网络安全物理隔离技术的研究.pdf

华中科技大学 硕士学位论文 网络安全物理隔离技术的研究 姓名 陈睿 申请学位级别 硕士 专业 控制理论与控制工程 指导教师 田忠和 20050426 I 摘 要 随着电子政务电子金融等的流行如何保障涉密网络和非涉密网络之间信息 交换的安全如何合理地解决网络开放性与安全性之间的矛盾日益成为一个迫切需 要解决的问题隔离网闸是一项企业级的物理隔离技术它的产生正是为了解决网 络安全中存在的上述问题 本文介绍了物理隔离技术在网络环境中的应用并以一种基于第一代企业级隔 离技术的空气开关型隔离网闸产品为项目背景介绍了第一代产品的设计和实现在 此基础上结合对第二代隔离技术的研究提出一种数据交换模型 系统硬件平台设计选用 PC104 模块的工业单板机和采用单片机实现的控制切换 电路选用闪存作为系统的固态存储介质SDRAM 作为系统的内存板间通信及内 外主机间采用并行口网络设备接口等 工业单板机的嵌入式 Linux 经过裁减并满足对系统对外部接口的支持并通过软 件实现系统的控制和切换功能软件的设计包括单片机控制程序工业单板机的系 统守护进程切换程序系统维护程序等 网络安全中的隔离技术还在不断的发展本文中提到的桌面级企业级物理隔 离技术和基于这些技术的产品在现实中都在被广泛地应用而新的技术由于带来性 能上效率上安全性上的提高必然会替代原先的技术而所谓的双主机结构 中的数据交换技术正是其中最关键的因素本文最后在提出一种设计中的数据交换 模型的基础上讨论比较了几种数据交换方式 本系统在提供了一种物理隔离的解决方案该方案基于第一代企业级物理隔离 技术并在此基础上进一步研究设计了一种基于 SDRAM 的高速的数据交换模型 具有一定的创新对于同类系统的设计具有实际的参考价值 关键词网络安全隔离网闸嵌入式系统Linux操作系统数据交换模型 II Abstract With the popularity of electronic government electronic finance and so on the problem that how to safeguard the information exchange between trusted and non trusted networks how to solve the contradiction between network opening and network security is urgent to be solved Physical Isolation Gap is an enterprise class isolation technology which these problems can be solved This paper will introduce the application of physical isolation technology in the network environment introduce the design and implement of the first generation product under the background of the project first generation enterprise class Air Gap Then base on the research of second generation isolation technology a data exchange model is proposed The hardware platform is an industry SBC with PC104 model a switch and control center by single chip circuit SCM flash memory cards CF card as solid state memory SDRAM as system memory parallel port and network interface as on board data exchange and network connection between inner outer hosts The function of embedded Linux based SBC is implemented by software The control programs on SCM and daemon programs switch programs and system maintenance programs on SBC and so on are included in software design The isolation technology is developing continuously and the desktop class and enterprise class physical isolation technologies mentioned in this paper are all widely used The new isolation technologies will displace the old ones for enhancements of performance efficiency and security The innovation of the system consists in propose a new data exchange model base on the solution of the first generation enterprise class physical isolation It can be consulted and popularized by homogeneous system Key wordNetwork securityIsolation GapEmbedded system Linux operation systemData exchange model 1 1 绪 论 安全专家认为联网的计算机是有弱点的随着互联网上黑客病毒泛滥信息 恐怖计算机犯罪等威胁日益严重防火墙的攻破率不断上升在政府军队电 力等领域由于核心部门的信息安全关系着国家安全社会稳定因此迫切需要比 传统产品更为可靠的技术防护措施 1 1 电子政务特点及其系统安全需求 1 1 1 电子政务特点 电子政务是一国的各级政府机关或者是有关机构借助电子信息技术而进行的政 务活动其实质是通过应用信息技术转变政府传统的集中管理分层结构运行模 式以适应数字化社会的需求电子政务主要由政府部门内部的数字化办公政府 部门之间通过计算机网络而进行的信息共享和实时通信政府部门通过网络与公众 进行的双向交流三部分组成 由于电子政务依赖于计算机和网络技术而存在这就意味着电子政务的应用 就不可避免的与 INTERNET 打交道电子政务涉及对国家秘密信息和高敏感度核心 政务的保护涉及维护公共秩序和行政监管的准确实施涉及到为社会提供公共服 务的质量保证电子政务是党委政府人大政协有效决策管理服务的重要 手段必然会遇到各种敌对势力恐怖集团捣乱分子的破坏和攻击尤其电子政 务是搭建在基于互联网技术的网络平台上包括政务内网政务外网和互联网而 互联网的安全先天不足互联网是一个无行政主管的全球网络自身缺少设防和安 全隐患很多对互联网犯罪尚缺乏足够的法律威慑大量的跨国网络犯罪给执法带 来很大的难度所有上述分子利用互联网进行犯罪则有机可乘使基于互联网开展 的电子政务应用面临着严峻的挑战 对电子政务的安全威胁包括网上黑客入侵和犯罪网上病毒泛滥和蔓延信 息间谍的潜入和窃密网络恐怖集团的攻击和破坏内部人员的违规和违法操作 2 网络系统的脆弱和瘫痪信息产品的失控等应引起足够警惕采取安全措施应 对这种挑战 1 1 2 电子政务的网络架构 电子政务网络系统可规划为一个四层的安全控制域网络安全设计以各域的工 作特点为依据进行设计 核心层 核心数据存储与处理 是政府信息的集中存储与处理的域该域必 须具有极其严格的安全控制策略信息必须通过中间处理层才能获得 办公业务层 日常办公与事务处理 是政府内部的电子办公环境该区域内 的信息只能在内部流动 信息交换层 友邻上下级部门间 一部分需要各部门交换的信息可以通过 专网域进行交换该区域负责将信息从一个内网传送到另一个内网区域它 不与外网域有任何信息交换 公众服务层 电子窗口与信息服务 政府部门公共信息的发布场所实现政 府与公众的互操作该域与内网和专网物理隔离 1 1 3 电子政务对安全的特殊需求 电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与安全性之间 的矛盾在电子政务系统信息畅通的基础上有效阻止非法访问和攻击对系统的破 坏 具体到技术层面除了传统的防病毒防火墙等安全措施以外电子政务特殊 的安全需求主要表现在以下几个方面 1 内外网间安全的数据交换 电子政务应用中势必存在内网与专网外网间的信息交换需求然而基于内网 数据保密性的考虑我们又不希望内网暴露在对外环境中解决该问题的有效方式 是设置安全岛通过安全岛来实现内外网间信息的过滤和两个网络间的物理隔离 从而在内外网间实现安全的数据交换安全岛是独立于电子政务内外网的一个特 殊的过渡网络它被置于内网专网和外网相交的边界位置一方面将内网与外网 3 物理隔离断开防止外网中黑客利用漏洞等攻击手段进入内网另一方面又完成数据 的中转在其安全策略的控制下安全地进行内外网间的数据交换 隔离网闸 GAP 技术是实现安全岛的关键技术它如同一个高速开关在内外网 间来回切换同一时刻内外网间没有连接处于物理隔离状态在此基础上隔离 网闸作为代理从外网的网络访问包中抽取出数据然后通过反射开关转入内网 完成 数据中转在中转过程中隔离网闸会对抽取的数据做应用层的协议检查内容检 测也会对 IP 包地址实施过滤控制由于隔离网闸采用了独特的开关切换机制 因此 在进行这些检查时网络实际上处于断开状态只有通过严格检查的数据才有 可能进入内网 即使黑客强行攻击了隔离网闸 由于攻击发生时内外网始终处于物 理断开状态黑客也无法进入内网另一方面由于隔离网闸仅抽取数据交换进内 网因此内网不会受到网络层的攻击这就在物理隔离的同时实现了数据的安全 交换 以隔离网闸技术为核心通过添加 VPN 通信认证加密入侵检测和对数据的 病毒扫描就可构成一个在物理隔离基础上实现安全数据交换的信息安全岛 2 网络域的控制 电子政务的网络应该处于严格的控制之下 只有经过认证的设备可以访问网络 并且能明确地限定其访问范围这对于电子政务的网络安全而言同样十分重要然 而目前绝大部分网络是基于 TCP IP V4 网络协议的它本身不具备这种控制能力 要加强电子政务网络的控制与管理能力可以采用基于 802 1x带网络接入认证功能 的交换机来实现802 1x协议能够对接入设备实现认证从而控制网络的设备访问 它可以利用第三方的认证系统加强认证的安全强度如 RadiusTACACS 以及 CA 等系统802 1x 协议使得电子政务网络处于中心可管理的状态从而使得各种网络 域管理策略得以实现 3 标准可信时间源的获取 时间在电子政务安全应用上具有其特定的重要意义政务文件上的时间标记是 重要的政策执行依据和凭证政务信息传递过程中的时间标记又是防止网络欺诈行 为的重要指标同时时间也是政府各部门协同办公的参照物因此电子政务系 统需要建立全系统可信统一的时间源这是保证电子政务系统不致出现混乱的关 键因素建立可信统一的时间源可以通过在标准时间源 如本地天文台电视台等 上附加数字签名的方法来获得附加数字签名的目的是防止时间在传输途中被篡改 情况的发生 4 4 信息传递过程中的加密 电子政务应用涵盖政府内部办公和面对公众的信息服务两大方面就政府内部 办公而言电子政务系统涉及到部门与部门之间上下级之间地区与地区间的公 文流转这些公文的信息往往涉及到机密等级的问题应予以严格保密因此在 信息传递过程中必须采取适当的加密方法对信息进行加密基于 IPsec 的加密方式 正被广泛采用其优点显而易见IPSEC 对应用系统透明且具有极强的安全性这 一点对于要开发庞大应用的电子政务来说就显得极有好处了应用系统开发商不 必为数据传输过程中的加密做过多的考虑IPsec 有多种应用方式采用 IPsec 网关 是比较理想的选择它同时也易于部署和维护 5 操作系统的安全性考虑 网络安全的重要基础之一是安全的操作系统因为所有的政务应用和安全措施 包括防火墙防病毒入侵检测等 都依赖操作系统提供底层支持操作系统的漏洞 或配置不当将有可能导致整个安全体系的崩溃更危险的是我们无法保证国外厂 家的操作系统产品不存在后门在操作系统安全方面有两点是值得考虑的一是 采用具有自主知识产权且源代码对政府公开的产品二是利用漏洞扫描工具定期检 查系统漏洞和配置更改情况及时发现问题 6 数据备份与容灾 任何的安全措施都无法保证数据万无一失硬件故障自然灾害以及未知病毒 的感染都有可能导致政府重要数据的丢失因此在电子政务安全体系中必须包括 数据的容灾与备份并且最好是异地备份 1 2 网络安全中的物理隔离技术 我国 2 0 0 0 年 1 月 1 日起实施的计算机信息系统国际联网保密管理规定第二 章第六条规定涉及国家秘密的计算机信息系统不得直接或间接地与国际互联 网或其它公共信息网络相连接必须实行物理隔离 1 2 1 基于不同层面的隔离防护技术 在信息及网络安全技术领域也有基于不同层面的隔离防护技术 5 一基于代码内容等隔离 1 的反病毒和内容过滤技术 随着网络的迅猛发展和普及依靠下载浏览器电子邮件局域网等成为最 主要病毒恶意代码及文件等传播方式防病毒和内容过滤软件可以将主机或网络 隔离成相对干净的安全区域 二基于网络层隔离的防火墙技术 2 防火墙被称为网络安全防线中的第一道闸门成为目前企业网络与外部实现隔 离的最重要手段防火墙包括包过滤状态检测应用代理等基本结构目前主流 的状态检测不但可以实现基于网络层的 I P 包头和 T C P 包头的策略控制 还可以跟踪 T C P 会话状态给用户提供了安全和效能的很好结合 漏洞扫描入侵检测和管理等技术并不直接隔离而是通过旁路监测侦听 审计管理等功能使安全防护作用最有效化 三基于物理链路层的物理隔离技术 物理隔离的思路源于逆向思维即首先切断可能的攻击途径如物理链路 再尽力满足用户的应用物理隔离技术演变经历了几个阶段双机双网通过人工磁 盘拷贝实现网络间隔离 单机双网等通过物理隔离卡 隔离集线器切换机制实现终端 隔离隔离服务器实现网络间文件交换拷贝等这些物理隔离方式对于信息交换实 效性要求不高仅局限于少量文件交换的小规模网络中被采用切断物理通路可以 避免基于网络的攻击和入侵但不能有效地阻止依靠磁盘拷贝传播的病毒木马程 序等流入内网此外采用隔离卡由于安全点分散容易造成管理困难 1 2 2 物理隔离技术 传统物理隔离卡技术虽确保了网络的安全性却因缺乏信息交换机制的局限性 往往会形成流通不畅的 孤岛 而限制了应用的发展近期国内外快速发展起来 的 GAP 技术 3 以物理隔离为基础在确保安全性的同时解决了网络之间信息交 换的困难从而突破了因安全性造成的应用瓶颈 GAP 源于英文的 Air Gap GAP 技术是一种通过专用硬件使两个或者两个以上 的网络在不连通的情况下实现安全数据传输和资源共享的技术GAP 中文名字叫 做安全隔离网闸它采用独特的硬件设计能够显著地提高内部用户网络的安全强 度 根据用户不同的需求物理隔离技术分为桌面级和企业级 4 硬盘隔离卡物理 6 隔离集线器等能满足一般的对物理隔离的需求能最大限度地保障用户工作站的安 全地访问涉密网络又可以访问非涉密网络属于桌面级的应用单向和双向物理 隔离网闸既能够保障涉密网络和非涉密网络之间数据交换的安全又可以很方便的实 现单向 双向的数据交换克服了桌面级应用中的孤岛问题 物理隔离网闸应用在下面的 5 种场合环境中 1涉密网与非涉密网之间 2局域网与互联网之间内网与外网之间 有些局域网络特别是政府办公网络涉及政府敏感信息有时需要与互联网 在物理上断开用物理隔离网闸是一个常用的办法 3办公网与业务网之间 由于办公网络与业务网络的信息敏感程度不同例如银行的办公网络和银行 业务网络就是很典型的信息敏感程度不同的两类网络为了提高工作效率办公网 络有时需要与业务网络交换信息为解决业务网络的安全比较好的办法就是在办 公网与业务网之间使用物理隔离网闸实现两类网络的物理隔离 4电子政务的内网与专网之间 在电子政务系统建设中要求政府内网与外网之间用逻辑隔离在政府专网与内 网之间用物理隔离现常用的方法是用物理隔离网闸来实现 5业务网与互联网之间 电子商务网络一边连接着业务网络服务器一边通过互联网连接着广大民众 为了保障业务网络服务器的安全在业务网络与互联网之间应实现物理隔离 1 3 桌面级物理隔离技术 1 3 1 硬盘隔离卡 物理安全隔离卡如图 1 1是物理隔离的低级实现形式一个物理安全隔离卡 只能管一台个人计算机甚至只能在 Windows 环境下工作每次切换都需要开关机 一次物理安全隔离卡的功能即是以物理方式将一台 PC 虚拟为两个电脑实现工作 站的双重状态既可在安全状态又可在公共状态两个状态是完全隔离的从而 7 使一台工作站可在完全安全状态下联结内外网物理安全隔离卡实际是被设置在 PC 中最低的物理层上通过卡上一边的 IDE 总线连接主板另一边连接 IDE硬盘 内外网的连接均须通过网络安全隔离卡PC 机硬盘被物理分隔成为两个区域在 IDE总线物理层上在固件中控制磁盘通道在任何时候数据只能通往一个分区 图 1 1 网络安全隔离卡 在安全状态时主机只能使用硬盘的安全区与内部网联结而此时外部网如 Internet联接是断开的且硬盘的公共区的通道是封闭的在公共状态时主机只 能使用硬盘的公共区可以与外部网联结而此时与内部网是断开的且硬盘安全 区也是被封闭的 1 3 2 物理隔离集线器 网络安全隔离集线器如图 1 2是一种多路开关切换设备它与网络安全隔离 卡配合使用它具有标准的 RJ 45 接口入口与网络安全隔离卡相连出口分别与 内外网络的集线器HUB相连它检测网络安全隔离卡发出的特殊信号识别出 所连接的计算机自动将其网络线切换至相应的网络 HUB上实现多台独立的安全 计算机与内外两个网络的安全连接以及自动切换进一步提高了系统的安全性并 且解决了多网布线问题可以让连接两个网络的安全计算机只通过一条网络线即可 与多网切换连接对现存网络改进有较大帮助 8 图 1 2 物理隔离集线器 1 4 企业级物理隔离技术 物理隔离网闸如图 1 3是使用带有多种控制功能的固态开关读写介质连接两 个独立主机系统的信息安全设备由于物理隔离网闸所连接的两个独立主机系统之 间不存在通信的物理连接逻辑连接信息传输命令信息传输协议不存在依 据协议的信息包转发只有数据文件的无协议 摆渡 且对固态存储介质只有 读 和 写 两个命令所以物理隔离网闸从物理上隔离阻断了具有潜在攻击可能的 一切连接使 黑客 无法入侵无法攻击无法破坏实现了真正的安全物理隔 离网闸中断了两个网络之间的直接连接所有的数据交换必须通过物理隔离网闸 网闸从网络层的第七层将数据还原为原始数据文件然后以 摆渡文件 的形式来 传递数据没有包命令和 TCP IP 协议可以穿透物理隔离网闸这同透明桥混杂 模式IP over USB以及通过开关方式来转发包有本质的区别真正实现了物理 隔离 图 1 3 物理隔离网闸 1 4 1 单 双向物理隔离 物理隔离网闸可以提供双向的数据交换涉密网络的服务器可以从非涉密网络 的服务器获取数据库服务文件服务甚至电子邮件和 FTP 连接涉密网络也可以将 9 数据库数据文件等推送到非涉密网络服务器 单向的物理隔离网络只允许数据的单向流动一般是从非涉密网络到涉密网络 这种方式在某些对安全性有更高要求的部门有需求 1 4 2 数据交换方式 数据交换方式是物理隔离网闸最关键的技术之一目前常见的数据交换方式主 要有两类 5 6 7 空气隔离第一代物理隔离技术 专用数据交换通道第二代物理隔离技术 空气隔离采用类似于摆渡的数据暂存区的方式交换裸数据能满足基本的 物理隔离需求不足在于切换速度相对较慢某些实时性要求较高的应用就不能胜 任专用数据交换通道采用专用的数据交换接口卡以专用的传输协议和总线达到 极快的交换速度 1 5 国内外研究现状 1国内研究现状 8 我国物理隔离网闸的产品研制是近 3 年的事参与研制的单位不多产品种类 也较少产品的性能指标质量指标技术水平处于第一代截止到 2003 年 5 月 31 日通过了公安部计算机信息系统安全产品质量检验中心检测公安部颁发销售许 可证的物理隔离网闸产品情况见表 1 1其中北京天行网安信息技术有限责任公司 研发的天行安全隔离网闸 Topwalk GAP 于 2002 年 9 月通过了国家保密局的技术鉴 定由于物理隔离网闸处于涉密网与非涉密网的网关的特殊位置而且又是网络 安全的最后一道防线用户对产品研发人员的背景和研发单位的背景也是选择产品 的重要条件有些有外资背景公司的产品销售不能不受影响所以在市场上能站 住脚的产品是极为有限的几种 2国外研究现状 国外有 Whale 公司的 e GAP 系统 Spearhead 公司的 NetGAP 等 在军政 航天 金融等部门被采用 10 表 1 1 公安部发放销售许可证的物理隔离网闸产品情况表 单位 证书号码 有效期 产品名称 北京京泰网络科技有限公司 XKC30146 20030704 京泰网络物理隔离系统 BHLNET 1 0 北京盖特佳信息安全技术有限公司 XKC30242 20040611 网闸动态实时网络隔离系 统 V1 0 北京大唐永创科技发展有限公司 XKC30253 20040715 网络隔离系统 SafeDoor 1000 北京天行网安信息技术有限公司 XKC30268 20040826 安全隔离网闸 M 1000 型 北京天行网安信息技术有限公司 XKC30269 20040826 安全隔离网 WD 1000 型 联想控股有限公司 XKC30361 20050307 联想网御安全隔离网闸 网御 SIS 3000 中网信息技术有限公司 XKC30363 20050312 中网隔离网闸 X gap V1 0 珠海经济特区伟思有限公司 伟思网络安全隔离网闸 ViGap Whale 公司将 e GAP 系统定位为应用层的防护设备该产品通过隔离服务器 数据暂存区隔离开关Air GAP Switch并结合应用层安全控制来达到整体安全 它集成了加密技术授权认证PKIHTTP 镜像规则过滤Air GAP空气隔离 等多种安全技术构成软硬一体化平台 Spearhead 公司的 NetGAP 直接连接两个网络通过插在 PCI 槽的安全电路板与 LVDS 总线一起实现了 Reflective GAP 技术每一个安全电路板包含一对双开关结 构双开关结构确保了在两个网络之间一个完全的链路层隔断数据包从外网传至 内网需要经历会话终止剥离数据编码恶意代码扫描传输恢复会话再生等 过程确保内网的安全性 另外NetGAP 还提供了入侵监测负载均衡和容错等扩展功能 11 2 系统规划 2 1 系统总体概况 为适应政府办公中对网络安全越来越高的要求而开发的物理隔离网闸产品 在硬件平台上以 PC104 模块的工业单板机作为系统数据交换 管理平台 以 AT89S52 单片机为主的控制电路以闪存介质为固态存储介质硬盘为数据交换的暂存区 在工业单板机上采用自行裁减的 Linux 作为工业单板机的操作系统辅以安全加固 软件物理隔离网闸管理系统运行在以工业单板机为硬件平台的内网处理机上 通过 WEB 的形式方便直观地管理网闸的运作 本系统的主要特点有 符合国家有关物理隔离的安全标准 物理隔离网闸管理系统涵盖系统运行状态显示状态切换数据库应用 的设置任务配置任务控制等 在暂存区切换上设计了双硬盘的双摆渡方案使内外处理机能不间断地 切换暂存区上的数据 工业单板机采用闪存介质CF 卡作为存放操作系统和系统应用程序的固态存 储操作系统采用的 Linux经过裁减能最简到刚好满足系统的安全并口 的操作闪存介质和 IDE 设备的的管理 采用 PC104 模块的工业单板机能减少系统能耗便于系统的扩张并减小 系统尺寸同时增大了机箱内的空间增强了散热能力 系统安全性既由空气隔离技术的支持也由安全加固的操作系统中内嵌的 LIDS入侵检测系统防病毒程序防火墙等综合防护能防止绝大多数 入侵手段对系统的入侵系统的稳定性由控制板看门狗监控 系统提供日志管理 系统提供了 SQL Server 和 Oracle 数据库模块和文件交换模块 12 图 2 1 是本系统在某政府的人口管理系统中的网闸实施图 图 2 1 物理隔离网闸实施图 上图中网闸处于公安专网和外网中的防火墙之间提供数据库文件邮件模 块 2 2 技术质量指标 该项目主要技术性能指标如下 一实时性 电子开关的切换速度 300 次 s 一次切换的最大数据容量 32M 双摆渡每次切换处理等待时间 90s 二可靠性 控制电路看门狗超时复位 13 系统复位状态恢复 三系统安全性 1 通信安全性 控制电路板由单片机控制内外处理机与暂存区 IDE 接口的切换任意一个时刻 某个暂存区只挂接在内 外处理机中的一方不存在这种情况某时刻某暂存区 同时与内外处理机同时挂接暂存区切换和挂接信号的发起都由固化在控制电 路板上单片机中的程序控制不由与外网相连的外处理机所控制 2 硬件软件及固件的安全性 具有电源故障保护和自动重新启动的功能 初始状态可以预置并进行修改 有自检能力检测出有故障时能自动切换 系统中任何地方单个元件的故障都不会造成系统的误动作 四可扩展性 工业单板机采用内存作为数据交换的快速临时存储介质其容量可以扩大 相应的硬盘上的切换分区容量也可扩大 采用 PC104 模块的工业单板机有效利用了机箱内空间也便于了将来采 用 PC104 模块的栈式层叠扩展系统硬件电路 操作系统经过裁减系统内核经过重新编译后可支持新的文件系统或硬件 软件平台上在内处理机上向内网提供 WEB服务可从内网安全地访问网闸 管理页面维护系统的运行网闸管理程序采用跨平台的 Java可很方便的在 开发平台移植到运行平台 2 3 系统 物理隔离网闸 的功能 提供数据库模块 支持 MS SQL Server 和 Oracle 数据库 通过网闸管理页面 可以设置内网和外网分别对应得数据库类型 两者的数据库类型可以相同也 可以不同但数据库结构必须一致 提供文件交换模块通过内外处理机的 SAMBA 文件服务器可以与 Window 14 或 Unix主机进行文件交换 提供 LIDS操作系统内置防火墙防病毒软件和物理隔离的摆渡的全 方位安全措施 内网的管理员通过身份验证可以在内网中通过浏览器访问网闸管理页面 可 以完成监控系统状态维护系统运行任务调度日志维护等操作 15 3 第一代空气隔离系统 3 1 系统概述 3 1 1 系统模型 第一代网闸 9 10 11 的技术原理是利用单刀双掷开关使得内外网的处理单元分时 存取共享存储设备来完成数据交换的实现了在空气缝隙隔离 Air Gap 情况下的数 据交换安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和 增强应用层安全的效果 基本的物理隔离网闸模型由内 外处理机控制电路和数据暂存区组成如图 3 1 所示内 外处理机可以是两块采用 PC104 模块的工业单板机也可以是一个具有 共同工业底板的两块 CPU 卡等等构成一种双主机结构分别具有独立的安全 加固的嵌入式操作系统控制电路控制着物理隔离设备的运行使得在同一个时刻 内 外处理机只允许其中的一方可以访问暂存区并进行纯数据的读写而控制电路 正是控制这个切换流程这种切换的流程称为摆渡而内 外处理机对暂存区进行 的纯数据的读写正是有别于安全隔离设备的具有协议的数据传输 外网服务器内网服务器 外处理机 内处理机 暂存区 控制电路 物理隔离设备 图 3 1 物理隔离网闸结构示意图 16 3 1 2 同类产品 国内是近三年开始研究物理隔离技术目前比较成熟的产品主要采用的是第一 代的空气隔离技术主要有联想网御 SIS 3000 系列安全隔离网闸天行安全隔离 网闸Topwalk GAP中网物理隔离网闸等 联想网御 SIS 3000 系列安全隔离网闸 联想网御 SIS 3000 系列安全隔离网闸作为网络链路层物理隔离设备具有比防 火墙更高的安全性能联想网御 SIS 3000 具有高速电子开关和专有协议确保内外 网在任意时刻物理隔离通过领先的信息摆渡机制提高数据传输的安全性采用 多种安全技术支持可信的专用信息交换服务使用高速安全隔离电子开关支持 毫秒级高速切换自主的嵌入式安全操作系统有效保证了系统自身安全性支持 包括文件交换邮件交换和数据库同步在内的多种应用 天行安全隔离网闸Topwalk GAP Topwalk GAP 能够实现隔离网络间异构数据库交换 该产品的基本模块作为整 个安全隔离网闸的核心部件是其他应用模块的安全平台数据库交换模块支持多 种主流数据库平台在网络间的可控方向的安全数据交换文件交换模块提供网络间 的基于文件形式的可控方向的安全文件传输消息模块为上层应用平台提供了基于 API 的开发接口为彼此隔离的网络上层程序提供快速可靠的消息传送 中网物理隔离网闸 由中网公司研制开发的安全隔离和信息交换系统X Gap能够较好的解决隔 离断开和数据交换的难题X Gap 中断了两个网络之间的链路连接通信连接网 络连接和应用连接在保证两个网络完全断开和协议中止的情况下以非网络方式 实现了数据交换没有任何包命令和 TCP IP 协议包括 UDP 和 ICMP可以穿透 X Gap 它具有高安全高带宽高速度高可用性的优点此外由于采用了 SCSI 技术 背板速率高达 5G开关效率达到纳秒级彻底解决了速度慢效率低的问题 除此之外SCSI 控制系统本身具有不可编程的特性和冲突机制形成简单的开关原 理从而彻底解决了网闸开关的安全性问题 在用户要求进行物理隔离同时又需要实时地交换数据解决物理隔离和信息 17 交流的问题时采用中网 X GAP 系列产品则可以实现两网之间必要的 摆渡 又保 证不会有相互入侵的安全问题 3 2 硬件平台设计 空气隔离物理隔离网闸硬件平台包括内外处理机控制电路暂存设备三大部 分其中内外处理机为了减小系统尺寸减少能耗采用了 PC104 模块的工业单板机 控制电路为了能自发地控制内外处理机的切换动作采用使用单片机的电路板其上 可以通过编程并烧写入单片机后在系统运行中不可被外部再次修改暂存区考虑到 切换速度和使用寿命采用固态存储介质如硬盘 3 2 1 工业单板机 如图 3 2 所示是选用的基于 PC104 模块的工业单板机 12 13 选择此型号的单板 机有以下原因 图 3 2 104 1541CLDN 工业单板机 集成度高 在一块主板上集成了 LANVGA LCDAUDIOVEDIOUSBLPTCOM 等接口CPU 焊贴在板 体积小重量轻 采用 PC104 模块尺寸只有 90mm96mm 18 功耗低 采用了低功耗的 CPU并贴在主板上可无风扇工作 宽温工作 在环境为 20 70C 的温度下 采用工业级芯片 大大减低故障率和元器件失效率 抗震性好 采用板贴 CPU 技术提高产品的抗震性外存储器采用了 FLASH 技术如采用 了 CompactFlash等电子盘取代传统的机械硬盘也在很大程度上提高了系统 的抗震性和可靠性 该款型号为 104 1541CLDN 的工业单板机主要有如下配置 CPUGX1 200 300MHz 5x86 处理器 MEMORY支持最大 256M 并口 1 个 网口 Realtek 8139C 10 100Mb IDE 支持 1 个 CF 卡接口1 个支持 Master Slave 模式的 IDE 接口 以上配置刚好可以满足系统需要两台这样的单板机可以作为内外处理机构 成双主机结构 此外系统采用 PC104 模块 14 的单板机可以便于系统升级扩展以一种模块栈 的形式将一系列 PC104 模块的电路板堆叠起来如图 3 3 所示 图 3 3 PC104 模块栈 19 3 2 2 存储设备 1内外处理机采用的单板机可以使用 CF 卡如图 3 4作为硬盘相比传 统的机械硬盘有以下好处 抗震性好可靠性强读写数据非机械硬盘的磁头转动不会因震动而损 坏可反复擦写 1000000 次以上 体积小只有火柴盒大小可以减小系统尺寸 能耗小内部只有若干电子元件比起传统机械硬盘能耗可以忽略不计 廉价小容量的情况下比普通机械硬盘便宜 此外由于选用的这款单板机只有两个 IDE 通道一个支持 CF 接口另一个 可以挂接普通机械硬盘 根据系统的设计 内外处理机就必须采用 CF 卡作为其硬盘 其上存放内外处理机的嵌入式操作系统和系统程序 根据系统软件平台的要求内外处理机分别采用不同容量的 CF 卡外处理机 64MB内处理机 128MB 2系统的暂存区部分是内外处理机之间数据交换的暂存设备需要频繁擦写 和切换CF 虽然具有上述众多优点但是在擦写次数上还是不及传统的机械硬盘 所以系统还是采用了普通的机械硬盘 系统由于采用了一种双摆渡的切换方式有两个暂存区同时在工作 每个暂存区都是一块独立的机械硬盘并且要求有相同的硬件参数和机械参数本 系统采用两块 40G Maxtor 硬盘 图 3 4 CF 卡 3 2 3 单片机 系统的控制中心是一块单片机系统单片机采用 AT89S52选择此款单片机基 20 于以下原因 8K Bytes In System Programmable ISP Flash Memory 有足够的程序空间用来开发控制电路的软件用于切换内外处理机与相应的暂 存区的数据交换等 32 Programmable I O Lines 有足够的 I O 线可以设计来与内外处理机进行控制信号的并口通信 Three 16 bit Timer Counters 有足够的定时器触发控制内部中断等 Watchdog Timer 用于系统异常复位 图 3 5 是此款单片机的管脚图其中 P0 0P0 7 控制中心与内处理机的控制信号的并口通信 P2 0P2 3 控制中心与外处理机的控制信号的并口通信 P1 0P1 2 用于控制切换 IDE 和 LAN INT0 P3 2 用于接收按键中断 图 3 5 AT89S52 3 2 4 并口通信 使用单板机的 SPP 模式SPPStandard Parallel Port模式即标准并口模式是 为打印输出而设计的数据由计算机单向输出不能用数据线进行数据输入要做 数据输入只能利用状态线并口状态线只有 5 根所以每个字节要分两次输入再 21 拼装为一个完整的字节SPP 模式速度较低对硬件的要求不高适用于低速的应 用场合如打印机软件狗等如图 3 6 所示是并口引脚图 图 3 6 并口引脚图 本系统外处理机与控制中心单片机之间是单向通信即只能由单片机给单板机 发送信号由于单板机使用的 SPP 模式则并口只有状态寄存器可以接收控制信号 状态寄存器的地址一般是 379h而内处理机和控制中心单片机之间是双向通信单 板机的状态寄存器接收控制信号数据寄存器发送控制信号 本系统采用并口发送 接收控制信号主要考虑到以下因素 控制信号通过若干条与并口相连的信号线可以组合成若干种控制指令 便于 单片机解析而不用串行地读取后再解析 并口的某些位如状态位是只读的可以满足系统对与非安全网络连接的 外处理机的安全性的要求 即外处理机只可以接受来自控制中心的控制信号 而不能向控制中心发送控制信号 本系统选用的单板机提供了并行端口 3 2 5 IDE LAN切换 1IDE 的切换 系统数据的传输采用摆渡的形式内外处理机没有任何直接联系控制信 号都是由控制板上的单片机发出内外两块单板机通过并口监听控制板发出的控制 信号来处理暂存区的挂接卸载数据的传输等 暂存区的切换设计了用双硬盘形成的双摆渡方式传统的单摆渡形式 切换效率低某一时刻内外处理机中的一个与唯一的暂存区相连而同时另一个处 理机闲置造成了效率上的浪费为解决这个问题我们设计了一种双硬盘双切换 22 电路的双摆渡的方式大大提高了系统效率图 3 7 是双摆渡的原理图这 种切换方式有以下特点 标准 IDE接口的某些 IO 和地址线通过 CD4016 模拟电子开关控制断合内 外处理机两个暂存区共 4 个 IDE 接口譬如图上上方两个 IDE 接口属于 内 外处理机下方两个 IDE 接口分别属于两个暂存区硬盘 某一时刻一块暂存区硬盘必须只能和内外处理机中的一者相连由电子开关 控制所以有四条可能的线路而且在某个暂存区硬盘同边的线路被接通后 由非门控制并列的电子开关切断相邻的线路 控制信号从非门引出控制信号由单片机发出 所以这样的双摆渡结构可以使得系统全部利用起来两个暂存区都分别 与内外处理机中的一者相连在下一个流程两个暂存区切换分别与另一者相连 图 3 7 双摆渡原理图 2LAN 切换 为保障系统安全在内外处理机不需要和与之相连的内外网服务器通信时彻底 切断内外网之间的联系需要在控制中心在适当的时候切断内外处理机与内外网的 23 网络连接经过反复实验采用 74HC244 数字电子开关可以很好地实现 3 3 软件平台设计 3 3 1 Linux 裁减 单板机上软件的运行需要一个操作系统环境普通的 Linux 15 16 17 过于庞大 单板机上很少的固态存储空间不能容纳嵌入式操作系统又不能很方便地兼容从宿 主机平台移植 18 19 20 过来的应用程序因此综合两个原因我们需要裁减普通的 Linux的体积使之刚好可以满足系统的要求 系统的裁减包括以下几个方面 1内核环境 21 22 23 本系统裁减选用的内核是 Kernel 2 4 20 a 内核补丁 首先需要给此版本的内核打上 LIDS 补丁这样系统将在内核提供入侵检测模 块支持 patch p1 lids 1 1 2 2 4 20 lids 1 1 2 2 4 20 patch b 编译内核 make menuconfig 之后选择操作系统需要支持的网络接口文件系统包括固态盘和硬盘的 ext3 文件系统支持的硬件设备包括并口网口IDE 控制器等以及内核内置的防火 墙和一些网络攻击的保护LIDS 的设置等完成这些配置后 make dep make clean make bzImage 即可获得内核 2软件运行环境 24 25 26 a busybox的用户管理等 使用 busybox 可以实现一些用户管理和安装最基本的系统命令根据本系统的 24 需要修改了 busybox 的配置后重新编译并安装获得能满足系统需求的最小的系 统的命令 b 日志管理 采用 syslog ng软件包编译安装后提供操作系统日志管理 c C 函数库和 JDK 内外处理机都需要运行 C 的应用程序因此都需要 C 函数包此外内处理机还 向内网提供管理页面因此内网处理机还需要安装 Java 运行环境其中 C 函数包可 直接导入而 JDK 需要裁减只保留本系统的系统维护程序需要的最小模块 3 3 2 系统安全平台 系统安全平台 28 29 30 是上述的操作系统平台建立之后 为保障系统安全所建立 它包括以下方面 a LIDS 软件包 在内核提供了 LIDS 支持后还需导入 LIDS 31 必须的几个函数库并对系统进 行设置对系统最小授权其中对用户的完全禁止放在系统全部封装后再完成 b 防火墙和病毒防护 系统内核提供防火墙支持这里需要进行设置采用最小授权原则 病毒防护采用 Linux 下的查杀毒程序在系统数据交换过程中需要病毒防护程 序的病毒查杀 3 4 软件设计 按照系统开发的需求本系统提供两种模块 数据库交换模块 文件交换模块 除此之外邮件交换模块等可以通过双摆渡系统体系结构实现的模块可以 将来增加到系统 本系统的内外处理机是工业单板机其上采用裁减的 Linux可以 C 和 Java 的 25 程序运行环境数据库交换模块文件交换模块以及守护进程系统维护程序运行 在单板机上控制中心是采用 AT89S52 的单片机系统我们采用 C 开发并烧写入系 统 Flash 本系统软件开发环境主要有 开发 Java 应用的 JBuilder集成开发环境在开发机上开发 Java 程序然 后移植到单板机上调试 开发单板机 Linux守护进程的 C 集成开发环境 anjuta 开发机也采用 Linux 因此选用 Linux上的 C 集成开发环境 开发单片机程序 C 程序的集成开发环境 Keil 3 4 1 数据库交换模块 数据库交换模块 32 是本系统目前主要的模块可以在与本系统相连的内外网服 务器的数据库之间进行数据交换目前支持的数据库类型有 Oracle Microsoft Sql Server 能外网服务器上的数据库之间能够进行数据交换必须满足以下条件 需要交换的数据库表的结构需要交换的字段的字段名字段类型要一致 需要内网管理员通过系统维护程序定义数据交换的任务 内外网服务器的数据库类型是目前支持的类型 该模块采用 Java 开发是由于开发人员的要求还有相较于 CJava 有更好的数据 库 API 的支持还有便于从宿主机向运行环境移植的原因 模块由若干子程序构成 ConnectOut java 根据配置文件里的配置来连接外网数据库 ConnectIn java 根据配置文件里的配置来连接内网数据库 PartportReader java 读并口状态 XMLprop java 读 XML配置文件 Data R java 主程序 完成读内网或外网数据库并将数据保存到暂存区 Data W java 主程序将暂存区里的数据写到外网或内网数据库 26 Update 1 0 java 将数据库里的为 1 的控制字段 update 成 0 数据库交换模块的配置是相对比较复杂的所以在系统维护程序里有直观的配 置方法系统可以定义多条数据库交换任务交换的双方可以是不同类型的数据库 也可以是同一种类型只需要满足上面几条数据交换的条件 3 4 2 文件交换模块 文件交换模块是可以在内外网服务器之间交换文件目前系统支持的最大的单 个文件最大容量是 32M 内外网处理机主动发起 SAMBA客户端请求从某内外网服务器的某一方 GET 文件后通过摆渡再 PUSH到另一方所有操作都由网闸发起 3 4 3 内外处理机守护进程 内外网处理机上有一类特殊的程序它控制着系统启动至系统停止间所有系统 程序的调用和负责与控制中心的控制信号通信这就是守护进程 1本系统守护进程在开发机 Linux环境下用 C 开发它具有以下功能 系统初始化建立系统运行环境清理暂存区获取系统任务配置表 监听来自控制中心的控制信号调用相应的模块完成配置的任务内处理机 还可以向控制中心发出控制信号发起新的任务或者启动 停止系统等 参与系统运行系统一些控制程序也是以守护进程运行随时根据接收到的 信号动作 2守护进程监听的信号全部来自并口以下是控制信号的定义 define