您的位置: 网界网 > 周报全文 > 正文

[周报全文]安全源于物理隔离

2001年11月26日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:安全源于物理隔离

标签

在Internet广泛发展的现代社会,信息通过互联网快速进行传递,信息的交流以前所未有的速度在进行。互联网的开放性,使每一个人都能通过网络获得或发布数据,那么如何保证信息传递的安全呢?尤其是如何保护“政府上网”、“安全政务”等国家网络工程的安全?这是各国政府机关、保密部门都十分关注的问题。我国政府非常重视计算机网络的安全,国家保密局发布的《计算机信息系统国际联网保密管理规定》中第二章第六条规定“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相联接,必须进行物理隔离”。

安全源于物理隔离

吴赣 张向辉

技术篇

物理隔离技术能够实现内外网信息的隔离。信息存放在存储介质上,实现物理隔离就需要保证隔离双方的信息不会出现在同一个存储介质上,彼此信息不会出现在对方的网络中。因此,物理隔离通常设有两个存储介质,而且这两个存储介质在同一时刻只能有一个有效。目前,物理隔离的实现方案通常包括客户端选择设备和网络选择器,用户或通过开关设备,或通过键盘,来控制客户端选择不同的存储介质。在需要的情况下,网络选择端还需要同时进行相应的网络连接跳转。物理隔离技术发展至今大致经历了三个阶段。

第一代产品采用双网机技术。其工作原理如下,在一个机箱内,设有两块主板、两套内存、两块硬盘和两个CPU,相当于两台机器共用一台显示器。用户通过客户端开关,分别选择两套计算机系统。这一代产品客户端的成本很高,并且要求网络布线为双网线结构,技术水平相对简单,目前的用户已经不多。

第二代产品主要采用基于双网线的安全隔离卡技术。客户端需要增加一块PCI卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板,这样,通过该卡用户就能控制客户端硬盘或其他存储设备。用户在选择硬盘的时候,同时也选择了该卡上所对应的网络接口,连接到不同的网络。该方法较第一代产品,技术水平更高了,而且大大降低了成本。但是这代产品仍然要求网络布线采用双网线结构,这样如果用户在客户端交换两个网络的网线连接,内外网的存储介质也同时被交换了,因此这代产品客户端还存在较大的安全隐患。

第三代产品采用基于单网线的安全隔离卡加上网络选择器的技术。客户端依然采用类似第二代双网线安全隔离卡的技术,所不同的是,第三代产品只采用一个网络接口,通过网线将不同的电平信号传递到网络选择端,在网络选择端安装网络选择器,并根据不同的电平信号,选择不同的网络连接。该类产品能有效利用用户现有的单网线网络环境,实现成本较低。由于选择网络的选择器不在客户端,系统的安全性有了很大提高。目前,市场上常见的是第二和第三代的物理隔离产品。

另外,还有一些大的计算机制造厂商,由于直接掌握主板制造技术,可以在更底层的技术层面进行设计,做到不同的网络选择不同的硬盘,达到物理隔离的目的。采用这种隔离方案,用户不能利用原有设备,需要更换计算机,每个用户相当于增加了一台计算机的成本。

趋势篇

物理隔离技术还存在很多不足,具体体现在:物理隔离技术仅仅只是一种被动的隔离开关,手段单一,没有与其他的安全技术进行配合;物理隔离技术不能做到安全状态检测,容易被非法人员利用而混入内部网络;物理隔离技术的客户端存在安全隐患,由于内外网的存储介质都在本地,不能有效防止内部人员主动泄漏信息,而事实上信息泄漏多数来自内部;物理隔离技术不能进行有效取证工作,一旦发生信息泄漏问题,无法确认信息泄漏的行为人。

以上不足,说明物理隔离技术还需要进一步提高,新一代物理隔离技术应该向更安全、更智能化的方向发展,并且在满足用户现有要求的前提下,具备一些新特点:客户端具有防下载的功能,防止内部用户通过客户端下载重要数据而导致的信息泄漏;具有网络状态自动检测功能,能够对客户端的计算机是否安全做出正确判断,并进行相应处理;具有用户身份认证功能,通过口令等认证手段,防止非法用户通过接近客户端进入内网 ;能够对用户进出内外网进行日志记录,做到用户访问有案可查,一旦出现异常事件,可以结合用户身份认证技术进行查证;具有审计功能,能够对用户日志自动进行安全检查,以发现可能存在的安全隐患。

需要指出的是,以上安全技术的实现,必须在满足内外网隔离的前提条件下,并尽量在操作系统起来之前进行。尽管在网络服务器上安装相应的应用系统来做认证、日志等安全工作较为容易,但是在物理隔离环境中,服务器不能直接连接在两个网络上,否则服务器就成了黑客攻击的目标,成了内外网络的桥梁了,而放在任何一个网络中都将导致另外一个网络无法使用安全系统。另一个需要解决的安全隐患是,当用户向服务器发送请求时,用户已经在该网络内部了,而用户此时并没有通过服务器确认合法,这就出现了安全漏洞。另外,当操作系统起来以后,会出现很多可借助的工具来欺骗和攻击服务器,这也将导致安全系数下降。解决以上问题的最好的办法就是由物理隔离系统本身来进行安全检查和记录,这样才能最大限度地保证安全。

方案篇

用户在实施物理隔离过程中,有以下方案可以选择。

客户端安装两块硬盘,当用户登陆内网时,内网硬盘有效,外网硬盘无效;用户登陆外网时,外网硬盘有效,内网硬盘无效。根据网络的不同,该方案又可以分为单网方案和双网方案。单网方案在网络选择端添加了安全集线器,该集线器负责与客户端通信,并根据用户的选择,连通内外网络。该方案具有部署简单,使用方便的特点,适合大多数普通用户采用。


双硬盘隔离方案

很多企事业单位的内部财务网是一个相对独立的网络,与内部办公网络需要隔离,并且当该网用户登陆互联网和内部网络时,需要在财务网、内网和外部互联网三网之间进行切换。该方案具有三网隔离能力,部署简单,适合内部还有独立小网络的用户采用。


三网间隔离方案

许多单位在要求内外网隔离的同时,能够提供电子报税等对外服务。当外部Web服务器在接受互联网上发来的电子税表时,会接通外部网络,断开内部网络,电子税表暂存在本地;当满足了一定条件后,才会断开外部网络,接通内部网络,把电子税表转发到内部业务系统中,同时从内部网络接受上次内部业务系统处理完的电子税表。交换完毕后,再次断开内部网络,接通外部网络,接受新的电子税表。这种方式就好像用户在河的两岸,通过一只船来回传递两岸的货物,而不会存在直接连接两岸的桥梁或者船同时停靠在两岸的问题,这样既保证了对外服务需求,又保证了网络安全。该方案在实现物理隔离的同时,能够提供对外服务。


能提供对外服务的隔离方案

一些用户希望在做到内外网隔离的同时,还能加强内部管理,防止内部用户泄漏单位秘密。有这种需求的用户,可以采用基于无盘系统的隔离方案。该方案采用单硬盘方式,当用户登陆外网时,可以正常使用本地的硬盘和资源;当用户登陆内网时,无盘启动系统通过网络从服务器上启动操作系统,同时屏蔽本地的硬盘、光驱和软驱等存储设备,用户所见的硬盘实际上是服务器分配给用户的硬盘镜像,客户端相当于一个瘦终端。这样,内部用户无法通过本地下载、拆卸硬盘等手段窃取内部信息。该方案在做到内外网隔离的同时,能有效的防止内部网络的信息泄密。


基于无盘系统的隔离方案

需求篇

物理隔离技术的主要应用对象是需要对内部重要数据进行安全保护的国家各级政府部门、军队系统、金融系统等等。这些部门由于自身的特点,对网络安全有着很高的要求,不但要求防止信息被篡改,而且还要防止信息被泄漏。

实现物理隔离的最彻底的方法是安装两套网络和计算机设备,一套对应内部办公环境,一套连结外部互联网,两套网络互相不干扰。工作人员在进行不同工作时,使用不同的网络和计算机。这种实施方案存在成本高和效率低两个问题,不能被多数用户接受。为了满足用户需求,物理隔离技术应该做到以下几点。

高度安全:物理隔离要从物理链路上切断网络连接,才能有别于“软”安全技术,达到一个更高的安全层次。

较低成本:如果物理隔离的成本超过了两套网络的建设费用,就失去了意义。

容易部署:这与降低成本是相辅相成的。

操作简单:物理隔离技术应用的对象是普通的工作人员,因此,客户端的操作要简单易行,才能方便用户使用。

具体来说不同层次的用户又有着不同的需求。

政府部门要求较好解决网络安全防范问题,能够满足保密部门提出的物理隔离要求;

军队系统要求较好解决发布安全控制问题,能够满足军方对网络连接的隔离限制;

金融证券系统要求较好解决网络安全防范问题,实现业务工作与对外服务工作的有效分离;

企业要求较好解决局部专业信息的安全控制问题,能够满足部分专业系统与整体网络的局部隔离。

产品篇

北京京泰网络科技有限公司以中科院计算所为技术支撑,主攻网络安全和信息安全技术。该公司的物理隔离产品——安全隔离卡与安全集线器已经通过公安部、国家保密局和军队系统的检测和鉴定。

京泰网络物理隔离产品由安全集线器、安全网卡和安全管理软件三部分组成。安全集线器负责与客户端通信,并根据用户选择,跳接内网和外网。当用户登陆外网时(+微信关注网络世界),使用本地硬盘、本地操作系统和外网网络;当用户登陆内网时,使用服务器上的而不是客户端的操作系统、远程网络硬盘和内网网络。由于内部重要数据存放在安全服务器上,而且在内网状态下,本地I/O访问被屏蔽,这样就能有效防止客户端下载内部数据,增强内网的安全性。安全集线器不仅仅是个安全开关,而且是一个具有多路通信和数据处理能力的智能机,能够满足用户的各种安全需求。安全网卡负责提供客户端网络选择界面,按照用户的选择来与安全集线器通信,完成用户对内外网不同操作系统的引导。客户端的安装,不需要对用户硬盘做任何改动,不需要增加新的硬盘,也不需要安装新的板卡,只需要更换一块网卡就能完成工作。安全管理软件帮助用户管理远程网络操作系统的启动、使用和维护。该安全管理软件增加了更多的安全功能,例如用户区的访问保护、数据的备份和恢复、本地I/O设备的屏蔽以及内网安全状态自动检测等,使得网络管理不仅操作简单而且功能强大,具有很高的安全性。

三星计算机安全公司针对网络环境和隔离网络的不同,为用户提供了丰富的物理隔离产品。

物理隔离卡DualNET可以保护内部服务器和每一个PC机免遭外部入侵或病毒的侵害。DualNET包括一个DualNET PCI卡、一个5.25钥匙开关支架、连接硬盘的数据线、6Pin连线和连接网卡的网线等。DualNET设有钥匙转换开关,钥匙转换开关处设有外网、内网和关闭三个选项,用户可以自由选择,以达到彻底地安全防护的目的。DualNET通过控制数据线的方式来切换硬盘,能有效保护硬盘的寿命。DualNET是双网线环境下的双网双硬盘物理隔离产品,需要为外网额外增加一块硬盘。

物理隔离集线器NetSwitch II-M应用在通过数字专线上网的大型网络环境中,支持所有的网络通信协议,可以通过单网线将网络彻底物理隔离,保证内外网间没有物理连接。NetSwitch II-M利用一根网线就可以完成两个网络的物理切换。如果用户想从内网进入外网,只需简单地点击Windows上的IPChanger按钮就可完成IP地址的转换。进行此项操作,用户不需要重新启动系统。NetSwitch II-M具有24个端口,同时对应24个继电器,每个端口间的操作都独立进行。NetSwitch II-M可以放置配线架上,便于网管人员进行统一管理和维护。


NetSwitch II-M物理隔离集线器

物理隔离集线器NetSwitch II-R是SOHO和分支机构的理想选择。NetSwitch II-R不仅具有NetSwitch II-M的所有功能,而且还添加了访问外网的SwitchingHub和防火墙功能。NetSwitch II-R可以帮助小型公司构建双网隔离的网络管理,而且网络管理员可以使用该产品中内置的防火墙功能控制Internet的访问行为,有效防止黑客入侵。NetSwitch II-R还具有WAN接口功能,支持多种外网连接方式。

中创飞讯物理隔离服务器分为手动版和自动版两类。在手动工作方式下,内外网分别配置一台手动版物理隔离服务器,用户需要的外网信息按照事先设定的时间间隔,首先在外网物理隔离服务器上形成文件,并自动存入可移动存储设备中然后,人工将这些移动存储设备移入内网物理隔离服务器,由内网服务器自动读取相关数据,在读取过程中,实时完成信息的安全检查和病毒清杀等,最后完成外网信息的导入。与此原理相同,信息也可从内网向外网导出。是执行双向导入导出,还是单向导入,可根据用户要求进行设定。

自动版物理隔离服务器采用自动工作方式,由程序控制硬件来控制服务器在不同时间分别连接内网和外网。自动版物理隔离服务器能够实现无人职守,大大提高了工作效率。自动版物理隔离服务器的硬盘被划分成三个不同状态的逻辑分区:公共分区、交换分区和安全分区。公共分区和安全分区各装有不同的操作系统,分别连接外部和内部两个网络,并且在相关硬件的控制下,彼此独立、互不影响。交换分区在两个网络中都可以被看到,但是具有不同的读写属性,并且能够让数据在内网与外网两个网络中进行安全交换。飞讯物理隔离服务器采用“船闸”式开关、放行原理。导入过程全部自动化,周期可以调控。在软件系统的配合下,飞讯物理隔离服务器能够在内外网之间进行数据的单向或双向通信,实现了互联网信息的安全导入、文件系统和电子邮件的安全导入、导出。

天行网安物理隔离系统采用独特的硬件设计实现系统级的物理隔离。该系统分为七个模块:物理隔离、入侵检测、内核防护、病毒查杀、访问控制、信息审计和身份认证。

物理隔离模块采用独特的硬件设计,实现可控的信息交换,该模块工作在系统的最低层,其最低无故障工作时间大于一万小时。由于设计的的安全性,即使交换模块出现故障,也不会出现安全隐患。入侵检测模块采用内核级的入侵检测技术来实时检测恶意用户和黑客的攻击行为,一旦发现攻击就会记入审计信息,保证管理员在第一时间内了解网络的安全状况。内核防护模块采用内核防护技术来防止滥用系统权限,以保护重要的进程、文件和数据不受黑客干扰,由于采用了更高一级的系统安全技术,内核防护模块能有效消除操作系统带来的安全隐患。病毒查杀模块采用业界领先的防病毒产品对进出隔离系统的静态数据进行检查,分离邮件和附件,检查脚本信息,一旦发现病毒就会将其截获,通过邮件和审计信息通知管理员,该模块采用模块化设计,用户可以任意更换模块软件。访问控制模块为管理员提供了对用户的访问控制权,通过该模块,管理员可以对内部用户进行集中统一管理。信息审计模块主要包括日常信息查询、入侵检测审计、病毒审计和邮件内容审计,为管理员提供了整个系统的信息审计。身份认证模块主要采用PKI技术,实现用户身份认证功能,通过证书机制保证系统使用用户的合法性,并采用SSL加密连接保证用户交互信息的安全性。

案例篇

某银行的总行下设多个分行,分行除了通过网络与总行进行业务往来以外,分行的员工还需要通过总行专线直接登录Internet,频繁地登录Internet会诱发各种安全隐患。

起初为了确保信息安全,该银行均采用强制手段来限制员工登陆外网,甚至设立专门的访问Internet的办公室。 这样一来,不仅降低工作效率,而且由于分行均通过专线上网,还会产生昂贵的专线上网费用。该银行需要一个既可以进行内外网隔离、又能确保安全上网的物理隔离解决方案。

根据该银行的网络状况(单网线环境及通信方式),三星计算机安全公司为其提供一个性价比很高的解决方案。

在总行安装NetSwitch II-M,将内部网和互联网进行彻底的物理隔离;总行下的若干分行安装NetSwitch II-R产品。 NetSwitch II-R产品可将各分行的内部网和互联网物理隔离。只有当分行需要与总行进行业务联系时,才与总行服务器进行连接。各分行若登录Internet则可通过NetSwitch II-R的 WAN 接口连接互联网,无需借用总行专线上网,这样大大降低了总行专线上网的成本。而且由于众多分行均通过NetSwitch II-R 提供的WAN接口上网,专线带宽占用量少,总行还可以在保证总行业务正常运行的情况下适当降低带宽速率。除此之外,NetSwitch II-R本身还内置Switching Hub和防火墙功能,使各分行网络安全建设成本又进一步降低。


实施物理隔离后的网络结构

NetSwitch II-M和NetSwitch II-R的组合,不仅能实现网络的物理隔离,而且还是一个构建网络安全高性价比的解决方案。

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]