問題:
網閘的工作原理是什麼?
解答:
網閘的基本原理是:切斷網絡之間的通用協議連接;將數據包進行分解或重組爲靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼掃描等;確認後的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據。
問題:
什麼是網閘?
解答:
網閘是在兩個不同安全域之間,通過協議轉換的手段,以信息擺渡的方式實現數據交換,且只有被系統明確要求傳輸的信息纔可以通過。其信息流一般爲通用應用服務。注:網閘的“閘”字取自於船閘的意思,在信息擺渡的過程中內外網(上下游)從未發生物理連接,所以網閘產品必須要有至少兩套主機和一個物理隔離部件纔可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品,不符合物理隔離標準。其只是一個包過濾的安全產品,類似防火牆。注:單主機網閘多以單向網閘來掩人耳目。
問題:
隔離網閘是什麼設備?
解答:
隔離網閘是一種由專用硬件在電路上切斷網絡之間的鏈路層連接,能夠在物理隔離的網絡之間進行適度的安全數據交換的網絡安全設備。
問題:
隔離網閘是硬件設備還是軟件設備?
解答:
隔離網閘是由軟件和硬件組成的設備。
問題:
隔離網閘硬件設備是由幾部分組成?
解答:
隔離網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離硬件。
問題:
單向傳輸用單主機網閘可以嗎?
解答:
隔離網閘的組成必須是由物理的三部分組成,所以單主機(包括多處理器)的安全產品並不是網閘產品,無法完成物理隔離任務。其所謂的單向傳輸只是基於數據包的過濾,類似防火牆產品,並不是物理隔離產品。
問題:
爲什麼要使用隔離網閘?
解答:
當用戶的網絡需要保證高強度的安全,同時又與其它不信任網絡進行信息交換的情況下,如果採用物理隔離卡,信息交換的需求將無法滿足;如果採用防火牆,則無法防止內部信息泄漏和外部病毒、***程序的滲入,安全性無法保證。在這種情況下,隔離網閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火牆的不足之處,是物理隔離網絡之間數據交換的最佳選擇。
問題:
政府機關上網計算機爲什麼必須內外網物理隔離?
解答:
在政府建立內部網的工程中,安全保密問題一直是工程建設的重點內容,這是因爲內部網中的信息常常是涉密或內部信息。爲此,國家明確規定涉及國家祕密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接,必須實行物理隔離,以確保國家祕密的安全。
問題:
爲什麼說隔離網閘能夠防止未知和已知******?
解答:
通常見到的***大部分是基於TCP的,***的客戶端和服務器端需要建立連接,而隔離網閘從原理實現上就切斷所有的TCP連接,包括UDP、ICMP等其他各種協議,使各種***無法通過隔離網閘進行通訊。從而可以防止未知和已知的******。
問題:
隔離網閘與防火牆有何不同?
解答:
主要有以下幾點不同:
A、隔離網閘採用雙主機系統,內端機與需要保護的內部網絡連接,外端機與外網連接。這種雙系統模式徹底將內網保護起來,即使外網被******,甚至癱瘓,也無法對內網造成傷害。防火牆是單主機系統。
B、隔離網閘採用自身定義的私有通訊協議,避免了通用協議存在的漏洞。防火牆採用通用通訊協議即TCP/IP協議。
C、隔離網閘採用專用硬件控制技術保證內外網之間沒有實時連接。而防火牆必須保證實時連接。
D、隔離網閘對外網的任何響應都保證是內網合法用戶發出的請求應答,即被動響應,而防火牆則不會對外網響應進行判斷,也即主動響應。這樣,網閘就避免了***和***的***。
問題:
隔離網閘能取代防火牆嗎?
解答:
無論從功能還是實現原理上講,隔離網閘和防火牆是完全不同的兩個產品,防火牆是保證網絡層安全的邊界安全工具(如通常的非軍事化區),而隔離網閘重點是保護內部網絡的安全。因此兩種產品由於定位的不同,因此不能相互取代。
問題:
隔離網閘通常佈置在什麼位置?
解答:
隔離網閘通常佈置在兩個安全級別不同的兩個網絡之間,如信任網絡和非信任網絡,管理員可以從信任網絡一方對安全隔離網閘進行管理。
問題:
隔離網閘是否可以在網絡內部使用?
解答:
可以,網絡內部安全級別不同的兩個網絡之間也可以安裝隔離網閘進行隔離。
問題:
如果對應網絡七層協議,隔離網閘是在哪一層斷開?
解答:
如果針對網絡七層協議,隔離網閘是在硬件鏈路層上斷開。
問題:
有了防火牆和IDS,還需要隔離網閘嗎?
解答:
防火牆是網絡層邊界檢查工具,可以設置規則對內部網絡進行安全防護,而IDS一般是對已知***行爲進行檢測,這兩種產品的結合可以很好的保護用戶的網絡,但是從安全原理上來講,無法對內部網絡做更深入的安全防護。隔離網閘重點是保護內部網絡,如果用戶對內部網絡的安全非常在意,那麼防火牆和IDS再加上隔離網閘將會形成一個很好的防禦體系。
問題:
隔離網閘適用於什麼樣的場合?
解答:
第1種場合:涉密網與非涉密網之間。
第2種場合:局域網與互聯網之間。有些局域網絡,特別是政府辦公網絡,涉及敏感信息,有時需要與互聯網在物理上斷開,用物理隔離網閘是一個常用的辦法。
第3種場合:辦公網與業務網之間
由於辦公網絡與業務網絡的信息敏感程度不同,例如,銀行的辦公網絡和銀行業務網絡就是很典型的信息敏感程度不同的兩類網絡。爲了提高工作效率,辦公網絡有時需要與業務網絡交換信息。爲解決業務網絡的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網絡的物理隔離。
第4種場合:電子政務的內網與專網之間
在電子政務系統建設中,要求政府內網與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
第5種場合:業務網與互聯網之間
電子商務網絡一邊連接着業務網絡服務器,一邊通過互聯網連接着廣大民衆。爲了保障業務網絡服務器的安全,在業務網絡與互聯網之間應實現物理隔離。
網閘的工作原理是什麼?
解答:
網閘的基本原理是:切斷網絡之間的通用協議連接;將數據包進行分解或重組爲靜態數據;對靜態數據進行安全審查,包括網絡協議檢查和代碼掃描等;確認後的安全數據流入內部單元;內部用戶通過嚴格的身份認證機制獲取所需數據。
問題:
什麼是網閘?
解答:
網閘是在兩個不同安全域之間,通過協議轉換的手段,以信息擺渡的方式實現數據交換,且只有被系統明確要求傳輸的信息纔可以通過。其信息流一般爲通用應用服務。注:網閘的“閘”字取自於船閘的意思,在信息擺渡的過程中內外網(上下游)從未發生物理連接,所以網閘產品必須要有至少兩套主機和一個物理隔離部件纔可完成物理隔離任務。現在市場上出現的的單主機網閘或單主機中有兩個及多個處理引擎的過濾產品不是真正的網閘產品,不符合物理隔離標準。其只是一個包過濾的安全產品,類似防火牆。注:單主機網閘多以單向網閘來掩人耳目。
問題:
隔離網閘是什麼設備?
解答:
隔離網閘是一種由專用硬件在電路上切斷網絡之間的鏈路層連接,能夠在物理隔離的網絡之間進行適度的安全數據交換的網絡安全設備。
問題:
隔離網閘是硬件設備還是軟件設備?
解答:
隔離網閘是由軟件和硬件組成的設備。
問題:
隔離網閘硬件設備是由幾部分組成?
解答:
隔離網閘的硬件設備由三部分組成:外部處理單元、內部處理單元、隔離硬件。
問題:
單向傳輸用單主機網閘可以嗎?
解答:
隔離網閘的組成必須是由物理的三部分組成,所以單主機(包括多處理器)的安全產品並不是網閘產品,無法完成物理隔離任務。其所謂的單向傳輸只是基於數據包的過濾,類似防火牆產品,並不是物理隔離產品。
問題:
爲什麼要使用隔離網閘?
解答:
當用戶的網絡需要保證高強度的安全,同時又與其它不信任網絡進行信息交換的情況下,如果採用物理隔離卡,信息交換的需求將無法滿足;如果採用防火牆,則無法防止內部信息泄漏和外部病毒、***程序的滲入,安全性無法保證。在這種情況下,隔離網閘能夠同時滿足這兩個要求,又避免了物理隔離卡和防火牆的不足之處,是物理隔離網絡之間數據交換的最佳選擇。
問題:
政府機關上網計算機爲什麼必須內外網物理隔離?
解答:
在政府建立內部網的工程中,安全保密問題一直是工程建設的重點內容,這是因爲內部網中的信息常常是涉密或內部信息。爲此,國家明確規定涉及國家祕密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相聯接,必須實行物理隔離,以確保國家祕密的安全。
問題:
爲什麼說隔離網閘能夠防止未知和已知******?
解答:
通常見到的***大部分是基於TCP的,***的客戶端和服務器端需要建立連接,而隔離網閘從原理實現上就切斷所有的TCP連接,包括UDP、ICMP等其他各種協議,使各種***無法通過隔離網閘進行通訊。從而可以防止未知和已知的******。
問題:
隔離網閘與防火牆有何不同?
解答:
主要有以下幾點不同:
A、隔離網閘採用雙主機系統,內端機與需要保護的內部網絡連接,外端機與外網連接。這種雙系統模式徹底將內網保護起來,即使外網被******,甚至癱瘓,也無法對內網造成傷害。防火牆是單主機系統。
B、隔離網閘採用自身定義的私有通訊協議,避免了通用協議存在的漏洞。防火牆採用通用通訊協議即TCP/IP協議。
C、隔離網閘採用專用硬件控制技術保證內外網之間沒有實時連接。而防火牆必須保證實時連接。
D、隔離網閘對外網的任何響應都保證是內網合法用戶發出的請求應答,即被動響應,而防火牆則不會對外網響應進行判斷,也即主動響應。這樣,網閘就避免了***和***的***。
問題:
隔離網閘能取代防火牆嗎?
解答:
無論從功能還是實現原理上講,隔離網閘和防火牆是完全不同的兩個產品,防火牆是保證網絡層安全的邊界安全工具(如通常的非軍事化區),而隔離網閘重點是保護內部網絡的安全。因此兩種產品由於定位的不同,因此不能相互取代。
問題:
隔離網閘通常佈置在什麼位置?
解答:
隔離網閘通常佈置在兩個安全級別不同的兩個網絡之間,如信任網絡和非信任網絡,管理員可以從信任網絡一方對安全隔離網閘進行管理。
問題:
隔離網閘是否可以在網絡內部使用?
解答:
可以,網絡內部安全級別不同的兩個網絡之間也可以安裝隔離網閘進行隔離。
問題:
如果對應網絡七層協議,隔離網閘是在哪一層斷開?
解答:
如果針對網絡七層協議,隔離網閘是在硬件鏈路層上斷開。
問題:
有了防火牆和IDS,還需要隔離網閘嗎?
解答:
防火牆是網絡層邊界檢查工具,可以設置規則對內部網絡進行安全防護,而IDS一般是對已知***行爲進行檢測,這兩種產品的結合可以很好的保護用戶的網絡,但是從安全原理上來講,無法對內部網絡做更深入的安全防護。隔離網閘重點是保護內部網絡,如果用戶對內部網絡的安全非常在意,那麼防火牆和IDS再加上隔離網閘將會形成一個很好的防禦體系。
問題:
隔離網閘適用於什麼樣的場合?
解答:
第1種場合:涉密網與非涉密網之間。
第2種場合:局域網與互聯網之間。有些局域網絡,特別是政府辦公網絡,涉及敏感信息,有時需要與互聯網在物理上斷開,用物理隔離網閘是一個常用的辦法。
第3種場合:辦公網與業務網之間
由於辦公網絡與業務網絡的信息敏感程度不同,例如,銀行的辦公網絡和銀行業務網絡就是很典型的信息敏感程度不同的兩類網絡。爲了提高工作效率,辦公網絡有時需要與業務網絡交換信息。爲解決業務網絡的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網絡的物理隔離。
第4種場合:電子政務的內網與專網之間
在電子政務系統建設中,要求政府內網與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
第5種場合:業務網與互聯網之間
電子商務網絡一邊連接着業務網絡服務器,一邊通過互聯網連接着廣大民衆。爲了保障業務網絡服務器的安全,在業務網絡與互聯網之間應實現物理隔離。
FBI/CSI調查報告顯示,計算機***事件正以每年64%的速度增加。這種威脅對我國關鍵領域一直存在,特別是“金盾“、“金審”、“金財”、“金稅”等政務工程的核心政務網(涉密網)、政務專網等核心系統,運行着很多重要涉密信息,網絡與信息的安全性尤爲重要。
目前國家明確規定政府的涉密網絡應與互聯網保持物理隔離,確保信息安全。這樣確實有效避免了來自Internet 的網絡威脅。然而涉密網絡之間如行業內部上下級與不同行業部門之間是相互不信任的關係,當信息流通時就面臨帶來的安全問題;如公安內網中的敏感信息需要流通到檢委內網,同時兩個部門涉密網內部都具有高度的信息敏感資源,相互是不信任關係,再比如工商內網與稅務內網、財政內網與海關內網之間的信息流通都面臨涉密網的安全與互通問題。所以必須採取相應的安全措施來保障涉密內網的安全問題,目前常用以下兩種方法。
用人工拷貝實現隔離下的信息交換
目前,涉密網絡通常與外界實現物理隔離,當涉密網之間需要交換信息時,通常在中間區域設置雙方數據服務器,通過可信人員通過人工拷貝來實現。通過人工拷貝的方式,的確避免了來自不信任網絡的******等威脅,然而也帶來新的問題。首先,人工投入管理開銷比較大,雙方必須投入人員參與數據拷貝工作;其次,人工拷貝實時性較差,無法發揮網絡信息技術帶來的快速的通信便利等優點;最後,由於頻繁使用軟盤或其他存儲介質,增加了病毒和***程序傳播的途徑和機率,帶來新的安全問題。所以該方式無法適應電子政務的發展趨勢。
用防火牆等邏輯機制保護涉密內網的安全
除採用保證物理隔離條件下采用人工拷貝實現信息交換的方式外,另一些部門涉密內網之間採用了防火牆來實現與其他專網之間的邏輯隔離。但防火牆發展到現在仍存在以下弱點。
圖1 單方不信任涉密內網之間安全隔離解決方案
首先防火牆無法抵禦數據驅動式***,即大量合法的數據包導致網絡阻塞而使正常通信癱瘓;其次,防火牆很難阻止由通用協議本身漏洞發起的***;再次,防火牆系統本身的缺陷也是影響內部網絡安全的重要問題;另外,只有正確、合理配置防火牆才能起到本身的安全作用,而配置的複雜爲網管人員帶來煩瑣工作量的同時,也增加了配置不當帶來的隱患。由於目前能攻破防火牆的技術正不斷髮展,所以對於涉密網絡中使用防火牆做屏障是不可靠的防禦手段。
由上面分析可知,第一種解決方案雖實現了物理隔離,但缺乏信息實時機制,而且人員管理開銷較大;第二種方案採用了安全防禦機制不太嚴密的邏輯隔離技術來保護涉密網絡的信息安全,無疑爲數據泄祕和***破壞等提供了可能。故兩者不能算完整的解決方案。而目前漸漸興起的GAP技術可以爲涉密網絡提供可靠的保護,該技術利用專用硬件保證兩個網絡在物理鏈路層斷開的前提下實現數據安全傳輸和資源共享,並能夠顯著提高內部用戶網絡的安全強度。
天行網安GAP技術讓信息隔離並交換着
天行安全隔離網閘(Topwalk-GAP)是由天行網安信息技術有限公司與公安部通信局聯合研製的新一代安全隔離產品,也是GAP技術在國內的代表產品之一。該產品採用自主產權的專用隔離硬件和多個處理單元緊密集成的獨特設計,集成各種安全模塊爲一體,部署於信任網絡與非信任網絡之間,能夠防止並抵禦各種網絡***及***病毒***,並給用戶提供了文件傳輸與數據庫交換、收發郵件和瀏覽網頁等多種信息交換方式。它通常部署於信任與非信任網絡之間的核心內部網絡之間,採用GAP(安全隔離)技術、協議轉換、安全操作系統內核技術、內核的***檢測技術、病毒掃描技術以及安全P&P(Pull and Push)等安全技術,杜絕有害信息,組成網絡之間數據交換的安全通道。該隔離網閘主要提供了以下功能模塊以及根據用戶特殊要求的定製模塊。
單方信任涉密網絡隔離解決方案
在同行業部門上下級涉密網常要面臨信息流通的問題,在這種情況下通常具備下級信任上級、上級的信息敏感度比下級要高等特點,即不同信任級別的涉密網要進行信息交換,可以參考以下解決方案。
圖2 涉密網絡之間信息交換示意圖
如圖2所示,左邊方框內表示信任部門的涉密內網,通常爲中央、部委、省級機關等重要部門的核心內部網絡,在涉密內網通常運行關係國家機密、政府和經濟敏感信息等資源,所以對安全性要求很高。而這些部門內網需要通過專網同地方、下級相應部門的涉密內網進行信息共享與交換。在這種情況下,通常是上級安全性高於下級,中央政府高於地方政府的單方信任關係,可採用上述單方信任涉密網之間安全解決方案。該方案將隔離網閘設在可信任端,所有請求從信任端發起,確保了信任涉密網的安全性。同時隔離網閘爲用戶提供了多種功能模塊,實現了靈活方便的如公文交換、郵件收發、數據庫共享等功能,從而滿足如部門上下級等不同涉密網絡之間的信息共享需求。
雙方不信任涉密網隔離解決方案
在電子政務的應用中,常常遇到不同行業的網絡之間信息交換的問題。由於兩個行業部門都有各自的信息管理系統和人員管理體制,所以仍應在保證雙方涉密網的高度安全下實現適度信息交換。如圖3所示,A部門涉密內網和B部門涉密內網都屬於對安全高敏感區域,通常要求與外網安全隔離。由於涉密內網之間需要適度交換信息,所以應爲雙方設置數據中間區域。中間區域與兩邊涉密內網通過安全隔離網閘來實現隔離下的信息交換。
如此配置安全隔離網閘基於以下幾點:安全隔離網閘採取了安全的數據P&P(Pull and Push)技術,所有請求由內網(即信任網絡端)發起,外部處理單元不提供任何服務。所以建議設中間隔離區域提供文件、郵件和數據庫的服務器,負責接受雙方提交的數據,然後再由涉密網內部主動請求從中間隔離區域提取所需要的數據。這樣保證用戶提交數據或提取數據都由雙方可信任方主動發起,在加上安全隔離網閘所採用的訪問控制和身份驗證機制,確保了雙方交換數據信息時的安全性和可靠性,同時保證了信息流通的實時性和易操作性。
GAP技術信息交換有優勢
上述兩套方案通過採用天行安全隔離網閘(Topwalk-GAP)作爲涉密網絡之間的隔離屏障,該產品通過不同涉密網絡之間物理鏈路層斷開以得到高度安全,並滿足了相互之間進行多種形式的信息交換。
與人工拷貝相比具備的優勢具有以下優勢:
交換方式靈活多樣
GAP技術提供了文件交換、數據庫交換以及郵件收發等多種安全數據交換手段。如果人工拷貝只能通過軟盤或其他移動存儲介質實現文件間的拷貝,當文件過多或過大時,難以滿足需求,或者在大型關係數據庫間表格或記錄傳遞時無法實現。
信息交換及時
該產品硬件內部數據交換速率達到819.2Mbps,系統數據交換速率達到120Mbps,硬件切換時間只有5ms,最大併發連接數更是突破了目前國內最多1500個的限制,達到了5000以上,可保證內外網的信息交換在較短的時間完成,可以滿足大部分政府辦公對信息交換的需求,而人工拷貝則耗時較多。
具有病毒和關鍵字內容過濾功能
人工拷貝需要採用軟盤等移動存儲介質,往往成爲病毒或***程序傳播的途徑,同時也不易於集中管理控制。採用隔離網閘時,交換的文件或數據會被進行病毒或關鍵字內容檢測,大大降低了由病毒或無意泄露信息帶來的安全風險。
圖3 雙方不信任涉密內網之間安全隔離解決方案
GAP技術與防火牆等產品相比,該產品具備的需求以下的優勢:
比防火牆安全強度更高和更可靠
防火牆採用在網絡層上的邏輯隔離機制,即主要通過軟件策略來實現,由於在網絡層是相通的,所以很難終結有經驗的***。基於GAP技術的天行安全隔離網閘實現了涉密網與外界基於鏈路層的安全隔離,使得***基於網絡協議的***無效,這樣不但消除了通用協議漏洞給涉密內網帶來的威脅,同時也使內部的系統與軟件後門與漏洞不會被外部利用。
有效阻止DOS網絡***
由於防火牆通常建立在TCP/IP協議的通路上,需要提供對外服務,而拒絕服務***(DOS),就是利用TCP/IP協議的缺陷,對於隔離網閘外部處理單元不需要運行任何服務器程序,並保證了與內網不存在TCP/IP協議通路,不接受來自外部任何主機的發起連接(TCP SYN),這樣外部主機對於因特網來說就像被隱藏了一樣,有效保證了隔離網閘本身和內網的安全性。
防配置錯誤引起的網絡隱患
我們知道,防火牆是由一系列的規則組成,使用該規則對於進出的網絡包進行檢查,通常情況下,防火牆都比較安全,但是也有可能出現配置錯誤,造成不安全通道打開,這樣就有可能被***所利用。而隔離網閘僅允許定製的信息進行交換,即使出現錯誤,也至多是數據不再傳輸,而不會爲***打開安全之門。
避免操作系統和軟件的不斷升級
通常防火牆只能防止網絡層的***,對於操作系統和軟件出現的安全問題並不能提供一個很好的防護方式,很多采用防火牆的用戶仍然受到“Nimda”病毒困擾就是一個很好的例證,用戶使用了防火牆仍然得不斷地升級自己的操作系統和瀏覽器,以避免由於這些問題導致系統被***。而隔離網閘由於在鏈路層斷開,禁止所有的直接網絡連接,因此可以有效保證內部系統的安全,避免了用戶繁雜的升級工作。
目前國家明確規定政府的涉密網絡應與互聯網保持物理隔離,確保信息安全。這樣確實有效避免了來自Internet 的網絡威脅。然而涉密網絡之間如行業內部上下級與不同行業部門之間是相互不信任的關係,當信息流通時就面臨帶來的安全問題;如公安內網中的敏感信息需要流通到檢委內網,同時兩個部門涉密網內部都具有高度的信息敏感資源,相互是不信任關係,再比如工商內網與稅務內網、財政內網與海關內網之間的信息流通都面臨涉密網的安全與互通問題。所以必須採取相應的安全措施來保障涉密內網的安全問題,目前常用以下兩種方法。
用人工拷貝實現隔離下的信息交換
目前,涉密網絡通常與外界實現物理隔離,當涉密網之間需要交換信息時,通常在中間區域設置雙方數據服務器,通過可信人員通過人工拷貝來實現。通過人工拷貝的方式,的確避免了來自不信任網絡的******等威脅,然而也帶來新的問題。首先,人工投入管理開銷比較大,雙方必須投入人員參與數據拷貝工作;其次,人工拷貝實時性較差,無法發揮網絡信息技術帶來的快速的通信便利等優點;最後,由於頻繁使用軟盤或其他存儲介質,增加了病毒和***程序傳播的途徑和機率,帶來新的安全問題。所以該方式無法適應電子政務的發展趨勢。
用防火牆等邏輯機制保護涉密內網的安全
除採用保證物理隔離條件下采用人工拷貝實現信息交換的方式外,另一些部門涉密內網之間採用了防火牆來實現與其他專網之間的邏輯隔離。但防火牆發展到現在仍存在以下弱點。
圖1 單方不信任涉密內網之間安全隔離解決方案
首先防火牆無法抵禦數據驅動式***,即大量合法的數據包導致網絡阻塞而使正常通信癱瘓;其次,防火牆很難阻止由通用協議本身漏洞發起的***;再次,防火牆系統本身的缺陷也是影響內部網絡安全的重要問題;另外,只有正確、合理配置防火牆才能起到本身的安全作用,而配置的複雜爲網管人員帶來煩瑣工作量的同時,也增加了配置不當帶來的隱患。由於目前能攻破防火牆的技術正不斷髮展,所以對於涉密網絡中使用防火牆做屏障是不可靠的防禦手段。
由上面分析可知,第一種解決方案雖實現了物理隔離,但缺乏信息實時機制,而且人員管理開銷較大;第二種方案採用了安全防禦機制不太嚴密的邏輯隔離技術來保護涉密網絡的信息安全,無疑爲數據泄祕和***破壞等提供了可能。故兩者不能算完整的解決方案。而目前漸漸興起的GAP技術可以爲涉密網絡提供可靠的保護,該技術利用專用硬件保證兩個網絡在物理鏈路層斷開的前提下實現數據安全傳輸和資源共享,並能夠顯著提高內部用戶網絡的安全強度。
天行網安GAP技術讓信息隔離並交換着
天行安全隔離網閘(Topwalk-GAP)是由天行網安信息技術有限公司與公安部通信局聯合研製的新一代安全隔離產品,也是GAP技術在國內的代表產品之一。該產品採用自主產權的專用隔離硬件和多個處理單元緊密集成的獨特設計,集成各種安全模塊爲一體,部署於信任網絡與非信任網絡之間,能夠防止並抵禦各種網絡***及***病毒***,並給用戶提供了文件傳輸與數據庫交換、收發郵件和瀏覽網頁等多種信息交換方式。它通常部署於信任與非信任網絡之間的核心內部網絡之間,採用GAP(安全隔離)技術、協議轉換、安全操作系統內核技術、內核的***檢測技術、病毒掃描技術以及安全P&P(Pull and Push)等安全技術,杜絕有害信息,組成網絡之間數據交換的安全通道。該隔離網閘主要提供了以下功能模塊以及根據用戶特殊要求的定製模塊。
單方信任涉密網絡隔離解決方案
在同行業部門上下級涉密網常要面臨信息流通的問題,在這種情況下通常具備下級信任上級、上級的信息敏感度比下級要高等特點,即不同信任級別的涉密網要進行信息交換,可以參考以下解決方案。
圖2 涉密網絡之間信息交換示意圖
如圖2所示,左邊方框內表示信任部門的涉密內網,通常爲中央、部委、省級機關等重要部門的核心內部網絡,在涉密內網通常運行關係國家機密、政府和經濟敏感信息等資源,所以對安全性要求很高。而這些部門內網需要通過專網同地方、下級相應部門的涉密內網進行信息共享與交換。在這種情況下,通常是上級安全性高於下級,中央政府高於地方政府的單方信任關係,可採用上述單方信任涉密網之間安全解決方案。該方案將隔離網閘設在可信任端,所有請求從信任端發起,確保了信任涉密網的安全性。同時隔離網閘爲用戶提供了多種功能模塊,實現了靈活方便的如公文交換、郵件收發、數據庫共享等功能,從而滿足如部門上下級等不同涉密網絡之間的信息共享需求。
雙方不信任涉密網隔離解決方案
在電子政務的應用中,常常遇到不同行業的網絡之間信息交換的問題。由於兩個行業部門都有各自的信息管理系統和人員管理體制,所以仍應在保證雙方涉密網的高度安全下實現適度信息交換。如圖3所示,A部門涉密內網和B部門涉密內網都屬於對安全高敏感區域,通常要求與外網安全隔離。由於涉密內網之間需要適度交換信息,所以應爲雙方設置數據中間區域。中間區域與兩邊涉密內網通過安全隔離網閘來實現隔離下的信息交換。
如此配置安全隔離網閘基於以下幾點:安全隔離網閘採取了安全的數據P&P(Pull and Push)技術,所有請求由內網(即信任網絡端)發起,外部處理單元不提供任何服務。所以建議設中間隔離區域提供文件、郵件和數據庫的服務器,負責接受雙方提交的數據,然後再由涉密網內部主動請求從中間隔離區域提取所需要的數據。這樣保證用戶提交數據或提取數據都由雙方可信任方主動發起,在加上安全隔離網閘所採用的訪問控制和身份驗證機制,確保了雙方交換數據信息時的安全性和可靠性,同時保證了信息流通的實時性和易操作性。
GAP技術信息交換有優勢
上述兩套方案通過採用天行安全隔離網閘(Topwalk-GAP)作爲涉密網絡之間的隔離屏障,該產品通過不同涉密網絡之間物理鏈路層斷開以得到高度安全,並滿足了相互之間進行多種形式的信息交換。
與人工拷貝相比具備的優勢具有以下優勢:
交換方式靈活多樣
GAP技術提供了文件交換、數據庫交換以及郵件收發等多種安全數據交換手段。如果人工拷貝只能通過軟盤或其他移動存儲介質實現文件間的拷貝,當文件過多或過大時,難以滿足需求,或者在大型關係數據庫間表格或記錄傳遞時無法實現。
信息交換及時
該產品硬件內部數據交換速率達到819.2Mbps,系統數據交換速率達到120Mbps,硬件切換時間只有5ms,最大併發連接數更是突破了目前國內最多1500個的限制,達到了5000以上,可保證內外網的信息交換在較短的時間完成,可以滿足大部分政府辦公對信息交換的需求,而人工拷貝則耗時較多。
具有病毒和關鍵字內容過濾功能
人工拷貝需要採用軟盤等移動存儲介質,往往成爲病毒或***程序傳播的途徑,同時也不易於集中管理控制。採用隔離網閘時,交換的文件或數據會被進行病毒或關鍵字內容檢測,大大降低了由病毒或無意泄露信息帶來的安全風險。
圖3 雙方不信任涉密內網之間安全隔離解決方案
GAP技術與防火牆等產品相比,該產品具備的需求以下的優勢:
比防火牆安全強度更高和更可靠
防火牆採用在網絡層上的邏輯隔離機制,即主要通過軟件策略來實現,由於在網絡層是相通的,所以很難終結有經驗的***。基於GAP技術的天行安全隔離網閘實現了涉密網與外界基於鏈路層的安全隔離,使得***基於網絡協議的***無效,這樣不但消除了通用協議漏洞給涉密內網帶來的威脅,同時也使內部的系統與軟件後門與漏洞不會被外部利用。
有效阻止DOS網絡***
由於防火牆通常建立在TCP/IP協議的通路上,需要提供對外服務,而拒絕服務***(DOS),就是利用TCP/IP協議的缺陷,對於隔離網閘外部處理單元不需要運行任何服務器程序,並保證了與內網不存在TCP/IP協議通路,不接受來自外部任何主機的發起連接(TCP SYN),這樣外部主機對於因特網來說就像被隱藏了一樣,有效保證了隔離網閘本身和內網的安全性。
防配置錯誤引起的網絡隱患
我們知道,防火牆是由一系列的規則組成,使用該規則對於進出的網絡包進行檢查,通常情況下,防火牆都比較安全,但是也有可能出現配置錯誤,造成不安全通道打開,這樣就有可能被***所利用。而隔離網閘僅允許定製的信息進行交換,即使出現錯誤,也至多是數據不再傳輸,而不會爲***打開安全之門。
避免操作系統和軟件的不斷升級
通常防火牆只能防止網絡層的***,對於操作系統和軟件出現的安全問題並不能提供一個很好的防護方式,很多采用防火牆的用戶仍然受到“Nimda”病毒困擾就是一個很好的例證,用戶使用了防火牆仍然得不斷地升級自己的操作系統和瀏覽器,以避免由於這些問題導致系統被***。而隔離網閘由於在鏈路層斷開,禁止所有的直接網絡連接,因此可以有效保證內部系統的安全,避免了用戶繁雜的升級工作。