别网络中的数据不能流向低密级网络，但低密级网络中的数据可以流向高密级网络（数据机密性要求），*解决高密级网络信息泄露的问题，只有采用无反馈的单向传输技术。开发的安全隔离与信息单向导入系统采用了*的“单向无反馈传输”技术，从物理链路层、传输层保证数据的绝对单向流动。同时系统采用的纠错编码技术、ASIC并行处理技术和MRP（多重冗余技术）保证系统的高可靠性、高容错性、高安全性和高稳定性。