随着互联网技术日新月异的飞速发展,信息产业发展速度不断升级,特别是政府上网工程、网上银行、电子商务以及网上教学等信息化进程的加快和应用的普及,越来越多的党政各级部门和企业用户都建立了内部计算机网络,网络已经成为人们工作、学习、生活的一个重要工具,成为现代社会高速运转的一个基石。但与此同时,另一方面,越来越多的安全漏洞和问题不断地困扰着我们的计算机信息系统和开放的互联网络世界,我们也正受到日益严重的来自网络的安全威胁,诸如网络的数据窃贼、黑客的侵袭、病毒发布者,甚至系统内部的泄密者。上述问题解决不好将危及我国的政治、军事、经济、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中,同时我们个人的一些私密信息也缺乏相应的保护。
尽管我们正在广泛地使各种复杂的软件技术,如防火墙、代理服务器、入侵检测器、通道控制机制提高系统的安全性和抗攻击能力,但是由于这些技术大多都是基于软件的保护,是一种逻辑机制,这对于逻辑实体(即黑客或内部用户)而言是可能被操纵的,即由于这些技术的极端复杂性与有限性,这些在线分析技术无法提供某些组织提出的高度数据安全要求。信息安全是一个巨大而复杂的系统工程,物理隔离措施是其中一个最有效、彻底、安全的解决方案,国家保密局在《 计算机信息系统国际联网保密管理规定 》中第二章第六条明确指出:“凡是涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离 ”。
什么是物理隔离呢?所谓“物理隔离”是指内部网不得直接或间接地连接公共网即国际互联网。众所周知,国际互联网是国际化、开放和互联为特点的,而安全度和开放度永远是一对矛盾。虽然,目前可以利用防火墙、代理服务器、入侵监测等技术手段来抵御来自互联网的非法入侵,但至今这些技术手段都还存在许多漏洞,还不能彻底保证内网信息的绝对安全,只有使内部网和公共网“物理隔离”,才能真正保证党政机关的内部信息网络不受来自互联网的黑客攻击。此外,"物理隔离"也为政府内部网划定了明确的安全边界,使得网络的可控性增强,便于内部管理。物理隔离在安全上主要有以下3点要求:
    (1)在物理传导上使内外网络隔断,确保外部网络不能通过网络连接而侵入内部网络;同时防止内部网络信息通过网络连接泄漏到外部网络。
    (2)在物理辐射上隔断内部网络与外部网络,确保内部网络信息不会通过电磁辐射或耦合方式泄漏到外部网络。
    (3)在物理存储上隔断两个网络环境,对于断电后会遗失信息的部件,如内存、处理器等暂存部件,要在网络转换时清除处理,防止残留信息出网;对于断电非遗失性设备如磁带机、硬盘等存储设备,内部网与外部网要分开存储。
网络隔离技术的发展是跟随电子政务的需求逐渐成熟完善的,而隔离产品的大量出现,也是经历了五代隔离技术不断的实践和理论相结合后得来的。
第一代隔离技术——完全的隔离。第一批电子政务系统都是孤立于互联网的,主要做一些系统报表等工作,这些报表通常由个别人员制作,并且仅由个别领导人员查看,因此对双网的要求不高,于是便出现了完全的物理隔离技术。
    完全的隔离技术即是完全切断PC与互联网的联系,从而形成完全的物理隔离,但是这种隔离技术使得网络处于信息孤岛状态,若想从互联网获取信息则需要另一台能够连接互联网的电脑,如此两套网络和系统不仅造成信息交流的不便和成本的提高,同时也给维护和使用带来了极大的不便,因此很快被持续发展的电子政务需求所淘汰。
第二代隔离技术——硬件卡隔离。随着办公信息化进程发展,完全的物理隔离技术已经无法满足工作的需要,于是能够实现内外网互换的隔离卡开始进入行业视线,并被广泛应用于政府等单位。
 
    硬件卡隔离技术是在客户端增加一块硬件卡,这样,客户端硬盘或其他存储设备首先连接到该卡,然后再转接到主板上,通过隔离卡能够控制客户端硬盘或其他存储设备。而在选择不同的硬盘时,同时选择了该卡上不同的网络接口,连接到不同的网络。因为隔离卡通过选择不通硬盘连接到不同网络,所以也被称为硬盘隔离技术。
    但是,硬盘隔离技术虽然能够一定程度的对内外网进行隔离,但是两套系统仍然公用内存,因此存在着较大的安全隐患。且普通PC搭配隔离卡时经常会遇到兼容性风险,不仅系统不够稳定,而且网络切换动辄几分钟的等待时间造成工作的极度不便。
第三代隔离技术—整机隔离。随着电子政务的进一步发展,不但安全性突出的重要,而且效率也被提上日程。政府、军队等保密单位的工作不但需要经常在内外网间进行切换,以获取有效信息,同时,工作效率也越来越被领导所重视,于是,对双网隔离技术的要求也被提高到新的高度——既要更加安全,同时也要大幅提高切换速度。整机隔离是突破了网络隔离和硬盘隔离的限制,实现了内存的物理隔离,从而实现了PC内部所有存储部件的完全隔离,因此是完整意义上的物理隔离,安全性得到大幅度提升。
第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关,使得内外部网络分时访问临时缓存器来完成数据交换的,但在安全和性能上存在有许多问题。
第五代隔离技术—安全通道隔离。
 
此技术的实现原理是通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断了网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。它不仅解决了以前隔离技术存在的问题,并有效地把内外部网络隔离开来,而且高效地实现了内外网数据的安全交换,透明支持多种网络应用,成为当前隔离技术的发展方向。
虽然双网隔离的重要性是显而易见的,其技术在最近几年内也获得了长足的发展,有关主管部门也已经多次重申政府网络必须实施内外双网并物理隔离,但事实上双网隔离工作在我国政府上网工程和重点企业用户中的建设的进度却一直缓慢,这里面有多种原因,主要原因之一是许多用户已经建有单网的网络系统,不愿意再兴师动众重新改造成双网;二是建立双网费用的确较高,许多用户由于经费的原因,不愿意构造内、外网双网;三是在日常的使用过程中需要在内外网之间不断地转换,许多用户觉得非常烦琐,不愿意使用;四是内外网物理隔离后难以共享数据,过去习惯了在工作时也不断地在互联网上浏览和交互信息的用户,在内外网隔离后感觉非常不方便;五是有些用户不在乎网络上的信息数据的安全,认为没有必要做这么严格的防护,因此不关心做好双网隔离的工作。殊不知网络安全是关系到国家安全的大事,任何人都不能等闲视之,那么,现在比较成熟的双网隔离方案都是有哪些呢?
网络隔离卡方案
 
网络物理隔离卡是一种应用在电脑终端上的硬件插卡式数据安全设备,主要用于彻底保护用户的数据安全、解决内网电脑在互联网上泄密、窃密、篡改数据、黑客攻击、病毒侵入等一系列信息安全问题。在“物理隔离”措施具体实施当中,为了让用户避免使用两套独立的计算机网络系统,做到“物理隔离”和使用方便相结合,实行物理隔离采用网络隔离卡是一种简单易行的方法。在同一时间、同一空间单个用户是不可能同时使用两个系统的,所以,总有一个系统处于“空闲”状态。我们只要使两个系统在空间上物理隔离,在不同的时间运行,用户就可以得到两个完全物理隔离的系统,即通过一个区联接外部网,一个区则联接内部网,由于内外网的隔离是在物理层上,其操作和指令在固件中运行,因此是真正意义上的物理隔离。根据其工作环境和工作介质的不同,大致可以分为单硬盘隔离卡和双硬盘隔离卡以及笔记本隔离卡,在这其中,根据实现双网隔离所需的网线数量又可以分为单网线双网型和双网线双网型。
单硬盘网络物理隔离卡是针对只有一块硬盘的计算机设计的,是保护计算机数据安全的一种装置,它把一台普通的计算机分隔成两台虚拟计算机,分别对应内网、外网,使两个网络之间实现物理隔离,即各个网络之间没有物理连接途径,使每个网络的信息不会外泄,从而实现安全环境和不安全环境的绝对隔离,满足用户对数据安全和获取信息的多重要求,保护信息及机密数据免受威胁。
单硬盘网络物理隔离卡的作用是将一台工作站或PC机的单个硬盘物理分割为两个分区,即公共区(Public)和安全区(Secure),这些分区容量可以由用户指定,原来要两台PC工作,现在只要一台PC加一块网络隔离卡就能够连接两个网络了。它们分别拥有独立的磁盘空间,并能通过各自的专用接口与网络连接。它安装在主板和硬盘之间,控制了网络连接及通讯线路。使用电子开关控制内外网之间的转换和网络连接,能够保证两个系统的绝对隔离,并且存在一个数据共享区,以方便用户进行内外网文件传输。彻底阻塞黑客进入未授权区域的通路,防止信息泄露和破坏。同时,用户可以根据需要自如方便地进行内部网和外部网之间的转换。我们通过公共区联接外部网,如(Internet),主机只能使用硬盘的公共区与外部网连接,而此时与内部网是断开的,且硬盘安全区也是被封闭的。 而安全区则联接内部网,主机只能使用硬盘的安全区与内部网连接,而此时与外部网(如Internet)连接是断开的,且硬盘的公共区的通道是封闭的。两个分区分别安装各自的操作系统,是两个完全独立的环境。操作者一次只能进入其中一个系统,从而实现内外网的完全隔离。
单硬盘隔离方案具有最大限度节约软硬件资源、切换方便、安装简单和网络维护工作方便等特点。此外,该产品还充分考虑了各种应用需要,不仅在硬盘上营造了一个安全的数据交换通道,这样内网应用时可轻松的查看到外网共享区域的信息,同时内网也可以保证外网信息不入侵,在确保隔离的前提下实现双网数据的安全交换,而且该方案还提供在内网环境中对软驱、光驱的禁止使用,在技术上减少了内部人员泄密的可能性。单网隔离技术的另一个好处就是性价比高,一块硬盘也可实现内外网分区,有效杜绝Internet黑客侵入,防止内部信息泄露和被破坏。
相对于单硬盘物理隔离卡,双硬盘的隔离方案为我们提供了更为彻底的隔离方式。使用双硬盘隔离卡,只需增加一块硬盘,即可使一台计算机变成两台相对独立的计算机。两个硬盘分别连接内外网,在内外网之间实施有效的物理隔离,每个网络环境分别拥有独立的硬盘和操作系统,确保内网信息安全,彻底阻塞黑客进入未授权区域的通路,防止信息泄露和破坏,同时方便连接国际互联网。隔离卡安装在主板和硬盘之间,完全控制硬盘通道,并通过继电器来控制硬盘转换和网络的连接,保证其工作状态的稳定性及可靠性能。
    双硬盘的隔离方案虽然增加一定的投资,但由于内、外网系统分别使用不同的硬盘,两套系统,分时工作,相互隔离,因此独立性强,安全性高,可以为我们提供了更高级别的物理隔离,同时也在一定程度上为我们的计算机提供了扩展的空间;并且隔离卡安装在主板和硬盘之间,安全控制硬盘通道,通过切IDE信号线控制内网和外网转换,与“切电”方式相比,由于不存在硬盘突然断电和加电的情况,所以不会对硬盘造成损伤,延长了硬盘的使用寿命,稳定性和可靠性也十分出众。
无论是传统的单硬盘隔离卡还是双硬盘隔离卡,在使用的过程中都存在一个内外网切换时间过长的问题,这个时间有时候甚至可能会达到2分钟左右。现在有些隔离卡生产厂商已经研制出新一代实时切换物理隔离卡,该产品能够解决传统隔离卡每次进行内外网络切换时都需要耗费大量的时间,以及不能保存内外网操作系统工作现场等长期困扰隔离卡使用的关键问题。实时切换隔离卡大大提高了内外网络切换速度,切换时间由原来的两分钟左右缩短至约20秒,而且能够保存用户在内外网操作系统中工作现场程序,(打开的窗口、编辑的文档和启动的软件程序等),待下次切换回来时可直接使用,使用户在内外网络工作时几乎不受网络切换的影响。另外值得一提的是在内外网切换过程中,这种实时切换隔离卡系统还可以自动清除内存中的残留数据,进一步消除了泄密隐患。实时切换物理隔离卡既实现了物理隔离,能够确保系统的安全保密,又方便了用户使用,做到内外网络之间实时切换,是目前应用较为广泛的双网隔离产品。 
 
在网络隔离卡方案中,还有一个辅助设备需要说一说,那就是隔离选择器-----一个类似于集线器的多路开关切换设备,借助隔离选择器我们可以在不增加布线的情况下,利用现有的网络布线实现双网物理隔离, 隔离选择器根据工作站当前的内外网工作状态,决定连接相应的内外网线。当用户工作站处于内网状态时,这条网线固定传送内网信息,与外网是物理隔离的;当用户切换到外网状态时,这条网线固定传送外网信息,与内网是物理隔离的。这样,就达到了一条网线分时接通两个不同网络的目的,简单的说也就是利用单布线实现双网隔离的效果,达到降低工程造价和施工难度的目的,很好的解决了多网重复布线的问题,方便了现有网络的安全改造。
双网隔离PC方案
 
除了利用双网隔离卡对现有的终端进行改造外,双网隔离PC也是一个比较好的解决方案。据有关权威部门预测,未来3至5年内,全球70%的计算机都将是采用安全芯片、具有软硬件结合解决方案的安全PC。目前一些主要的PC生产厂商都已经有自己的双网隔离PC产品上市销售,虽然同为安全电脑,但各家厂商的关注点并不相同:同方将关注点放在芯片安全层面;长城电脑将关注点放在BIOS层面;联想看重的是应用安全;惠普强调自己的指纹识别系统;方正则以“信息安全平台=安全计算芯片+安全应用软件+安全硬件方案”理念为主。双网隔离PC也可以实现内外网切换时间缩减到5-8秒,实现双网快速切换,同时做到切换过程中始终保持“实时在线”状态。用户的网络工作现场环境不会因为双网切换而受到干扰;无论切换到内网还是外网,用户都不需要再重新寻找相关的网页和文档。
该方案可以实现高级别的安全隔离,但投资比较大,需要更新终端设备和进行双网布线,比较适合于初次组建安全局域网的场合。
无线方案
 
在笔者和一些网管人员的交流过程中发现,其实现在很多地方没有实行双网隔离的一个很重要的原因就是布线施工过于繁琐,诚然,对于一般的中、大型局域网而言,为了实现双网隔离,需要重新对所有终端进行布线,除了一笔不菲的投资外,繁重的布线也是我们不得不面临的问题。除了上面我们说的隔离选择器可以在一定程度上减少我们布线的工作量外,还有没有其他可行的措施呢?答案是肯定的,那就是无线方案。
我们知道,由于无线电波的延射性特点,出于安全的考虑,在我们涉密的内部网中是不允许采用无线这种连接方式的,但这并不妨碍我们在外网连接中使用这种方式,这样就可以大大减轻我们布线的工作量。WLAN无线网络搭建有两种模式,一是采用自治型无线AP(即“胖AP”),二是采用无线控制器+智能型AP(即“瘦AP”)。
胖AP又称自治型或分散化AP,其学名应该称之为无线路由器。无线路由器与纯AP不同,除无线接入功能外,一般具备WAN、LAN两个接口,多支持DHCP服务器、DNS和MAC地址克隆,以及VPN接入、防火墙等安全功能。例如准许对特定WLAN客户端的流量进行过滤的访问控制列表(ACL)。这些设备的另外一个重要的功能是对与服务质量(QoS)有关的功能的配置和实施。例如,来自特定移动基站的流量可能需要高于其他流量的优先级。或者,您可能需要为来自于移动基站的流量插入和实施IEEE 802.1p优先级,或者差分服务代码点(DSCP)。总而言之,因为这些AP能够提供交换机或者路由器的很多功能,它们可以在一定程度上充当交换机或者路由器。胖AP的最大优点就是其智能性,其不足在于复杂性,胖AP要求为本地管理而进行本地配置,很难保持设备配置的一致性,因此也会增加网络管理成本 。胖AP通常建立在功能强大的硬件的基础上,需要复杂的软件,因为比较复杂,这些设备的安装和维护成本很高。尽管如此,这些设备在小型网络中也能发挥一定的作用。
瘦AP就是我们平时所说的无线接入点(AP,AccessPoint),也称无线网桥、无线网关。此无线设备的传输机制相当于有线网络中的集线器,在无线局域网中不停地接收和传送数据,任何一台装有无线网卡的PC均可通过AP来分享有线局域网络甚至广域网络的资源。理论上,当网络中增加一个无线AP之后,即可成倍地扩展网络覆盖直径,还可使网络中容纳更多的网络设备。每个无线AP基本上都拥有一个以太网接口,用于实现无线与有线的连接。这种方案的的缺点是它是非智能的,必须在WLAN控制器控制下工作,但也正是由于瘦AP要接受与之关联的WLAN控制器的控制与配置,这才更有利于统一管理。如果整个网络用AP覆盖或者需要大量AP,3个以上建议选择瘦AP,但是选择瘦AP必须选择AP控制器WLC 设备。考虑到扩展性,系统还为我们提供了从胖AP平滑升级到瘦 AP的解决方案,如果现存环境已有几个胖AP,扩充时推荐购买瘦AP+无线控制器,原有胖AP通过软件升级即可变为瘦 AP。另外,在组建无线网络的时候需要注意,,一般无线AP都需要放置在天花板上,由此引发的取电供电一直困扰着用户,令人欣慰的是一般厂商无线AP都支持POE远程供电功能,也就是通过支持POE功能的交换机通过Ethernet网口远程为无线AP供电,这样可以方便的解决无线AP的供电问题。
总之,外网采用无线局域网方式组建还是具有很明显的优势的,一是无线网络能够减少大量的布线工程,对现有系统改变最小;二是避免了施工对办公秩序的影响;三是节省成本,近期铜线价格的不断上涨,使得综合布线成本越来越高,采用无线网络能够节省大量资金。当然,在组建无线网络的时候,安全性是我们必须要首先面对的问题。
隔离网闸方案
 
以上的几个方案可以说都是基于客户端的解决方案,而隔离网闸方案则是一个基于网络的解决方案,只需要一台安全隔离网闸,不改变现有网络布线,内部网络上的所有主机都通过本交换机连接到外网,从而实现了物理隔离。
物理隔离网闸是一套双主机系统,双主机之间是永远断开的,以达到物理隔离的目的,双主机之间的信息交换是通过拷贝、镜像、反射等借助第三方非网络方式来完成的,是以物理隔离为目的的安全系统。物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。物理隔离网闸中断了两个网络之间的直接连接,所有的数据交换必须通过物理隔离网闸,并且剥离了TCP/IP协议,中断了应用的客户和服务器会话,从网络层的第七层将数据还原为原始数据(文件),然后以"摆渡文件"的形式来传递数据,达到“只有符合全部安全政策的数据才能通过,其他都拒绝”的安全策略。物理隔离网闸的目标是建立一个对网络攻击免疫的安全系统,即消除来自网络的威胁和风险。
采用隔离网闸来实现双网隔离是对原有的网络架构改变最少的,直接在隔离网闸处连接内网外网交换机和外网交换机即可,终端的物理线路无需重新布设,也不需要对终端进行任何升级,并且隔离网闸易于实现集中管理,可设定每台主机访问外网的权限,当需要在两个网络之间切换时或在两个网络之间交换数据时,不需要重新启动机器,是一种比较合理的方案。
小结:
物理隔离技术是近几年出现的一个全新的安全防御手段,解决了许多高保密单位对于机密信息的安全需求。日趋完善的网络隔离产品已成为网络信息安全体系中不可缺少的重要环节,是防范非法入侵,阻挡网络攻击的一种简单而行之有效的手段。网络隔离技术随着电子政务的需求变化不断发展完善着,而无论世界如何变化,对安全的要求只能是不断增强,所以恒久不变的安全是双网隔离技术的衡量标准,而越来越高的便利需求成为双网隔离技术的发展方向。在双重轨道的指引下,相信双网隔离技术会朝着更加完善的明天快速发展,为我们带来更安全、更便捷的工作环境。需要注意的是硬件上实施的物理隔离并不能完全保证内部涉密网的信息安全,还必须要用户的工作人员严格遵守安全纪律,遵守操作规程,这样才能真正起到保证信息安全的目的。

文章如转载,请注明转载自:http://www.5iadmin.com/post/237.html