维普资讯 http://www.cqvip.com 理 隔 以 物 禺 技术 _-____JI-一 实现网络信息安全 物理隔离的含义是公共网络和专网在物理连线上 是完全隔离的,且没有任何公用的存储信息。 曲江陈英 经过多年建设,目前,我国 在信息化领域已取得了实质性进 展:我国上网人数已达1.44亿, 毒延续了2006年以来的高速增长 势头,金山毒霸截获新增病毒样 本总计lll474种,比去年同期增 长了23%,其中木马病毒新增数 占总病毒新增数的68.7l%,高达 76593种。2007年上半年,全国 例如,2006年l2月27日,某国 家某大型企业的计算机系统被4 次非法入侵,入侵者删除了大量 账户和很多重要文件,严重影响 了信息系统的安全运行和企业的 正常运转。又如,2004年l0月 手机用户达5亿,全国一些关系 国家基础设施的大型信息系统项 目、大型骨干网络都已建设成功, 计算机感染台数759.7万台,与 去年同期相比增长了l2.2%,其 中被感染的计算机遭受过木马病 毒攻击的比例占到91.35%,广 25日江苏省靖江市网站、2004 年l0月24日湖南省通信管理局 网站、2006年2月24日广东江门 应该说我国的信息化建设已取得 了突飞猛进的发展。但另一方面, 新会信息网站、2006年2月 25日湖南湘西自治州网站相 继被黑,直接威胁到我国国家信 息安全。 信息安全问题所引发的事件层出 东、浙江、江苏三省首当其冲。 据不完全统计,我国60%以 上的计算机受到过病毒感染,98% 以上的网站遭遇过黑客攻击。在 不穷,信息安全已成为信息产业 所关注的核心问题之一。 网络安全形势 2007年7月4日,金山软件 利益等相关因素驱使下,有组织、 有目标、有计划的网络安全犯罪 事件时有发生,经济案件尤为突 出,黑客地下产业链已经基本形 对策 目前,黑客和病毒的安全威胁 主要来自Internet,网络威胁主要 公司发布了((2007年上半年中国 电脑病毒疫情及互联网安全报告》。 报告显示,2007年上半年电脑病 来自三个层次:针对物理层主要 是电气攻击、线路侦听、线路破 成,直接威胁企业甚至。 维普资讯 http://www.cqvip.com 坏等;针对网络层主要是拒绝式 在严峻的安全形势下,用户 联网方式下的防护手段,他们追 求的理念都是:世界上任何信息 都是免费的。那么最安全的手段 只有一个:实现物理隔离。就像 服务攻击、IP碎片攻击等;而针 对应用层主要是恶意代码、垃圾 邮件等。 正因为网络信息安全问题已 严重影响到了关系的层 企业特别是部门、金融系统、 科研机构、专网或者专有涉密信 息系统的用户,怎样在充分享受 网络带来的便利和网络共享优势 的前提下,尽可能地把一些不允 《计算机安全杂志》主编Michael Bobbin所说的:“保证一个系统 面,各个国家均采取相关措施来 应对挑战。无论在法律上、技术 上还是管理上都有不断的新策略、 新技术出台。例如,我国已将信 息安全列入国家重点基础研究发 展规划,成为国家“十一五”计 划、“863”计划和国家自然科学 基金重点支持发展的领域。 针对攻击,目前的防范技术 主要包括访问控制技术、安全网 关技术、防火墙技术、安全路由 技术、安全交换机技术、入侵检 测技术、病毒防治技术以及隔离 技术等。 如何以物理隔离技术 实现网络信息安全 尽管防护技术品种多样并且 日趋成熟,但是攻击手段也是日 新月异,不断发展,从攻击自动 化程度和攻击速度的提高、攻击 工具越来越复杂、发现漏洞越来 越快,到黑客病毒软件越来越高 的防火墙渗透率,让人防不胜防。 从过去单台主机向单台主机的攻 击已经发展到数台主机利用多个 平台或控制的多台“肉鸡”发动 的‘'DDos分布式拒绝服务”的攻 击。 许访问的用户排除在外呢?目前 真正安全的途径只有一个:断开 最有效的方法是实现隔离。因此, 网络,这也许正在成为一个真正 隔离技术应运而生。 的解决方案”。事实上,美国宇航 隔离技术的实现有两种形式: 局对付网络攻击所采取的方法就 逻辑隔离和物理隔离。 是拔掉网线。2000年1月1日, 根据我国制定的《GA 国家保密局曾发布实施《计算机 370—200 l端设备隔离部件安全技 信息系统国际联网保密管理规定》, 术要求》的定义,逻辑隔离的含 明确要求“涉及国家秘密的计算 义是,公共网络和专网在物理上 机信息系统,不得直接或间接地 是有连线的,通过技术手段保证 与国际互联网或其它公共信息网 在逻辑上是隔离的;而物理隔离 络相连,必须实行物理隔离”。该 的含义是公共网络和专网在物理 规定在互联网在我国大发展的初 连线上是完全隔离的,且没有任 期就具有前瞻性地提出上网 何公用的存储信息。 必须“物理隔离”,及时地把 物理隔离是指线路、设备、 网络安全提到一个重要的高度, 存储之间的隔离。物理隔离部件 具有重大意义。 的安全功能应保证被隔离的计算 基于这样的需求,以安全隔离 机资源不能被访问(至少应包括 计算机、物理安全隔离卡、隔离 硬盘、软盘和光盘),计算机数据 集线器、物理安全隔离网闸为代 不能被重用(至少应包括内存)。 表产品的物理隔离技术产生了, 针对这两种隔离方式,产生 成为安全防护的生力军。 了四种解决方案:设置软件、硬 以物理隔离卡技术 件防火墙;根据子网掩码或者交 实现物理隔离 换机的VLAN技术划分子网;专 门将敏感部门和关键用户划分到 物理安全隔离卡是安全隔离技 单独的子网或网段中。采用网络 术中起步较早的产品之一。隔离 隔离系统对敏感部门和关键用户 卡是物理隔离的低级实现形式, 进行网络隔离。 一个隔离卡只能管一台个人计算 就黑客来说,无论采用什么 机,甚至只能在Windows环境下 … 系嘴 诱2008.2 51 维普资讯 http://www.cqvip.com
工作,每次切换都需要开关机一 次。隔离卡的功能即是以物理方 式将一台PC虚拟为两台电脑,实 设备。其实这类设备与集线器、 交换机一样,只不过它的端口要 统,专网连接着各级的信息 系统,在、内网、专网之间 交换信息是基本要求。如何在保 划分成三个部分,分别用于连接 终端主机、内部网络和外部网络。 所以一台隔离集线器的实际终端 连接能力仅为总端口数1/3,如一 现双重状态,两个状态是完全隔 离的,通过手动开关或者电气开 关切换网络布线状态,使电脑可 证内网和专网资源安全的前提下, 实现从民众到的网络畅通、 资源共享是电子政务系统建设中 在完全安全状态下连接内网和外 网。 实际上,隔离卡是安装在计 算机上的一块硬件插卡,设置在 PC中最低的物理层上,通过双 (单)硬盘和双操作系统来分时访 问内、络。它通过控制内、 的硬盘电源、网线实现网络 间的选择和切换,达到内外物理 隔离的目的。这与采用完全 的设备、存储和线路来访问不同 网络的完全隔离方式相比,节省 了投资,也方便了网络应用。 通过隔离卡,PC机硬盘在物 理上分隔成公共区和非公共区两 个区域,各装有的操作系统 和应用软件。在任何时候,数据 只能通往一个分区。 以隔离集线器 实现物理隔离 隔离卡只能对一个终端进行 隔离保护,但是网络中可能有多 个终端同时需要隔离保护,如果 分别采取隔离卡方式连接内, 机构的网络布线会非常多,网络 结构也将非常复杂。隔离集线器 是一种能够对所有需要隔离保护 的终端集中进行内、连接的 52 个24口的隔离集线器,最多只能 连接8个终端用户。 隔离集线器需要与用户端的 物理隔离产品结合起来应用,即 在用户端的内外双网的布线上使 用一条网络线来通过远端切换连 接内外双网。 不难看出,这种物理隔离实 质上隔离的是客户计算机,将每 个客户计算机隔离成两个系 统,来达到隔离网络的目的。这 种产品虽可以实现物理隔离,但 却缺乏实时通信机制,内、 之间需要交换数据时必须通过文 件的形式存储到公共区域。 以物理隔离网闸技术 实现物理隔离 安全隔离网闸技术“AirGap”, 最早出现在美国、以色列等国家 的军方中,用以解决涉密网络与 公共网络连接时的安全问题。 近年来,我国信息化建设迅 猛发展,电子商务、电子政务应 运而生。特别是电子政务,它与 国家和个人的利益密切相关。在 我国的电子政务系统建设中,外 部网络连接着广大民众,内部网 络连接着公务员桌面办公系 必须解决的技术问题。而传统物 理安全隔离卡技术虽然确保了网 络的安全性,却因缺乏信息交换 机制造成的局限性,对网络连通 性的支持率较低,往往会形成信 息流通不畅的“孤岛”,从而 了应用的发展。因此,隔离网闸 技术成为物理隔离技术的发展趋 势。 安全隔离网闸是一种带有多种 控制的专用硬件,是在电路上切 断网络之间的链路及协议连接, 并能够在网络间进行安全适度的 应用数据交换的网络安全设备。 由于在安全隔离网闸所连接的 两个主机系统之间不存在通 信的物理连接、逻辑连接、信息 传输命令、信息传输协议,不存 在依据协议的信息包转发,只有 数据文件的无协议“摆渡”,且对 中间固态存储介质只有“读”和 “写”两个命令,所以,安全隔离 网闸从物理上阻断了具有潜在攻 击可能的一切连接,使’“黑客” 无法入侵、无法攻击、无法破坏, 实现了真正的安全保护。 安全隔离网闸的特点有: o真正的物理隔离; o抗攻击内核; 维普资讯 http://www.cqvip.com 0完全支持所有Internet标准; 该方案属于混合隔离模式, 是用户需要访问内部网和Internet 0支持身份认证; 采用的隔离设备是物理安全隔离 之类的,同时要确保内部网 0网络访问控制功能; 卡和隔离集线器。该方案适用于 的绝对安全。网络拓扑图如图3 0日志和审计功能。 桌面信息点为单网线布线环境下 所示。 物理隔离的配置方案 的物理隔离,采用该方案的原因 4、主机—信道多网隔离解 根据具体的网络环境,网络 设备厂商开发了各种各样的物理 隔离设备,如物理安全隔离卡、 隔离集线器和网闸。它们分别应 用于以下几种方案中。 1、机隔离解决方案 该方案属于终端隔离解决方 物 案,所采用的隔离产品是物理安 全隔离卡。该方案适用于内、外 网均直接布线到桌面信息点的双 网布线环境,用户需要在访问In- ternet之类的同时确保内部网 的绝对安全。该方案适用于安全 Int ̄mot 级别高的客户端电脑,可广泛应 图l机隔离解决方案 用于电子政务、电子商务中涉密 网络的安全保护。网络拓扑图如 图l所示。 2、道隔离解决方案 该方案属于信道隔离解决方 案,所采用的隔离产品是隔离集 线器、物理安全隔离卡。该方案 适用于单网布线环境下,终端PC 不存储涉密信息,用户需要访问 内部网和Internet时要确保内网中 各类数据库的绝对安全这种情况, 主要应用于金融机构、科研院所。 网络拓扑图如图2所示。 外晦 3、主机—信息双网隔离解 决方案 图2道隔离解决方案 蓐霉 旃电 话2008.2 53 维普资讯 http://www.cqvip.com 决方案 该方案与上一方案其实差不 多,只不过此处隔离的不仅是两 个网络,而可能还有第三、第四 个网络。所采用的设备同样是物 理安全隔离卡、隔离集线器和网 闸三种。该方案适用于对涉密网 络的最高安全的要求,可用于已 经建有多个网络的部门。网络拓 扑图如图4所示。 总之,物理隔离技术是保障 网络信息安全的一种策略和方法, 但它并不是要替代防火墙、入侵 检测、安全路由器、防病毒系统 等传统安全防护策略,相反它是 计算机用户“深度防御”安全策 略的另一块坚石。它与其他防护 策略一起构筑了组织安全的防护 屏障,它对涉密关键网络或者信 息系统起到了核心保护功能。防 火墙技术的思路是在保障网络互 联互通的前提下,尽可能安全; 而物理隔离技术的思路是在必须 保障安全的前提下尽可能互联互 通,如果不安全,那么立刻彻底 断开网络。 就一项技术而言,物理隔离 技术同样需要不断地完善和发展。 未来的物理隔离技术应该具有一 些更完善的功能,包括具有内网 客户端防下载功能,具有网络安 全状态自动检测和核心用户强访 问控制和身份认证功能,以及用 户进出内网时进行完善日志 记录和强审计功能等等。 图3 主机一信息双网隔离解决方案 专有涉密娴络 内部l堪络 图4主机一信道多网隔离解决方案 最后要指出的是:“三分技 全策略,因为实践表明:真正网 术、七分管理。”真正要保证信息 络安全事件以及涉密信息泄露, 的机密性、完整性和可靠性,更 8O%来自内网人员。(作者单位: 需要完善的管理措施和相关的安 中国地质大学研究生院)
