在2004年度中国互联网大会的网络与信息安全论坛中,以"构建稳定、可信赖的网络"为主题,重点研讨"有关安全方面"的问题,涉及到对物理隔离交换(SGAP)技术、新一代病毒防范技术、最新密码应用技术和密码芯片技术、网络安全事件紧急响应等新技术、新产品的研讨。这次互联网大会的意义是重大的,这不仅在于互联网技术和安全技术的成熟,对涉及国家信息安全方面的问题有很好的推动作用。我们进行信息化建设要紧紧把握此次互联网大会出现的技术新趋势和产业新动向,力争把我国的信息化建设向技术先进同时又安全可靠的方向挺进。
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。
大家知道,随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
二、网闸的概念
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private ExchangeTunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
在2004年度中国互联网大会的网络与信息安全论坛中,以"构建稳定、可信赖的网络"为主题,重点研讨"有关安全方面"的问题,涉及到对物理隔离交换(SGAP)技术、新一代病毒防范技术、最新密码应用技术和密码芯片技术、网络安全事件紧急响应等新技术、新产品的研讨。这次互联网大会的意义是重大的,这不仅在于互联网技术和安全技术的成熟,对涉及国家信息安全方面的问题有很好的推动作用。我们进行信息化建设要紧紧把握此次互联网大会出现的技术新趋势和产业新动向,力争把我国的信息化建设向技术先进同时又安全可靠的方向挺进。
如今,网络隔离技术已经得到越来越多用户的重视,重要的网络和部门均开始采用隔离网闸产品来保护内部网络和关键点的基础设施。目前世界上主要有三类隔离网闸技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。
大家知道,随着互联网上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联网络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内网和政务的外网要实行严格的物理隔离。政务的外网和互联网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,互联网就是公共服务域。国家有关研究机构已经研究了安全网闸技术,以后根据需求,还会有更好的网闸技术出现。通过安全网闸,把内网和外网联系起来;因此网闸成为电子政务信息系统必须配置的设备,由此开始,网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
二、网闸的概念
网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏,实现了真正的安全。
安全隔离与信息交换系统,即网闸,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。
第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
第二代网闸正是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private ExchangeTunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端,第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂网络对隔离应用的需求。
可管理性 管理配置有一定复杂性 管理配置简易
与其它安全设备联动性 缺乏 可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台。
三、网闸工作原理
隔离网闸(安全隔离与信息交换),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度,为用户创造无忧的网络应用环境。
GAP源于英文的"Air Gap",GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。GAP中文名字叫做安全隔离网闸,它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。
GAP技术的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
安全隔离与信息交换系统SGAP一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接内部网,外网处理单元连接外部网,专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网,既满足了内部网与外部网网络物理隔离的要求,又能实现数据的动态交换。SGAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制,可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应用于银行、政府等部门的内部网络访问外部网络,也可用于内部网的不同信任域间的信息交互。
四、网闸的应用定位
1)涉密网与非涉密网之间;
2)局域网与互联网之间(内网与外网之间);
有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网 闸是一个常用的办法。
3)办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。
可管理性 管理配置有一定复杂性 管理配置简易
与其它安全设备联动性 缺乏 可结合防火墙、IDS、VPN等安全设备运行,形成综合网络安全防护平台。
三、网闸工作原理
隔离网闸(安全隔离与信息交换),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内网的安全强度,为用户创造无忧的网络应用环境。
GAP源于英文的"Air Gap",GAP技术是一种通过专用硬件使两个或者两个以上的网络在不连通的情况下,实现安全数据传输和资源共享的技术。GAP中文名字叫做安全隔离网闸,它采用独特的硬件设计,能够显著地提高内部用户网络的安全强度。
GAP技术的基本原理是:切断网络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括网络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。
安全隔离与信息交换系统SGAP一般由三部分构成:内网处理单元、外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接内部网,外网处理单元连接外部网,专用隔离硬件交换单元在任一时刻点仅连接内网处理单元或外网处理单元,与两者间的连接受硬件电路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部网或者外部网,既满足了内部网与外部网网络物理隔离的要求,又能实现数据的动态交换。SGAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制,可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应用于银行、政府等部门的内部网络访问外部网络,也可用于内部网的不同信任域间的信息交互。
四、网闸的应用定位
1)涉密网与非涉密网之间;
2)局域网与互联网之间(内网与外网之间);
有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网 闸是一个常用的办法。
3)办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。