前两期我们向大家介绍了网络隔离技术产生的背景、网络隔离技术历经的三个阶段以及光闸出现前的安全隔离产品发展史，本期让我们一起探索光闸是如何产生的及其使用价值。

光闸的产生背景

以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求，而在此安全基础上集成了网络隔离设备的系统亦仅可满足一般内部网络的数据交换。对于拥有高安全级别信息系统的保护，依旧需要一个能够完全保证安全性的可靠系统。对于此类需求，数据信息的安全性排在绝对的第一位，任何存在微小安全隐患的系统都需要被排除，即使继续沿用人工拷盘！因此，从绝对保证安全性的角度进行产品设计，才是根本的出发点。

实际应用中，某些企事业单位的重要业务系统都处于高安全级别网络中，而业务系统需要的基础数据却来自外部业务网络，甚至互联网络。为解决这一难题，以往通常的做法是人工定时通过移动介质拷贝文件，即人工拷盘。以拷贝文件的方式导入数据，既增加了工作量，也增加了出现误操作的可能性。同时移动介质还极可能会带来病毒入侵或信息泄漏的危害，而且不方便、不灵活、效率低。

在人工拷盘之后，又出现了光盘摆渡机。摆渡机由源数据导出服务器、光盘摆渡机、目标数据导入服务器三部分组成。利用机械臂将光盘在两个刻录服务器之间摆渡，将数据传到对方。用机械臂虽然可以节省人工，但仍是以"拷盘"的方式传输数据，原来拷盘存在的问题并没有得到解决。而且还带来了产品生命周期短、性价比低、光盘消耗严重等问题。

完全的物理断开造成了应用与数据的脱节，影响了政府的行政效率和全面信息化，因此两个或多个网络间，在确保物理隔离的情况下，进行数据传输，为了实用性必须做到尽可能地"自动"和"便捷"，单向导入产品应运而生。

按照物理结构进行划分，市面上的单向导入产品可以分为两类，一类是采用分光器，另一类是采用SFP光模块。

分光器：分光器会将源端的一份数据同时发给目的端和源端本身，这样可以验证源端发出的文件。但是分光器的物理结构相对复杂，从硬件层面就会导致产品的稳定性大幅度降低，这是软件功能所不能弥补的。因单向导入产品的传输通道没有回馈信息，所以对产品的稳定性要求非常高，以免发生数据丢失的情况。

SFP光模块：发光模块和收光模块之间通过单根光纤相连接。利用光单向传输的特性，数据只能从发送端传输到接收端，没有任何回路。物理结构很简单，但是稳定性极高，可以解决分光器稳定性差的问题。对于传输文件的验证，可以通过软件功能来实现。对于用户而言使用SFP光模块结构的单向导入产品，更利于实际业务的稳定传输。

因目前主流的单向导入产品均采用SFP光模块的物理结构。所以以下篇幅针对此类单导入产品的技术特点、工作原理及产品价值做分享。

光闸的解决之道

从保证安全性的角度，结合「最高安全级别网络」的普遍应用需求，产生了一个新的系统---光闸系统。光闸系统提供了一种将外网的文件安全传输到内网的单向文件传输功能。光闸系统基于SFP/SFP+光模块中发光器和收光器分离的技术特点，通过单根光纤将光闸外网处理单元光模块的发光器与内网处理单元光模块的收光器连接，从物理上实现了不同网络间数据的绝对单向传输。同传统的网闸技术相比,光闸系统的安全性更高一些。只能从低安全域单向传输到高安全域，而高安全域不会有任何数据传输到低安全域，确保不会发生数据泄露，光闸系统原理图如图1所示。

（图1）

光闸的实现原理

网络的外部单元系统通过单向光闸与网络的内部单元系统"连接"起来，单向光闸将外部单元的TCP/IP协议全部剥离，将原始数据通过存储介质，以单向发送的方式导入到内部单元系统，内部单元系统再将相应的信息发送至真正的使用者或在本地实现备份。

单向光闸在网络的第七层将数据还原为原始数据文件，然后以"摆渡文件"的形式来传递原始数据。下面以信息流由外网到内网为例，说明通过单向光闸的信息传输过程，如图2所示。

（图2）

数据传输过程

• 在内、外网处理单元独立完成网络协议终止、内容检查与日志审计，将符合安全策略的数据内容提交至安全数据交换区等待数据传输。

• 单向传输单元按照设定的周期由外网处理单元的安全数据交换区将数据内容提取并单向传输至内网处理单元的安全数据下载区。

• 等待用户的读取或传输至指定的计算机上。

上述整个过程实现了文件从外网到内网的安全单向传输。

光闸的使用价值

光闸只允许数据从低安全域向高安全域传输，反向则物理断开，从而保证了高安全级别网络的安全性和信息的机密性。

相对于其他产品和方案，光闸能给用户带来如下好处：

1、在很大程度上保证内网数据安全的基础上实现文件的自动传递，且保证绝对不会泄露内网数据，在文件传输的同时保证了网络的物理隔离。

2、内、外网处理单元采用特殊安全电路设计，加SFP光模块，具有极高的稳定性与可靠性。

3、采用单向的传输技术，相对于传统的拷盘方式，最大程度保证了文件传递的实时性。

4、与U盘拷贝的方式相比，更安全。众所周知，目前U盘已经成为病毒传播的重要媒介之一，U盘病毒的传播，对内部网络带来了巨大的安全威胁。

5、与专人负责内外网文件拷贝工作的方式相比，更便捷。对于从外网下载的资料，可以直接转移到内网，省去了联系网络管理员的繁琐步骤。

总结

综上所述，光闸能够有效的实现应用数据在不同的网络间安全、可控、高效的传输，是解决困扰我国企事业单位高安全级别网络与低安全级别网络之间数据传输问题的重要安全产品之一。

光闸使诸多高安全级别网络再也不用被困在信息孤岛了！其不仅解决了内部网络与互联网世界隔绝、孤立的难题，又在提高工作效率的同时，减少了信息安全防范上的人力资源投入。