ICS 35.030 YD CCS L70 中华人民共和国通信行业标准 YD/T 6490—2025 大气激光通信的安全隔离设备技术要求 Technical requirements for safety isolation equipment of atmospheric laser communication 2025-07-02发布 2025-11-01实施 中华人民共和国工业和信息化部 发布 YD/T6490—2025 目 次 前言 引言 1范围 2 规范性引用文件 3术语和定义 缩略语 4 大气激光安全隔离设备概述 5 5.1设备系统组成 5.2 设备总体框架 功能要求 6 6.1 访问控制 6.2 应用和协议 6.3 数据同步 6.4 亢余能力 6.5 数据完整性 自身安全要求 7.1 标识和鉴别 7.2 抗拒绝服务攻击 7.3 安全管理 7.4 日志审计管理 8性能要求 8.1 百兆网络性能要求 8.2 千兆网络性能要求 8.3 万兆网络性能要求 9 运维管理要求 9.1 运行状态监测 9.2 系统升级 9.3 备份恢复 10 9.4 告警通知 10 9.5 第三方管理 10 9.6 系统诊断 10 9.7 存储管理 10 参考文献 11 1 YD/T6490—2025 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：郑州信大捷安信息技术股份有限公司、中国信息通信研究院、中国信息通信科技 集团有限公司、博鼎实华（北京）技术有限公司、中国移动通信集团有限公司、重庆思柏高科技有限公 司、长扬科技（北京）股份有限公司、北京天融信网络安全技术有限公司、成都泰瑞通信设备检测有限 公司、中兴通讯股份有限公司、中国电信集团有限公司、深圳信息通信研究院、联想（北京）有限公司、 北京航空航天大学、中国移动通信集团设计院有限公司、佛山赛思禅科技有限公司、宁波和利时信息安 全研究院有限公司、北京通和实益电信科学技术研究所有限公司。 本文件主要起草人：刘献伦、徐晓娜、王平、李鑫、康亮、刘为华、杜加懂、彭金辉、袁琦、宋丹、 周、游世林、沈军、赵华、朵灏、吴翔宇、董雾、刘冬、刘胜兰、徐晖、韩秀德、梁松涛、李顶占、 刘武忠、卫志刚、武宗品、孙晓鹏、石淑英、李昭熹、冯志芳、靳涛、张宇晓、王奠、张静、田甜、李 汝鑫、王朋成、孙敏、李莉、袁芳、杜夏夏、杜斌、董立成、李挥、张晨、于少中、曹帅、王佳、王超、 鄂俊杰、吴建涛、秦晓师、张永安、张彬彬、程普雪、何明、姚一楠、张一驰、刘萧萧、安媛媛、闫彦、 张成、姚旺、王继刚、刘敏。 II YD/T6490—2025 引言 网络和终端隔离产品分为终端隔离产品和网络隔离产品两大类。终端隔离产品一般指隔离卡或者隔 离计算机。网络隔离产品根据产品形态和功能上的不同，该类产品可以分为协议转换产品、网闸和网络 单向导入产品3种。网络和终端隔离产品的功能目标是在不同的网络终端和网络安全域之间建立安全控 制点，在不同的网络终端和网络安全域之间提供访问可控的服务，网络和终端隔离产品保护的资产是受 安全策略保护的网络服务和资源等。此外，网络和终端隔离产品本身及其内部的重要信息也是受保护的 对象。 基于大气激光通信的安全隔离设备是利用大气激光作为数据传输的载体，其原理是先将电信号转换 成光信号，通过激光频率的调制实现信息的传输，激光用空气作为传输介质。由于光的传输具有不可逆 的特点，并且通过空气作为光的传输介质，没有任何有线连接或接触，可以很好地满足物理隔离和单向 导入两个特点。 基于国家相关法律法规要求，结合行业特点和技术发展趋势，采用大气激光安全隔离设备可有效解 决“物理隔离”和“单向导入”的业务需求，满足数据从低密级网络向高密级网络传递的需求，同时杜 绝高密级网络数据的泄露风险。此技术方案可广泛应用于电力、医疗、工业互联网等重要行业，为保障 国家重要行业的网络安全、数据安全和个人信息安全保驾护航 ⅢI YD/T6490—2025 大气激光通信的安全隔离设备技术要求 1范围 本文件规定了基于大气激光通信的安全隔离设备技术要求，给出了设备系统概述，包括业务功能要 求、自身安全要求、性能要求、运营管理要求等内容。 本文件适用于基于大气激光通信的安全隔离设备的设计、研发、运行维护等 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2022信息安全技术术语 3 术语和定义 GB/T25069一2022界定的以及下列术语和定义适用于本文件 3.1 大气atmosphere 包围地球的空气层。 [来源：《大气科学名词》，2009，科学出版社] 3.2 激光laser 基于粒子（原子、分子）受激辐射放大原理而产生的一种相干性极强的光。 [来源：《光学名词》，2021，科学出版社] 3.3 大气激光通信 atmospheric laser communications 以大气作为信道的激光通信技术，主要用于完成点到点或点到多点的信息传输，主要采用半导体激 光器为光源。 [来源：《电子学名词》1994，科学出版社] 3.4 大气激光通信的安全隔离设备atmosphericlasersafetyisolationequipment -种由安全隔离网闸基础上发展而成，基于大气激光单向性的单向通信安全隔离网络安全设备产品 本文件中简称为“大气激光安全隔离设备”。 1 YD/T6490—2025 4缩略语 下列缩略语适用于本文件。 CoAP：受限应用协议（ConstrainedApplicationProtocol） CPU：中央处理器（CentralProcessingUnit） FTP：文件传输协议（FileTransferProtocol） HTTP：超文本传输安全协议（HyperTextTransferProtocol） IC：集成电路（IntegratedCircuit） IMAP：交互式邮件存取协议（InternetMessageAccessProtocol） IP：网际协议（InternetProtocol） ICMP：互联网控制报文协议（InternetControlMessageProtocol） MAC：媒体存取控制位址（MediaAccessControlAddress） MQTT：消息队列遥测传输（MessageQueuingTelemetryTransport） NFS：网络文件系统（NetworkFileSystem） POP3：邮局协议第3版（PostOfficeProtocol-Version3） SMB：服务器信息块（ServerMessageBlock） SMTP：简单邮件传输协议（SimpleMailTransferProtocol） SNMP：简单网络管理协议（SimpleNetworkManagementProtocol） TCP：传输控制协议（TransmissionControlProtocol） UDP：用户数据报协议（UserDatagramProtocol） 5大气激光安全隔离设备概述 5.1设备系统组成 大气激光安全隔离设备通常部署在不同安全等级网络边界，保护网络中的数据安全。通过大气激光 通信技术实现物理隔离和数据的绝对单向传输，切断了被保护区域数据泄露的风险。 大气激光安全隔离设备通常由数据发送处理单元、数据接收处理单元和大气激光单向传输模块组成。 其中，两个处理单元分别连接不同的安全域，经大气激光单向传输模块实现数据单向传递。大气激光单 向传输模块是两个安全域之间唯一的数据传输通道。大气激光安全隔离设备可用于连接两个不同的安全 域，实现网络的两个安全域之间的访问控制、协议转换、内容过滤和信息交换等功能，其系统示意如图 1 所示。 2 YD/T6490—2025 安全域A 单向传输部件 安全域B 外网单元 内网单元 TCP/IP协议 TCP/IP协议 数据发送 数据接收 ... 处理单元 处理单元 大气激光单向传输模块 图1大气激光安全隔离设备系统示意 数据发送处理单元、大气激光单向传输模块、数据接收处理单元主要如下。 数据发送处理单元：负责与安全域A的连接，并终止安全域A用户的网络连接，对数据进行 a） 病毒检测、格式检查、内容过滤等安全检测后剥离出“纯数据”，做好交换的准备，并对安全 域A用户身份进行确认，确保数据来源安全。 b）大气激光单向传输模块：包括光电发送端和光电接收端，光电发送模块将数据调制到光波中， 通过空气介质传输，光电接收模块通过光电接收器接收光信号，并将光信号进行光电转换。 c） 数据接收处理单元：负责与安全域B的连接，并终止安全域B用户的网络连接。对从数据发 送单元接收到的数据执行病毒检测、格式检查、内容过滤和加解密等安全能力，并对内网获取 数据的用户身份进行确认，确保数据安全。 5.2设备总体框架 大气激光安全隔离设备总体框架主要包含业务功能要求、自身安全要求和运维管理要求，总体框架 示意如图2所示。 业务功能 自身安全 运维管理 访问控制 标识与鉴别 运行状态监测 系统升级 应用和协议 抗拒绝服务攻击 备份恢复 同步方式 告警通知 安全管理 第三方管控 高可用 系统诊断 数据完整性 日志审计管理 存储管理 图2大气激光安