网络综合布线系统中的物理隔离技术.docx
《网络综合布线系统中的物理隔离技术.docx》由会员分享,可在线阅读,更多相关《网络综合布线系统中的物理隔离技术.docx(18页珍藏版)》请在冰豆网上搜索。
网络综合布线系统中的物理隔离技术
网络综合布线系统中的物理隔离技术
一、物理隔离技术的意义与作用
物理隔离技术作为网络与信息安全技术的重要实现手段,越来越受到业界的重视。
物理隔离的概念,简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接,将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来,让黑客无机可乘。
这样就需要一种技术来帮助用户方便、有效地隔离内、外网络。
尤其是“政府上网”保安部门、军事部门、商业运作筹划部门、重要的科研部门更需要物理隔离技术。
我们国家非常重视计算机网络的安全,国家保安局发布的《计算机信息系统国际联网保安管理规定》中第二章第六条规定“涉及国家秘密的计算机系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。
对网络物理隔离的技术研究和产品的生产起作推动作用,并有着它的应用市场和迅速发展的趋势。
作为物理隔离技术,仅仅是一种被动的隔离方法,目的是为了保证内外网络信息的隔离,而信息是保存在存储介质上的,物理隔离就是要保证隔离双方的信息不会出现在同一个存储介质上,也不会都出现在对方的网络中,而二个存储介质在同一时刻只能有一个在发挥其作用。
作为物理隔离技术,需要做到以下5点。
(1)高度安全。
物理隔离要从物理链路上切断网络连接,达到高度安全的可行性。
(2)较低的成本。
建立物理隔离时要考虑其成本,如果物理隔离的成本达到或超过了两套网络的建设费用,那就失去了物理隔离的意义。
(3)容易部置。
在实施物理隔离时,既要满足内外网络的功能又要易于部置,结构要简单。
(4)操作简单。
物理隔离技术应用的对象是工作人员与网络专业技术人员,因此要求工作站的网络端要简单易行、方便用户,使用者不会感觉到操作的困难性。
(5)灵活性与扩展性
物理隔离是具有多种配置的,我们可根据现有网络系统的特性,进行灵活改造,达到物理隔离的功能,同时考虑在网络中可随时添加新设备、不会给网络安全带来任何不利的影响。
在具体的应用范围上要区分5种状况:
(1)政府部门。
政府部门要解决网络安全防范问题,除了具有防火墙功能外(从软件检测入侵的手段)能够满足保安部门、财务部门、人事部门的不同应用需求,把黑客、情报盗窃、破坏者拒绝于门外。
(2)军队部门。
军队部门要解决安全控制,能够满足军队内部各部门的网络连接和物理隔离的限制。
杜绝国防工程、军事技术与各种先进技术的泄密。
(3)金融证券部门。
金融证券部门要解决上级部门与下级部门、同级部门之间网络安全防范,同时要实现业务工作与对外服务工作的有效隔离。
(4)企业部门。
企业部门要解决内部网与外部网的安全控制,满足不同部门的应用需求与安全控制。
新产品技术、财务、人事、销售渠道等与整个网络进行局部隔离。
(5)科研部门。
科研部门,既要考虑Internet的应用,又要考虑本身研究的课题保密性,避免泄密和被盗窃,应有着严格的隔离限制。
二、物理隔离技术的不足之处。
物理隔离技术的不足之处主要表现在4个方面,它们是:
(1)物理隔离技术仅仅是一种被动的隔离开关,手段单一,没有与其他安全技术进行配合;
(2)物理隔离不能做到安全状态检测,容易被非法人员利用而混入内部网络;
(3)内部防范措施。
由于内外网的存储介质都在本地,不能有效地防止内部人员的信息主动泄密行为,尤其是内部人员作案问题;
(4)复核取证难度大。
内部网络信息一旦泄露出去,无法进行复核、取证、确认信息泄露的行为人有相当的困难。
三、物理隔离技术的路线
美国早在1999年就强制规定军方涉密网络必须与Internet断开。
我国政府在近二年也在不断强调保密问题,要求有秘密的信息要与网络物理隔离,作为物理隔离技术的路线,一般是客户端选择设备和网络选择器,用户通过开关设备或键盘链控制选择不同的存储介质体,管理端设立内、外网存储介质,通过防火墙、路由器与外界相连。
物理隔离技术从出现到现在,目前基本上可划分为三代产品。
(1)第一代产品
第一代产品采用的是双网机技术,其工作原理是:
在一个机箱内,设有两块主机板、两套内存、两块硬盘和两CPU、相当于两台计算机共用一个显示器。
用户通过客户端开关,分别选择两套计算机系统。
第一代产品的特点是客户端的成本很高,并要求网络布线为双网线结构,技术水平相对而言是简单的。
(2)第二代产品
第二代产品主要采用双网线的安全隔离卡技术,其表现为:
客户端需要增加一块PCI卡,客户端硬盘或其它存储设备首先连接到该卡,然后再转接到主板,这样通过该卡用户就能控制客户端的硬盘或其它存储设备。
用户在选择硬盘的时候,同时也选择了该卡上所对应的网络接口,连接到不同的网络。
第二代产品与第一代产品相比,技术水平提高了,成本也降低了,但是这一代产品仍然要求网络布线采用双网线结构。
如果用户在客户端交换两个网络的网线连接,内外网的存储介质也同时被交换了,这时信息的安全还存在着隐患。
(3)第三代产品
第三代产品采用基于单网线的安全隔离卡,加上网络选择器的技术。
客户端仍然采用类似于第二代双网线安全隔离卡的技术,所不同的是第三代产品只利用一个网络接口,通过网线将不同的电平信息传递到网络选择端,在网络选择端安装网络选择器,并根据不同的电平信号,选择不同的网络连接,这类产品能够有效利用用户现有的单网线网络环境,实现成本较低,由于选择网络的选择器不在客户端,系统的安全性有了很大的提高。
目前在网络综合布线行业中,第一代产品的已淘汰,以第二代和第三代产品为主的物理隔离。
四、物理隔离的几种技术方案
1、专线接入方案
通过专线上网,使用防火墙保护整个内部网络系统,将外网隔离在防火墙之外,方案的结构如图1所示。
图1专线接入方案
图1所示的方式存在两方面的安全漏洞:
一是防火墙自身的不安全性,一些高水平的黑客软件能突破防火墙;二是在受防火墙保护的内网中,若未涉密用户终端通过Modem拨号进行Internet,如果其他终端没有采取任何防范措施,则会使整个网络暴露在黑客眼下,造成严重的泄密。
这种方案使用了两套独立的布线系统,但计算机依靠网络拔插的方式轮流登录涉密和因特网。
此方式存在的问题是:
在使用的终端计算机上只有一套硬盘系统,当该计算机访问外网时会受到各种驻留式黑客病毒的入侵,当该计算机在内网上工作时会将病毒传播到内网上,当计算机再次上网将造成网上信息大量泄密,同时该计算机上的信息在访问外网时将完全暴露。
2、双硬盘隔离方案
用户在实施物理隔离过程中,方案可以选择双硬盘隔离技术。
其基本思想是:
客户端安装两块硬盘,当用户登陆内网时,内网硬盘有效,外网硬盘无效;用户登陆外网时,外网硬盘有效,内网硬盘无效。
根据网络的不同,该方案又可以分为单网方案和双网方案。
单网方案在网络选择端添加了安全集线器,该集线器负责与客户端通信,并根据用户的选择,连通内外网络。
该方案具有部署简单,使用方便的特点,适合大多数普通用户采用。
方案的结构如图2所示。
图2双硬盘隔离方案
三网间隔离方案
很多企事业单位的内部财务网是一个相对独立的网络,与内部办公网络需要隔离,并且当该网用户登陆互联网和内部网络时,需要在财务网、内网和外部互联网三网之间进行切换。
该方案具有三网隔离能力,部署简单,适合内部还有独立小网络的用户采用。
其结构如图3所示。
图3三网间隔离方案
4、对外提供服务的隔离方案
许多单位在要求内外网隔离的同时,能够提供电子报税等对外服务。
当外部Web服务器在接受互联网上发来的电子税表时,会接通外部网络,断开内部网络,电子税表暂存在本地,当满足了一定条件后,才会断开外部网络,接通内部网络,把电子税表转发到内部业务系统中,同时从内部网络接受上次内部业务系统处理完的电子税表。
交换完毕后,再次断开内部网络,接通外部网络,接受新的电子税表。
这种方式就好像用户在河的两岸,通过一只船来回传递两岸的货物,而不会存在直接连接两岸的桥梁或者船同时停靠的两岸的问题,这样既保证了对外服务需求,又保证了网络安全。
该方案在实现物理隔离的同时,能够提供对外服务。
其结构如图4所示。
图4能提供对外服务的隔离方案
5、基于无盘系统的隔离方案
一些用户希望在做到内外网隔离的同时能加强内部管理,防止内部用户泄漏单位秘密。
有这种需求的用户,可以采用基于无盘系统的隔离方案。
该方案采用单硬盘方式,当用户登陆内网时,无盘启动系统通过网络从服务器上启动操作系统,同时屏蔽本地的硬盘、光驱和软驱等存储设备,用户所见的硬盘实际上是服务器分配给用户的硬盘镜像,客户端相当于一个瘦终端。
这样,内部用户无法通过本地下载、拆卸硬盘等手段窃取内部信息。
该方案在做到内外网隔离的同时,能有效的防止内部网络的信息泄密。
其结构如图5所示。
图5基于无盘系统的隔离方案
6、单机接入方案
针对单机用户,一般使安全隔离卡Ⅲ型,配备双硬盘。
其结构如图6所示。
这种结构具有内、外网的硬盘,无论是在内网不外网的硬盘上工作时,产生的文件、数据存放于硬盘还是软盘,都是相当安全的。
图6单机接入方案
7、双网线接入方案
双网线接入方案需要两套布线系统,但使用Internet的用户数量不是很多,网络布线接口较为富余的情况下,采用双网线方式,并使用安全隔离卡II型,结构如图7所示。
双网线接入方式在上网时涉密用户配置安全隔离卡Ⅱ和双硬盘,两条网络线同时接到隔离卡上,通过隔离卡连接到本机网卡上,通过手动按钮或软件控制隔离卡上的开关,使其在
选择涉密硬盘的同时选择连接内网。
因此,该卡安装时一定要注意内外网线不能颠倒。
图7双网线接入方案
8、单网线接入方案
在实际应用中许多综合布线系统在每个终端位置上的端口均有限,不能满足每台设备占用两个端口的需求,此时必须使用单网线方式,如图8所示。
此方式需要在每台设备上安装安全隔离卡I和双硬盘,并在每个网络设备间配置内外网远程切换Hub。
终端通过一条标准网线连接到设备管理间的内外网远程切换Hub上,该Hub分别连接内网Hub和外网Hub。
终端隔离卡通过利用五类网络线中未使用的第4、5、7、8对线控制远端内外网远程切换Hub,使其灵活选择接通内网或外网。
图8单网线接入方案
五、典型案例分析
某银行的总行下设多个分行,分行除了通过网络与总行进行业务往来以外,分行的员工还需要通过总行专线直接登录Internet,频繁地登录Internet会诱发各种安全隐患。
在未实行物理隔离时其结构如图9所示。
图9未实施物理隔离时的网络结构
起初为了确保信息安全,该银行均采用强制手段来限制员工登陆外网,甚至设立专门的访问Internet的办公室。
这样一来,不仅降低工作效率,而且由于分行均通过专线上网,还会产生昂贵的专线上网费用。
该银行需要一个既可以进行外网隔离、又能确保安全上网的物理隔离解决方案。
根据该银行的网络状况(单网线环境及通信方式)和应用需求,韩国三星计算机安全公司为其提供一个性价比很高的解决方案。
(1)在总行安装NetSwitchII-M,将内部网和互联网进行彻底的物理隔离;
(2)总行下的若干分行安装NetSwitchII-R产品。
NetSwitchII-R产品可将各分行的内部网和互联网物理隔离。
只有当分行需要与总行进行业务联系时,才与总行服务器进行连接。
各分行若登录Internet则可通过NetSwitchII-R的WAN接口连接互联网,无需借用总行专线上网,这样大大降低了总行专线上网的成本。
而且由于众多分行均通过NetSwitchII-R提供的WAN接口上网,专线带宽占用量少,总行还可以在保证总行业务正常运行的情况下适当降低带宽速率。
除此之外,NetSwitchII-R本身还内置SwitchingHub和防火墙功能,使各分行网络安全建设成本又进一步降低。
确保内、外网资源完全隔离并毫不相干,网络管理员可方便地控制Internet的访问行为。
NetSwitchII-M和NetSwitchII-R的组合,不仅能实现网络的物理隔离,而且还是一个构建网络安全高性价比的解决方案。
实施物理隔离后的网络结构如图10所示。
图10实施物理隔离后的网络结构
六、安全隔离卡原理与分型
通过一到五点的叙述安全隐患,最根本的解决办法是使用两套物理设备来分别处理涉密和非涉密信息。
但这样做设备投入将非常大,同时设备的利用率很低。
通过仔细分析可以发现,两套计算机系统分别在内网(涉密网)和外网(Internet)上工作所具有的安全性主要表现在具有两套独立工作的信息存储系统,那么只要在一台计算机上具有两套独立的存储系统就能够满足安全的需求,因此我们可以通过设计安全隔离系统来保证信息系统的安全。
安全隔离系统的基本原理如图11所示。
在一台计算机上安装一块安全隔离卡和两块硬盘,两块硬盘和软盘驱动器的电源线连接到安全隔离卡上,通过手动或软件控制安全隔离卡上的开关接通软盘或硬盘等存储设备的电源。
当计算机在外网工作时,外网硬盘加电工作,内网硬盘不加电,当计算机在内网工作时正好相反,同时为了控制网络用户使用Modem和软盘驱动器,只有当用户在外网工作时才可以使用Modem,在内网时才可以使用软盘驱动器。
这样就可以做到内网和外网信息完全隔离。
根据上述原理,在信息安全隔离系统的基础上再配置灵活的网络选择设备及接口,我们就可以构建一个安全、经济、灵活、适用的网络。
根据用户上网环境,可将安全网络用户分为三种类型:
单机、双网线和单网线,并分别对应三种安全隔离设备。
安全隔离设备有安全隔离卡I、安全隔离卡II和安全隔离卡III型如图12所示,它们分别具有一个网络接口、两个网络接口和没有网络接口。
图11安全隔离卡原理图
图12安全隔离卡
七、国内的产品
1、京泰公司的物理隔离产品
北京京泰网络科技有限公司以中科院计算所为技术背景,研制网络安全和信息安全技术的硬件产品。
该公司的物理隔离产品──安全隔离卡与安全集线器已经通过公安部、国家保密局和军队系统的检测和鉴定。
京泰网络物理隔离产品由安全集线器、安全网卡和安全管理软件三部分组成。
安全集线器负责与客户端通信,并根据用户选择,跳接内网和外网。
当用户登录外网时,使用本地硬盘、本地操作系统和外网网络;当用户登录内网时,使用服务器上的而不是客户端的操作系统、远程网络硬盘和内网网络。
由于内部重要数据存放在安全服务器上,而且在内网状态下,本地I/O访问被屏蔽,这样就能有效防止客户端下载内部数据,增强内网的安全性。
安全集线器不仅仅是个安全开关,而且是一个具有多路通信和数据处理能力的智能机,能够满足用户的各种安全需求。
安全网卡负责提供客户端网络选择界面,按照用户的选择来与安全集线器通信,完成用户对内外网不同操作系统的引导。
客户端的安装,不需要对用户硬盘做任何改动,不需要增加新的硬盘,也不需要安装新的板卡,仅需要更换一块网卡就能完成工作。
安全管理软件帮助用户管理远程网络操作系统的启动、使用和维护。
该安全管理软件增加了更多的安全功能,例如用户区的访问保护、数据的备份和恢复、本地I/O设备的屏蔽以及内网安全状态自动检测等,使得网络管理不仅操作简单而且功能强大,具有很高的安全性。
2、三星公司的物理隔离产品
三星计算机安全公司针对网络环境和隔离网络的不同,为用户提供了丰富的物理隔离产品。
物理隔离卡DualNET可以保护内部服务器和每一个PC机免遭外部入侵或病毒的侵害。
DualNET包括一个DualNETPCI卡、一个钥匙开关支架、连接硬盘的数据线、6Pin连线和连接网卡的网线等。
DualNET设有钥匙转换开关,钥匙转换开关处设有外网、内网和关闭三个选项,用户可以自由选择,以达到彻底地安全防护的目的。
DualNET通过控制数据线的方式来切换硬盘,能有效保护硬盘的寿命。
DualNET是双网线环境下的双网双硬盘物理隔离产品,需要为外网额外增加一块硬盘。
物理隔离集线器NetSwitchII-M应用在通过数字专线上网的大型网络环境中,支持所有的网络通信协议,可以通过单网线将网络彻底物理隔离,保证内外网间没有物理连接。
NetSwitchII-M利用一根网线就可以完成两个网络的物理切换。
如果用户想从内网进入外网,保需简单地点击Windows上的IPChanger按钮就可完成IP地址的转换。
进行此项操作,用户不需要重新启动系统。
NetSwitchII-M具有24个端口,同时对应24个继电器,每个端口间的操作都独立进行。
NetSwitchII-M可以放置配线架上,便于网管人员进行统一管理和维护。
物理隔离集线器NetSwitchII-R是SOHO和分支机构的理想选择。
NetSwitchII-R不仅具有NetSwitchII-M的所有功能,而且还添加了访问外网的SwitchingHub和防火墙功能。
NetSwitchII-R可以帮助小型公司构建双网隔离的网络管理,而且网络员可以使用该产品中内置的防火墙功能控制Internet的访问行为,有效防止黑客入侵。
NetSwitchII-R还具有WAN接口功能,支持多种外网连接方式。
3、中创公司的物理隔离产品
中创飞讯物理隔离服务器分为手动版和自动版两类。
在手动工作方式下,内外网分别配置一台手动版物理隔离服务器,用户需要的外网信息按照事先设定的时间间隔,首先在外网物理隔离服务器上形成文件,并自动存入可移动存储设备中然后,人工将这些移动存储设备移入内网物理隔离服务器,由内网服务器自动读取相关数据,在读取过程中,实时完成信息的安全检查和病毒清杀等,最后完成外网信息的导入。
与此原理相同,信息也可从内网向外网导出。
是执行双向导入导出,还是单向导入,可根据用户要求进行设定。
自动版物理隔离服务器采用自动工作方式,由程序控制硬件来控制服务器在不同时间分别连接内网和外网。
自动版物理隔离服务器能够实现无人职守,大大提高了工作效率。
自动版物理隔离服务器的硬盘被划分成三个不同状态的逻辑分区:
公共公区、交换分区和安全分区。
公共分区和安全分区各装有不同的操作系统,分别连接外部和内部两个网络,并且在相关硬件的控制下,彼此独立、互不影响。
交换分区在两个网络中都可以被看到,但是具有不同的读写属性,并且能够让数据在内网与外网两个网络中进行安全交换。
飞讯物理隔离服务器采用“船闸”式开关、放行原理。
导入过程全部自动化,周期可以调控。
在软件系统的配合下,飞讯物理隔离服务器能够在内外网之间进行数据的单向或双向通信,实现了互联网信息的安全导入、文件系统和电子邮件的安全导入、导出。
4、天行公司的物理隔离产品
天行网物理隔离系统采用独特的硬件设计实现系统级的物理隔离。
该系统分为七个模块:
物理隔离、入侵检测、内核防护、病毒查杀、访问控制、信息审计和身份认证,如图13所示。
物理隔离模块采用独特的硬件设计,实现可控的信息交换,该模块工作在系统的最低层,其最低无故障工作时间大于一万小时。
由于设计的安全性,即使交换模块出现故障,也不会出现安全隐患。
入侵检测模块采用内核级的入侵检测技术来实时检测恶意用户和黑客的攻击行为。
一旦发现攻击就会记入审计信息,保证管理员在第一时间内了解网络的安全状况。
内核防护模块采用内核防护技术来防止滥用系统权限,以保护重要的进程、文件和数据不受黑客干扰,由于采用了更高一级的系统安全技术,内核防护模块能有效消除操作系统带来的安全隐患。
病毒查杀模块采用业界领先的防病毒产品对进出隔离系统的静态数据进行检查,分离邮件和附件,检查脚本信息,一旦发现病毒就会将其截获,通过邮件和审计信息通知管理员,该模块采用模块化设计,用户可以任意更换模块软件,通过该模块,管理员可以对内部用户进行集中统一管理。
信息审计和邮件内容审计,为管理员提供了整个系统的信息审计。
身份认证模块主要采用PKI技术,实现用户身份认证功能,通过证书机制保证系统使用用户的合法性,并采用SSL加密连接保证用户交互信息的安全性。
图13天行隔离系统功能示意图
升级会员 