从彻底的物理隔离、协议隔离到安全隔离网闸,物理隔离的发展历程是网络应用对安全需求变化的真实写照。
随着网络信息化的发展,各行各业都越来越依靠网络这一基础平台。网络在提升人们工作、生活便利的同时,也带来了日益突出的信息安全问题。目前,普遍采取的信息安全机制包括防火墙、入侵检测、漏洞扫描、身份认证、加密和防病毒等。每一种安全产品侧重于解决某一方面的安全问题,例如,防火墙解决网络流量的访问控制问题,入侵检测解决寻找发现入侵行为的问题。它们不相互替代,而是相互结合形成一个整体安全防护体系,共同解决信息网络在互联条件下的安全问题。
但是,尽管采用了上述这些防护手段,它们依然没能完全解决目前的信息安全问题。据中国互联网络发展状况统计报告显示,有超过六成的中国互联网用户的计算机曾被入侵过。国家保密局数字也表明,防火墙的攻破率高达47%。网络系统遭受入侵和攻击,不仅造成巨大的经济损失,严重地甚至会危及国家的安全和社会的稳定。而且,随着网络攻击方式和黑客技术的不断提高,网络攻击与病毒结合的趋向明显,对安全措施的提高与丰富提出了更高更多的要求。
在这种情况下,国家有关部门纷纷发文,要求物理隔离。根据我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。各级政府机关和涉密单位,必须将已建成的办公局域网同Internet或上一级专网实行物理隔离,正在建设的电子政务网络必须实现物理隔离。在国外,美国、以色列和俄罗斯等国家很早就规定涉密网络要采用物理隔离。物理隔离技术,就是在这样的环境下产生并得到不断的发展。
隔离概念的演化
实际上,隔离的概念从产生至今一直处于不断的发展之中。最早从国家党政军相关部门的规定要求来看,隔离就是实实在在的物理隔离,各个专用网络自成体系,它们之间完全隔开互不相连。这一点至今仍适用于一些专用网络,在没有解决安全问题或没有解决问题的技术手段之前,先断开再说。此时的隔离,处于彻底的物理隔离阶段,是最原始最简单的。
但是,信息毕竟需要交流,即便是单机最安全的情况,也存在着拷贝文件受病毒感染破坏的危险。任何网络都是为应用服务的,应用需求导致了人们对物理隔离需求的变化。因此,隔离的概念得到了扩展,变成了满足适度信息交换要求的隔离,这在某种程度上可以理解为更高安全要求的网络连接。例如,电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门,就要求在物理隔离的条件下实现安全的数据库数据交换。
满足适度信息交换的隔离,前后经历了两个阶段。刚开始是协议隔离(Protocol Isolation),采用专用协议(非公共协议)来对两个网络进行隔离,并在此基础上实现两个网络之间的信息交换。协议隔离在两个网络之间仍存在直接的物理连接,仍然是数据包的转发,一些攻击依然出现。因此,出现了基于物理隔断的隔离技术,通过分时操作来实现两个网络之间的信息交换。下面本文将以隔离概念的演化为主线,详细地介绍物理隔离技术的发展历程,并探讨其发展趋势。
物理隔离的发展历程
物理隔离,在安全上的要求主要有下面三点:
在物理传导上使内外网络隔断,确保外部网不能通过网络连接而侵入内部网;同时防止内部网信息通过网络连接泄漏到外部网。
在物理辐射上隔断内部网与外部网,确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网。
在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时作清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网信息要分开存储。
阶段一:彻底的物理隔离
物理隔离存在两种情况。一种情况是两个网络系统完全的物理隔离,老死不相往来,这很简单,无技术可言,这里不讨论了。另一种情况是同一台计算机需要连入两个物理上完全隔离的网络,这也是本节需要讨论的地方。
同一台计算机连入两个完全物理隔离的网络,同时又要保证两个网络不会因此而产生任何连接,于是出现了物理隔离卡、安全隔离计算机和隔离集线器(交换机)等技术。
物理隔离卡是一个数据安全装置,一个基于PCI的硬件插卡,一般分为单网口隔离卡和双网口隔离卡两种。双网口隔离卡上一般有三个电源接口,分别与主机电源、内网硬盘电源接口和外网硬盘电源接口相连接。内外网硬盘各自安装独立的操作系统,分别与内外网相对应。在同一时间内只有一个硬盘供电并与相应的网络接通,另外一个硬盘不供电,其对应的网络也切断,从而实现内外网络彻底的物理隔离。
双网口隔离卡也有利用一块硬盘的不同分区来作为内外网络的情况。单网口隔离卡的内外网络利用同一个网络接口,需要隔离集线器(或交换机)这些配套设施来隔离内外网络。单网口隔离卡简化了用户终端到集线器(或交换机)之间的布线,使得不会因用户失误而错误连接了网络。通过使用物理隔离卡,用户可根据需要自如方便地进行内部网和外部网之间的转换。而且,物理隔离卡不依赖于操作系统。
安全隔离计算机是一种产品形态。早期有的隔离计算机其实就是两台计算机装在一个机箱里,它们分别有自己的主板、内存、硬盘、显示卡和网卡等,除了显示器、键盘和鼠标,基本上是彻底的两套系统。这种方式是实实在在的物理隔离,但是成本太高,目前已经逐渐退出市场。现在的安全隔离计算机一般都通过物理隔离卡来实现,在主板的BIOS中作一些定制修改,将内外网络转换功能做入BIOS中。主板BIOS控制由双网卡和双硬盘构成的内网和外网环境各自独立,并只能在相应的网络环境下工作,不可能在一种网络环境下使用另一环境才使用的设备。这使得安全隔离计算机的集成度较高,使用起来更方便简单,也更安全。
隔离集线器(交换机)是一种配套设备,它简化了用户终端到集线器(交换机)之间的布线,使得用户端无需双网线布线。例如,隔离集线器(交换机)两侧分别有一组8端口和两组8端口;其中一侧的8端口用于与用户终端计算机连接;另一侧的一组8端口与内网连接,另一组8端口与外网连接。隔离集线器(交换机)根据数据包包头的标记信息来决定数据包是走内网还是外网。
利用物理隔离卡、安全隔离计算机和隔离集线器(交换机)所产生的网络隔离,是彻底的物理隔离,两个网络之间没有信息交流,所以也就可以抵御所有的网络攻击,它们适用于一台终端(或一个用户)需要分时访问两个不同的、物理隔离的网络的应用环境。
此类隔离产品很多,例如中孚网络安全隔离卡、和升达物理隔离卡HDP-III、深圳利谱TP901网络安全物理隔离卡、京东方物理隔离网络电脑、伟思网络安全隔离集线器和四川高星网络安全隔离集线器(SGJ-WJ1)等等。
阶段二:协议隔离
彻底的物理隔离,阻断了两个网络间的信息交流,但其实大多数的专用网络,仍然需要与外部网络特别是Internet进行信息交流或获取信息。既要保证安全(隔离),又要进行数据交换,对隔离提出了更高的要求。协议隔离就是在这样的要求下而产生的。协议隔离通常指两个网络之间存在着直接的物理连接,但通过专用(或私有)协议来连接两个网络。1997年,信息安全专家Mark Joseph Edwards在他编写的《Understanding Network Security》一书中,他就对协议隔离进行了归类,并明确指出了协议隔离和防火墙不属于同类产品。瑞士的数据处理咨询专家E.NYONI在2000年出版的专著《Technical Options of Computerized World》里的“Internet Security”章节对协议隔离做了更为明确的定义和说明。由此,基于协议隔离的安全设备应运而生。
基于协议隔离的安全隔离系统实际上是两台主机的结合体,在网络中充当网关的作用。隔离系统中两台主机之间的连接或利用网络,或利用串口、并口,还可利用USB接口等,并绑定专用协议。这些绑定专用协议的连接在有的资料中被称为安全通道。有了这样的安全通道,入侵者无法通过直接的网络连接进入内网,从而达到对内网的保护。信息转播系统就是这样的一个实例。通常,内外主机有自己的存储设备,用于临时存储要交换的信息,当然,也有的系统采用较大的内存,将接收到的数据直接转发走。
协议隔离的好处是阻断了直接通过常规协议的攻击方式。例如后门程序攻击和网络扫描,即使后门程序不慎被安装到了内网,外网的入侵者也无法发现并控制它去做非法活动,网络扫描更是无法从外网对内网进行扫描来获取信息。
但是,此类隔离系统的双主机之间仍是通过包来转发的,无论双主机之间采用了多么严格的安全检查,只要有包转发,就可能存在基于包的安全漏洞,就存在对包的攻击方法。所以它不是物理隔离,两端的机器在链路层上是互通的,许多链路层协议如PPP和SLIP协议等都可以穿过隔离,而且,它在逻辑上也不是隔离的,入侵者仍可通过串口隔离程序与链路层协议实现入侵的目的。因此,协议隔离仍然不够安全,人们仍在努力研究更为安全的隔离技术。
协议隔离的典型产品有京泰安全信息交流系统2.0、IB-NPS3000网络物理隔离数据交换系统和东方DF-NS310物理隔离网关。
阶段三:物理隔离、逻辑连接
协议隔离技术由于存在直接的物理和逻辑连接,所以在理论上讲仍然存在可以攻击的弱点。既要在物理上断开,又能够进行适度的信息交换,这样的应用需求越来越迫切。物理隔离网闸技术,就是在这样的条件下产生的。它能够实现高速的网络隔离,高效的内外网数据