|
Internet的迅猛發展使信息共享的程度進一步提高,因而信息安全的問題也日益突出,這時唯一的解決方法只能是主動解決信息安全和網絡安全問題。 1 引言 目前國內外采用最多的、最普遍的網絡安全措施是使用防火墻類軟件,但是防火墻類軟件本身存在兩大先天缺陷:其一是防火墻隔離的網絡還是基于TCP/IP協議來進行信息交換的,而TCP/IP 協議存在漏洞,它無法防止協議本身的漏洞;其二是防火墻的運行離不開操作系統,操作系統和防火墻軟件都存在漏洞,因而不能阻止由這些漏洞而引起的網絡安全問題[1]。因此,開發相應的應用系統是必要的。本文在對已有的防火墻技術及物理隔離技術進行分析的基礎上,提出了帶緩沖區的雙通道實時開關技術,通過該技術所設計出的網絡隔離器能滿足實時數據的傳輸,同時本文提出了一種物理隔離環境下數據安全轉發的技術構思,該方案使得網絡隔離器有很好的安全性能。 2 物理隔離技術原理 2.1 簡介 物理隔離是指內部網絡不得直接或間接地連接外部網絡即互聯網[2]。物理隔離技術通過中斷內部網絡與外部網絡的連接,不支持TCP/IP 協議,不依賴于操作系統,解決了目前網絡安全存在的根本性問題,即由于操作系統漏洞和TCP/IP 協議漏洞所帶來的安全問題,有效地防止了惡意代碼、病毒以及網絡入侵的發生,滿足了網絡安全的機密性、完整性、可用性、可控性和可審查性要求。 2.2 物理隔離技術 目前,國內外普遍采用的物理隔離技術有: 單硬盤物理隔離卡和雙主板物理隔離技術。 2.2.1 單硬盤物理隔離卡 這種技術是將計算機的單個硬盤從物理層上分割為公共和安全兩個分區,每個分區各自安裝一套操作系統。在操作中,用戶工作在安全狀態和公共狀態兩個互相排斥的操作系統環境下,從而實現內外網的安全隔離。這種技術的缺點是不能傳輸實時數據。 2.2.2 雙主板物理隔離技術 兩塊主板之間通過非網絡方式的一個雙端口RAM 進行數據的傳輸,雙端口RAM 分為兩個區,第一個區是內網客戶端向外網服務器單向傳輸數據的通道。第二個區是外網客戶端向內網服務器單向傳輸數據時的通道。在平時內外網是斷開的,雙端口RAM處于斷開狀態。當有數據要傳輸時,內外網才通過雙端口RAM 進行數據傳輸[3]。 3 網絡隔離器技術原理 目前網絡隔離器的實時開關實現方式主要有基于SCSI 的開關技術和基于總線的開關技術兩種。 基于總線的實時開關技術的網絡隔離器采用雙端口靜態存儲器(Dual Port SRAM)配合基于獨立的ARM的控制電路,雙端口各自通過開關與獨立的計算機主機連接,如圖1所示。ARM作為獨立的控制電路保證雙端口靜態存儲器的每一端口上存在一個開關,且兩個開關不能同時閉合即K1×K2=0。 基于SCSI 開關技術的網絡隔離器和圖1相似,只是數據通道換為SCSI 硬盤接口,而存儲介質使用的是SCSI 硬盤,控制單元使用專門設計的硬件電路板實現。 圖1 基于總線實時開關技術的網絡隔離器示意圖 該系統的數據交換原理如下:以數據由外部網到內部網的傳遞為例,首先外部主機將由外部網接收到的數據進行TCP/IP 協議和應用協議的剝離,將其還原為原始數據,同時對數據進行完整性和安全性的審查;審查通過后,將安全的數據傳遞給交換設備,然后內部主機接收到這批數據,在對它們進行TCP/IP協議和應用協議的封裝后,把它們發送到內部網。反之亦然。 以內網接收電子郵件為例,當外網需要有數據到達內網的時候,外部的服務器立即發起對隔離設備的非TCP/IP 協議的數據連接,隔離設備將所有的協議剝離,將原始的數據寫入存儲介質。根據不同的應用,可能有必要對數據進行完整性和安全性檢查,如防病毒和惡意代碼等。 一旦數據完全寫入隔離設備的存儲介質,隔離設備立即中斷與外網的連接。轉而發起對內網的非TCP/IP 協議的數據連接。隔離設備將存儲介質內的數據推向內網。內網收到數據后,立即進行TCP/IP 的封裝和應用協議的封裝,并交給應用系統。 這個時候內網電子郵件系統就收到了外網的電子郵件系統通過隔離設備轉發的電子郵件。在控制臺收到完整的交換信號之后,隔離設備立即切斷隔離設備于內網的直接連接。 如果這時,內網有電子郵件要發出,隔離設備收到內網建立連接的請求之后,建立與內網之間的非TCP/IP 協議的數據連接。隔離設備剝離所有的TCP/IP 協議和應用協議,得到原始的數據,將數據寫入隔離設備的存儲介質。必要的話,對其進行防病毒處理和防惡意代碼檢查。然后中斷與內網的直接連接。控制臺收到信息處理完畢后,立即中斷隔離設備與外網的連接,恢復到完全隔離狀態。 每一次數據交換,隔離設備經歷了數據的接受,存儲和轉發三個過程。由于這些規則都是在內存和內核里完成的,因此速度上有保證,可以達到100%的總線處理能力[4]。 |
