判斷企業自身是否需要物理隔離網閘
企業安全是每個網絡安全管理員所不停思考的,本篇文章通過介紹物理隔離網閘的原理和起源分析企業是否需要物理隔離網閘系統。通過本篇文章,我們可以知道物理隔離網閘與物理隔離卡、安全隔離網閘的區別,并且了解物理隔離網閘五種典型應用場合。
物理隔離網閘是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。
物理隔離網閘最早出現在美國、以色列、俄羅斯等國家的軍方,用以解決涉密網絡與公共網絡連接時的安全。俄羅斯的Ry Jones,以色列的Buky Carmeli,Elad Baron,Daniel Steiner等人都是該領域的先驅,后者現在美國開公司。目前最大的物理隔離公司當屬美國的Whale communications公司,Spearhead公司也不小。隨著我國電子政務快速發展,外部網絡連接著廣大民眾,內部網絡連接著政府公務員桌面辦公系統,專網連接著各級政府的信息系統,在外網、內網、專網之間交換信息是基本要求。如何在保證內網和專網資源安全的前提下,實現從民眾到政府的網絡暢通、資源共享、方便快捷是電子政務系統建設中必須解決的技術問題。一般采取的方法是在內網與外網之間實行防火墻的邏輯隔離,在內網與專網之間實行物理隔離。出于對重要信息、文件保護的目的,物理隔離網閘開始被人們接受,物理隔離網閘成為電子政務信息系統必須配置的設備。
與物理隔離卡、安全隔離網閘的區別
物理隔離網閘主要由內網處理單元、外網處理單元、安全隔離與信息交換處理單元三部分組成。外網處理單元與外網(如Internet)相連,內網處理單元與內網(如軍隊網)相連;安全隔離與信息交換處理單元通過專用硬件斷開內、外網的物理連接,并在任何時刻只與其中一個網絡連接,讀取等待發送的數據,然后“推送”到另一個網絡上。在切換速度非常快的情況下,可以實現信息的實時交換。
物理隔離卡是物理隔離的低級實現形式,一個物理隔離卡只能管一臺個人計算機,甚至只可能在Windows環境下工作,每次切換都需要開關機一次。物理隔離網閘是物理隔離的高級實現形式,網閘可以管理整個網絡,不需要開關機。網閘實現后,原則上不再需要物理隔離卡。安全隔離是一種邏輯隔離,防火墻就是一種邏輯隔離,因此防火墻也是一種安全隔離。有些廠商對安全隔離增加了一些特點,如采用了雙主機結構,但雙主機之間卻是通過包來轉發的。
無論雙主機之間采用了多么嚴格的安全檢查,但只要是包轉發,就存在基于包的安全漏洞,存在對包的攻擊。這在本質上同兩個防火墻串聯并無本質的差別。從目前已經存在的安全隔離網閘,包括以下類型:通過串口或并口來實現雙主機之間的包轉發,通過USB或1394或firewire(火線)等方式來實現雙主機之間的包轉發,甚至是直接通過以太線來實現雙主機之間的包轉發,以及其他任何形式的通信方式來實現雙主機之間的包轉發如專用ASIC開關電路,ATM,Myrinet卡等,都是安全隔離網閘,但都不是物理隔離網閘。
物理隔離網閘五種典型應用場合
1、局域網與互聯網之間(內網與外網之間)
有些局域網絡,特別是政府辦公網絡,涉及政府敏感信息,有時需要與互聯網在物理上斷開,用物理隔離網閘是一個常用的辦法。
2、辦公網與業務網之間
由于辦公網絡與業務網絡的信息敏感程度不同,例如,銀行的辦公網絡和銀行業務網絡就是很典型的信息敏感程度不同的兩類網絡。為了提高工作效率,辦公網絡有時需要與業務網絡交換信息。為解決業務網絡的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網絡的物理隔離。
3、電子政務的內網與專網之間
在電子政務系統建設中要求政府內望與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
4、業務網與互聯網之間
電子商務網絡一邊連接著業務網絡服務器,一邊通過互聯網連接著廣大民眾。為了保障業務網絡服務器的安全,在業務網絡與互聯網之間應實現物理隔離。
5、涉密網與非涉密網之間
電子政務建設中一般都對網絡按照安全級別進行了安全域的劃分,這在一定程度上保證了信息的安全,非涉密的系統及面向公眾的信息采集和發布系統主要運行在非涉密網部分。涉密網、非涉密網之間物理隔離,依照涉密信息“最小化”原則,進行涉密網和非涉密網之間兩個不同的信息安全域信息的適度“可靠交換”。
物理隔離網閘的應用發展
物理隔離網閘在網絡的第七層將數據還原為原始數據文件,然后以“擺渡文件”的形式來傳遞原始數據。任何形式的數據包、信息傳輸命令和TCP/IP協議都不可能穿透物理隔離網閘。根據我國計算機網絡安全管理的規定,物理隔離網閘需要取得公安部、國家保密局和中國信息安全測評認證中心的安全產品的測評認證證書。在此基礎上,進入軍事領域,還需要軍隊測評認證中心的認證證書。
涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相連接,必須實行物理隔離。涉密網絡必須在物理隔離的基礎上實現WWW瀏覽和自由收發E-mail。各級政府機關和涉密單位,必須將已建成的辦公局域網同Internet或上一級專網實行物理隔離,正在建設的電子政務網絡必須實現物理隔離。除了黨政軍外,其他行業和部門紛紛頒布建設規范和管理辦法,要求使用物理隔離。電力、鐵道、金融、銀行、證券、保險、稅務、海關、水利、交通、民航、社保、石化等行業部門,要求在物理隔離的條件下實現安全的數據庫數據交換。為了保證電子政務和電子商務體系中關鍵系統的安全性,物理隔離網閘將確保關鍵網絡和涉密網絡萬無一失,同時又能提供網絡業務的互聯互通。
目前市場上出現專門應用于特定行業的物理隔離網閘,如供應電力專用物理隔離網閘是一種專門用為是一種專門用為電力系統“二次安全防護設計的”一款單向物理隔離網閘。主要應用于實時控制區(I區、或者DCS網)、非控制生產區(II區)與生產管理區(III、IV區、或MIS網)完全的網絡物理隔離,并保證I、II區可向III、IV有效實時地傳輸數據,但反過來,任何網絡入侵、病毒的攻擊均被有效地阻隔,這樣就可在最大的限度上防止黑客、病毒的侵害。
【編輯推薦】
