您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > 中网物理隔离网闸在涉密网中的应用探讨
中网物理隔离网闸在涉密网中的应用探讨涉密网希望访问互联网信息,这种需求和呼声越来越高,但安全和保密方面的要求和挑战一直无法很好的解决。现在,利用中网物理隔离网闸(X-gap),可以实现涉密网和互联网的物理隔离,并且涉密网可以向互联网实时发起服务请求,但互联网无法访问涉密网。本文探讨物理隔离网闸在涉密网中的应用。一、概述传统的网络安全是通过限制边界来执行安全政策完成的。内网和外网,专网和公网,涉密网和非涉密网,互联网和内联网(InternetandIntranet),大体上反映了这样一种划分。这种二元逻辑划分,有时候过于简单,人们采用非战区(DMZ)或安全访问子网(SSN)的办法进行补充。通过限制边界,改善了网络的安全状况。意识到需要解决网络安全问题,在这种二元安全观的基础上,客户已经花费巨资安装了很多安全设备。然而,随着时间的推移,人们发现了这些设备的缺点,黑客曝光这些设备的漏洞,它们不足以满足客户的安全要求。因为每一种安全设备都有自己的局限性,于是市场上出现了很多的防御体系,以防火墙为核心的安全防御体系,以入侵检测为核心的安全防御体系,以管理为核心的安全防御体系等。今天,身份认证技术,单点登录技术,密码技术,过滤技术,端口封锁技术,入侵检测技术,漏洞扫描技术,防病毒技术等众多的技术被集成到一个防御体系之中,复杂性大大增加,协同作业困难,配置冲突,升级困难,最后出现了“木桶原理”,即水桶的装水量由最短的板块决定,安全体系的安全性取决于所有设备的安全性最差的那一个。很明显,这些体系也未能有效地解决客户的网络安全问题。在没有有效解决互联网的安全问题之前,基于二元安全观的办法,多是因噎废食,彻底放弃互联网的好处,与互联网断开。是不是与互联网断开就安全?答案是否定的。2002年底发生SQLSlammer病毒,将病毒的感染传播特性和网络拒绝服务的攻击特性合二为一,在很短时间里,将互联网基础设施破坏。这意味着,完全与互联网断开的专网,如果病毒被从其他途径进入专网,如人工安装软件,照样可以感染带攻击性的病毒,因此也不能完全防止来自互联网的攻击。因此,即使与互联网断开,也必须增加可以阻断这些攻击的安全设备。物理隔离网闸正是这样一种阻断设备。在今天的竞争社会里,这种二元划分以及其改进办法,在很大程度上已经无法满足客户的需求。今天的互联网在信息交换和共享方面已经远远超过传统的报纸杂志广播电视,成为独领风骚的第五媒体,普通人都可以从互联网上得到信息,但涉密网内部的人员却不能得到,因为为了涉密网的安全,涉密网必须和互联网断开。在我国,从中央到地方,也出现了越来越高的呼声,要求涉密网与互联网安全连接。为了解决这些问题,一种新的网络安全技术“物理隔离网闸”应运而生。美国、俄罗斯、以色列等国家纷纷采用物理隔离网闸,用于本国的政治、军事和经济等重要网络与互联网隔离。我国保密部门对物理隔离网闸技术十分重视和关注。可以预见不远的将来,物理隔离网闸技术将应用在我国的涉密网络和专网上。二、涉密网对互联网信息的需求、风险及安全要求1.涉密网对互联网信息的需求日益增加涉密网,顾名思义,服务于党政军涉及机关国家秘密的网络。涉密网应该高度安全。随着知识经济和信息时代的到来,信息发生和传递的速度越来越快,互联网业已成为全球第五大媒体,且信息量大、实效性强。涉密网内部的党政军领导和工作人员,对信息的时效性要求越来越高,需要及时、准确地得到互联网上大量的信息,以便于利用。按照我国《计算机信息系统国际联网保密管理规定》的要求,涉密网不能直接或间接与互联网以及其他公共信息网络连接,必须实行物理隔离。在物理隔离网闸技术问世之前,对互联网信息的需要,多采用以下办法:1)每个工作人员采用两台计算机,一台在内部涉密网上,一台在互联网上。该方案重复建设,投资过大,使用不方便,没有那么大的办公地方放两台计算机,明显不合适。2)采用物理隔离卡等低级形式,每次使用开关机一次,不方便。3)设立专门的互联网隔离访问室,到专门指定的地方访问互联网,或人工把从互联网上采集的信息拷到内部涉密网上,实时性不好。4)不使用互联网。随着我国社会主义事业的快速发展和进步,尤其是加入WTO之后,党政军机关对互联网信息的需求越来越高,现有的方式已不能满足党政军机关对各种信息的实时性要求。因此,急需解决互联网和涉密网之间的访问和安全问题,既需要高速高效的访问互联网,又必须在互联网和涉密网之间实现物理隔离。2.目前存在的来自互联网的安全威胁和风险来自网络上的威胁和风险主要包括:(红线属于内容安全的范畴)对象环境威胁传统技术其他解决办法外网入侵IDS,蜜罐隔离攻击抗攻击网关隔离扫描网络屏蔽隔离来自网络病毒杀病毒限制类型木马恶意代码清除隔离假冒和重演.隔离,代理破坏完整性防篡改隔离,代理窃取信息和数据访问控制技术访问控制,隔离非授权访问访问控制技术访问控制,隔离网络结构缺陷.除屏蔽,隔离网络配置错误.屏蔽,隔离网络内网已经植入的木马恶意代码清除隔离非授权访问访问控制技术访问控制,隔离信息泄漏内容审查内容检查,控制操作失误.屏蔽,隔离网络故障.屏蔽,隔离主机操作系统漏洞.屏蔽,隔离配置错误.屏蔽,隔离危险命令.代理,隔离应用缺陷补丁代理,隔离故障.屏蔽,隔离操作失误.屏蔽,隔离已经感染病毒主机杀毒类型限制,查杀非授权访问访问控制技术访问控制,隔离假冒,重演认证授权审计隔离,代理面对这些威胁和风险,除了目前采用防火墙,入侵检测,漏洞扫描,VPN,AAA,CA,安全审计,安全恢复和备份,防病毒等技术外,还有很多无法解决的问题。即使采用上述技术,效果也不是都很好。但这些问题,利用隔离技术(Gap),代理技术,认证技术,内容检测技术,访问控制技术和防病毒技术等技术结合的物理隔离网闸,却能很好的解决上述安全威胁和风险。3.涉密网的安全需求涉密网直接为党政军机关服务,处在国家信息安全保密最重要的部位,占据最重要的位置,内网上的信息涉及大量党政军和国家的核心机密。因此,涉密网络对安全性的特殊要求具有非常意义。涉密网和互联网的安全性必须满足以下要求:1)该系统必须保证涉密网与互联网是物理隔离;2)涉密网的任何信息不能通过该系统进入互联网;3)可限制指定格式的文件(保证文件的无害性)才能通过该系统进入涉密网;4)在隔离系统连接互联网的一端采取访问控制技术、代理技术、认证技术、内容检测、病毒检测等安全手段,并对请求返回的数据进行类型限制和安全检查;5)具有单向访问的能力,即禁止互联网主动向涉密网发起数据访问请求,准许涉密网向互联网访问数据发起请求,并准许请求回来的数据经过安全检查后流入涉密网;6)整个系统是完全可控的。从上面的分析,我们知道涉密网和互联网之间的安全性体系是一个完全不对称不对等的关系。必须消除来自互联网对涉密网的任何形式的攻击,涉密网希望得到互联网的信息,但严格禁止互联网从涉密网得到信息,严格防止从涉密网泄密信息到互联网,严格防止从互联网上请求回来的数据具有有害性、攻击性、病毒特性和恶意代码。三、物理隔离网闸在涉密网中的应用物理隔离网闸是一套双主机系统,双主机之间是永远断开的,以达到物理隔离的目的,双主机之间的信息交换是通过拷贝、镜像、反射等借助第三方非网络方式来完成的,是以物理隔离为目的的安全系统。物理隔离网闸,中断了网络的直接和间接通信连接,剥离了TCP/IP协议,中断了应用的客户和服务器会话,还原应用数据,通过代理方式执行所有的应用协议检查和内容检查,达到“只有符合全部安全政策的数据才能通过,其他都拒绝”的安全策略。物理隔离网闸的目标是建立一个对网络攻击是免疫的安全系统,即消除来自网络的威胁和风险。物理隔离网闸的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下,尽可能安全;而物理隔离网闸的思路是在保证必须安全的前提下,尽可能互联互通,如果不能保证安全则完全断开。1.中网物理隔离网闸(X-gap)中网物理隔离网闸(X-gap)是完全自主知识产权的新一代的高安全性的国产物理隔离网闸。X-gap采用“2+1”的结构,即两套单边计算机主机和一套固态介质存储系统的隔离开关,所谓的单边计算机主机,是相对于传统的防火墙和网络设备而言。传统的防火墙和物理设备,网络的数据从一边流入,经过OSI模型的某层或多层处理后,从另一边流出。单边计算机主机,撤消了另外一个网卡,即来自网络上的包数据只能到达应用层,还原为文件数据,然后脱离OSI的网络模型,因为网络必须断开,以非网络的方式进行文件数据交换。网络上的任何行为,无论是正常的,还是非正常的,都到此为止。外部的单边计算机主机,只有外网卡,没有内网卡。该主机是物理隔离网闸在外网或互联网上的“脸面”,或干脆叫“Agent”。这个“Agent”不是内网或涉密网的一部分,而是外网或互联网的一部分。涉密网需要的信息,不是以涉密网名义去从互联网上得到,而是以“Agent”的名义。它的IP地址是外网或互联网的,但不公开,从互联网上其他的服务器请求的信息可以送回来给它。尽管它不是内网或涉密网的一部分,却是由内网或涉密网来控制的,但它的公开身份还是互联网的。涉密网控制它并利用它,但却完全不信任它,从来就没有同它连接过。它几乎不知道内网或涉密网的任何信息,但乐此不疲地根据内网或涉密网的指示为它们服务,代理内网或涉密网去互联网获取信息,然后放在指定的地方。有些技术人员戏称它为世界上“最完美的特勤人员”。内部的单边计算机主机,只有内网卡,没有外网卡。该主机是物理隔离网闸在内网或涉密网的连接点,属于内网或涉密网的一部分。所有涉密网的主机需要得到互联网上的信息,都必须通过这台主机来代办。这台主机并不是简单地代理所有的请求,而是执行严格的安全政策,内容审查,防泄密,批准或是不批准访问请求。它从固定的地方取回请求的文件信息,检查请求回来的数据是否安全或带有病毒,建立内部的TCP/IP网络连接,将文件数据发回给请求者。基于固态存储介质的网络开关,是物理隔离的核心。外部单边计算机主机与内部单边计算机主机是永远断开的,因此是物理隔离的。隔离开关在逻辑上是由两个开关组成,一个开关处在外部单边计算机主机和dump固态存储介质之间,我们称之为K1,另一个开关处在内部单边计算机主机和dump固态存储介质之间,我们称之为K2。K1和K2在任何时候至少有一个是断开的,即K1×K2=0,这是物理上固定的,不受任何控制系统的控制。因此,只有三种情况,K1=1,K2=0;K1=0,K2=1;K1=0,K2=0。外部单边计算机主机与内部单边计算机主机是永远断开的,因为K1×K2=0。怎样在两个网络完全断开的情况下,实现信息的交换,是物理隔离网闸的关键。外部单边计算机主机,在K1=1和K2=0状态下,将文件信息交给固态存储介质,类似于交给银行的保险箱。内部单边计算机主机,在K1=0和K2=1状态下,将文件信息从固态存储介质中取回,相当于从银行保险箱中取走文件。两种状况下,K1×K2=0,即两个主机是完全断开的。在K1=0和K2=0状态下,没有任何信息交换,也是断开的。这种情况有些类似于电影中的地下工作者,两人从没有见过面,但还要交换情报,于是,一个人先把情报放在指定的安全地方,然后离开。另外一个人,在安全的情况下,将情报取走。2.X-gap消除了来自互联网上对涉密网的攻击X-gap消除来自互联网上的攻击是通过物理隔离来实现的。由于互联网与涉密网是永远断开的,加上采用单边计算机主机模式,中断了TCP/IP,中断了直接的客户服务器永远(C/S),屏蔽了内部的网络拓扑结构,屏蔽了内部主机的操作系统漏洞,让基于网络的攻击无机可趁。X-gap提供了以下特征:1)无法ping涉密网的任何主机;2)traceroute无法穿透物理隔离网闸;3)无法扫描(scan)内部涉密网络;4)无法发现涉密网的任何主机信息;5)无法发现涉密网的主机的操作系统信息;6)无法发现涉密网的应用信息;7)无法发现涉密网的内部主机的漏洞;8)无法发现涉密网的应用的漏洞;9)无法同涉密网的主机建立通信连接;10)无法向涉密网发送IP包;11)无法同涉密网的任何主机建立
本文标题:中网物理隔离网闸在涉密网中的应用探讨
链接地址:https://www.777doc.com/doc-2759250 .html