金电安全隔离与信息交换系统评测(图)

1. 内端机/外端机
    FerryWay的信息交换主要包括基于通用应用协议（如：HTTP协议、FTP、Telnet、SMTP协议和POP3协议等协议）和用户自定义协议的信息交换。信息交换的功能被分割在内外端机上实现。根据信息交换的发起源所在位置，信息交换可以分为从内端机向外端机和从外端机向内端机两个方向的数据通道。我们将以内端机向外端机方向为例说明系统的工作过程，首先由内端机接受用户发来的连接请求，并将用户连接的基本信息传递到仲裁机，确认连接发起源为合法发起源，之后内端机接受连接发起源发来的信息并转发到仲裁机，仲裁机按照该信息通道对应的应用协议进行相应的分析处理，在安全的情况下通知外端机向实际的连接目标发出连接请求。外端机将仲裁机发来的信息转发到连接目标，并将连接目标发回的数据传送给仲裁机。等到在内端机外端机收到从仲裁机发来的连接结束信号或者内外端机中的一方与对应的连接出现错误之后，本次信息交换工作结束。

图1 内端机/外端机工作原理

    本系统的安全通信协议完全实现在链路层上，使得通信的效率有了保证。 FerryWay的内端机和仲裁系统，仲裁系统和外端机之间的全部数据都经由采用专用硬件的快速信道进行传输。

2. 仲裁/审计系统
    仲裁系统是安全隔离与信息交换系统的核心，存储了FerryWay 的所有重要信息，其中实现了多种安全机制：为系统内每一位用户提供了身份识别，在系统检测到相应事件之后可以定位相应的责任人；对流经仲裁系统所有信息进行检查，找出其中“敏感”的内容，将内部网络和外部网络的信息交互置于一个可控的范围内；将系统各种审计信息记录在案，供系统管理员随时查阅。
    仲裁系统向管理员提供方便灵活的用户界面，使得系统管理员可以方便地管理整个系统。

图2. 仲裁系统总体结构

    FerryWay采用自主研发的基于下推自动机的高效过滤算法，特别适合大批量关键字同时过滤。同时该过滤算法可以避免常见的掩饰手段（如：拆分敏感关键词、加入标点、换行等）的干扰。