網(wǎng)絡(luò)隔離與企業(yè)信息安全

周 全 榮東明 何 遠(yuǎn)

[摘要]隨著網(wǎng)絡(luò)用戶的增加,網(wǎng)絡(luò)的不斷發(fā)展,企業(yè)信息安全問(wèn)題也越來(lái)越嚴(yán)重。從企業(yè)的安全現(xiàn)狀分析,網(wǎng)絡(luò)隔離技術(shù)的發(fā)展及改進(jìn)三個(gè)方面進(jìn)行論述,并對(duì)改進(jìn)后的網(wǎng)絡(luò)隔離在實(shí)際應(yīng)用中的注意事項(xiàng)做說(shuō)明。

[關(guān)鍵詞]防火墻木馬網(wǎng)絡(luò)隔離

中圖分類號(hào):TP3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1671-7597(2009)1110071-01

2008年上半年《中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》指出國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)接收和自主監(jiān)測(cè)的各種網(wǎng)絡(luò)安全事件數(shù)量與2007年上半年同期相比有較為顯著的增加。網(wǎng)絡(luò)攻擊的頻次、種類和復(fù)雜性均比往年大幅增加,遭入侵和受控計(jì)算機(jī)數(shù)量巨大,潛在威脅和攻擊力繼續(xù)增長(zhǎng),信息數(shù)據(jù)安全問(wèn)題日益突出,網(wǎng)絡(luò)安全形勢(shì)依舊嚴(yán)峻。

一、一般企業(yè)的網(wǎng)絡(luò)安全措施及現(xiàn)狀

企業(yè)一般為了自己的應(yīng)用需要建立了很多的網(wǎng)絡(luò),由企業(yè)內(nèi)部局域網(wǎng)組成,我們通常叫做內(nèi)網(wǎng)。另一個(gè)是現(xiàn)在我們普遍使用的互聯(lián)網(wǎng),它是一個(gè)全球性的網(wǎng)絡(luò),通常被叫做外網(wǎng)。網(wǎng)絡(luò)安全是從外網(wǎng)安全和內(nèi)網(wǎng)安全兩部分來(lái)講,企業(yè)更關(guān)注的還是內(nèi)網(wǎng)的安全,因?yàn)閮?nèi)網(wǎng)里有企業(yè)的信息,內(nèi)網(wǎng)信息一旦泄露了,那么重要的企業(yè)信息也就泄露了,這對(duì)企業(yè)來(lái)說(shuō)是很危險(xiǎn)的。

企業(yè)一般通過(guò)ADSL或光纖等接入外網(wǎng),然后通過(guò)路由器與內(nèi)網(wǎng)相連,其主要安全措施是防火墻。使用的防火墻大體分為3種:包過(guò)濾防火墻、狀態(tài)檢測(cè)包過(guò)濾防火墻、應(yīng)用層代理防火墻。防火墻在網(wǎng)絡(luò)安全方面確實(shí)能起到一定的保護(hù)作用,但仍有不少缺陷。主要表現(xiàn)為:包過(guò)濾防火墻不能防御IP欺騙攻擊、D0S拒絕服務(wù)攻擊、分片攻擊、木馬攻擊;狀態(tài)檢測(cè)包過(guò)濾防火墻不能防御協(xié)議隧道攻擊和繞過(guò)防火墻認(rèn)證的攻擊;應(yīng)用層代理防火墻只能防御已知病毒的攻擊,而對(duì)新的攻擊無(wú)法及時(shí)預(yù)防。

二、網(wǎng)絡(luò)隔離的發(fā)展與不足

網(wǎng)絡(luò)隔離的思想是絕對(duì)的隔離就有絕對(duì)的安全(這排除內(nèi)部“間諜”和電磁分析等),是指把兩個(gè)或兩個(gè)以上可路由網(wǎng)絡(luò)(如TCP/IP網(wǎng)絡(luò))的直接連接從物理上斷開(kāi),通過(guò)隔離保護(hù)內(nèi)部網(wǎng)絡(luò)的安全,使信息不致外泄或免受外部網(wǎng)絡(luò)的攻擊。隔離概念的出現(xiàn),是為了保護(hù)高安全度的網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)隔離產(chǎn)品發(fā)展至今共經(jīng)歷了五代:

第一代隔離技術(shù):完全的隔離。采用完全獨(dú)立的設(shè)備、存儲(chǔ)和線路來(lái)訪問(wèn)不同的網(wǎng)絡(luò),做到了完全的物理隔離,但需要多套網(wǎng)絡(luò)和系統(tǒng),建設(shè)和維護(hù)成本較高。

第二代隔離技術(shù):硬件卡隔離。通過(guò)硬件卡控制獨(dú)立存儲(chǔ)和分時(shí)共享設(shè)備與線路來(lái)實(shí)現(xiàn)對(duì)不同網(wǎng)絡(luò)的訪問(wèn),它仍然存在使用不便、可用性差等問(wèn)題,有的設(shè)計(jì)上還存在較大的安全隱患。

第三代隔離技術(shù):數(shù)據(jù)轉(zhuǎn)播隔離。利用轉(zhuǎn)播系統(tǒng)分時(shí)復(fù)制文件的途徑來(lái)實(shí)現(xiàn)隔離,切換時(shí)間較長(zhǎng),甚至需要手工完成,不僅大大降低了訪問(wèn)速度,更不支持常見(jiàn)的網(wǎng)絡(luò)應(yīng)用,只能完成特定的基于文件的數(shù)據(jù)交換。

第四代隔離技術(shù):空氣開(kāi)關(guān)隔離。該技術(shù)是通過(guò)使用單刀雙擲開(kāi)關(guān),通過(guò)內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問(wèn)臨時(shí)緩存器來(lái)完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問(wèn)題,往往成為網(wǎng)絡(luò)的瓶頸。

第五代隔離技術(shù):安全通道隔離。此技術(shù)通過(guò)專用通信硬件和專有交換協(xié)議等安全機(jī)制,來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術(shù)存在的問(wèn)題,并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。

雖然第五代隔離技術(shù)是當(dāng)前的發(fā)展方向,但它還存在應(yīng)用協(xié)議的代理模塊不能適應(yīng)更多的應(yīng)用環(huán)境、各模塊算法實(shí)現(xiàn)的效率較低、系統(tǒng)的性能瓶頸、對(duì)木馬和僵尸網(wǎng)絡(luò)的防御能力不足等問(wèn)題。想達(dá)到更安全的效果還是需要第一代隔離技術(shù)。

三、第一代隔離技術(shù)實(shí)用化的改進(jìn)

第一代隔離技術(shù)因?yàn)閷?shí)現(xiàn)了物理上的完全隔離,所以其安全性能要比其它的高很多,病毒、網(wǎng)絡(luò)攻擊等都被網(wǎng)絡(luò)隔離而無(wú)法在內(nèi)網(wǎng)實(shí)施破壞。其實(shí)用性不強(qiáng)主要表現(xiàn)在需要多套獨(dú)立的設(shè)備和多套獨(dú)立布線,所以對(duì)其進(jìn)行改進(jìn)從而達(dá)到實(shí)用化是技術(shù)的關(guān)鍵。以下是具體改進(jìn)方案:

通過(guò)在終端上插一塊網(wǎng)絡(luò)隔離卡以及兩塊硬盤(pán),通過(guò)選用不同的硬盤(pán)和網(wǎng)絡(luò)接口,使一臺(tái)終端拆分出兩臺(tái)終端。在兩臺(tái)終端分別安裝操作系統(tǒng),設(shè)定不同的IP地址,通過(guò)重啟系統(tǒng)切換到不同的網(wǎng)絡(luò),從而實(shí)現(xiàn)網(wǎng)絡(luò)隔離的目的。這樣只使用了一套終端,而實(shí)現(xiàn)了2套獨(dú)立終端的功能,實(shí)用性大大加強(qiáng)。

也可以通過(guò)修改隔離卡支持單塊硬盤(pán)切分技術(shù),實(shí)現(xiàn)類似兩塊硬盤(pán)的功能。通過(guò)使用DM等硬盤(pán)工具來(lái)劃分硬盤(pán)分區(qū),不同的網(wǎng)絡(luò)使用不同的分區(qū),使用內(nèi)網(wǎng)時(shí)外網(wǎng)分區(qū)是隱藏的,內(nèi)網(wǎng)無(wú)法通過(guò)操作系統(tǒng)訪問(wèn)到外網(wǎng)分區(qū),反之亦然。連接隔離卡的跳線開(kāi)關(guān),使其變?yōu)榭捎洃洜顟B(tài),隔離卡記錄了分區(qū)信息后,斷開(kāi)跳線開(kāi)關(guān)。啟動(dòng)時(shí)選擇不同的網(wǎng)絡(luò)就選擇了與之對(duì)應(yīng)的分區(qū)和操作系統(tǒng),進(jìn)一步降低了硬件成本。

對(duì)于網(wǎng)絡(luò)布線,盡量使用單位原有的線路資源,保持原來(lái)的網(wǎng)絡(luò)拓?fù)?。通過(guò)網(wǎng)絡(luò)隔離卡的網(wǎng)卡接口設(shè)計(jì),使其接口的1,2,3,6條線對(duì)應(yīng)內(nèi)網(wǎng),4,5,7,8對(duì)應(yīng)外網(wǎng),這樣就能充分利用原有的布線和網(wǎng)絡(luò)資源,只需在配線間增加網(wǎng)絡(luò)隔離集線器即可。具體如圖1所示,虛線部分為網(wǎng)絡(luò)隔離集線器,內(nèi)、外網(wǎng)分別連接到相應(yīng)的網(wǎng)絡(luò),但不同的網(wǎng)絡(luò)仍然保持物理上的隔離。

其工作原理為:以物理方式將一臺(tái)終端拆分為兩個(gè)終端,實(shí)現(xiàn)終端的雙重狀態(tài),即可在安全狀態(tài)(內(nèi)網(wǎng)),又可在公共狀態(tài)(外網(wǎng)),兩個(gè)狀態(tài)是完全隔離的。網(wǎng)絡(luò)隔離卡通過(guò)PCI插槽與主板相連,通過(guò)網(wǎng)絡(luò)隔離卡上的電源設(shè)計(jì)分別對(duì)內(nèi)、外網(wǎng)的硬盤(pán)供電,或者由啟動(dòng)時(shí)控制不同的分區(qū)。在任何時(shí)候內(nèi)、外網(wǎng)只能與自己的硬盤(pán)或分區(qū)交換數(shù)據(jù)。在使用不同網(wǎng)絡(luò)