您现在的位置: 通信界 >> 数据通信 >> 技术正文  
 
数据通道控制技术与安全隔离
[ 通信界 / 郭伟 / www.cntxj.net / 2004/6/3 ]
 

郭伟(国保金泰)

  一、当前政务建设及安全隔离背景

  电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是:运用信息通信系统辅助政府的管理与服务工作。其目的是:办公信息化、政务公开化、管理一体化、决策科学化。

   我国的电子政务起步于20世纪80年代末期,各级政府机关开展了办公自动化工程,建立了各种纵向及横向地内部信息办公网络。从二十世纪九十年代开始,通过重点建设金税、金关、金卡等重点信息系统,我国电子政务发展取得了长足的进步,1999年,40多个部委(办、局)的信息主管部门共同倡议发起了"政府上网工程",开始系统推进电子政务的发展,2002年7月3日,国家信息化领导小组审议通过《中国电子政务建设指导意见》,提出了"十五"期间我国电子政务建设的目标是:初步建成标准统一、功能完善、安全可靠的政务信息网络平台;重点业务系统建设,基础性、战略性政务信息库建设取得实质性成效,信息资源共享程度有较大提高;初步形成电子政务安全保障体系,人员培训工作得到加强,与电子政务相关法规和标准的制定取得重要进展。这标志着中国电子政务建设进入了一个全面规划、整体发展的新阶段。

   电子政务建设离不开网络建设,但随着越来越多的应用系统加入到电子政务网络中,随着越来越多的地方网络开始互连互通,相应的安全风险随之而来。如说一个政府门户被黑客攻陷可以使政务工作暂时停止进而影响政府工作效率和国家形象是一个很大的损失,那么如果安全保密技术不过关而将诸如党政核心机关、军队等的涉密信息带给敌国的话对我国的危害就有可能是毁灭性的。所以国家在电子政务内网,包括涉密网的互连上始终保持谨慎态度。

   防火墙、防病毒、漏洞扫描和系统风险评估、以至入侵检测,这些技术都可以在一定程度上提供安全防护,但目前所有的安全手段,无论使用一种还是将所有方法综合使用,都无法做到对网络及信息资源的完美保护。原因很明显:任何人对他们所了解网络的认知程度都是有限的,包括网络中的缺陷以及可能利用这些缺陷的攻击手段,这个前提导致的结果就是我们的网络管理人员不断的通过已发布的补丁来像补漏洞一样升级我们的系统。网络管理人员清楚网络永远存在问题,所以他们总是申请更多的资金用以保护网络;但同样重要的是黑客也清楚这个问题,所以我们经常会从新闻上看到这样的标题:"某网络遭受到黑客的集体攻击",而这些网络包括银行网、电子商务网、教育网、甚至政府网。

   如何保护我们的网络遭受到越来越多的未知攻击,又可以提高系统的保密强度减少信息泄露,同时还可以让我们的网络交换更多更安全的信息?也许通过目前最热门的安全隔离技术进行临界资源保护正好可以解决这一问题。

  二、隔离技术的必要性

   Enterasys公司网络安全设计师Dick Bussiere认为:在电脑网络犯罪手段与网络安全防御技术道高一尺魔高一丈不断升级的形势下,网络攻击者和防御者都失去了技术方面的屏障,单依靠网络安全技术不可能非常有效。

   有统计数据表明,将近一半的防火墙被攻破过。而且,更多更新的攻击手段还会层出不穷。因此,机密数据的安全不能完全依赖于各种安全技术的保护,这就是隔离技术发挥作用的时候了。

   安全隔离可以说是网络安全的最后一道防线。既然网络已经不能直接或间接地连通了,那么也就不可能通过网络泄密或者是染毒、受到攻击。从网络的7层结构来看,物理层的隔离是最彻底的。北京国保金泰信息安全技术有限公司表示:"安全隔离是结合通道控制、内容检查、协议转换等机制的软硬结合的全新安全产品,安全隔离产品的保密性和安全强度均高于传统安全手段。如果我们希望在安全保密的前提下进行数据通信,那么安全隔离将成为一个终极解决方案。"

   国家有关部门近年来对隔离技术可谓空前重视,中保委、中办、国家保密局等机构已经下达相关文件阐述了隔离的重要性,中办27号文也把安全隔离技术列为信息安全重点发展方向,科技部也通过863计划对安全隔离技术的开发进行支持。

  三、主要的隔离技术

   既然有相关条例要求内外网间隔离,市场上自然会出现相应的解决办法。最简单、最干脆的办法自然是彻头彻尾地采用两套系统:包括两套布线、两套网络设备以及两套终端,布线还要加一些屏蔽手段来防电磁辐射。节省一点的办法是搞双网机。安全专家曲成义研究员指出:"双网机目前有十几家已被国家审定过,它有双盘型的,也有单盘型双驱型的。它确实是物理隔离并经过严格检测出来的。虽然它用的是一个壳,但是里面有两套操作系统,有的是两个硬盘;有的是单硬盘,单硬盘是逻辑分区,但是分区是物理隔绝,这些都是很严格审查过的"。双网机的实现方法包括加装隔离卡、设置BIOS等等。目前最先进的解决办法是通过安全隔离与信息交换系统进行网关处的链路、信息隔离。

   在网上随便搜索一下,便能找到若干种隔离技术的解决方案。典型的例如:

  1.电脑采用两个独立硬盘分别对应于内部网和公共网,它们分别拥有各自的操作系统,分别通过各自的专用接口与网络连接,依靠继电器来控制分区间的转换和网络连接,从而保证内网与外网的隔离;

  2.使用 PC网络安全隔离卡,当计算机进入内网或外网中的一个时,物理隔离部件保证被隔离的硬盘或硬盘分区以及相应网络彼此不连通,在计算机与内网相连时,可以选用物理隔离部件,禁止用户使用软驱和光驱,计算机在内网与外网之间转换时,必须重新启动,这样连内存也都不能被重用,因此不会发生残留信息泄密的问题;

  3.把安全隔离开关安装在内外网之间,通过固有硬件控制,智能切换实现内网与外网的隔离。当该软件进行信息采集时,应与外网连接,与内网断开;当进行信息传递时与内网连接,与外网断开。采集的信息使用纯文本文件格式;

  4.基于网络安全开关的基础,在信道上进行控制,以增强信息交换的实时性和数据的保密性;结合隐通道分析等技术保证数据传递的安全性。

  四、安全隔离技术概述3类产品

   针对安全隔离,目前世界上主要有3类解决手段,Michael Bobbit对此做了一个概括:

   1.实时电子开关

   实时电子开关是一个网关处的设备,如图1所示,可以通过物理断开的方式连接两个网络,并且在两个网络间做到了网络协议终止,即只交换应用层数据。北京国保金泰信息安全技术有限公司所生产的安全隔离产品中,安全隔离与信息交换系统就属于此类产品。此外,国保金泰公司还在安全隔离与信息交换系统中创造性的提出了通道控制和硬件映射隔离技术,进一步确保了系统的保密性。

  2.单向传输系统

   单向传输系统是一个网关处的设备,如图2所示,可以通过物理断开的方式连接两个网络,并且在两个网络间做到了网络协议终止,即只交换应用层数据。特别的是,单向传输系统可以对数据的方向进行控制,即可以通过硬件保证数据只从源网络流向目的网络而不存在反向数据通路,这样做的好处是可以保证目的网络的数据的保密性。北京国保金泰信息安全技术有限公司所生产的安全隔离产品中,安全隔离与信息单向传输系统就属于此类产品。国保金泰安全隔离与信息单向传输产品也是目前国内唯一的单向传输系统,产品同样基于通道控制技术,目前已经在国家核心部门使用。


  3.网络开关

   网络开关也是一个网关处的设备,如图3所示,不同于上述两个产品,网络开关在内外网间的信息传输并不基于通道控制而是基于存储介质(通常是硬盘)的缓存。由于此类系统实时性较差,通常数据交换延时大于10秒,所以基本已经在政务网络中淘汰。

五、通道控制技术概述

   所谓通道控制技术是指用硬件的手段将进数据通道和出数据通道分开,甚至在单向系统中只有进通道而没有出通道。通道控制做到了进出信息的分开处理,结合有效的内容检查引擎和特殊的协议栈,可以做到信息检查的完备性,防止信息旁路,因此安全性和保密性也比传统安全手段高出许多。

  通道控制技术比传统网闸产品的先进之处

   传统网闸技术,很少能直接进行协议交互,影响用户使用,并且对信道不能进行完全控制,造成隐信息传送的可能。此外基于网络开关传统网闸技术并不能提供高强度的、国家认可的涉密内容检查机制。基于通道控制的隔离交换系统采用全新的硬件映射技术,能在瞬时内完成内外网的信息交互,可以在隔离的条件下提供很好的的实时交互性。而且安全隔离交换系统采用特有的通道模式,可以对信道进行完全控制,从根本上杜绝泄密的可能。在安全隔离交换系统,尤其是国保金泰安全隔离与信息交换系统上也集成了国家认可的涉密内容检查机制。

  信息检查与审计同样重要

   仅通过硬件进行内外网间的安全隔离是不够的,因为网络建设的目的还是信息交换。所以在交换数据的过程中如何做到信息检查,如何对已经发生的行为进行审计就显得尤为重要。传统的安全防护手段,如防火墙等,就无法做到信息内容检查和内容审计,而先进的安全隔离交换系统都应具备内容检查和审计功能,特别是国保金泰公司的安全隔离产品,还具备隐通道检查和语义分析功能,使安全隔离产品具有更好的实用性和保密性。

   所以,国家对基于通道控制技术的国保金泰安全隔离产品鉴定意见中指出:国保金泰安全隔离产品可以在保证系统保密性的前提下提高了系统的安全性,技术属于领先水平。

  六、采购安全隔离产品时候的注意事项

  1.选择相关资质齐全的安全隔离产品,如公安部资质、保密局资质等。

  2.选择在核心政务系统中已经成功应用并有可行性论证的安全隔离产品。

  3.选择内容检查功能丰富、保密性强的安全隔离产品。

  4.选择实时性强、系统传输速率高的安全隔离产品。

  5.选择具有通道控制机制的安全隔离产品。靠继电器来控制分区间的转换和网络连接,从而保证内网与外网的隔离。

 

作者:郭伟 合作媒体:赛迪网 编辑:顾北

 

 

 
 热点技术
普通技术 “5G”,真的来了!牛在哪里?
普通技术 5G,是伪命题吗?
普通技术 云视频会议关键技术浅析
普通技术 运营商语音能力开放集中管理方案分析
普通技术 5G网络商用需要“无忧”心
普通技术 面向5G应运而生的边缘计算
普通技术 简析5G时代四大关键趋势
普通技术 国家网信办就《数据安全管理办法》公开征求意见
普通技术 《车联网(智能网联汽车)直连通信使用5905-5925MHz频段管理规定(
普通技术 中兴通讯混合云解决方案,满足5G多元业务需求
普通技术 大规模MIMO将带来更多无线信道,但也使无线信道易受攻击
普通技术 蜂窝车联网的标准及关键技术及网络架构的研究
普通技术 4G与5G融合组网及互操作技术研究
普通技术 5G中CU-DU架构、设备实现及应用探讨
普通技术 无源光网络承载5G前传信号可行性的研究概述
普通技术 面向5G中传和回传网络承载解决方案
普通技术 数据中心布线系统可靠性探讨
普通技术 家庭互联网终端价值研究
普通技术 鎏信科技CEO刘舟:从连接层构建IoT云生态,聚焦CMP是关键
普通技术 SCEF引入需求分析及部署应用
  版权与免责声明: ① 凡本网注明“合作媒体:通信界”的所有作品,版权均属于通信界,未经本网授权不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:通信界”。违反上述声明者,本网将追究其相关法律责任。 ② 凡本网注明“合作媒体:XXX(非通信界)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。 ③ 如因作品内容、版权和其它问题需要同本网联系的,请在一月内进行。
通信视界
华为余承东:Mate30总体销量将会超过两千万部
赵随意:媒体融合需积极求变
普通对话 苗圩:建设新一代信息基础设施 加快制造业数字
普通对话 华为余承东:Mate30总体销量将会超过两千万部
普通对话 赵随意:媒体融合需积极求变
普通对话 韦乐平:5G给光纤、光模块、WDM光器件带来新机
普通对话 安筱鹏:工业互联网——通向知识分工2.0之路
普通对话 库克:苹果不是垄断者
普通对话 华为何刚:挑战越大,成就越大
普通对话 华为董事长梁华:尽管遇到外部压力,5G在商业
普通对话 网易董事局主席丁磊:中国正在引领全球消费趋
普通对话 李彦宏:无人乘用车时代即将到来 智能交通前景
普通对话 中国联通研究院院长张云勇:双轮驱动下,工业
普通对话 “段子手”杨元庆:人工智能金句频出,他能否
普通对话 高通任命克里斯蒂安诺·阿蒙为公司总裁
普通对话 保利威视谢晓昉:深耕视频技术 助力在线教育
普通对话 九州云副总裁李开:帮助客户构建自己的云平台
通信前瞻
杨元庆:中国制造高质量发展的未来是智能制造
对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 杨元庆:中国制造高质量发展的未来是智能制造
普通对话 对话亚信科技CTO欧阳晔博士:甘为桥梁,携"电
普通对话 对话倪光南:“中国芯”突围要发挥综合优势
普通对话 黄宇红:5G给运营商带来新价值
普通对话 雷军:小米所有OLED屏幕手机均已支持息屏显示
普通对话 马云:我挑战失败心服口服,他们才是双11背后
普通对话 2018年大数据产业发展试点示范项目名单出炉 2
普通对话 陈志刚:提速又降费,中国移动的两面精彩
普通对话 专访华为终端何刚:第三代nova已成为争夺全球
普通对话 中国普天陶雄强:物联网等新经济是最大机遇
普通对话 人人车李健:今年发力金融 拓展汽车后市场
普通对话 华为万飚:三代出贵族,PC产品已走在正确道路
普通对话 共享退潮单车入冬 智享单车却走向盈利
普通对话 Achronix发布新品单元块 推动eFPGA升级
普通对话 金柚网COO邱燕:天吴系统2.0真正形成了社保管