本期的主要内容是「网络隔离技术产生的背景」和「光闸出现前网络隔离技术的三个阶段」。

一、 网络隔离技术产生背景

2002年的中国互联网络发展状况统计报告显示,当年有超过六成的中国互联网用户的计算机曾被入侵过。而当时国家保密局数字也表明,防火墙的攻破率高达47%。网络系统遭受入侵和攻击,不仅造成巨大的经济损失,严重地甚至会危及国家的安全和社会的稳定;而且,随着网络攻击方式和黑客技术的不断提高,网络攻击与病毒结合的趋向明显,对安全措施的提高与丰富提出了更多更高的要求。

面对这种状况,国家有关部门纷纷发文,要求对网络进行隔离。根据我国2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条的规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。各级政府机关和高安全级别单位,必须将已建成的办公局域网同Internet或上一级专网实行物理隔离,正在建设的电子政务网络必须实现物理隔离

各级政府、金融、电力等重要部门按照保密规定,对计算机和计算机网络的管理采用了多自治域、多组织域的模式,把计算机网络甚至是计算机主机划分为不同安全等级的管理域。为保证关键域内信息的机密性,这些域内的计算机网络严禁与非信任域的网络进行连接,甚至是同一安全等级下的内部网络也进行了划分和隔离,这样就在部门内部、部门之间以及部门与外界间形成了多个域间的“信息孤岛"。

“信息孤岛”的形成,对“孤岛”上信息的机密性的保护起到了积极的作用,但是在信息化高度发达的今天,这种保护模式严重的阻碍了各信任域间信息的交互;另一方面,在这种模式下,共享数据要求分别存储到多个自治域中,多备份的状况为数据维护带来了极大的不便,同时也很难满足用户对数据共享的要求。

“信息孤岛"模式根本不能满足信息的实时交互,从而限制了实时业务的正常开展。这种模式十分低效,不能满足用户信息交互要求。

在网络时代,信息总是要交互的,彻底物理隔离不是解决网络安全最好的办法。为了达到既能隔离又能进行安全的数据交换的目的,人们开始寻求一种全新、简洁的网络安全技术,要求其能在保证安全的情况下进行数据传输一一这就是所谓的网络隔离技术。

二、光闸出现前网络隔离技术的三个阶段

从物理隔离到网络隔离,大致经历了如下三个阶段的发展。

第一阶段:断开

此方法使得网络处于“信息孤岛"状态。要做到完全的物理隔离,需要至少两套网络和系统,分别联接内外两个网络。两个网络间信息交互的方式只能通过原始的人工拷盘。

这种方式投资成本高、网络设置复杂、维护难度大。一旦出现问题,会对效率要求较高的部门产生很大影响。信息交流的不畅给维护和使用都带来了极大不便。

虽然这种隔离方法严重影响了用户间的交互性,但它的安全性最高,因而目前存有最高安全级别信息的诸多单位及部门仍在使用。

第二阶段:硬件卡隔离

即在客户端增加一块硬件卡,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板,通过该卡能控制客户端硬盘或其他存储设备,选择该卡上不同的网络接囗即可访问不同网络下的存储(硬盘)。

第三阶段: 网络隔离

网络隔离经历了简单的协议隔离到安全通道隔离的发展。安全通道技术采用专用通信硬件和专有安全协议等安全机制,实现内外部网络的隔离和数据交换,弥补了以前隔离技术的缺陷,在有效隔离内外部网络的同时,又高效地实现了两个网络间数据的安全交换,并透明支持常见的网络应用。

剖析1:什么是网络隔离系统架构?

不同安全等级的两个或多个信任域在不相连、不互通的条件下,可借助网络隔离设备实现数据的安全可控交换。网络隔离设备是软硬件一体的集成产品,其体系架构采用三层结构:高安全域服务器(高安全域单元)、控制单元、低安全域服务器(低安全域单元)。通常,网络隔离系统的架构如图1所示:

1、当高安全域与低安全域无信息交换时,控制单元、低安全域单元和高安全域单元完全断开,三者之间不存在逻辑连接。

2、当高安全域有数据要传输到低安全域时,高安全域单元向控制单元(专用数据迁移模块)发起请求并连通,高安全域单元将经过协议剥离后的数据文件写入控制单元---此时低安全域单元与控制单元是断开的。数据传输完毕,高安全域单元与控制单元断开,然后控制单元连通低安全域单元,将数据文件读到低安全域单元,再与低安全域单元断开,最后低安全域单元对数据文件进行协议重组后封包转发出去。数据反向传输原理是类似的可逆过程。

剖析2:隔离技术通过什么实现方式?

隔离技术主要有如下两种实现方式:

1、摆渡型

采用多主机系统,连接高安全域与低安全域的主机内装有物理或电子方式的切换开关,确保两个网络间在同一时刻没有通畅的链路,依靠软件控制在两个网络间实现文件转存。

2、通讯重构型

采用多主机系统,连接高安全域与低安全域的主机使用专有通信协议进行通讯,从而实现内外部网络的隔离和数据交换,两个网络的主机实时捕获丶分析网络中的数据包,并进行重新封装,此基础上实现安全审查与访问控制。该种隔离技术较好地解决了实时通信的问题。


上一期《光闸的前世今生(系列一)》,从宏观的角度进行剖析,讲述了光闸从“信息孤岛”到隔离交换的演变历程。

本期《光闸的前世今生(系列二)》将从国外和国内两个维度,分别对「光闸出现前的安全隔离产品发展史」进行介绍。

一、 安全隔离概念及产品的出现

安全隔离概念及产品最早出现在国外。

  • 上世纪90年代中期俄罗斯人Ry Jones首先提出“AirGap”隔离概念;

  • 其后,以色列首先研制成功物理隔离卡,实现网络之间的安全隔离;

  • 接着,美国WhaleCommunications公司和以色列SpearHead公司又先后推出了e-Gap和NetGap产品,利用专有硬件实现两个网络在不连通的情况下数据的安全交换和资源共享,从而使网络隔离从单纯实现“网络隔离禁止交换”的安全隔离发展到“安全隔离和可靠交换”的安全隔离。

目前,美国较多重要政府部门均采用隔离产品保障信息安全。

二、我国的安全隔离技术及产品的发展

我国的安全隔离技术及产品的发展也经历了类似过程。从最早的完全物理隔离到隔离卡,再到以网闸为代表的网络隔离系统,整个发展和完善的过程中,对应的各类安全隔离产品标准、安全评估标准也得到了全面推广及完善。

1. 网络隔离阶段的产品

我国最早对网络隔离的规定为“不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离”,这个阶段即为物理隔离阶段。这个阶段数据交互自然要依靠原始的人工拷盘来实现。事实上在后来的具体应用中,不同机构有不同的理解和实施,因此物理隔离这一概念没有统一的标准和最终的定论。

2. 隔离卡

隔离卡是一个基于PCI的硬插卡,一般分为单网囗隔离卡双网囗隔离卡两种。

1)单网囗隔离卡的高安全域与低安全域络利用同一个网络接囗,需要结合隔离交换机等配套设施来隔离两个网络,简化了用户终端到交换机之间的布线。

2)双网囗隔离卡上一般有三个电源接囗,分别与主机电源、高安全域硬盘电源接囗和低安全域硬盘电源接囗相连接。两个网络的硬盘各自安装独立的操作系统,分别与高安全域或低安全域相对应,在同一时间内只有一个硬盘供电并与相应的网络接通,另外一个硬盘不供电,其网络也为断开状态,从而实现两个网络的隔离。

隔离卡不依赖于操作系统,用户可根据需要进行内部网和外部网之间的转换。

3. 以网闸为代表的网络隔离产品

网络隔离产品依据底层传输介质不同可以分为基于SCSI型和基于总线型两种。

1)基于SCSI的网络隔离技术是目前比较成熟的网络隔离技术之一,SCSI是一个外设读写协议。

外设协议是一个主从的单向协议,外设设备仅仅是一个介质目标,不具备逻辑执行功能.主机写入数据,但并不知道是否正确,需要再读出写入数据,通过比较来确认写入是否正确SCSI本身这套外设读写机制保证了读写数据的可靠性,这与通信协议的可靠性保证在机制上完全不同。通信协议的可靠性保证是通过对方的确认信息来完成的。

2)基于总线的网络隔离技术源于并行计算,多个并行的计算机要共享和交换各自内存的数据。

这种技术采用双端囗静态存储器(DualPOSRAM),配合基于独立的CPLD的控制电路,以实现在两个端囗上的开关,双端囗各自通过开关连接到独立的计算机主机上,CPLD作为独立的控制电路,确保双端囗静态存储器的每一个端囗上存在一个开关,两个开关不能同时闭合,“网闸”名称也是根据此特点得来,通过开关放行或截断数据,通俗地讲就是起到一个“闸”的作用。

网络隔离为信任域提供了更高安全等级的保护。为规范各类网络隔离产品,我国相继提出了多个此类产品研发及测试的标准,这些标准其实也成为了各厂商进行产品开发的主要需求依据。


前两期我们向大家介绍了网络隔离技术产生的背景、网络隔离技术历经的三个阶段以及光闸出现前的安全隔离产品发展史。本期让我们一起探索光闸是如何产生的及其使用价值。

光闸的产生背景

以防火墙为核心的网络边界防御体系只能够满足信息化建设的一般性安全需求,而在此安全基础上集成了网络隔离设备的系统亦仅可满足一般内部网络的数据交换。

对于拥有最高安全级别信息系统的保护,依旧需要一个能够完全保证安全性的可靠系统。对于此类需求,数据信息的安全性排在绝对的第一位,任何存在微小安全隐患的系统都需要被排除,即使继续沿用人工拷盘。因此,从绝对保证安全性的角度进行产品设计,才是根本的出发点。

实际应用中,某些企事业单位的重要业务系统都处于最高安全级别网络中,而业务系统需要的基础数据却来自外部业务网络,甚至互联网络。为解决这一难题,以往通常的做法是人工定时通过移动介质拷贝文件,即人工拷盘。

以拷贝文件的方式导入数据,既增加了工作量,也增加了出现误操作的可能性。同时移动介质还极可能会带来病毒入侵或信息泄漏的危害,而且不方便、不灵活、效率低。

在人工拷盘之后,又出现了光盘摆渡机。摆渡机由源数据导出服务器、光盘摆渡机、目标数据导入服务器三部分组成。利用机械臂将光盘在两个刻录服务器之间摆渡,将数据传到对方。用机械臂虽然可以节省人工,但仍是以“拷盘”的方式传输数据,原来拷盘存在的问题并没有得到解决,而且还带来了产品生命周期短、性价比低、光盘消耗严重等问题。

完全的物理断开造成了应用与数据的脱节,影响了政府的行政效率和全面信息化,因此两个或多个网络间,在确保物理隔离的情况下,进行数据传输,为了实用性必须做到尽可能地“自动”和“便捷”,单向导入产品应运而生

按照物理结构进行划分,市面上的单向导入产品可以分为两类,一类是采用分光器,另一类是采用SFP光模块。

分光器

分光器会将源端的一份数据同时发给目的端和源端本身,这样可以验证源端发出的文件。但是分光器的物理结构相对复杂,从硬件层面就会导致产品的稳定性大幅度降低,这是软件功能所不能弥补的。因单向导入产品的传输通道没有回馈信息,所以对产品的稳定性要求非常高,以免发生数据丢失的情况。

SFP光模块

发光模块和收光模块之间通过单根光纤相连接。利用光单向传输的特性,数据只能从发送端传输到接收端,没有任何回路。物理结构很简单,但是稳定性极高,可以解决分光器稳定性差的问题。对于传输文件的验证,可以通过软件功能来实现。对于用户而言使用SFP光模块结构的单向导入产品,更利于实际业务的稳定传输。

因目前主流的单向导入产品均采用SFP光模块的物理结构,所以以下篇幅针对此类单向导入产品的技术特点、工作原理及产品价值做分享。

光闸的解决之道

从保证安全性的角度,结合「最高安全级别网络」的普遍应用需求,产生了一个新的系统——光闸系统。光闸系统提供了一种将外网的文件安全传输到内网的单向文件传输功能。

光闸系统基于SFP/SFP+光模块中发光器和收光器分离的技术特点,通过单根光纤将光闸外网处理单元光模块的发光器与内网处理单元光模块的收光器连接,从物理上实现了不同网络间数据的绝对单向传输。

同传统的网闸技术相比,光闸系统的安全性更高一些。只能从低安全域单向传输到高安全域,而高安全域不会有任何数据传输到低安全域,确保不会发生数据泄露。光闸系统原理图如图1所示。

图1 光闸的实现原理

网络的外部单元系统通过单向光闸与网络的内部单元系统“连接”起来,单向光闸将外部单元的TCP/IP协议全部剥离,将原始数据通过存储介质,以单向发送的方式导入到内部单元系统,内部单元系统再将相应的信息发送至真正的使用者或在本地实现备份。

单向光闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。下面以信息流由外网到内网为例,说明通过单向光闸的信息传输过程,如图2所示。

图2 数据传输过程

  • 在内、外网处理单元独立完成网络协议终止、内容检查与日志审计,将符合安全策略的数据内容提交至安全数据交换区等待数据传输。

  • 单向传输单元按照设定的周期由外网处理单元的安全数据交换区将数据内容提取并单向传输至内网处理单元的安全数据下载区。

  • 等待用户的读取或传输至指定的计算机上。

上述整个过程实现了文件从外网到内网的安全单向传输。

光闸的价值

光闸只允许数据从低安全域向高安全域传输,反向则物理断开,从而保证了高安全级别网络的安全性和信息的机密性。

相对于其他产品和方案,光闸能给用户带来如下好处:

1、在最大程度上保证内网数据安全的基础上实现文件的自动传递,且保证绝对不会泄露内网数据,在文件传输的同时保证了网络的物理隔离。

2、内、外网处理单元采用特殊安全电路设计,加SFP光模块,具有极高的稳定性与可靠性。

3、采用单向的传输技术,相对于传统的拷盘方式,最大程度保证了文件传递的实时性。

4、与U盘拷贝的方式相比,更安全。众所周知,目前U盘已经成为病毒传播的重要媒介之一,U盘病毒的传播,对内部网络带来了巨大的安全威胁。

5、与专人负责内外网文件拷贝工作的方式相比,更便捷。对于从外网下载的资料,可以直接转移到内网,省去了联系网络管理员的繁琐步骤。

综上所述

光闸能够有效的实现应用数据在不同的网络间安全、可控、高效的传输,是解决困扰我国企事业单位高安全级别网络与低安全级别网络之间数据传输问题的重要安全产品之一。

光闸使诸多高安全级别网络再也不用被困在信息孤岛了!其不仅解决了内部网络与互联网世界隔绝、孤立的难题,又在提高工作效率的同时,减少了信息安全防范上的人力资源投入。

声明:本文来自安盟股份,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。