隔离网闸技术浅析
开篇:润墨网以专业的文秘视角,为您筛选了一篇隔离网闸技术浅析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
[摘 要]随着我国信息化水平的不断提高,各企业在信息化系统建设中对于信息安全性的要求也越来越高,为追求更高安全性的解决方案,隔离网闸技术应运而生。隔离网闸技术是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术,本文就隔离网闸技术的概念和应用做了简要的介绍并详细阐述其关键技术。
[关键词]隔离网闸 信息安全
一、背景
信息安全一直以来都是企业安全运营的基础,如何从企业的业务本身出发,结合安全最佳标准和业界相关标准的安全模型,形成一套行之有效的方法论,帮助企业定位安全建设的现状、了解安全建设的需求、组织未来安全建设的规划和实施是目前企业亟需的。
众所周知,即便是在信息安全国际标准和相关最佳实践的指导下,企业按照标准的安全实践方法,设计和实施信息安全解决方案时,依然会遇到很多挑战。
近年来,随着我国信息化水平的不断提高,各企业在信息化系统建设中,外部网络连接着Internet,内部网络连接着各类数据服务器、桌面办公系统,在外网、内网之间交换信息是基本要求。这些信息交换的前提是安全,互联网的安全性能对此提出了挑战。防火墙、防病毒系统等各种复杂的安全技术得到了广泛的应用。但这些基于软件的安全保护并非是绝对的安全。
在防火墙的发展过程中,人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾并没有很好地解决。防火墙体系架构在高安全性方面的缺陷,驱使人们追求更高安全性的解决方案,人们期望更安全的技术手段,隔离网闸技术应运而生。
二、隔离网闸技术的概念
隔离网闸技术是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。
隔离网闸技术是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度。
三、隔离网闸技术概述
如今,网络隔离技术已经得到越来越多用户的重视。重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸(物理隔离交换/SGAP)技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。
SCSI技术是目前最主流的隔离网闸技术。SCSI是一个外设读写协议,而不是一个通信协议。外设协议是一个主从的单向协议,外设设备仅仅是一个介质目标,不具备任何逻辑执行能力,主机写入数据,但并不知道是否正确。需要读出写入的数据,通过比较来确认写入的数据是否正确。因此,SCSI本身已经断开了OSI模型中的数据链路,没有通信协议。但SCSI本身有一套外设读写机制,这些读写机制保证读写数据的正确性和可靠性。
双端口RAM技术采用一种叫双端口的静态存储器(Dual Port SRAM),配合基于独立的CPLD的控制电路,以实现在两个端口上的开关,双端口各自通过开关连接到独立的计算机主机上。CPLD作为独立的控制电路,确保双端口静态存储器的每一个端口上存在一个开关,两个开关不能同时闭合。当交换的内容是文件数据时,它确实给出了一种隔离断开的实现。当交换的内容是IP包,则不是,因为双端口RAM可以进行IP包的存储和转发,这是一种结构缺陷。采用这种技术的产品,应该严格检查是否实现了TCP/IP协议的剥离,是否实现了应用协议的剥离,确保是应用输出或输入的文件数据被转发,而不是IP包。除此之外,还必须有机制来保证双端口RAM不会被黑客用来转发IP包。如果设计不当,TCP/IP协议没有剥离,IP包会直接被写入内存存储介质,并且被转发。在这种情况下,尽管OSI模型的物理层是断开的,链路层也是断开的,由于TCP/IP协议的3层和4层没有断开,也不是网络隔离。
物理单向传输技术采用的是单向传输,不需要开关。是相对于通讯的双向而言的。隔离网闸中无论采用那种开关技术,实际就是物理链路的倒换,在内外网之间提供一个安全的、功能视同隔离的交换区,象码头的摆渡一样,把我们认为是真实的数据摆渡过去。但是通讯协议的设计是分层次的,要交换的纯数据本身在隔离网闸的种种技术手段中还是要穿越网闸,那么某种攻击的行为就可能掩藏于“纯数据”之中,通过网闸后再还原成攻击程序。即使定义了安全原则的网闸只提供文件交换的功能,也还是要为两端的客户提供一定的服务接口,否则用户没有办法把数据交给你,若抛开所有的安全检测技术不谈,服务就有可能成为攻击行为的承载列车。
四、隔离网闸关键技术
第一,具有高度的安全性,至少在理论和实践上要比防火墙高一个安全级别。除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外,关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成,一套控制外网接口,另一套控制内网接口,然后在两套主机系统之间通过不可路由的协议进行数据交换。
第二,网间完全隔离,关键是网络包不可路由到对方网络,无论中间采用了什么转换方法,只要最终使得一方的网络包能够进入到对方的网络中,都无法称之为隔离,即达不到隔离的效果。显然,只是对网间的包进行转发,并且允许建立端到端连接的防火墙,是没有任何隔离效果的。此外,那些只是把网络包转换为文本,交换到对方网络后,再把文本转换为网络包的产品也是没有做到隔离的。
第三,数据交换安全,既然要达到网络隔离,就必须做到彻底防范基于网络协议的攻击,即不能够让网络层的攻击包到达要保护的网络中,所以就必须进行协议分析,完成应用层数据的提取,然后进行数据交换,这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包,彻底地阻挡在了可信网络之外,从而明显地增强了可信网络的安全性。
第四,访问控制,作为一套适用于高安全度网络的安全设备,要确保每次数据交换都是可信的和可控制的,严格防止非法通道的出现,以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术,保证每一次数据交换过程都是可信的,并且内容是可控制的,可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。
第五,网络畅通,隔离技术会在多种多样的复杂网络环境中运用,并且往往是数据交换的关键点,因此,要具有很高的处理性能,不能够成为网络交换的瓶颈,要有很好的稳定性;不能够出现时断时续的情况,要有很强的适应性,能够透明接入网络,并且透明支持多种应用。
第六,数据通讯,即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。
因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。
五、隔离网闸应用
由于隔离网闸技术可以实现两个物理层断开网络间的信息摆渡,构建信息可控交换 "安全岛",所以在政府、军队、电力等领域具有极为广阔的应用前景。目前隔离网闸大都提供了文件交换、收发邮件、浏览网页等基本功能。此外,隔离网闸在负载均衡、冗余备份、硬件密码加速、易集成管理等方面需要进一步改进完善,同时更好地集成入侵检测和加密通道、数字证书等技术,也成为新一代隔离网闸发展的趋势。
从当前应用情况来看,国内目前隔离网闸市场也已经具备一定规模,用户主要集中在政府、公安、电力等对安全性要求很高的重要部门。总之,隔离网闸适用于政府、军队、公安、银行、工商、航空、电力和电子商务等有高安全级别需求的网络,当然隔离网闸也可用来隔离保护主机服务器或专门隔离保护数据库服务器。