内外网相连技术文章(网闸).doc

试析税务内外网在物理隔离下的数据交换技术及其安全解决方案 随着信息化的不断深入，各级税务机关均建成了自己的内部网络系统，实现了部门内部的信息交换和共享。为了进一步提高信息化水平，实现电子政务的要求，税务机关需要与因特网上的社会用户交换信息，同时政府机关各部门之间也需要进行信息交换和共享，这就涉及到内外网互通的安全与防范问题，为此，中共中央办公厅在200217号文件中明确规定：“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。”本文，我们就如何通过网闸技术解决税务内外网有效物理隔离问题进行以下探讨。 一、税务内外网互通需要进行物理隔离 目前，税务部门的网络系统主要划分为两部分：税务内网信息系统和税务外网信息系统。在税务内网中运行多个涉及税务内部业务和办公的应用系统，包括电子申报处理系统、证书申请处理/审核系统、征管系统以及各种数据库系统等，是税务系统的重要业务网络，属于核心保密级网络，需要进行高安全的防范；同时该网还需要与各业务专网相连，例如商业银行专网，通过“银税联网”，方便纳税人直接通过银行处理税务相关业务。而税务外网运行涉及多个税务外部业务，属于普通保密级网络，并通过互联网提供网上报税、便民服务，该网络是税务业务系统的外延，是对外服务的窗口，包括电子申报受理系统、证书申请WEB服务器，四小票接受系统等等。 税务系统的对外业务服务必须要通过互联网来完成，例如税务信息公布、企业初始数据的采集、网上报税等，但对于这些数据的审核往往需要由处于内网中的税务人员来完成。另外对于税务系统而言，所有初始数据和审批过程都需要备份，存入税务内网的数据库中。因此，需要建立税务网络安全整体防护体系，提高税务网络的安全保障能力。通常的做法是，在各网络边界大量部署防火墙、在网络内部部署防病毒、漏洞扫描，以至入侵检测等安全设备，来防止和减少外界威胁，这些技术都可在一定程度上提供安全保护。然而，目前这些安全手段，无论使用一种或将所有方法综合使用，都无法做到对网络和信息资源的尽善尽美的保护。但有一点是肯定的，防御的深度愈深，网络愈安全。也许能够保证一个系统真正安全的途径只有一个：断开网络。 显然，实行内部网和外部网的物理隔离，可确保内部网不会受到外部公共网络的非法攻击。同时，实行物理隔离也为涉密计算机及信息系统划定了明确的安全边界，使得网络的可控性增强，便于内部管理和防范。但由于税务部门实际业务的需要，在保持税务内外网络物理隔离的同时，应能够在这两个不同安全等级的网络之间进行实时的、适度的、可控的数据交换和应用服务。具体来说，数据信息交换需要发生在税务内网与税务外网之间，交换的应用服务主要包含：网上报税系统、网上税票认证系统、证书系统等；在内外网间进行交换的数据主要包括：文件交换、数据库的数据交换等。纳税人通过Internet访问税务部门的网上报税系统，正确填写电子申报表后，提交申报数据至税务部门服务器，税务部门的WWW服务器对这些数据进行处理、储存，并将处理结果反馈给纳税人。此种方式减少了纳税户往返于税务部门、银行的烦恼，也极大地减轻了税务部门的工作量。 可是，断开网络又如何实现内外网间的信息数据交换呢？这就涉及到物理隔离网闸技术。 二、采用网闸技术是实现税务内外网有效物理隔离的选择 （一）什么是网闸 网闸技术的需求来自内网与外网数据互通的要求，比如政府的电子政务是对公众服务，与互联网连通，而内网的政府办公网络，由于保密的要求，内网若与外网连通，则面临来自公网的各种威胁。安全专家给出的建议是：由于目前的安全技术，无论防火墙、UTM等防护系统都不能保证攻击的一定阻断，入侵检测等监控系统也不能保证入侵行为完全捕获，所以最安全的方式就是物理的分开，所以在公安部的技术要求中，要求电子政务的内、外网络之间“物理隔离”。没有连接，来自外网对内网的攻击就无从谈起。 但是，网络的物理隔离，给数据的通讯带来很多不便，比如工作人员出差只能接入互联网，要取得内网的文件就没有办法，只能让办公室的人把文件放在外网上。另外，内网办公系统需要从外网提供的统计数据，由于服务隔离，数据的获取也很困难。因此，随着网络业务的日益成熟，数据交换的需求日益强烈。 最初的解决办法就是人工的“传递”，用U盘或光盘在内外网之间倒换数据。随着业务的增多，数据量的扩大，人工的方式显然成为很多业务的瓶颈，在内、外网之间建立一个既符合“物理隔离”安全要求，又能进行数据交换的设备或解决方案，这成为越来越多的实际需要，这就促进了物理隔离网闸的诞生。 网闸实现的是个安全的概念，与防火墙等网络安全设备不同的地方是阻断通讯的连接，只完成数据的交换，没有业务的连接，攻击就没有了载体，如同网络的“物理隔离”。网闸其实就是模拟人工数据倒换，利用中间数据倒换区，分时地与内外网连接，但一个时刻只与一个网络连接，保持“物理的分离”，实现数据的倒换。这就象长江上的摆渡船，既没有“物理的连接”大桥，也实现了货物的交换。 （二）网闸的基本结构 网闸是实现两个相互业务隔离的网络之间的数据交换，通用的网闸模型设计一般分三个基本部分：内网处理单元，外网处理单元，隔离与交换控制单元。 内网处理单元：包括内网接口单元与内网数据缓冲区。接口部分负责与内网的连接，并终止内网用户的网络连接，对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出“纯数据”，作好交换的准备，也完成来自内网对用户身份的确认，确保数据的安全通道；数据缓冲区是存放并调度剥离后的数据，负责与隔离交换单元的数据交换。 外网处理单元：与内网处理单元功能相同，但处理的是外网连接。 隔离与交换控制单元：是网闸隔离控制的摆渡控制，控制交换通道的开启与关闭。控制单元中包含一个数据交换区，就是数据交换中的摆渡船。摆渡开关是电子倒换开关，让数据交换区与内外网在任意时刻均不同时连接，形成空间间隔GAP，实现物理隔离。 三个单元都要求其软件的操作系统是安全的，也就是采用非通用的操作系统，或改造后的专用操作系统。一般为Unix BSD或Linux的变种版本，或者其他嵌入式操作系统VxWorks等，但都要对底层不需要的协议、服务删除，使用的协议优化改造，增加安全特性，同时提高效率。 （三）网闸的数据交换方式 隔离网闸如同一个高速电子开关在内外网间来回切换，同一时刻内外网间没有连接，处于物理隔离状态。在此基础上，隔离网闸作为代理从一个网络的网络数据包中抽取出数据，然后通过反射开关转入另一个网络中，完成数据的中转。 以文件传输为例，当外网需要有数据文件转发到内网时，外网接口单元将传入的应用数据包，进行剥离所有的TCP/IP网络协议和应用协议，并将剥离后的纯数据写入外网数据缓冲区。很多攻击是通过对数据的拆装来隐藏自己的，没有了这些相关协议的“通讯外衣”，攻击者就很难藏身了。根据不同的应用，可能有必要对数据进行完整性和安全性检查，如防病毒和恶意代码等。全部完成后，外网接口单元立即发起对隔离控制单元的非TCP/IP协议的数据连接，通过电子摆渡开关，将外网数据缓冲区与隔离控制单元中的数据交换区进行连通，隔离控制单元将外网数据缓冲区中的数据转入数据交换区的存储介质中。一旦数据完全写入数据交换区的存储介质，隔离控制单元立即中断与外网的连接。转而发起对内网接口单元的非TCP/IP协议的数据连接。隔离控制单元将数据交换区中的数据推向内网数据缓冲区。内网接口单元收到数据后，立即进行TCP/IP的封装和应用协议的封装，并通过内网转交给内网文件系统。这个时候内网文件系统就收到了外网的文件系统通过隔离设备转发的文件。当数据交换区中的数据全部转发完成后，隔离控制单元立即切断与内网的直接连接，恢复到完全隔离状态。 同样，内网有数据要转发到外网时，过程与上述类似。 每一次数据交换，隔离设备都经历了数据的接受、存储和转发三个过程。内网与外网永不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。即使外网在最坏的情况下，内网也不会有任何破坏。同时修复外网系统也非常容易。 （四）网闸的基本安全原则 网闸设计的目的，是隔离内外网业务连接的前提下，实现安全的数据交换。也就是安全专家描述的：协议落地，数据交换。从网闸处于网络中的位置，以及要实现的目的，网闸有以下三个安全设计的基本原则。 （1）单一服务原则：只完成数据文件的交换（如只完成文件形式的数据交换），其他的服务一律关闭。采用文件级交换，而不是数据包级交换，是因为文件相对信息完整，避免蠕虫式的分片隐藏。而且，只选择文件交换，内外网就没有通讯的连接，来自外网的黑客远程攻击就因为没有遥控线路而难以实现，而对内网的业务进行攻击的行为就限制在只有发自内网本身的病毒、蠕虫，这就实现了和人工数据摆渡同样的安全效果。 （2）定向交换原则：在数据交换时指定接收人、发送人。指定了内外网的发送人与接收人，数据交换就只能提供点到点的数据交换服务，方便数据交换的审计，也方便了问题定位到源头，避免第三者冒充、截获信息重放等攻击的发生。 （3）不支持协议解析原则：网闸不支持应用协议解析，不透传业务应用，只进行文件数据的摆渡，对于Http、SMTP、FTP等协议无法通过，数据库的访问就更加不能通过，网闸只起到数据的摆渡，不支持应用的互通。应用协议的终止，让入侵、攻击彻底失去了传播的载体。 需要注意的是，在市场上，有些厂家在设计网闸产品时，为了产品功能的强大和客户业务的方便，在其内部支持解析各种应用协议。这种解析不仅有覆盖常见应用协议的趋势，而且对数据库的访问也代理通过，这样不可避免地为缓冲区溢出、SQL注入等常见的黑客攻击提供了生存的温床。对业务协议的解析将给网闸带来新的安全问题，所以说不是功能越丰富就越好。 对于文件的内容安全，可以通过对发送者身份认证来保证。文件附着的病毒、蠕虫、木马等的检测是静态检测，可以通过对交换文件格式的规范，让他们难以躲藏。实际应用中，网闸可以根据应用系统对安全级别的要求，可以选择性地交换数据文件，如无格式文本文件、Word等有格式的文档文件、压缩文件、可执行文件等交换文件的格式，降低交换文件隐藏病毒、木马的机会。 三、通过物理隔离网闸实现税收业务数据自动交换的安全解决方案 使用网闸的目的是为了隔离业务的同时，进行安全的数据交换。从安全服务的角度讲，网闸开通的服务种类越少，被攻击的可能性越小，网闸可交换的数据类型越少，隐含攻击的可能越小。但是，只提供数据文件的点到点交换，这对于支持内外网大量数据通讯的税务应用是显然不够的，如何实现税收应用业务的自动安全转换呢? 尽管网闸的安全原则定义了不做业务协议解析的原则，保障网闸隔离业务的效果。但对于应用业务本身，我们可以设立自己的业务代理服务器，通过对要交换的数据的翻译，实现业务的自动交换。在税务系统中，通过物理隔离网闸，我们设计了如下安全解决方案，在税务内外网的物理隔离下，来实现税收业务数据的自动交换。 我们在税务内外网中分别设立税务业务数据交换的代理服务器，在内外网的代理服务器成对出现，目的是建立税务业务访问的逻辑连接代理。代理服务器把业务的数据转换成可以交换的数据文件，并且指定交换的发送人与接收人为税务内外网的代理服务器。 从业务应用的角度来看，这种业务数据代理方式与厂家在网闸中实现的协议解析有些相似，都实现了业务访问的内外网互通，但从整个网络的安全角度上看，是有根本区别的。 通过网闸没有应用协议，业务应用在内外网中间是中断的。 税务业务数据交换代理是针对每个需要内外网大量数据交换的税收业务开发的，业务针对性强，认证、加密等方式各不相同，由于业务开发的认证、加密属于私密处理，每个应用都不相同，被攻击的可能比较小。即使有攻击，也只能针对本业务，不会扩展到税务内网的其他业务。 与进行协议解析相比，网闸解析协议开通的是一类协议的所有应用，而税务业务代理是针对一个应用的开通。协议原理比较公开，被利用攻击的可能性较高，即使使用安全的用户身份确认技术，也不能与应用不同而改变，当应用增多时，危险增大。而税务业务代理服务的数据转换是税务业务本身开发的，根据税务业务本身的安全级别要求，采取各自的身份确认机制，与应用的融合性好，对业务使用者本身的权限管理也比较严格，对资源的安全管理粒度也比较细。 当然，在实际应用中，为了进一步加强安全防范力度，在税务内外网中，除了要将安全隔离网闸作为整个安全架构核心，还需要综合考虑多种因素，并对防火墙、杀毒、入侵检测、内容检查、数字认证、身份认证安全管理等产品和技术进行了全面整合，对核心层需要高保密性的数据进行了整体防护，确保数据的真正安全。此方案充分体现了国家关于涉密网络的“安全隔离，有限连通”政策要求，以主动进行风险评估为基础的方式对网络进行安全管理，实现了税务内外网的安全隔离与防护，避免来自外网的非法攻击和访问，满足了税务部门网上税务系统对安全的需要。 网闸 入侵检测 防火墙三个设备 如何实现一个双wan路接入、内外网隔离、入侵检测功能，如何组网最佳答案防火墙地最前方做双线路由选择，网闸接在防火墙的后面做数据摆渡，入侵检测接在核心层的交换机上面做入侵分析内网外网保护神，经典的物理隔离网闸导购05-22 11:05:09作者：凤雏责任编辑：xiexiaomian大家都知道，一般没有接入Internet的网络，称为局域网，俗称内网。反之，接入Internet的网络，俗称为外网。随着信息与工作的联系越来越密切，现阶段各单位内部网络（简称内网）的电脑或单机电脑接入国际互联网（简称外网）越来越多，普及化相当迅速。但与此同时，我们也正受到日益严重的来自网络的安全威胁，Internet给人们带来了诸如网络的数据窃贼、黑客、病毒、特洛伊木马，甚至系统内部的泄密者等很多可怕的东西，数据被篡改和窃取、文件被破坏。所有这些不安全的因素，不但威胁到互联网的发展，更重要的是威胁到已建立起来的机关单位或企业的内部网运作，特别是银行、电信、部队、公安、电力等关键部门，直接威胁正常业务工作。而几年前，国家已经明确规定，电子商务和电子政务等网络应用的内网和外网之间必须要物理隔离。物理隔离是指内部网不得直接或间接地连接外网，而物理隔离典型的安全产品就是物理隔离卡、物理隔离集线器、以及物理隔离网闸，其中以物理隔离网闸最为先进和安全。所以，今天来为大推荐几款优秀的产品，希望能够为电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门的采购员提供有帮助的信息。（1）联想网御SIS-3001安全隔离网闸 参考价格：14万元产品分析：联想网御SIS-3000系列安全隔离网闸是一套比较经典的网络链路层物理隔离设备，产品包括SIS-3001、SIS-3002、SIS-3003、SIS-3004以及SIS-3010等多个型号。这款网御SIS-3001安全隔离网闸是在两个相互物理隔离的网络间安全、高速、可靠地进行数据交换的网络安全设备，使用高速安全隔离电子开关，只支持单向网络连接，即外网连通则内网不通，内网连通则外网不通，保证内外网在物理链路层上是完全断开的。而且它的安全隔离与信息交换系统在技术实现上采用多主机隔离结构。交换模块采用专有硬件设计，通过专有安全芯片实现内外网数据的交换，使得系统具有高度安全性，同时也具有很高的交换性能。系统从硬件层面实现了内外网安全隔离，保证任意时刻内外网间没有链路层连接，数据只能以专用数据块方式静态的在内外网间进行“摆渡”，通过对连接和数据包的获取、阻断、分离、检测、重组、交换、恢复、连接等一系列安全操作完成数据的隔离与交换。而在管理功能方面，网御SIS-3001采用嵌入式安全操作系统，通过对系统内核的安全增强，实现了强制性访问控制，取消超级用户的部分权限，保护重要进程和文件，有效保证了系统本身的安全；内外主机分别具有独立的网络和管理接口，实现了工作网络和管理网络的分离；而且系统管理和日志管理分别需要不同用户权限，而且在同一时间只支持一个管理员登录管理。另外，网御SIS3001采用了模块化设计，包括文件交换模块、FTP访问模块、邮件交换模块、邮件访问模块、安全浏览模块、数据库访问模块、数据库同步模块和定制TCP/UDP模块等，可以较好地满足用户复杂应用和多种需求。而且接口也比较齐全，前面板和背板分别为内外网主机提供了外接接口: 3个10/100M自适应以太网接口、2个COM管理接口、2个USB接口和1个电源开关。编辑点评：在既要保证内部网的绝对安全，又与外部网络进行数据交换时，这款网御SIS3001安全隔离网闸是比较不错的解决方案，其功能细致、全面，管理控制简单，安全性高。而且用户可以根据自身的需求来购买相应的模块，实现“有用则买，无用则弃”，极大地为用户节约了购置开销，非常适合于政府、军队、金融、税务等对安全性要求很高的单位网间的非实时信息交换环境。（2）伟思安全隔离网闸VIGAP300 参考价格：27万元产品分析：这款伟思安全隔离网闸VIGAP300采用独特的“21”安全体系架构，通过基于ASIC芯片技术设计的专用隔离电子开关系统，实现用户关键网络及服务系统与外界的物理隔断，实现链路层与网络层的彻底断开。针对大型网络的应用提供了双机热备份功能，VIGAP300实现系统的稳定可靠运行。而且除了采用更高端的处理系统、内存以及接口以外，VIGAP300还设计了最大支持32台设备的负载平衡系统来实现高可用性。在安全方面，VIGAP300具有网络隔离功能，通过基于ASIC设计的硬件电子开关实现可信、不可信网络间的物理断开，保护可信网络免遭黑客攻击。在设备两端内置了IDS入侵检测引擎，可有效保护系统自身及受保护网络免受攻击者的频繁攻击。具备完善的SAT功能，身份认证功能也很强大，除了提供基本的用户名/口令身份认证功能以外，还可与外部认证系统集成支持扩展的Radius、PKI数字证书、SecureID等多种强身份认证功能。另外，VIGAP300还具有安全代理服务功能和AI安全过滤功能，能够根据来源、目的地、用户特权和时间来控制对特定的 HTTP、SMTP 或 FTP 等资源的访问。而且VIGAP300在AI功能中新增了安全功能，包括：确认通信是否遵循相关的协议标准；进行异常协议检测；限制应用程序携带恶意数据的能力；对应用层操作进行控制，这些新功能对企业级网络环境中应用层的安全控制起到了很重要的强化作用。再有的是，VIGAP300系统内嵌防病毒引擎，可实现对内外网摆渡数据的病毒查杀，其防水墙模块可有效阻止内网信息的外泄及木马、蠕虫等恶意程序通过HTTP、SMTP等方式向外泄漏信息。实现对病毒的高效查杀，支持包括HTTP、SMTP、POP3协议的网关级病毒过滤。还具备内容过滤及文件格式检查功能，对管理员指定格式的文件或指定内容关键字的邮件、网页、FTP文件等具有安全过滤功能，相当不错。而系统管理也非常轻松，VIGAP300提供了一个良好的用户界面，以树型结构组织对象，可在所有规则中共享所有的对象定义（例如：用户、主机、网络和服务等等），以便进行有效的策略创建和安全管理。而且能够监控并记录系统状态，全面审计网络活动、入侵活动、管理员的配置操作、系统错误信息、违反规则的过滤信息等日志信息。编辑点评：伟思VIGAP300是一款面向大型网络的安全隔离系统，其集成了多种安全技术手段，采用强制安全策略，对数据内容进行安全检测，保障数据安全、可靠的交换，而且在提高和保障用户的网络安全时，最大限度的保证了用户应用的方便性，适合各类党政部门、军事单位、金融电信、科研院校及企事业单位的关键部门使用。（3）中网物理隔离网闸X-GAP 8500 参考价格：45万元产品分析：中网的这款物理隔离网闸X-GAP 8500是基于X86架构的，使用开放源代码的FreeBSD平台，对其进行了嵌入式改造以及安全改造，并添加了自有的网闸功能模块。2U机架式产品，由两个1U单元堆叠而成，两个单元完全对等，采用了目前国际上主流的SCSI技术，各配有一对高速SCSI外置接口、一对RJ-45以太网接口、PS/2键盘、鼠标接口、15针VGA接口以及串口，电源插口也各设有一个。系统采用21架构，外部主机、内部主机和固态存储介质的隔离硬件。在100M以太网的环境下有80M的吞吐性能，在千兆环境下有800M的吞吐性能，支持同种数据库之间的数据同步，还支持异种数据库之间的数据同步。目前支持的数据库包括Oracle，Sybase，MsSQL，MySQL等。在数据交换方面，X-GAP 8500采用了高速SCSI通道来连接两个单元，使用两个通道完成I/O操作。通过SCSI来模拟拷盘，确保断开OSI面向的全部七层，阻断网络的链路层、网络层、传输层和应用层的直接连接。即两个网络间不能直接转发IP包，两个网络之间不能建立TCP连接，可消除攻击和网络入侵的危害。而且X-GAP 8500还支持白名单黑名单、内容过滤、数字签名、病毒查杀、身份认证、访问控制和安全审计等多种安全技术，对传输数据的类型、内容等进行检查和过滤，支持禁止URL路径和文件名的高安全性机制，提供可信任的专用信息交换服务。对于自身的安全性，X-GAP 8500还提供了强有力的防护，它具有防扫描、防入侵和防攻击的功能，能够正确处理网络的恶意流量，使自身业务不受影响。在管理方面，X-GAP 8500没有使用Web配置界面，而是使用了专有协议和客户端XGAP配置管理工具完成管理和配置。这种方式虽然损失了Web的通用性，但是具有更高的安全性，也可以在一定程度上避免由于运行Web服务器而造成的网闸设备性能降低。而且配置管理工具也提供了丰富的配置选项，在系统配置部分，用户除了能够设置内外端机的IP地址参数和管理员口令之外，还可以对内外两个单元的运行时间、系统资源利用率以及当前活动会话等主要状态信息进行监控。 编辑点评：X-GAP 8500拥有较好的安全性、稳定性和应用灵活性，并具有丰富的功能和优秀的性能，既保持了多个网络间物理隔离的特性，同时又提供了一种安全、有效的数据交换途径，是既隔离、又交换的最佳安全产品，很好地满足用户高可用性的要求，遍适用于银行、保险、证券等不同金融领域。宇宙盾安全物理隔离网闸ND101-D 参考价格：18万元产品分析：ND101-D是宇宙盾一种专门用于内部网和外部网以及内部不同密级网络之间的隔离和安全防护而设计的双向网络安全物理隔离网闸，具有比较高的自身防护特性，可以阻止器来自从任何协议层发起的攻击、入侵和非法访问。独特的“整体网络安全防护的设计理念”和操作系统防病毒加载技术彻底消除了病毒和木马的生存基础，具有一般防火墙和安全隔离网闸无法比拟的自身防护能力。其安全隔离功能强大，它可以对每一台连网主机的传输方向的进行控制和管理。为用户网络连接和隔离提供了极大的人方便。用户可以根据不同的安全要求灵活的管理每台计算机和服务器的传输连接。在网络安全技术方面，ND101-D具有先进的抗病毒内核以及最先进的认证技术和加密技术，可以有效地防止常见的对认证系统的“重放攻击”、“中间人攻击”和拒绝服务攻击。为保证传输加密的高度可靠，系统采用“一次一密钥”的加密方式。认证后，隔离装置将为每一次连接提供一个密钥，用于传输数据的加密和解密，密钥不断地变化，决不重复。而且独有的隐身技术使黑客根本无法发现设备的和受保护网络的存在。而且ND101-D提供了丰富的网络连接功能和传输安全控制功能，可以适用于许多不同的应用领域的网络安全和信息安全的防护。还采用先进的线速处理技术，具有卓越的数据传输能力和极高的数据吞吐能力。拥有方便的用户使用接口和界面，极大地简化了用户的使用和维护的工作量，很不错。编辑点评：ND101-D提供了丰富的网络连接功能和传输安全控制功能，可以适用于许多不同的应用领域，能够广泛适用于政府、税务、银行、石化、铁路、冶金、公安、军队、电力、海关、保险、电讯和教育等各行业涉密网与外网或公网的隔离或者安全性级别高的内部网络与安全性级别较低的内部网络的隔离和关键服务器和设备的防护。物理隔离网闸入门篇(1)一、物理隔离网闸的概念 我国2000年1月1日起实施的计算机信息系统国际联网保密管理规定第二章第六条规定，“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连接，必须实行物理隔离”。 物理隔离网闸最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络，但是我国的涉密网络与公共网络，特别是与互联网是无任何关联的独立网络，不存在与互联网的信息交换，也用不着使用物理隔离网闸解决信息安全问题。所以，在电子政务、电子商务之前，物理隔离网闸在我国因无市场需求，产品和技术发展较慢。 近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。电子政务体现在社会生活的各个方面：工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关，在我国电子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，专网连接着各级政府的信息系统，在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下，实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离，在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备，由此开始，物理隔离网闸产品与技术在我国快速兴起，成为我国信息安全产业发展的一个新的增长点。1.1 物理隔离网闸的定义 物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间，不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议“摆渡”，且对固态存储介质只有“读”和“写”两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使“黑客”无法入侵、无法攻击、无法破坏，实现了真正的安全。1.2 物理隔离网闸的信息交换方式 我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接，实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后，两个独立主机系统之间如何进行信息交换？网络只是信息交换的一种方式，而不是信息交换方式的全部。在互联网时代以前，信息照样进行交换，如数据文件复制（拷贝）、数据摆渡，数据镜像，数据反射等等，物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。 网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来，物理隔离网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。说到“摆渡”，我们会想到在1957年前，长江把我国分为南北两部分，京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨，又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时，它必然与粤汉铁路断开，反之依然。与此类似，物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络的主机系统相连接时，它与内部网络的主机系统必须是断开的，反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储（写入）和转发（读出）。 物理隔离网闸在网络的第七层将数据还原为原始数据文件，然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。下面以内网与专网之间的物理隔离网闸为例，说明通过物理隔离网闸的信息交换过程。 当内网与专网之间无信息交换时，物理隔离网闸与内网，物理隔离网闸与专网，内网与专网之间是完全断开的，即三者之间不存在物理连接和逻辑连接，如图1所示。 当内网数据需要传输到专网时，物理隔离网闸主动向内网服务器数据交换代理发起非TCP/IP协议的数据连接请求，并发出“写”命令，将写入开关合上，并把所有的协议剥离，将原始数据写入存储介质。在写入之前，根据不同的应用，还要对数据进行必要的完整性、安全性检查，如病毒和恶意代码检查等。 在此过程中，专网服务器与物理隔离网闸始终处于断开状态，见图2所示。 一旦数据完全写入物理隔离网闸的存储介质，开关立即打开，中断与内网的连接。转而发起对专网的非TCP/IP协议的数据连接请求，当专网服务器收到请求后，发出“读”命令，将物理隔离网闸存储介质内的数据导向专网服务器。专网服务器收到数据后，按TCP/IP协议重新封装接收到的数据，交给应用系统，完成了内网到专网的信息交换。详见图3所示。物理隔离网闸入门篇(2)发布时间：2004.03.26 13:51 来源： 作者：捷安世纪上一篇物理隔离网闸入门篇(1) 至于从专网到内网的信息交换，与上述类似，只是方向相反。 由上不难看出：每一次数据交换，物理隔离网闸都经历了数据的写入、数据读出两个过程；内网与外网（或内网与专网）永不连接；内网和外网（或内网与专网）在同一时刻最多只有一个同物理隔离网闸建立非TCP/IP协议的数据连接。1.3 物理隔离网闸的组成 1)物理隔离网闸的三个部分组成：外部处理单元；内部处理单元；隔离硬件。 2)物理隔离网闸的主要安全模块：安全隔离模块：隔离硬件在两个网络上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。 保证两个网络在链路层断开，不与两个网络同时连接，两个网络交换的数据必须是剥离TCP/IP协议后在应用层之上进行。内核防护模块：在内、外部处理单元中嵌入安全加固的操作系统，设置基于内核的IDS等。安全检查模块：数据完整性检查、病毒查杀、恶意攻击代码检查等。身份认证模块：支持身份认证、数字签名。访问控制模块：实行强制访问控制。安全审计模块：建立完善日志系统。 1.4 物理隔离网闸主要功能阻断网络的直接物理连接：物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接，而不能同时与两个网络连接；阻断网络的逻辑连接：物理隔离网闸不依赖操作系统、不支持TCP/IP协议。两个网络之间的信息交换必须将TCP/IP协议剥离，将原始数据通过P2P的非TCP/IP连接方式，通过存储介质的“写入”与“读出”完成数据转发；数据传输机制的不可编程性：物理隔离网闸的数据传输机制具有不可编程的特性；安全审查：物理隔离网闸具有安全审查功能，即网络在将原始数据“写入”物理隔离网闸前，根据需要对原始数据的安全性进行检查，把可能的病毒代码、恶意攻击代码消灭干净等；原始数据无危害性：物理隔离网闸转发的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也不会执行命令等。管理和控制功能：建立完善的日志系统。根据需要建立数据特征库：在应用初始化阶段，结合应用要求，提取应用数据的特征，形成用户特有的数据特征库，作为运行过程中数据校验的基础。当用户请求时，提取用户的应用数据，抽取数据特征和原始数据特征库比较，符合原始特征库的数据请求进入请求队列，不符合的返回用户，实现对数据的过滤。根据需要提供定制安全策略和传输策略的功能：用户可以自行设定数据的传输策略，如：传输单位（基于数据还是基于任务）、传输间隔、传输方向、传输时间、启动时间等。支持定时/实时文件交换；支持支持单向/双向文件交换；支持数字签名、内容过滤、病毒检查等功能。邮件同步：支持标准的SMTP服务，安全、高可用性的邮件过滤策略，可为每个用户配置不同的邮件交换策略，内外网邮件镜像等。支持Web方式；数据库同步：双向/单向数据同步，同步内容可定制，多种同步方式，数据可定时更新。支持多种数据库：Oracle、Sybase、Infomix、DB2、SQL Server等多种主流数据库。 1.5 物理隔离网闸主要指标数据交换速率：支持百兆网络和千兆网络的数据交换速率。切换时间：使用高速安全隔离电子开关，支持毫秒级的高速切换。 1.6 物理隔离网闸应用定位 1)涉密网与非涉密网之间： 2)局域网与互联网之间（内网与外网之间）：有些局域网络，特别是政府办公网络，涉及政府敏感信息，有时需要与互联网在物理上断开，用物理隔离网 闸是一个常用的办法。 3)办公网与业务网之间：由于办公网络与业务网络的信息敏感程度不同，例如，银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率，办公网络有时需要与业务网络交换信息。为解决业务网络的安全，比较好的办法就是在办公网与业务网之间使用物理隔离网闸，实现两类网络的物理隔离。物理隔离网闸入门篇(3)发布时间：2004.03.26 14:19 来源： 作者：捷安世纪接上一篇物理隔离网闸入门篇(2) 4)电子政务的内网与专网之间： 在电子政务系统建设中要求政府内望与外网之间用逻辑隔离，在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。 5）业务网与互联网之间： 电子商务网络一边连接着业务网络服务器，一边通过互联网连接着广大民众。为了保障业务网络服务器的安全，在业务网络与互联网之间应实现物理隔离。二、我国物理隔离网闸的市场现状与发展趋势2.1 我国物理隔离网闸的市场空间 据有关方面报导，我国在经过了年多的政府上网工程之后，电子政务的网络建设方向今后将有重大变化：外网的建设尤其是门户网站的建设已基本完成，建设热潮已经过去，投资将大大减少；电子政务网络建设的重点将逐步转向网络应用工程的建设上来；政府专网将成为今后电子政务网络建设的焦点，也是政府电子政务投资的主要领域。 政府网络应用工程，包括网上注册审批系统、基金项目的网上申报系统、网上纳税系统、政府采购网上投标系统、网上社会保障服务系统、网上报关系统、出入境管理系统等等。这些工程相对于门户网站的建设，投资更大，效益也更明显。例如北京市政府委2002年全面启动了网上申报审批系统，每个网上申报审批系统的投资在4002000万与元，“北京首信”公司中标建设的医疗保险子系统先期投资就达亿元，社区服务系统也达7000万元。 我国政府内网（局域网）仅仅实现了联接到互联网，大量信息资源库建设尚处于起步阶段，内网很多功能尚未实现。中央政府网站和地方政府网站、地方政府各部门网站之间几乎是互不