分享
 
 
 

安全技术的发展:物理隔离三步曲

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

从彻底的物理隔离、协议隔离到安全隔离网闸,物理隔离的发展历程是网络应用对安全需求变化的真实写照。

随着网络信息化的发展,各行各业都越来越依靠网络这一基础平台。网络在提升人们工作、生活便利的同时,也带来了日益突出的信息安全问题。目前,普遍采取的信息安全机制包括防火墙、入侵检测、漏洞扫描、身份认证、加密和防病毒等。每一种安全产品侧重于解决某一方面的安全问题,例如,防火墙解决网络流量的访问控制问题,入侵检测解决寻找发现入侵行为的问题。它们不相互替代,而是相互结合形成一个整体安全防护体系,共同解决信息网络在互联条件下的安全问题。

但是,尽管采用了上述这些防护手段,它们依然没能完全解决目前的信息安全问题。据中国互联网络发展状况统计报告显示,有超过六成的中国互联网用户的计算机曾被入侵过。国家保密局数字也表明,防火墙的攻破率高达47%。网络系统遭受入侵和攻击,不仅造成巨大的经济损失,严重地甚至会危及国家的安全和社会的稳定。而且,随着网络攻击方式和黑客技术的不断提高,网络攻击与病毒结合的趋向明显,对安全措施的提高与丰富提出了更高更多的要求。

在这种情况下,国家有关部门纷纷发文,要求物理隔离。根据我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。各级政府机关和涉密单位,必须将已建成的办公局域网同Internet或上一级专网实行物理隔离,正在建设的电子政务网络必须实现物理隔离。在国外,美国、以色列和俄罗斯等国家很早就规定涉密网络要采用物理隔离。物理隔离技术,就是在这样的环境下产生并得到不断的发展。

隔离概念的演化

实际上,隔离的概念从产生至今一直处于不断的发展之中。最早从国家党政军相关部门的规定要求来看,隔离就是实实在在的物理隔离,各个专用网络自成体系,它们之间完全隔开互不相连。这一点至今仍适用于一些专用网络,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。此时的隔离,处于彻底的物理隔离阶段,是最原始最简单的。

但是,信息毕竟需要交流,即便是单机最安全的情况,也存在着拷贝文件受病毒感染破坏的危险。任何网络都是为应用服务的,应用需求导致了人们对物理隔离需求的变化。因此,隔离的概念得到了扩展,变成了满足适度信息交换要求的隔离,这在某种程度上可以理解为更高安全要求的网络连接。例如,电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门,就要求在物理隔离的条件下实现安全的数据库数据交换。

满足适度信息交换的隔离,前后经历了两个阶段。刚开始是协议隔离(Protocol Isolation),采用专用协议(非公共协议)来对两个网络进行隔离,并在此基础上实现两个网络之间的信息交换。协议隔离在两个网络之间仍存在直接的物理连接,仍然是数据包的转发,一些攻击依然出现。因此,出现了基于物理隔断的隔离技术,通过分时操作来实现两个网络之间的信息交换。下面本文将以隔离概念的演化为主线,详细地介绍物理隔离技术的发展历程,并探讨其发展趋势。

物理隔离的发展历程

物理隔离,在安全上的要求主要有下面三点:

在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。

在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。

在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。

阶段一:彻底的物理隔离

物理隔离存在两种情况。一种情况是两个网络系统完全的物理隔离,老死不相往来,这很简单,无技术可言,这里不讨论了。另一种情况是同一台计算机需要连入两个物理上完全隔离的网络,这也是本节需要讨论的地方。

同一台计算机连入两个完全物理隔离的网络,同时又要保证两个网络不会因此而产生任何连接,于是出现了物理隔离卡、安全隔离计算机和隔离集线器(交换机)等技术。

物理隔离卡是一个数据安全装置,一个基于PCI的硬件插卡,一般分为单网口隔离卡和双网口隔离卡两种。双网口隔离卡上一般有三个电源接口,分别与主机电源、内网硬盘电源接口和外网硬盘电源接口相连接。内外网硬盘各自安装独立的操作系统,分别与内外网相对应。在同一时间内只有一个硬盘供电并与相应的网络接通,另外一个硬盘不供电,其对应的网络也切断,从而实现内外网络彻底的物理隔离。

双网口隔离卡也有利用一块硬盘的不同分区来作为内外网络的情况。单网口隔离卡的内外网络利用同一个网络接口,需要隔离集线器(或交换机)这些配套设施来隔离内外网络。单网口隔离卡简化了用户终端到集线器(或交换机)之间的布线,使得不会因用户失误而错误连接了网络。通过使用物理隔离卡,用户可根据需要自如方便地进行内部网和外部网之间的转换。而且,物理隔离卡不依赖于操作系统。

安全隔离计算机是一种产品形态。早期有的隔离计算机其实就是两台计算机装在一个机箱里,它们分别有自己的主板、内存、硬盘、显示卡和网卡等,除了显示器、键盘和鼠标,基本上是彻底的两套系统。这种方式是实实在在的物理隔离,但是成本太高,目前已经逐渐退出市场。现在的安全隔离计算机一般都通过物理隔离卡来实现,在主板的BIOS中作一些定制修改,将内外网络转换功能做入BIOS中。主板BIOS控制由双网卡和双硬盘构成的内网和外网环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。这使得安全隔离计算机的集成度较高,使用起来更方便简单,也更安全。

隔离集线器(交换机)是一种配套设备,它简化了用户终端到集线器(交换机)之间的布线,使得用户端无需双网线布线。例如,隔离集线器(交换机)两侧分别有一组8端口和两组8端口;其中一侧的8端口用于与用户终端计算机连接;另一侧的一组8端口与内网连接,另一组8端口与外网连接。隔离集线器(交换机)根据数据包包头的标记信息来决定数据包是走内网还是外网。

利用物理隔离卡、安全隔离计算机和隔离集线器(交换机)所产生的网络隔离,是彻底的物理隔离,两个网络之间没有信息交流,所以也就可以抵御所有的网络攻击,它们适用于一台终端(或一个用户)需要分时访问两个不同的、物理隔离的网络的应用环境。

此类隔离产品很多,例如中孚网络安全隔离卡、和升达物理隔离卡HDP-III、深圳利谱TP901网络安全物理隔离卡、京东方物理隔离网络电脑、伟思网络安全隔离集线器和四川高星网络安全隔离集线器(SGJ-WJ1)等等。

阶段二:协议隔离

彻底的物理隔离,阻断了两个网络间的信息交流,但其实大多数的专用网络,仍然需要与外部网络特别是Internet进行信息交流或获取信息。既要保证安全(隔离),又要进行数据交换,对隔离提出了更高的要求。协议隔离就是在这样的要求下而产生的。协议隔离通常指两个网络之间存在着直接的物理连接,但通过专用(或私有)协议来连接两个网络。1997年,信息安全专家Mark Joseph Edwards在他编写的《Understanding Network Security》一书中,他就对协议隔离进行了归类,并明确指出了协议隔离和防火墙不属于同类产品。瑞士的数据处理咨询专家E.NYONI在2000年出版的专著《Technical Options of Computerized World》里的“Internet Security”章节对协议隔离做了更为明确的定义和说明。由此,基于协议隔离的安全设备应运而生。

基于协议隔离的安全隔离系统实际上是两台主机的结合体,在网络中充当网关的作用。隔离系统中两台主机之间的连接或利用网络,或利用串口、并口,还可利用USB接口等,并绑定专用协议。这些绑定专用协议的连接在有的资料中被称为安全通道。有了这样的安全通道,入侵者无法通过直接的网络连接进入内网,从而达到对内网的保护。信息转播系统就是这样的一个实例。通常,内外主机有自己的存储设备,用于临时存储要交换的信息,当然,也有的系统采用较大的内存,将接收到的数据直接转发走。

协议隔离的好处是阻断了直接通过常规协议的攻击方式。例如后门程序攻击和网络扫描,即使后门程序不慎被安装到了内网,外网的入侵者也无法发现并控制它去做非法活动,网络扫描更是无法从外网对内网进行扫描来获取信息。

但是,此类隔离系统的双主机之间仍是通过包来转发的,无论双主机之间采用了多么严格的安全检查,只要有包转发,就可能存在基于包的安全漏洞,就存在对包的攻击方法。所以它不是物理隔离,两端的机器在链路层上是互通的,许多链路层协议如PPP和SLIP协议等都可以穿过隔离,而且,它在逻辑上也不是隔离的,入侵者仍可通过串口隔离程序与链路层协议实现入侵的目的。因此,协议隔离仍然不够安全,人们仍在努力研究更为安全的隔离技术。

协议隔离的典型产品有京泰安全信息交流系统2.0、IB-NPS3000网络物理隔离数据交换系统和东方DF-NS310物理隔离网关。

阶段三:物理隔离、逻辑连接

协议隔离技术由于存在直接的物理和逻辑连接,所以在理论上讲仍然存在可以攻击的弱点。既要在物理上断开,又能够进行适度的信息交换,这样的应用需求越来越迫切。物理隔离网闸技术,就是在这样的条件下产生的。它能够实现高速的网络隔离,高效的内外网数据

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有