在2004年度中国互联网大会的网络与信息安全论坛中,以"构建稳定、可信赖的网络"为主题,重点研讨"有关安全方面"的问题,涉及到对物理隔离交换(SGAP)技术、新一代病毒防范技术、最新密码应用技术和密码芯片技术、网络安全事件紧急响应等新技术、新产品的研讨。这次互联网大会的意义是重大的,这不仅在于互联网技术和安全技术的成熟,对涉及国家信息安全方面的问题有很好的推动作用。我们进行信息化建设要紧紧把握此次互联网大会出现的技术新趋势和产业新动向,力争把我国的信息化建设向技术先进同时又安全可靠的方向挺进。
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。
大家知道,随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
二、网闸的概念
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private ExchangeTunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
网闸(SGAP)与传统防火墙的技术特点对比如下表所示:
对比项目
传统防火墙
网闸(SGAP)
安全机制
采用包过滤、代理服务等安全机制,安全功能相对单一
在GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。
硬件设计
防火墙硬件设计可能存在安全漏洞,遭受攻击后导致网络瘫痪。
硬件设计采用基于GAP技术的体系结构,运行稳定,不会因网络攻击而瘫痪。
操作系统设计
防火墙操作系统可能存在安全漏洞。
采用专用安全操作系统作为软件支撑系统,实行强制访问控制,从根本上杜绝可被黑客利用的安全漏洞。
网络协议处理
缺乏对未知网络协议漏洞造成的安全问题的有效解决办法。
采用专用映射协议代替原网络协议实现SGAP系统内部的纯数据传输,消除了一般网络协议可被利用的安全漏洞。
遭攻击后果
被攻破的防火墙只是个简单的路由器,将危及内网安全
即使系统的外网处理单元瘫痪,网络攻击也无法触及内网处理单元。
可管理性
管理配置有一定复杂性
管理配置简易
与其它安全设备联动性
缺乏
可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台。
对比项目 传统防火墙 网闸(SGAP)
安全机制 采用包过滤、代理服务等安全机制,安全功能相对单一 在GAP技术的基础上,综合了访问控制、内容过滤、病毒查杀等技术,具有全面的安全防护功能。
硬件设计 防火墙硬件设计可能存在安全漏洞,遭受攻击后导致网络瘫痪。 硬件设计采用基于GAP技术的体系结构,运行稳定,不会因网络攻击而瘫痪。
操作系统设计 防火墙操作系统可能存在安全漏洞。 采用专用安全操作系统作为软件支撑系统,实行强制访问控制,从根本上杜绝可被黑客利用的安全漏洞。
网络协议处理 缺乏对未知网络协议漏洞造成的安全问题的有效解决办法。 采用专用映射协议代替原网络协议实现SGAP系统内部的纯数据传输,消除了一般网络协议可被利用的安全漏洞。
遭攻击后果 被攻破的防火墙只是个简单的路由器,将危及内网安全即使系统的外网处理单元瘫痪,网络攻击也无法触及内网处理单元。
可管理性 管理配置有一定复杂性 管理配置简易
与其它安全设备联动性 缺乏 可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台。
三、网闸工作原理
隔离网闸(安全隔离与信息交换),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度,为用户创造无忧的网络应用环境。
GAP源于英文的"Air Gap",GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。GAP中文名字叫做安全隔离网闸,它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。
GAP技术的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
安全隔离与信息交换系统SGAP一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接内部网,外网处理单元连接外部网,专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网,既满足了内部网与外部网网络物理隔离的要求,又能实现数据的动态交换。SGAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制,可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应用于银行、政府等部门的内部网络访问外部网络,也可用于内部网的不同信任域间的信息交互。
四、网闸的应用定位
1)涉密网与非涉密网之间;
2)局域网与互联网之间(内网与外网之间);
有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网 闸是一个常用的办法。
3)办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。
4)电子政务的内网与专网之间
在电子政务系统建设中要求政府内望与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。
5)业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
四、网闸的应用领域
目前,象国产的中网隔离网闸、伟思网络安全隔离网闸、联想网御安全隔离网闸等厂家网闸产品可以满足信任网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等功能,同时已在电子政务中,如政府内部的领导决策支持系统、政务应用系统(OA系统、专用业务处理系统)和公共信息处理系统(信息采集系统、信息交换系统、信息发布系统等)得到应用,网闸很好地解决了安全隔离下的信息可控交换等问题,从而推动了电子政务走向应用时代。
由于网闸可以实现两个物理层断开网络间的信息摆渡,构建信息可控交换 "安全岛",所以在政府、军队、电力等领域具有极为广阔的应用前景。网闸有会突破电子政务外网与内网之间数据交换的瓶颈,并消除政府部门之间因安全造成的信息孤岛效应。目前网闸大都提供了文件交换、收发邮件、浏览网页等基本功能。此外,网闸产品在负载均衡、冗余备份、硬件密码加速、易集成管理等方面需要进一步改进完善,同时更好地集成入侵检测和加密通道、数字证书等技术,也成为新一代网闸产品发展的趋势。
目前国外有Whale公司的e-GAP系统、Spearhead公司的NetGAP等网闸产品,在军政、航天、金融等部门被采用。Whale公司将e-GAP系统定位为应用层的防护设备。该产品通过隔离服务器、数据暂存区、隔离开关(Air GAP Switch)、并结合应用层安全控制来达到整体安全。它集成了加密技术、授权认证、PKI、HTTP镜像、规则过滤、Air GAP(空气隔离)等多种安全技术构成软硬一体化平台。
Spearhead公司的NetGAP直接连接两个网络。通过插在PCI槽的安全电路板与LVDS总线一起实现了"Reflective GAP"技术,每一个安全电路板包含一对双开关结构,双开关结构确保了在两个网络之间一个完全的链路层隔断。数据包从外网传至内网需要经理会话终止、剥离数据、编码、恶意代码扫描、传输恢复、会话再生等过程,确保内网的安全性。另外,NetGAP还提供了入侵监测、负载均衡和容错等扩展功能。
从当前应用情况来看,国内目前网闸市场也已经具备一定规模,用户主要集中在政府、公安、电力等对安全性要求很高的重要部门。总之,安全网闸适用于政府、军队、公安、银行、工商、航空、电力和电子商务等有高安全级别需求的网络,当然网闸也可用来隔离保护主机服务器或专门隔离保护数据库服务器。