网络安全隔离与信息交换发展新动向
来源:中国计算机报 更新时间:2012-04-13

 随着电子政务和各种社会化便民网络工程的建设完成,各政府部门和社会管理服务系统希望通过安全的信息系统建设,提高了办事效率,增加了办公的透明度,加强了监管力度。因此,各种网上便民应用要求相关部门的业务网与互联网实现信息交换,同时业务部门之间的网上办公系统要求相关业务网也要实现信息交换。在这些网络安全需求中,安全隔离与信息交换系统(以下简称“安全隔离网闸”)得到了广泛应用。

  安全隔离网闸市场已经开始进入高速增长期。安全隔离网闸的高安全性已经逐渐地被政府网络管理者所认可,从安全隔离网闸现在在公安专网与其外联网络(如印章制作中心网络、旅店监管网络等),税务专网与互联网、工商专网与互联网等政府部门网络中的广泛应用就可以得到印证,并且数十台以上的集中采购项目已经是经常可见的。除了政府应用外,军队、金融、电力等行业也认识到了安全隔离网闸的安全价值,在重要的网络隔离中采购安全隔离网闸来实现高安全的数据交换。

  安全隔离网闸需求量的迅速增长是以产品成熟为前提的!国家相关部门对安全隔离网闸最基本的技术要求有两点:一点是硬件架构为“2+1”结构,即由两个拥有独立操作系统的主机系统和一个专有的隔离交换模块组成;另一点是对流经的数据处理方式,对数据包全部在应用层进行重组、深度内容检测之后在网间进行信息“摆渡”。这两点技术要求已经在主流厂商的安全隔离网闸上得到了严格的执行。

  但是,各安全隔离网闸厂商研发的重点都只是集中在对“摆渡”数据的深度检测实现和提高处理性能上了,笔者在进行广泛地调研后认识到安全隔离网闸的技术发展忽视了其作为网关级安全设备应该进一步具有适应性、可管理性以及自身安全性。以下笔者将从客户应用需求的角度,展望安全隔离网闸下一步的几个最新发展动向。

多网接入安全隔离需求

  现在,交警、电业局、自来水公司等单位在通过银行实现相关费用代收时一般要与多家银行进行网络连接。安全隔离网闸在这样的网络中部署时使客户出现了困扰,原因在于现有各厂商的安全隔离网闸部署时每个主机系统只能连接一个网络,那么在不能将各家银行网络连接到同一个交换设备上的安全要求下,一般的解决方式只能是有几家银行接入就部署几台安全隔离网闸。这样的解决方案很明显是过于浪费的!

  以交警网络与银行网络连接为例,我们仔细分析发现各银行网络相对于交警内网都是相同安全级别的网络。在各银行网络在实现无法互访和分别能与交警内网进行数据交换的前提下,是可以通过一台安全隔离网闸与交警内网相连接的。这就要求安全隔离网闸满足主机系统有多个网络连接接口,从而实现每一主机系统可以同时连接多个相同安全级别的网络,并且每个网络接口之间在系统内部固化实现无法互访。也就要求安全隔离网闸成为多网接入安全隔离平台(如图一所示。图一 多网接入安全隔离互联模型)。

  集中管理需求

  防火墙从最初作为独立的安全设备部署在网络中,到现在可以通过集中管理控制平台来实现对多台防火墙的统一协同安全防护和设备状态监控等管理。安全隔离网闸作为与防火墙相类似的网关级安全设备,其管理上也必然有相类似的管理技术发展脉络。

  当前,市场上的安全隔离网闸还无法实现集中管理功能,但由于安全隔离网闸的规模性部署增多和对管理人员技能要求更高,所以用户对安全隔离网闸的集中管理功能的需求已经相当迫切。

集中式安全管理系统,要以统一的策略和集成的平台对受控网络进行安全配置和管理。集中管理员能通过集中管理中心可以对全局网络中的安全隔离网闸完成集中、统一的配置、管理和系统监视工作。

  集中管理模式对于拥有多台安全隔离网闸的网络的安全管理尤为重要。它一方面提高了网络安全规则的一致性,增进网络的安全性,另一方面也为管理员提供了方便的配置和诊断工具,使管理员可以腾出更多精力的关注更高级的安全管理工作。

  操作系统抗攻击需求
  
  用户对安全隔离网闸操作系统抗攻击的需求越来越迫切。安全隔离网闸作为网关级网络安全设备,并且对所有的应用协议都是在应用层采取代理的方式进行处理,从而导致安全隔离网闸的并发连接数都是不高的,如百兆平台一般并发连接数不超过一万个,这个数量级与防火墙的少则几十万和多则上百万相比实在太少了。因此,如果在相连网络中有主机感染网络病毒或者蓄意发起DDOS攻击时,就会导致安全隔离网闸无法响应正常的连接请求,由此出现的网络故障时有发生。

  安全隔离网闸的操作系统内置独立的入侵检测功能和抗DDOS攻击功能将成为必需。其入侵检测功能要与系统紧密集成,包括包解码、规则解析及检测引擎、日志记录及报警等子模块。采用实时入侵检测机制和自动响应技术,可选择配置不同的攻击特征码,并且支持攻击特征码分类,可根据大类进行特征码选择。攻击的特征库应包括扫描攻击、SMTP攻击、HTTP攻击、FTP攻击等多类攻击,可以检测到网络中的绝大多数入侵行为,可以实时设置阻断规则,将入侵及时阻断。

  市场需求是产品技术发展的指挥棒,用户的迫切需求需要具有研发实力和市场远见的安全隔离网闸厂商来完成。

  技术发展需要

  安全隔离与信息交换系统(以下简称“网闸”)的三项关键技术是:硬件隔离,信息摆渡,应用层的细粒度检查。

  网闸作为对网络保护程度接近于物理隔离的安全产品,首先要在硬件上实现物理隔离。因此,网闸的硬件架构上就要是“2+1”,即有两个主机模块和一个隔离交换模块。现在除了个别厂商采用两个主机模块直接连接之外,大部分厂商都是采用“2+ 1”的架构,只是各自的交换模块设计方式不同。现在国内网闸业内的交换模块设计主要有三类实现方式:专有隔离交换硬件、与主机模块相同的主机和数据存储模块。基于要在硬件上实现物理隔离的原则,就要求三个模块的系统必须互相独立,并且通过隔离交换模块控制开关的切换确保两个主机系统任何时刻不直接相连。

  网闸支持的应用通常包括数据库的同步和访问、文件交换、邮件交换和访问、HTTP访问、FTP访问等等。对于各种应用的控制强度和在应用层的检查力度是检验各厂商产品的安全防护能力的验金石。

  用户安全需要

  现在我国各级政府的网络建设重心已经由最初的面子工程转变成为各级政府电子政务提供基础应用平台。政府的网络基础建设已经基本完成,如网上报税、网上工商、政府办公大厅等网络应用已经开始全面展开,大大地方便了公民或企业办事。这些应用都要求各政府单位的业务网与国际互联网直接或者间接的进行连接,同时各政府单位又担心安全和保密问题。网闸基于其自身的高安全性,因此是解决此问题的最佳选择。网闸以自身的安全隔离特性和极高的检测机制保证了其保护的网络主机和网络不会被入侵。在高安全需求的网络环境下,网闸正在全面取代防火墙。

  联想网御通过多年防火墙的研发积蓄了丰富的硬件设计、访问控制、主机安全防护、数据深层次检查等安全产品研发经验。很多安全技术就已经成功移植到网闸上,例如多机负载均衡技术的移植,使联想网御网闸最大支持32节点群集,无需任何第三方负载均衡软硬件支持。

  经过多年的高速增长,联想网御积累了雄厚的资金,从而保障了网御产品拥有相当数量的、稳定的、高素质的研发人员,使联想网御的网闸技术能够傲视群雄,不断开拓新的市场。同时还有遍布全国的服务体系,可以全方位的7×24小时的支持,保证了用户的利益和安全。

  另外,联想网御作为国家《电子政务信息安全等级保护实施指南》的执笔单位,对各政府部门的电子政务的安全防护有更深层次的理解。联想网御网闸正是在其安全理论的指引下,按照电子政务各种应用特点进行了多种定制开发,真正做到了想用户之所想。正如使用了联想网御网闸的某市政府信息中心主任所说,“网络安全工作有联想网御帮助使我们感到踏实!”

  联想网御正是在以保障我国政府网络安全为己任的信念指引下,通过不断的技术创新,引领着网闸产业健康快速的向前发展。