九宮八陣圖之虐翼陣——網閘
虎翼陣:天地前沖,變為虎翼,伏虎將搏,盛其威力。淮陰用之,變為無極,垓下之會,魯公莫測。
虎翼陣是一種變幻莫測的陣法,通過以不斷變化的陣法,使中軍無形于敵人,保護中軍的安全。網御網閘系列產品,確保信任網絡和非信任網絡之間任何連接的斷開,徹底阻斷TCP/IP協議及其他網絡協議,使內網安全隔離于外界,且實保護內網安全。#p#
安全網絡隔離 放心數據交換
◆信息化大背景下政務內網外聯的威脅
近年來,隨著我國信息化建設步伐的加快,"電子政務"以前所未有的速度發展。在我國電子政務建設中,外部網絡連接著廣大人民群眾,內部專網連接著各級政府的信息系統,涉密內網關系著國家安全則與其他網絡完全斷開。在外網、專網、涉密網絡之間交換信息是基本的要求。
然而,信息網絡的安全威脅隨著網絡和信息系統的發展日益嚴重,網絡和信息系統的互聯互通、信息共享,為基于網絡的黑客入侵、能夠自動復制蔓延和攻擊的蠕蟲病毒、各種各樣的"特洛伊木馬",以及各種內部人員的惡意泄密或破壞提供了可乘之機。據權威機構統計,2010年國內新增木馬病毒2.18億個,約有3.5萬個網站被黑客篡改,近五千萬終端和服務器被感染病毒,信息網絡安全所面臨的問題越來越多,內容越來越復雜。
傳統網絡防護手段及不足
傳統的安全防護產品防火墻、防病毒、和入侵檢測/入侵防御系統已在各級政府部門得到了大量應用,對網絡安全的起到了一定的保護作用。然而基于訪問控制技術(包括包過濾、狀態檢測、應用代理、應用特征檢測等技術)的防火墻、基于病毒特征碼檢查的防病毒軟件/防毒墻、基于特征庫比對的IDS/IPS等產品的共同特點是定義某些數據特征或策略,并將其列入訪問控制列表,符合這一特征的數據為禁止、否則允許。對這種防御手段最簡單的描述是:"兵來將擋,水來土掩",如果有一種新的攻擊行為或者新的病毒、蠕蟲,就需要有一定時間的研究分析過程,最后通過升級特征的方式解決。這類產品的不足就是亡羊補牢、事后防御,不能防患于未然。
由于傳統防御技術本身實現機制的限制,對未知病毒、攻擊不能進行有效的防御,有一個"發作-防御"的時間差,加上越來越多的重要應用對網絡和信息系統依賴越來越大,使網絡安全威脅沒有得到有效抑制。
面對越來越嚴峻的局面,我們所能做的似乎只有將政務網絡與互聯網絡或其他非信任網絡斷開連接,阻止信息交換,進行物理隔離來保護網絡。但是,斷開了網絡,禁止數據交換,就會造成政務信息化工作無法開展。
現有解決之道
基于物理隔離提供的高安全性和用戶數據交換的實際需求出發,從政府部門到各個安全廠商均在進行著積極的探索,先后提出了以下解決之道:#p#
B.隔離卡技術
隔離卡的功能即是以物理方式將一臺PC虛擬為兩個電腦,實現工作站的雙重狀態,既可在安全狀態,又可在公共狀態,兩個狀態是完全隔離的,從而使一部工作站可在完全安全狀態下聯結內、外網。該卡實際是被設置在PC中最低的物理層上,通過卡上一邊的IDE總線聯結主板,另一邊聯結IDE硬盤,內、外網的聯接均須通過該卡。PC機硬盤被物理分隔成為兩個區域,在IDE總線物理層上,在固件中控制磁盤通道,在任何時候,數據只能通往一個分區。我們可以用網絡層次結構的思想理解它,它是構造在物理層上,對上提供接口服務,這些服務中包括了安全功能。因為它是構造在這么一個低層上,因此它在使用中需要重新啟動操作系統,這是其不足之處;如果不重新啟動操作系統,就不能保證數據不通過內存被竊取。除以上介紹的單主板單硬盤解決方案外,還有基于隔離卡技術的單主板雙硬盤的解決方案,該方案與上類似。
通過以上介紹,我們可以總結出兩點:A,隔離卡是在一臺終端上實現內網時空上的邏輯隔離,在一定技術上解決了一臺終端兩網間的隔離問題;B,隔離卡無法滿足兩個網絡間實時安全交換數據的需求。
C.網閘(GAP)技術
網閘(GAP),又稱安全隔離與信息交換系統。國內主流網閘產品通常采用"2+1"架構設計,即內網處理單元(內網主機系統)、外網處理單元(外網主機系統)和隔離交換單元。
內網處理單元:包括內網接口單元與內網數據緩沖區。接口部分負責與內網的連接,并終止內網用戶的網絡連接,對數據進行病毒檢測、內容過濾、格式檢查等安全檢測后剝離出"純數據",作好交換的準備,也完成來自內網對用戶身份的確認,確保數據的安全通道;數據緩沖區是存放并調度剝離后的數據,負責與隔離交換單元的數據交換。
外網處理單元:與內網處理單元功能相同,但處理的是外網連接。
隔離交換單元:是網閘隔離控制的擺渡裝置,控制交換通道的開啟與關閉。控制單元中包含一個數據交換區,就是數據交換中的擺渡船。隔離交換單元中斷了內外網的在任一時刻直接連接,采用私密的通訊手段形成內外網的物理隔離。該單元中有一個數據交換區,作為交換數據的中轉。
根據政務網"邊界清晰可界點、網間傳輸或交換數據可定義"的特點,網閘采用"白名單"的方式,只傳輸明確定義的、需要傳輸的、確保安全的信息和數據,其他數據一概不傳。網閘的這一特性加上其"2+1"架構,可以有效防御的未知攻擊和病毒。
網閘對應用的支持均有特定的功能模塊來支持,總的來說,網閘支持兩大類應用,一是數據同步;二是基于應用協議的雙層應用代理;#p#
目前網閘產品現在我國政府和其他單位得到了廣泛應用,國密局根據網閘產品的特性定義了如下四種使用環境:
◆不同的涉密網絡之間;
◆同一涉密網絡的不同安全域之間;
◆與Internet物理隔離的網絡與秘密級涉密網絡之間;
◆未與涉密網絡連接的網絡與Internet之間;
D.信息單向導入技術
信息單向導入就是信息的單向流動、單向傳輸,實現信息的單向傳輸有兩種方式:一是通過訪問控制實現,雖然該方式能實現應用數據的單向傳輸,但是根據TCP三次握手原理,這種方式有反饋信息存在,實際還是數據雙向傳輸;另一種是采用物理裝置設計方式保證信息的單向無反饋傳輸;根據以上分析,只有后一種單向傳輸實現方式才是信息單向導入技術。
由于信息的單向無反饋傳輸,采用信息單向導入技術的裝置在連接內外網時,可實現數據僅且只能由低密網絡流向高密網絡,而不會發生由此連接裝置引起的泄密事件;并且由數據傳輸的單向無反饋性,使黑客無法基于網絡進行入侵和探測,同時行為得不到任何信息反饋,杜絕任何網絡入侵攻擊行為。
信息單向導入技術有兩個技術難點,一是實現單向無反饋傳輸的物理環境;二是在單向無反饋傳輸環境下的可靠、高效數據傳輸;
實現單向無反饋傳輸的物理環境,也就是數據單向傳輸部件,目前國內主要有采用單根光纖實現,根據光的單向傳輸性,單根光纖只能實現單向數據傳輸,故采用單根光纖是最為顯而易見的單向無反饋傳輸環境實現方式。
在單向無反饋傳輸環境下,數據僅能采用"盲發"的方式,即發送只管發送,接收方只管接收,發送方不知發送數據的完整性、可用性如何。如何實現可靠的數據傳輸,是信息單向導入產品可用的關鍵。
國內有公司采用"源側多發送幾次+目標側比對與告警+源側手工觸發重傳"方式保證數據傳輸的可靠性,也有采用前向糾錯編碼技術保證數據的高可靠傳輸,前向糾錯編碼技術已在廣播電視等單向傳輸環境中得到廣泛應用。#p#
如何選擇安全隔離產品
◆根據國家政策選擇
根據國家相關政策,電子政務涉密信息系統不得直接或間接國際聯網,應與國際互聯網或其他公共信息網絡實行物理隔離;電子政務非涉密信息系統應與國際互聯網或其他公共信息網絡采取必要的邏輯隔離措施。
1、用戶終端的兩網隔離
用戶終端設備可采用隔離卡技術的單主板、雙硬盤的方案,在用戶原終端計算機上增加一塊硬盤和一塊隔離卡,每塊硬盤上安裝一套操作系統并固定對應一套網絡。用戶對兩塊硬盤以及兩個網絡的訪問都必須通過安全隔離卡,這樣就可對兩塊硬盤和兩個網絡分時使用控制,用戶在內外網間切換時必須重新啟動計算機,從而達到安全隔離的效果。
2、電子政務涉密信息系統與電子政務非涉密信息系統的連接
(1)使用網閘進行連接
當秘密級的電子政務涉密信息系統與其他網絡實行物理隔離,并且采用訪問控制策略阻止涉密信息由涉密信息系統流向非涉密信息系統,同時電子政務非涉密信息系統與其他公共網絡實行物理隔離,同時滿足以上條件的,可以使用網閘產品進行連接。
同時網閘可以在以下環境中使用
◆未與涉密網絡連接的網絡與Internet之間;
◆同一涉密網絡的不同安全域之間;
◆不同的涉密網絡之間;
(2)使用信息單向導入系統連接
當電子政務當秘密級的電子政務涉密信息系統與其他網絡實行物理隔離,并且采用訪問控制策略阻止涉密信息由涉密信息系統流向非涉密信息系統,同時電子政務非涉密信息系統與其他公共網絡實行邏輯隔離,同時滿足以上條件的可以使用信息單向導入系統連接,數據僅且僅能由非涉密信息系統流向涉密信息系統。
◆根據應用選擇
1、選擇網閘產品
由于網閘產品在不同的應用環境中使用特定的功能模塊,所以我們在選擇產品時最重要是選擇適合的功能模塊。網閘產品的功能模塊總體可分為兩大類:數據同步、應用代理,下面具體介紹:
數據同步,又分為數據庫同步和文件同步,數據同步功能模塊最重要的是應用環境的適應性,其決定了網閘產品的可用性、易用性。如數據庫同步要支持主流的數據庫,支持字段級的雙向單向同步,支持一源多目的、多源一目的同步,支持數據沖突檢測策略,支持按條件同步,支持數據容錯處理機制,當數據同步失敗時,用戶可以查詢、復位、刪除未能正常傳輸的數據,支持同步數據統計,數據傳輸加密,支持郵件報警等功能。這些功能細節直接決定了數據庫同步功能的適應性,也體現一個公司的技術實力。#p#
應用代理支持常見的應用協議如HTTP、FTP、SMTP、POP3等,每種協議的支持有獨立的功能模塊完成。網閘的應用代理功能與防火墻的應用代理有很大的區別,網閘要中斷內外網所有TCP/IP連接,將數據還原至應用層,進行格式檢查、內容過濾、病毒檢測等操作,最后將合規的數據擺渡至內網;而防火墻則不中斷內外網的TCP/IP連接。對于非標準應用協議,網閘需進行定制開發,提供專用應用協議接口支持。
2、選擇信息單向導入產品
信息單向導入產品有兩大關鍵技術,一是絕對單向無反饋傳輸環境;二是在單向傳輸環境下進行高可靠高效數據傳輸;因此我們選擇信息單向導入產品時也可以根據這兩點進行:一看實現實現單向無反饋傳輸環境是否可見,可驗;二看數據傳輸的可靠性和高效性,驗證單向導入產品的可靠性、高效性可通過產品實測進行。另外,由于單向傳輸環境的不可靠性,如何保障數據在丟失的第一時間通知用戶進行人工干預也是我們選擇產品關注的重點。
◆根據產品資質選擇
安全隔離與信息交換類產品是政策性產品,國家相關主管部門針對此類產品制定的嚴格的標準、規范,如GB/T20279,只有通過相應檢測規范的產品才是合格的產品。目前國家相關主管單位針對此類產品有"4證",分別是"計算機信息系統安全專用產品銷售許可證"、"涉密信息系統產品檢測證書"、"軍用信息安全產品認證證書"和"國家信息安全產品認證證書"。
信息單向導入類產品現在應用的主要依據是《電子政務保密管理指南》以及涉密信息系統建設技術規范,目前國家還沒有相應部門出臺相關的標準,如有獲得公安銷售許可證的廠商,也是采用企業制定的私有標準進行認證,請各位在選擇此類產品時注意。
以上介紹選擇產品的三個依據,僅是作者個人意見,希望能在你有相應需求時提供幫助。#p#
網御的安全隔離產品
網御根據內網外聯的切實需求,研發提供網御網閘SIS3000和信息單向導入系統UDGAP兩類產品。
1、網御網閘SIS3000系列產品
網御網閘SIS3000基于"2+1"系統架構、LeadASIC專用芯片、USE統一安全引擎、MRP多重冗余協議,將安全性、高效性、智能性、可靠性完美結合,具有數據同步型和數據訪問型兩種工作模式。對數據在應用層細粒度安全過濾后,以自有協議方式在安全隔離網閘內擺渡,徹底切斷了不同安全級別網絡間的任何連接,實現了高安全的隔離和實時的信息交換。
網御現已成為國內安全隔離網閘業內技術最優、產品線最全、市場占有率最高的領導廠商,已為政府、金融、交通、能源等大行業提供了許多成熟的安全隔離解決方案。
網御網閘SIS3000有以下優勢:
◆高安全性的"2+1"系統架構
系統硬件平臺由內網主機系統、外網主機系統、隔離交換矩陣三部分組成;內網/外網主機系統分別具有獨立的運算單元和存儲單元,并以網御自主知識產權的VSP (Versatile Secure Platform)通用安全平臺作為系統支撐;隔離交換矩陣基于LeadASIC專用芯片技術及相應的時分多路隔離交換邏輯電路,不受主機系統控制,獨立完成應用數據的封包、擺渡、拆包,從而實現內外網之間的數據隔離交換。基于VSP的高效協議處理和LeadASIC芯片的多路固化數據通道技術,分別解決了安全隔離網閘進行數據過濾和擺渡時性能低的業內難題,從而滿足了用戶對高性能安全隔離網閘的需求。
◆強大的數據交換能力和多業務應用支持技術
網御安全隔離網閘擁有強大的數據交換能力,以數據庫同步為例,安全隔離網閘支持Oracle、SQLServer、DB2、Sybase等主流數據庫間的同構、異構同步,支持單向、雙向同步,支持一到多、多到一的同步,支持靈活多樣的數據沖突處理機制,采用先進的數據容錯技術,保障數據同步的可靠性、穩定性。網御安全隔離網閘有數據庫同步、文件同步、安全瀏覽、郵件傳輸、定制訪問、消息傳輸等多種功能模塊為用戶多種業務提供了豐富的應用支持。
◆高智能性的全文內容過濾、高效病毒檢測技術
以USE(Uniform Security Engine)統一安全引擎為基礎,對隔離交換報文進行全文數據還原,對用戶登錄、命令請求、文本信息、協議格式等實施全文深度檢測,并支持特定應用層協議標簽的檢測控制,實現了對特定信息交換多重內容安全管理,為網絡間數據交換提供了"綠色通道"。采用自主知識產權病毒引擎、專業病毒特征庫。
◆高可靠性的多重冗余解決方案
基于MRP(Multi-Layers Redundant Protocol)多重冗余協議實現多重冗余方案,支持自身端口冗余、鏈路聚合、雙機熱備、2~32臺安全隔離網閘負載均衡,保障了用戶網絡和應用的高可靠性。
2、網御安全隔離與信息單向導入系統(UDGAP)
網御安全隔離與信息單向導入系統UDGAP(以下簡稱網御信息單向導入系統)采用"單向無反饋傳輸"技術,在提供物理的絕對單向無反饋傳輸環境的同時,采用擁有專利的"多級前向糾錯編碼"技術,保證了數據傳輸的高可靠、高效率。
網御信息單向導入系統由于其物理單向無反饋傳輸環境、基于數據的單向導入,使黑客無法基于網絡進行入侵和探測,同時行為得不到任何信息反饋,在為用戶提供絕對的單向無反饋數據傳輸功能的同時,為用戶提供了最高級別的網絡攻擊防護功能。#p#
網御信息單向導入系統UDGAP有以下產品特色
◆絕對單向無反饋
網御安全隔離與信息單向導入系統采用"2+1"架構設計,即外網主機、內網主機和單向導入隔離部件,內外主機通過單向導入隔離部件連接。
其中單向導入隔離部件采用獨特單向無反饋電路設計,并采用單根光纖通信,眾所周知,單根光纖不能同時進行發送和接收數據,網御的硬件設計從物理保證了數據的絕對單向無反饋傳輸,并且單向傳輸環境可見。
◆高可靠多級前向糾錯編碼
數據傳輸的可靠性直接決定了單向導入系統在實際環境中的可用性,網御安全隔離與信息單向導入系統采用擁有專利技術的多級前向糾錯編碼、解碼技術,通過外編碼解決內編碼未能糾錯的數據,增強了數據傳輸端到端的重構能力,提高了單向無反饋環境數據傳輸的可靠性。
◆人性化數據校驗及報警技術
由于數據在絕對單向無反饋傳輸環境下傳輸理論上的不可靠性,網御采用多級前向糾錯編碼等高可靠保障技術的同時,提供了多種數據校驗技術保證系統的可用性。網御數據校驗技術可自動檢測用戶未正常傳輸的數據,提供定時和手動校驗兩種人性化方式,當系統檢測到有數據丟失現象發生時,可提供控制臺、郵件等多種快速報警方式,以便用戶及早發現數據丟失現象,網御在數據發送端對發送的數據進行自動備份,用戶可根據報警信息有選擇的重傳數據。
◆全面的數據安全控制
以USE(Uniform Security Engine)統一安全引擎為基礎,對單向傳輸的內容進行全文數據還原,對文本內容實施全文深度檢測,并采用自主知識產權病毒引擎、專業病毒特征庫進行病毒查殺,為單向數據傳輸提供了"綠色通道"。
總結
天地前沖,變為虎翼,伏虎將搏,盛其威力,九宮八陣圖之虎翼陣,為古人國家安全提供了保障,今有網御安全隔離產品為你的網絡安全保駕護航。
