第六 隔离技术.ppt

网络安全概论 隔离技术 实际需求 网络安全域的划分信息保密要求网络协议带来的威胁 实际需求 面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求 全新安全防护防范理念的网络安全技术 网络隔离技术 应运而生 网络隔离技术的目标是确保把有害的攻击隔离 在可信网络之外和保证可信网络内部信息不外泄的前提下 完成网间数据的安全交换 网络隔离技术是在原有安全技术的基础上发展起来的 它弥补了原有安全技术的不足 突出了自己的优势 实际需求 我国2000年1月1日起实施的 计算机信息系统国际联网保密管理规定 第二章第六条规定 凡是涉及国家秘密的计算机信息系统与公共网络之间必须实行物理隔离 信息系统的重要性 党政系统 金融系统等 电子政务 电子商务 实际需求 电子政务的外网 内网和专网在外网 内网 专网之间交换信息是基本要求 如何在保证内网和专网资源安全的前提下 实现从民众到政府的网络畅通 资源共享 方便快捷是电子政务系统建设中必须解决的技术问题 一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离 在内网与专网之间实行物理隔离 物理隔离网闸成为电子政务信息系统必须配置的设备 由此开始 物理隔离网闸产品与技术在我国快速兴起 成为我国信息安全产业发展的一个新的增长点 我国政府内网 局域网 仅仅实现了联接到互联网 大量信息资源库建设尚处于起步阶段 内网很多功能尚未实现 中央政府网站和地方政府网站 地方政府各部门网站之间几乎是互不联接 信息不公开 不共享 形成信息 孤岛 严重制约了全国电子政务业务的发展 目前 我国的政府专网只在少数几个城市 北京 广东南海 山东青岛等 建设 国内学术界对是否有必要建设一个政府专网体系还有争论 但从电子政务发展需要来看 政府专网已经是电子政务建设不可或缺的部分 今后 政府专网的数量将有望大增 据悉 北京政府专网工程已经被列为 十五 计划的四项重点建设工程之一 近一年来国务院组织了上百位专家对国家电子政务开展多方面的研究 形成了一套电子政务发展框架 据国务院信息办政策组杨学山司长透露 目前政府正在采取三项措施建设电子政务 一是建设两个统一的电子政务网络平台 政府内网 主要承担各级政府的办公业务和其他业务 政府外网 主要处理企业 公众服务业和政府部门之间的业务 二是要建设推进以 金 字工程为主的十二项重点工程 三是加快重要战略性数据库建设 如人口数据库 法人单位数据库 空间地理和自然资源信息库 宏观经济数据库 农业信息库等 中央和地方都为电子政务建设投入了雄厚的资金 预计我国各级政府将投入上万亿元用于电子政务建设 仅中央政府层面的电子政务建设投资至少将在10亿元以上 电子政务网一头连接着民众 一头连接着政府 电子政务的内网和专网上存储着许多重要或敏感的数据 运行着重要的应用 电子政务网的特殊运行环境 要求它既要保证高强度的安全 又要通过互联网与民众方便地交换信息 仅靠防火墙 无法防止内部信息泄漏 病毒感染 黑客入侵 业内人士认为 物理隔离网闸 GAP 技术在电子政务建设中的广泛应用是必然的 电子政务网的建设为物理隔离网闸提供了巨大的市场空间 物理隔离网闸在电子政务的信息安全投入中占30 40 今后几年中 电子政务建设中的信息安全市场将占信息安全总市场的30 40 从2003年起 我国信息安全市场总额均在100亿元以上 其中30 40 是电子政务的贡献 由此可推算出 在电子政务建设中 物理隔离网闸将有9 16亿元的市场空间 隔离 什么是隔离 实体角度理解 设备 线路 存储上是完全分离的过程角度理解 网络间不存在任何形式的自动信息交换 定位问题 物理隔离技术 不是要替代防火墙 入侵检测 漏洞扫描和防病毒系统 相反 它是用户 深度防御 的安全策略的另外一块基石 物理隔离技术 是绝对要解决互联网的安全问题 而不是什么其它的问题 逻辑隔离 定义及理解物理上有连接 但采用一定的技术实现在网络层次结构上的高层隔离 具体技术实现防火墙 物理隔离 物理隔离在安全上的要求主要在物理传导上使内外网络隔断 确保外部网不能通过网络连接而侵入内部网 同时防止内部网信息通过网络连接泄漏到外部网 在物理辐射上隔断内部网与外部网 确保内部网信息不会通过电磁辐射或耦合方式泄漏到外部网 在物理存储上隔断两个网络环境 对于断电后会遗失信息的部件 如内存 处理器等暂存部件 要在网络转换时作清除处理 防止残留信息出网 对于断电非遗失性设备如磁带机 硬盘等存储设备 内部网与外部网信息要分开存储 隔离 网络被隔离 阻断后 两个独立主机系统之间如何进行信息交换 网络只是信息交换的一种方式 而不是信息交换方式的全部 在互联网时代以前 信息照样进行交换 如数据文件复制 拷贝 数据摆渡 数据镜像 数据反射等等 物理隔离网闸就是使用数据 摆渡 的方式实现两个网络之间的信息交换 隔离方法 物理隔离 设备 线路 存储均独立网络隔离 协议隔离 协议转换安全隔离 仅交换应用数据 物理隔离 完全隔离双机隔离双设备隔离隔离卡 网络隔离 网络隔离 英文名为NetworkIsolation 主要是指把两个或两个以上可路由的网络 如 TCP IP 通过不可路由的协议 如 IPX SPX NetBEUI等 进行数据交换而达到隔离目的 由于其原理主要是采用了不同的协议 所以通常也叫协议隔离 ProtocolIsolation 1997年 信息安全专家MarkJosephEdwards在他编写的 UnderstandingNetworkSecurity 一书中 他就对协议隔离进行了归类 在书中他明确地指出了协议隔离和防火墙不属于同类产品 安全隔离网闸 GAP源于英文的 AirGap GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下 实现安全数据传输和资源共享的技术 GAP中文名字叫做安全隔离网闸 它采用独特的硬件设计 能够显著地提高内部用户网络的安全强度 GAP技术的基本原理 切断网络之间的通用协议连接 将数据包进行分解或重组为静态数据 对静态数据进行安全审查 包括网络协议检查和代码扫描等 确认后的安全数据流入内部单元 内部用户通过严格的身份认证机制获取所需数据 安全隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备 由于物理隔离网闸所连接的两个独立主机系统之间 不存在通信的物理连接 逻辑连接 信息传输命令 信息传输协议 不存在依据协议的信息包转发 只有数据文件的无协议 摆渡 且对固态存储介质只有 读 和 写 两个命令 所以 物理隔离网闸从物理上隔离 阻断了具有潜在攻击可能的一切连接 使 黑客 无法入侵 无法攻击 无法破坏 实现了真正的安全 隔离产品分类 技术角度物理隔离 设备 线路 存储逻辑隔离 交换机 路由器 防火墙 网闸应用角度桌面级隔离 部署位置 用户端 产品形式 双机隔离 硬盘隔离 线路隔离企业级隔离 部署位置 网关处 产品形式 交换机 路由器 防火墙 网闸 网络隔离的要求 高度安全较低成本容易部署操作简单 隔离网闸主要指标 数据交换速率 支持百兆网络和千兆网络的数据交换速率切换时间 使用高速安全隔离电子开关 支持毫秒级的高速切换多种交换方式满足用户应用 隔离层次与产品 隔离技术的发展历程 第一代隔离技术 完全的隔离 此方法使得网络处于信息孤岛状态 做到了完全的物理隔离 需要至少两套网络和系统 更重要的是信息交流的不便和成本的提高 这样给维护和使用带来了极大的不便 第二代隔离技术 硬件卡隔离 在客户端增加一块硬件卡 客户端硬盘或其他存储设备首先连接到该卡 然后再转接到主板上 通过该卡能控制客户端硬盘或其他存储设备 而在选择不同的硬盘时 同时选择了该卡上不同的网络接口 连接到不同的网络 但是 这种隔离产品有的仍然需要网络布线为双网线结构 产品存在着较大的安全隐患 第三代隔离技术 数据转播隔离 利用转播系统分时复制文件的途径来实现隔离 切换时间非常之久 甚至需要手工完成 不仅明显地减缓了访问速度 更不支持常见的网络应用 失去了网络存在的意义 第四代隔离技术 空气开关隔离 它是通过使用单刀双掷开关 使得内外部网络分时访问临时缓存器来完成数据交换的 但在安全和性能上存在有许多问题 第五代隔离技术 安全通道隔离 此技术通过专用通信硬件和专有安全协议等安全机制 来实现内外部网络的隔离和数据交换 不仅解决了以前隔离技术存在的问题 并有效地把内外部网络隔离开来 而且高效地实现了内外网数据的安全交换 透明支持多种网络应用 成为当前隔离技术的发展方向 第五代隔离技术的实现原理是通过专用通信设备 专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术 进行不同安全级别网络之间的数据交换 彻底阻断了网络间的直接TCP IP连接 同时对网间通信的双方 内容 过程施以严格的身份认证 内容过滤 安全审计等多种安全防护机制 从而保证了网间数据交换的安全 可控 杜绝了由于操作系统和网络协议自身漏洞带来的安全风险 桌面级隔离技术 双机隔离 硬盘隔离 线路隔离 企业级隔离技术 第一代空气开关型隔离网闸 GAP AirGap 第二代专用交换通道型隔离网闸 隔离网闸 安全隔离网闸最早出现在美国 以色列等国家的军方 用以解决涉密网络与公共网络连接时的安全 回顾双机隔离 空气开关型网闸 空气开关型网闸 数据交换方式 利用单刀双掷开关使得内外处理单元分时存取共享存储设备完成数据交换 实现了在空气缝隙隔离 AirGap 情况下的数据交换 安全功能原理 通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果 专用交换通道型网闸 专用交换通道型网闸 数据交换方式 利用专用高速通道 私有通信协议和加密签名机制实现了在网络隔离的情况下完成高速实时的数据交换 安全功能原理 通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果 安全隔离的技术路线 网络开关 NetworkSwitch 是比较容易理解的一种 在一个系统里安装两套虚拟系统和一个数据系统 数据被写入到一个虚拟系统 然后交换到数据系统 再交换到另一个虚拟系统 实时开关 Real TimeSwitch 相当于在两个系统之间 共用一个交换设备 交换设备连接到网络A 得到数据 然后交换到网络B 单向连接 One WayLink 早期指数据向一个方向移动 一般指从高安全域的网络向安全性低的网络移动 安全隔离网闸的组成 隔离网闸的三个组成部分 外部处理单元 内部处理单元 隔离硬件 隔离网闸的组成 隔离网闸的安全模块 安全隔离模块 隔离硬件在两个网络上进行切换 通过对硬件上的存储芯片的读写 完成数据的交换 保证两个网络在链路层断开 不与两个网络同时连接 两个网络交换的数据必须是剥离TCP IP协议后在应用层之上进行 内核防护模块 在内 外部处理单元中嵌入安全加固的操作系统 设置基于内核的IDS等 安全检查模块 数据完整性检查 病毒查杀 恶意攻击代码检查等 身份认证模块 支持身份认证 数字签名 访问控制模块 实行强制访问控制 安全审计模块 建立完善日志系统 安全隔离的技术原理 外网是安全性不高的互联网 内网是安全性很高的内部专用网络 正常情况下 隔离设备和外网 隔离设备和内网 外网和内网是完全断开的 保证网络之间是完全断开的 隔离设备可以理解为纯粹的存储介质 和一个单纯的调度和控制电路 安全隔离的技术原理 安全隔离的技术原理 信息进 当外网需要有数据到达内网的时候 以电子邮件为例 外部的服务器立即发起对隔离设备的非TCP IP协议的数据连接 隔离设备将所有的协议剥离 将原始的数据写入存储介质 根据不同的应用 可能有必要对数据进行完整性和安全性检查 如防病毒和恶意代码等 内部服务器与物理隔离网闸始终处于断开状态 安全隔离的技术原理 信息进 安全隔离的技术原理 信息进 一旦数据完全写入隔离设备的存储介质 隔离设备立即中断与外网的连接 转而发起对内网的非TCP IP协议的数据连接 隔离设备将存储介质内的数据推向内网 内网收到数据后 立即进行TCP IP的封装和应用协议的封装 并交给应用系统 安全隔离的技术原理 信息进 安全隔离的技术原理 信息进 在控制台收到完整的交换信号之后 隔离设备立即切断隔离设备于内网的直接连接 安全隔离的技术原理 信息出 安全隔离的技术原理 信息出 安全隔离的技术原理 信息出 安全隔离的技术原理 信息出 安全隔离的特征 内网与外网永不连接 内网和外网在同一时间最多只有一个同隔离设备建立非TCP IP协议的数据连接 其数据传输机制是存储和转发 每一次数据交换 物理隔离网闸都经历了数据的写入 数据读出两个过程 内网与外网 或内网与专网 永不连接 内网和外网 或内网与专网 隔离网闸的主要功能 阻断网络的直接物理连接 物理隔离网闸在任何时刻都只能与非可信网络和可信网络上之一相连接 而不能同时与两个网络连接 阻断网络的逻辑连接 物理隔离网闸不依赖操作系统 不支持TCP IP协议 两个网络之间的信息交换必须将TCP IP协议剥离 将原始数据通过P2P的非TCP IP连接方式 通过存储介质的 写入 与 读出 完成数据转发 数据传输机制的不可编程性 物理隔离网闸的数据传输机制具有不可编程的特性 隔离网闸的主要功能 安全审查 物理隔离网闸具有安全审查功能 即网络在将原始数据 写入 物理隔离网闸前 根据需要对原始数据的安全性进行检查 把可能的病毒代码 恶意攻击代码消灭干净等 原始数据无危害性 物理隔离网闸转发的原始数据 不具有攻击或对网络安全有害的特性 就像txt文本不会有病毒一样 也不会执行命令等 管理和控制功能 建立完善的日志系统 隔离网闸的主要功能 根据需要建立数据特征库 在应用初始化阶段 结合应用要求 提取应用数据的特征 形成用户特有的数据特征库 作为运行过程中数据校验的基础 当用户请求时 提取用户的应用数据 抽取数据特征和原始数据特征库比较 符合原始特征库的数据请求进入请求队列 不符合的返回用户 实现对数据的过滤 根据需要提供定制安全策略和传输策略的功能 用户可以自行设定数据的传输策略 如 传输单位 基于数据还是基于任务 传输间隔 传输方向 传输时间 启动时间等 支持定时 实时文件交换 支持支持单向 双向文件交换 支持数字签名 内容过滤 病毒检查等功能 隔离网闸的主要功能 可用性的邮件过滤策略 可为每个用户配置不同的邮件交换策略 内外网邮件镜像等 支持Web方式 数据库同步 双向 单向数据同步 同步内容可定制 多种同步方式 数据可定时更新 支持多种数据库 Oracle Informix DB2 SQLServer等多种主流数据库 网闸与防火墙 1 防火墙的思路是在保障互联互通的前提下 尽可能安全 2 安全隔离的思路是在保证必须安全的前提下 尽可能互联互通 网闸与防火墙 隔离技术与防火墙 防火墙侧重于网络层至应用层的策略隔离 往往还会存在一些安全问题 如本身操作系统 内部系统的漏洞 通用协议的缺陷等会造成被攻击 而物理隔离卡等则侧重于物理链路层的硬隔离 所以存在着数据交换不方便的瓶颈 限制了应用的发展 GAP技术属于从物理层到数据级别的多层次隔离 所采用的技术包含了数据分片重组 协议转化 密码学 入侵检测 病毒及关键字过滤 身份验证及审计等多个范畴 GAP技术的安全性要高于防火墙 在数据交换方面远优于物理隔离卡 网闸的典型应用 应用 涉密网与非涉密网之间 应用 局域网与互联网之间 内网与外网之间 应用 办公网与业务网之间 应用电子政务的内网与专网之间 应用业务网与互联网之间 缺陷分析 物理隔离技术仅仅只是一