某银行的总行下设多个分行,分行除了通过网络与总行进行业务往来以外,分行的员工还需要通过总行专线直接登录Internet,频繁地登录Internet会诱发各种安全隐患。在未实行物理隔离时其结构如图9所示。
图9 未实施物理隔离时的网络结构
起初为了确保信息安全,该银行采用强制手段来限制员工登录外网,甚至设立专门的访问Internet的办公室。这样一来,不仅降低工作效率,而且由于分行均通过专线上网,还会产生昂贵的专线上网费用。该银行需要一个既可以进行外网隔离,又能够确保安全上网的物理隔离解决方案。
根据该银行的网络状况(单网线环境及通信方式)和应用需求,韩国三星计算机安全公司为其提供了一个性价比很高的解决方案。
1)在总行安装NetSwitchn-M.将内部网和互联网进行彻底的物理隔离。
2)总行下的若干分行安装NetSwitchU-R产品。NetSwitchU-R产品可将各分行的内部网和互联网物理隔离。只有当分行需要与总行进行业务联系时,才与总行服务器进行连接。各分行若登录Internet,则可通过NetSwitchH-R的WAN接口连接互联网,无须借用总行专线上网,这样大大降低了总行专线上网的成本。而且由于众多分行均通过NetSwitchII-R提供的WAN接口上网,专线带宽占用量少,总行还可以在保证总行业务正常运行的情况下适当降低带宽速率。除此之外,NetSwitchII-R本身还内置SwitchingHub和防火墙功能,使各分行网络安全建设成本又进一步降低。确保内、外网资源完全隔离并毫不相干,网络管理员可方便地控制Internet的访问行为。
NetSwitchII-M和NetSwitchII-R的组合,不仅能实现网络的物理隔离,而且还是一个构建网络安全高性价比的解决方案。实施物理隔离后的网络结构如图10所示。
图10 实施物理隔离后的网络结构
安全隔离卡原理与分类
通过前面的叙述可知,对安全隐患最根本的解决办法是使用两套物理设备来分别处理涉密和非涉密信息。但这样做设备投入将非常大,同时设备的利用率很低。通过仔细分析可以发现,两套计算机系统分别在内网(涉密网)和外网(Internet)上工作所具有的安全性主要表现在具有两套独立工作的信息存储系统,那么只要在一台计算机上具有两套独立的存储系统就能够满足安全的需求,因此我们可以通过设计安全隔离系统来保证信息系统的安全。
安全隔离系统的基本原理如图11所示。在一台计算机上安装一块安全隔离卡和两块硬盘,两块硬盘和软盘驱动器的电源线连接在安全隔离卡上,通过手动或软件控制安全隔离卡上的开关接通软盘或硬盘等存储设备的电源。当计算机在外网工作时,外网硬盘加电工作,内网硬盘不加电,当计算机在内网工作时则相反,同时为了控制网络用户使用Modem和软盘驱动器,只有当用户在外网工作时使用Modem,在内网时使用软盘驱动器。这样就可以做到内网和外网信息完全隔离。
图11 安全隔离卡原理图
根据上述原理,在信息安全隔离系统的基础上再配置灵活的网络选择设备及接口,我们就可以构建一个安全、经济、灵活、适用的网络。根据用户上网环境,可将安全网络用户分为三种类型:单机、双网线和单网线,并分别对应三种安全隔离设备。
隔离设备有安全隔离卡I、安全隔离卡II和安全隔离卡Ⅲ型,如图12所示,它们分别有一个网络接口、有两个网络接口和没有网络接口。
图12 安全隔离卡
现有产品
1.京泰公司的物理隔离产品
北京京泰网络科技有限公司以中科院计算所为技术背景,研制网络安全和信息安全技术的硬件产品。该公司的物理隔离产品(安全隔离卡与安全集线器)已经通过公安部、国家保密局和军队系统的检测与鉴定。
京泰网络物理隔离产品由安全集线器、安全网卡和安全管理软件三部分组成。安全集线器负责与客户端通信,并根据用户选择,跳接内网和外网。当用户登录外网时,使用本地硬盘、本地操作系统和外网网络;当用户登录内网时,使用服务器上的而不是客户端的操作系统、远程网络硬盘和内网网络。由于内部重要数据存放在安全服务器上,而且在内网状态下,本地I/O访问被屏蔽,这样就能有效防止客户端下载内部数据,增强内网的安全性。安全集线器不仅仅是个安全开关,而且是一个具有多路通信和数据处理能力的智能机,能够满足用户的各种安全需求。安全网卡负责提供客户端网络选择界面,按照用户的选择来与安全集线器通信,完成用户对内外网不同操作系统的引导。客户端的安装不需要对用户硬盘做任何改动,不需要增加新的硬盘,也不需要安装新的板卡,仅需要更换一块网卡就能完成工作。安全管理软件可帮助用户管理远程网络操作系统的启动、使用和维护。安全管理软件现在增加了更多的安全功能,例如用户区的访问保护、数据的备份和恢复、本地I/O设备的屏蔽以及内网安全状态自动检测等,使得网络管理不仅操作简单而且功能强大,具有很高的安全性。
2.三星公司的物理隔离产品
三星计算机安全公司针对网络环境和隔离网络的不同,为用户提供了丰富的物理隔离产品。
物理隔离卡DualNET可以保护内部服务器和每一台PC机免遭外部入侵或病毒的侵害。DualNET包括一个DualNETPCI卡、一个钥匙开关支架、连接硬盘的数据线、6引脚连线和连接网卡的网线等。DualNET设有钥匙转换开关,钥匙转换开关处设有外网、内网和关闭三个选项,用户可以自由选择,以达到彻底安全防护的目的。DualNET通过控制数据线的方式来切换硬盘,能有效保护硬盘的寿命。DualNET是双网线环境下的双网双硬盘物理隔离产品,需要为外网额外增加一块硬盘。
物理隔离集线器NetSwitch口-M应用在通过数字专线上网的大型网络环境中,支持所有的网络通信协议,可以通过单网线将网络彻底物理隔离,保证内外网间没有物理连接。NetSwitchH-M利用一根网线就可以完成两个网络的物理切换。如果用户想从内网进入外网,只须简单地点击Windows上的IPChanger按钮就可完成IP地址的转换。进行此项操作,用户不需要重新启动系统。NetSwitchU-M具有24个端口,同时对应24个继电器,每个端口间的操作都独立进行。NetSwitchH-M可以放置在配线架上,便于网管人员进行统一管理和维护。
物理隔离集线器NetSwitchII-R是SOHO和分支机构的理想选择。NetSwitchU-R不仅具有NetSwitchII-M的所有功能,而且还添加了访问外网的SwitchingHub和防火墙功能。NetSwitchU-R可以帮助小型公司构建双网隔离的网络管理,而且网络管理员可以使用该产品中内置的防火墙功能控制Internet的访问行为,有效防止黑客入侵。NetSwitchH-R还具有WAN接口功能,支持多种外网连接方式。
3.中创公司的物理隔离产品
中创飞讯物理隔离服务器分为手动版和自动版两类。在手动工作方式下,内外网分别配置一台手动版物理隔离服务器,用户需要的外网信息按照事先设定的时间间隔,首先在外网物理隔离服务器上形成文件,并自动存入可移动存储设备中,然后,人工将这些移动存储设备移入内网物理隔离服务器,由内网服务器自动读取相关数据,在读取过程中,实时完成信息的安全检查和病毒清杀等,最后完成外网信息的导入。与此原理相同,信息也可从内网向外网导出。是执行双向导入导出,还是单向导入可根据用户要求进行设定。
自动版物理隔离服务器采用自动工作方式,由程序控制硬件来控制服务器在不同时间分别连接内网和外网。自动版物理隔离服务器能够实现无人值守,大大提高了工作效率。自动版物理隔离服务器的硬盘被划分成三个不同状态的逻辑分区:公共分区、交换分区和安全分区。公共分区和安全分区各装有不同的操作系统,分别连接外部和内部两个网络,并且在相关硬件的控制下,彼此独立、互不影响。交换分区在两个网络中都可以看到,但是具有不同的读写属性,并且能够让数据在内网与外网两个网络中进行安全交换。飞讯物理隔离服务器采用“船闸’式开关放行原理。导入过程全部自动化,周期可以调控。在软件系统的配合下,飞讯物理隔离服务器能够在内外网之间进行数据的单向或双向通信,实现了互联网信息的安全导入、文件系统和电子邮件的安全导入、导出。
4.天行公司的物理隔离产品
天行网物理隔离系统采用独特的硬件设计实现系统级的物理隔离。该系统分为七个模块:物理隔离、入侵检测、内核防护、病毒查杀、访问控制、信息审计和身份认证,如图13所示。
图13天行隔离系统功能示意图
物理隔离模块采用独特的硬件设计,实现可控的信息交换,该模块工作在系统的最低层,其最低无故障工作时间大于一万小时。由于设计的安全性,即使交换模块出现故障,也不会出现安全隐患。入侵检测模块采用内核级的入侵检测技术来实时检测恶意用户和黑客的攻击行为。一旦发现攻击就会记入审计信息,保证管理员在第一时间内了解网络的安全状况。内核防护模块采用内核防护技术来防止滥用系统权限,以保护重要的进程、文件和数据不受黑客干扰。由于采用了更高一级的系统安全技术,内核防护模块能有效消除操作系统带来的安全隐患。病毒查杀模块采用业界领先的防病毒产品对进出隔离系统的静态数据进行检查,分离邮件和附件,检查脚本信息,一旦发现病毒就会将其截获,通过邮件和审计信息通知管理员,该模块采用模块化设计,用户可以任意更换模块软件,通过该模块,管理员可以对内部用户进行集中统一管理。信息审计和邮件内容审计为管理员提供了整个系统的信息审计。身份认证模块主要采用PKI技术实现用户身份认证功能,通过证书机制保证系统使用用户的合法性,并采用SSL加密连接保证用户交互信息的安全性。
5.联想网御安全隔离网闸产品
网闸是安全隔离与信息交换系统(隔离网闸),该系统支持用户名与密码、IP地址、MAC地址的绑定等认证方式。TIPTOP隔离网闸采用集中式信息交换管理平台,针对不同的信息交换流程,主要功能包括:用户管理、配置管理、自动发送/自动接收管理、加密/解密管理、身份认证管理、内外网发送管理、文件大小控制管理、文件类型管理、关键字管理、自动发送/接收监控管理、发送/接收时间管理、发送/接收日志管理、查询、统计等功能。在嵌入式系统内核中实现网络通道开关功能,提高了安全隔离与文件交换系统的速度和性能。隔离网闸的原理如下:
1)专有硬件控制设备彻底阻断网络间的任何通路。
2)特有控制逻辑和专用通信协议完全控制数据的实时交换。
3)双系统结构确保工作安全可靠。
4)专用安全操作系统及嵌入式程序控制确保系统本身免受攻击。
联想网御安全隔离网闸采用系统硬件平台实现系统级的物理隔离。系统硬件平台由内网主机系统、外网主机系统、隔离交换矩阵三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元,并以联想网御具有自主知识产权的VSP(VersatileSecurePlatform)通用安全平台作为系统支撑;隔离交换矩阵基于LeadASIC专用芯片技术及相应的时分多路隔离交换逻辑电路,不受主机系统控制,独立完成应用数据的封包、摆渡、拆包,从而实现内外网之间的数据隔离交换。基于VSP的高效协议处理和LeadASIC芯片的多路固化数据通道技术,分别解决了安全隔离网闸进行数据过滤和摆渡时性能低的业内难题,从而满足了用户对高性能安全隔离网闸的需求。
联想网御的解决方案如图14所示。
图14 联想网御的解决方案
6.方正科技双网隔离产品
双网隔离采用“整机隔离”技术,突破了传统隔离只能实现硬盘、网络隔离的局限,创造性地实现了内存隔离。它通过内外网络绝对的物理隔离方式,在两个网络间实施在线、自由地切换,保证计算机的数据在网络之间不被重用。这就解决了传统隔离技术在双网切换时,由于内存数据不能有效刷新所可能导致的数据泄露等安全隐患,相当于用一台PC实现了两台物理隔离PC的安全效果。
双网隔离物理隔离结构如下:
1)终端本地不配备存储设备(硬盘等),不安装任何系统和程序,所有数据集中存储管理。
2)内网与外网数据独立集中存储管理,相互物理隔离。
3)终端通过分别连接内部或外部网络(或其他级别网络)实现物理隔离。
双网隔离物理隔离的功能如下:
1)终端联入内部或外部网络(或其他级别网络)就可自动获得该网络相应的操作系统和应用,使用与PC没有区别。
2)终端可以添加、删除修改软、硬件配置。
3)终端应用速度、易用性、稳定性、可管理性全面超越有盘PC。
图15 方正科技双网隔离产品的解决方案
