网闸是使用带有多种控制功能的
固态开关读写介质,连接两个独立
主机系统的信息
安全设备。由于两个独立的主机系统通过网闸进行隔离,使系统间不存在通信的
物理连接、
逻辑连接及信息
传输协议,不存在依据协议进行的
信息交换,而只有以
数据文件形式进行的无协议摆渡。因此,网闸从物理上隔离、阻断了对
内网具有潜在攻击可能的一切
网络连接,使外部攻击者无法直接入侵、攻击或破坏内网,保障了内部主机的安全。
网闸技术
由两套各自独立的系统分别连接安全和非安全的网络,两套系统之间通过网闸进行信息摆渡,保证两套系统之间没有直接的物理通路。在通信过程中,当
存储介质与安全的网络连通时,断开与非
安全网络连接;当与非安全网络连通时,断开与安全网络的连接;通过分时地使用两套系统中的
数据通路进行
数据交换,以达到隔离与交换的目的。此外,在数据
交换过程中,需同时进行防病毒、防
恶意代码等
信息过滤,以保证信息的安全。
根据国家保密局公开的文献资料,我国目前流行的
网络隔离技术的产品和方案如下:
(1)独立网络方案
根据信息保密需求的不同,将信息存放到两个独立的网络中。其一是内部网络,用于存储、处理、传输
涉密信息;另一个是外部网络,与互联网相连。内部网络和外部网络物理断开。两个网络之间如果有数据交换需要,则采用
人工操作(如通过
软盘、磁带等)的方式。
(2)终端级解决方案
用户使用一台客户端设备
排他性选择连接内部网络和外部网络,主要类型可分为以下几种。
(1)双主板,双硬盘型:通过设置两套独立计算机的设备实现,使用时,通过客户端开关分别选择两套
计算机系统。
(2)单主板,双硬盘型:客户端通过增加一块
隔离卡、一块硬盘,将
硬盘接口通过添加的隔离卡转接到主板,网卡也通过该卡引出两个
网络接口。通过该卡控制客户端
存储设备,同时选择相应的网络接口,达到网络隔离的效果。
(3)单主板,单硬盘型:客户端需要增加一块隔离卡,
存储器通过隔离卡连接到主板,网卡也通过隔离卡引出两个网络接口。对硬盘上划分安全区、非安全区,通过隔离卡控制客户端存储设备分时使用安全区和非安全区,同时对相应的网络接口进行选择,以实施网络隔离。
技术原理
网闸实现了内外网的
逻辑隔离,在
技术特征上,主要表现在
网络模型各层的断开。
网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机与固态存储介质,在进行
数据传递的时候,有条件地进行单个连通,但不能同时相连。在实现上,外部主机与固态存储介质之间、内部主机与固态存储介质之间均存在一个
开关电路。网络隔离必须保证这两个开关不会同时闭合,从而保证
OSI模型上的物理层的断开机制。
由于开关的同时闭合可以建立一个完整的数据
通信链路,因此必须消除
数据链路的建立,这就是链路层断开技术。任何基于链路通信协议的
数据交换技术,都无法消除数据链路的连接,因此不是网络隔离技术,如基于
以太网的
交换技术、
串口通信或高速
串口通信协议的
USB等。
为了消除TCP/IP协议(OSI的3~4层)的漏洞,必须剥离TCP/IP协议。在经过网闸进行数据摆渡时,必须再重建TCP/IP协议。
为了消除
应用协议(OSI的5~7层)的漏洞,必须剥离应用协议。剥离应用协议后的
原始数据,在经过网闸进行数据摆渡时,必须重建应用协议。
功能
(1)对操作系统的依赖,因为操作系统有漏洞;
(2)对TCP/IP协议的依赖,因为TCP/IP协议也有漏洞;
(3)解决通信连接的问题,内网和外网
直接连接,存在基于通信的攻击;
(4)应用协议的漏洞,如非法的命令和指令等。
网闸的指导思想与防火墙有下述很大的不同。
(1)防火墙的思路是在保障
互联互通的前提下,尽可能安全;
(2)网闸的思路是在保证必须安全的前提下,尽可能互联互通,如果不安全则隔离断开。
发展
第一代网闸的技术原理是利用
单刀双掷开关使内外网的
处理单元分时存取
共享存储设备来完成数据交换的,实现了在空气缝隙隔离(AirGap)情况下的数据交换。安全原理是通过应用层
数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。
第二代网闸是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有
通信协议和加密签名机制来实现的。虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代网闸更多的
网络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代网闸的几十倍之多。而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的
机密性、
完整性和
可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应
复杂网络对隔离应用的需求。
存在缺陷
尽管作为物理
安全设备,安全网闸提供的高安全性是显而易见的,但是由于其工作原理上的特性,不可避免地决定了安全网闸存在一些缺陷:
(1)只支持静态数据交换,不支持交互式访问。
这是安全网闸最明显得一个缺陷。由于是真正的网络间
物理隔离,它不支持诸如动态web页面技术中的activex、
java甚至是客户端的
cookie技术,目前安全网闸一般只支持静态web页、邮件文件等
静态数据的交换。
(2)适用范围窄。
由于
数据链路层被忽略,安全网闸无法实现一个完整的iso/osi七层连接过程,所以安全网闸对所有交换的数据必须根据其特性开发专用的交换模块,灵活性差,适用范围十分狭窄。
(3)
系统配置复杂,安全性很大程度上取决于
网络管理员的技术水平。
在网闸传送数据过程中要实现
病毒、木马过滤和安全性检查等一系列功能,这都需要网络管理员根据网络应用的具体情况加以判断和设置。如果设置不当,比如对内部人员向外部提交的数据不进行过滤而导致信息外泄等,都可能造成安全网闸的安全功能大打折扣。
(4)结构复杂,成本较高。
安全网闸的三个组件都必须为大容量存储设备,特别在支持多种应用的情况下,
存储转发决定了必须采用较大的存储器来存储和缓存大量的交换数据。另外,安全网闸由于处在两个
网段的结合部,具有网关的地位,一旦宕机就会使两边数据无法交换,所以往往需要配置多台网闸设备作为冗余,这就使购置和实施费用不可避免地上升了。
(5)技术不成熟,没有形成体系化。
安全网闸技术是一项新兴的
网络安全技术,尚无专门的国际性研究组织对其进行系统的研究和从事相关体系化标准的制定工作。
因为
电子开关切换速率的
固有特性和安全过滤内容功能的复杂化,目前安全网闸的交换速率已接近该技术的理论速率极限。可以预见在不久的将来,随着高速
网络技术的发展,安全网闸在交换速率上的问题将会成为阻碍网络数据交换的重要因素。
但无论如何,网闸对其他
网络安全设备是一个很好的补充,也是其他网络安全设备所无法替代的安全产品,近几年来在国内的各行业也已经获得了较好的应用。
应用定位
(1)涉密网与非涉密网之间。有些政府
办公网络涉及
敏感信息,当它与外部非涉密网连接的时候可以用单向
物理隔离网闸将两者隔开。
(2)
局域网与互联网之间(内网与
外网之间)。有些
局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在逻辑上断开,物理隔离网闸是一个常用的办法。
(3)办公网与
业务网之间。由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和
银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高
工作效率,办公网络有时需要与业务
网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的逻辑隔离。
(4)
电子政务的内网与专网之间。在
电子政务系统建设中要求政府内网与外网之间用逻辑隔离,在政府专网与内网之间用逻辑隔离。现常用的方法是用物理隔离网闸来实现。
(5)业务网与互联网之间。电子商务网络一边连接着业务
网络服务器,一边通过互联网连接着广大用户。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现逻辑隔离。
网闸的安全配置
(1)网闸产品应有国家相关安全部门的证书。
(2)网闸设置加长口令,网络管理人员调离或退出本岗位时口令应立即更换。
(3)网闸密码不得以明文形式出现在纸质材料上,密码应隐式记录,记录材料应存放于保险柜中。
(4)监控配置更改,改动网闸配置时,进行监控。
(5)定期备份配置和日志。
(6)明确责任,维护人员对更改网闸配置的时间、操作方式、原因和权限需要明确,在进行任何更改之前,制定详细的
逆序操作规程。
应用领域
目前,国产的网闸产品可以满足信任
网络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等的要求。同时它们已在
电子政务中,如政府内部的领导
决策支持系统、政务
应用系统(
OA系统、专用
业务处理系统)和公共
信息处理系统(
信息采集系统、信息
交换系统、
信息发布系统等)得到应用。网闸很好地解决了安全隔离下的信息可控交换等问题,从而推动了电子政务走向应用时代。由于网闸可以实现两个物理层断开网络间的信息摆渡,构建信息可控交换“安全岛”,所以在政府、军队、电力等领域具有极为广阔的应用前景。网闸突破
电子政务外网与内网之间数据交换的瓶颈,并消除政府部门之间因安全造成的信息
孤岛效应。目前网闸大都提供了文件交换、收发邮件、浏览网页等
基本功能。此外,网闸产品在
负载均衡、
冗余备份、硬件密码加速、易集成管理等方面需要进一步改进完善,同时更好地集成
入侵检测和加密通道、
数字证书等技术,也成为新一代网闸产品发展的趋势。