网络综合布线系统中的物理隔离技术
一、物理隔离技术的意义与作用
物理隔离技术作为网络与信息安全技术的重要实现手段,越来越受到业界的重视。物理
隔离的概念,简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接,将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来,让黑客无机可乘。这样就
需要一种技术来帮助用户方便、有效地隔离内、外网络。尤其是“政府上网”保安部门、军
事部门、商业运作筹划部门、重要的科研部门更需要物理隔离技术。
我们国家非常重视计算机网络的安全,国家保安局发布的《计算机信息系统国际联网保
安管理规定》中第二章第六条规定“涉及国家秘密的计算机系统,不得直接或间接地与国际
互联网或其他公共信息网络相连接,必须实行物理隔离”。对网络物理隔离的技术研究和产
品的生产起作推动作用,并有着它的应用市场和迅速发展的趋势。
作为物理隔离技术,仅仅是一种被动的隔离方法,目的是为了保证内外网络信息的隔离,而信息是保存在存储介质上的,物理隔离就是要保证隔离双方的信息不会出现在同一个存储
介质上,也不会都出现在对方的网络中,而二个存储介质在同一时刻只能有一个在发挥其作用。
作为物理隔离技术,需要做到以下5点。
(1)高度安全。物理隔离要从物理链路上切断网络连接,达到高度安全的可行性。
(2)较低的成本。建立物理隔离时要考虑其成本,如果物理隔离的成本达到或超过了两套网络的建设费用,那就失去了物理隔离的意义。
(3)容易部置。在实施物理隔离时,既要满足内外网络的功能又要易于部置,结构要简单。
(4)操作简单。物理隔离技术应用的对象是工作人员与网络专业技术人员,因此要求工作站的网络端要简单易行、方便用户,使用者不会感觉到操作的困难性。
(5)灵活性与扩展性
物理隔离是具有多种配置的,我们可根据现有网络系统的特性,进行灵活改造,达到物
理隔离的功能,同时考虑在网络中可随时添加新设备、不会给网络安全带来任何不利的影响。
在具体的应用范围上要区分5种状况:
(1)政府部门。政府部门要解决网络安全防范问题,除了具有防火墙功能外(从软件检测入侵的手段)能够满足保安部门、财务部门、人事部门的不同应用需求,把
黑客、情报盗窃、破坏者拒绝于门外。
(2)军队部门。军队部门要解决安全控制,能够满足军队内部各部门的网络连接和物理隔离的限制。杜绝国防工程、军事技术与各种先进技术的泄密。
(3)金融证券部门。金融证券部门要解决上级部门与下级部门、同级部门之间网络安全防范,同时要实现业务工作与对外服务工作的有效隔离。
(4)企业部门。企业部门要解决内部网与外部网的安全控制,满足不同部门的应用需求与安全控制。新产品技术、财务、人事、销售渠道等与整个网络进行局部隔离。
(5)科研部门。科研部门,既要考虑Internet的应用,又要考虑本身研究的课题保密性,避免泄密和被盗窃,应有着严格的隔离限制。
二、物理隔离技术的不足之处。
物理隔离技术的不足之处主要表现在4个方面,它们是:
(1)物理隔离技术仅仅是一种被动的隔离开关,手段单一,没有与其他安全技术进行
配合;
(2)物理隔离不能做到安全状态检测,容易被非法人员利用而混入内部网络;
(3)内部防范措施。由于内外网的存储介质都在本地,不能有效地防止内部人员的信息主动泄密行为,尤其是内部人员作案问题;
(4)复核取证难度大。内部网络信息一旦泄露出去,无法进行复核、取证、确认信息泄露的行为人有相当的困难。
三、物理隔离技术的路线
美国早在1999年就强制规定军方涉密网络必须与Internet断开。我国政府在近二年也在不断强调保密问题,要求有秘密的信息要与网络物理隔离,作为物理隔离技术的路线,一般是客户端选择设备和网络选
择器,用户通过开关设备或键盘链控制选择不同的存储介质体,管理端设立内、外网存储介质,通过防火墙、路由器与外界相连。
物理隔离技术从出现到现在,目前基本上可划分为三代产品。
(1)第一代产品
第一代产品采用的是双网机技术,其工作原理是:
双硬盘在一个机箱内,设有两块主机板、两套内存、两块硬盘和两CPU、相当于两台计算机共用一个显示器。用户通过客户端开关,分别选择两套计算机系统。
第一代产品的特点是客户端的成本很高,并要求网络布线为双网线结构,技术水平相对而言是简单的。
(2)第二代产品
第二代产品主要采用双网线的安全隔离卡技术,其表现为:
客户端需要增加一块PCI卡,客户端硬盘或其它存储设备首先连接到该卡,然后再转接到主板,这样通过该卡用户就能控制客户端的硬盘或其它存储设备。用户在选择硬盘的时候,同时也选择了该卡上所对应的网络接口,连接到不同的网络。
第二代产品与第一代产品相比,技术水平提高了,成本也降低了,但是这一代产品仍然要求网络布线采用双网线结构。如果用户在客户端交换两个网络的网线连接,内外网的存储介质也同时被交换了,这时信息的安全还存在着隐患。
(3)第三代产品
第三代产品采用基于单网线的安全隔离卡,加上网络选择器的技术。客户端仍然采用类似于第二代双网线安全隔离卡的技术,所不同的是第三代产品只利用一个网络接口,通过网线将不同的电平信息传递到网络选择端,在网络选择端安装网络选择器,并根据不同的电平信号,选择不同的网络连接,这类产品能够有效利用用户现有的单网线网络环境,实现成本较低,由于选择网络的选择器不在客户端,系统的安全性有了很大的提高。
目前在网络综合布线行业中,第一代产品的已淘汰,以第二代和第三代产品为主的物理隔离。
四、物理隔离的几种技术方案
1、专线接入方案
通过专线上网,使用防火墙保护整个内部网络系统,将外网隔离在防火墙之外,方案的结构如图1所示。
图1 专线接入方案
图1所示的方式存在两方面的安全漏洞:一是防火墙自身的不安全性,一些高水平的黑客软件能突破防火墙;二是在受防火墙保护的内网中,若未涉密用户终端通过Modem 拨号进行Internet ,如果其他终端没有采取任何防范措施,则会使整个网络暴露在黑客眼下,造成严重的泄密。
这种方案使用了两套独立的布线系统,但计算机依靠网络拔插的方式轮流登录涉密和因特网。此方式存在的问题是:在使用的终端计算机上只有一套硬盘系统,当该计算机访问外网时会受到各种驻留式黑客病毒的入侵,当该计算机在内网上工作时会将病毒传播到内网上,当计算机再次上网将造成网上信息大量泄密,同时该计算机上的信息在访问外网时将完全暴露。
2、双硬盘隔离方案
用户在实施物理隔离过程中,方案可以选择双硬盘隔离技术。其基本思想是:
客户端安装两块硬盘,当用户登陆内网时,内网硬盘有效,外网硬盘无效;用户登陆外网时,外网硬盘有效,内网硬盘无效。根据网络的不同,该方案又可以分为单网方案和双网方案。单网方案在网络选择端添加了安全集线器,该集线器负责与客户端通信,并根据用户的选择,连通内外网络。该方案具有部署简单,使用方便的特点,适合大多数普通用户采用。方案的结构如图2所示。
ÉæÃÜ
Ó²ÅÌÉæÃÜÓû§¹¤×÷Õ¾
°²È«¸ôÀ뿨
图2 双硬盘隔离方案
三网间隔离方案
很多企事业单位的内部财务网是一个相对独立的网络,与内部办公网络需要隔离,并且当该网用户登陆互联网和内部网络时,需要在财务网、内网和外部互联网三网之间进行切换。该方案具有三网隔离能力,部署简单,适合内部还有独立小网络的用户采用。其结构如图3
所示。
°²È«¸ôÀ뿨
图3 三网间隔离方案
4、对外提供服务的隔离方案
许多单位在要求内外网隔离的同时,能够提供电子报税等对外服务。当外部Web服务器在接受互联网上发来的电子税表时,会接通外部网络,断开内部网络,电子税表暂存在本地,当满足了一定条件后,才会断开外部网络,接通内部网络,把电子税表转发到内部业务系统中,同时从内部网络接受上次内部业务系统处理完的电子税表。交换完毕后,再次断开内部网络,接通外部网络,接受新的电子税表。这种方式就好像用户在河的两岸,通过一只船来回传递两岸的货物,而不会存在直接连接两岸的桥梁或者船同时停靠的两岸的问题,这样既保证了对外服务需求,又保证了网络安全。该方案在实现物理隔离的同时,能够提供对外服务。其结构如图4所示。
ÄÚ²¿½»»»»ú
图4 能提供对外服务的隔离方案
5、基于无盘系统的隔离方案
一些用户希望在做到内外网隔离的同时能加强内部管理,防止内部用户泄漏单位秘密。有这种需求的用户,可以采用基于无盘系统的隔离方案。该方案采用单硬盘方式,当用户登陆内网时,无盘启动系统通过网络从服务器上启动操作系统,同时屏蔽本地的硬盘、光驱和软驱等存储设备,用户所见的硬盘实际
上是服务器分配给用户的硬盘镜像,客户端相当于一个瘦终端。这样,内部用户无法通过本地下载、拆卸硬盘等手段窃取内部信息。该方案在做到内外网隔离的同时,能有效的防止内部网络的信息泄密。其结构如图5所示。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论