隨著金融行業信息化建設的深入,網絡互聯功能進一步拓展,金融企業原有的辦公信息網遭受到來自外網的安全風險和威脅,如何保證這些系統在網絡層面的安全性越來越成為關注的重點。尤其是面臨系統內專網系統和外網進行互通,并且要求專網和外網物理隔離時,這個問題顯得尤為突出。本文結合學院實際情況探討了物理隔離卡技術方案。
一、物理隔離技術的技術現狀及方案介紹
內外網物理隔離技術作為整體信息安全保障體系中的一個環節,它是國內外解決涉密網和公網彼此隔離。避免信息外露,最安全,最有效的方法。
我國目前流行的網絡隔離技術的方案。主要有以下幾類:
方案一:使用兩臺計算機,一臺連接內網工作。一臺連接外網工作,雖然實現物理隔離,但是顯而易見除投資大外,空間的擺放處理是個問題。
方案二:主要是采用雙網機的技術。其主要原理和工作方式為:在—個機箱內。具有兩塊主板、兩塊硬盤、兩塊內存和CPU,相當于兩臺機器,而共用一個顯示器。用戶通過客戶端開關,分別選擇兩套計算機系統。雖然實現雙網隔離,但投資巨大。
方案三:主要采用是物理隔離網閘技術。其主要工作方式為:網閘的外部主機連接外部網絡,內部主機連接內部網絡,外部主機和內部主機是完全隔離的。支持文件、數據或信息的交換。由于網閘使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備,所以這種方案安全性較高,非常適合解決類似銀行等涉密網絡與公共網絡連接的安全問題。
方案四:主要是采用物理隔離卡技術。即客戶端增加一塊客戶端選擇設備(即網絡隔離卡)和一塊硬盤,客戶端一塊硬盤首先接到該隔離卡,然后再連接到主板上。
這樣,通過該卡能夠控制客戶端硬盤和相應的網絡環境。一塊硬盤接外網用。一塊硬盤接內網用,在同一時刻只能有一個網絡接通。此方案技術比較成熟,市場應用面較廣,用戶操作簡單,成本較低。
從以上分析可以看出,前兩種方案維護管理較為復雜。操作也不方便,并且投資巨大。而網閘和采用雙網線隔離卡這兩種方案不僅技術較為成熟,操作使用簡單。而且安全性較高。比較適合學院辦公網信息安全的隔離和防護。以下就重點介紹這兩種方案的原理和具體實施過程。
二、物理隔離網閘技術的原理和實施過程
網閘這種隔離技術最早出現在美國、以色列等國家的軍方,用以解決涉密網絡與公共網絡連接時的安全問題。它是使用帶有多種控制功能的固態開關讀寫介質連接兩個獨立主機系統的信息安全設備。由于物理隔離網閘所連接的兩個獨立主機系統之間,不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議,不存在依據協議的信息包轉發,只有數據文件的無協議“擺渡”,且對固態存儲介質只有“讀”和“寫”兩個命令。所以,物理隔離網閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接,使“黑客”無法入侵、無法攻擊、無法破壞,實現了真正的安全。
下面以內網與專網之間的物理隔離網閘為例。說明物理隔離網閘的信息交換過程。
當內網與專網之間無信息交換時,物理隔離網閘與內網,物理隔離網閘與專網,內網與專網之間是完全斷開的。即三者之間不存在物理連接和邏輯連接。
當內網數據需要傳輸到專網時,物理隔離網閘主動向內網服務器數據交換代理發起非TCP/口協議的數據連接請求,并發出。寫”命令。將寫入開關合上,并把所有的協議剝離,將原始數據寫入存儲介質。在寫入之前,根據不同的應用,還要對數據進行必要的完整性、安全性檢查,如病毒和惡意代碼檢查等。任此過程中,專網服務器與物理隔離網閘始終處于斷開狀態。
一旦數據完全寫入物理隔離網閘的存儲介質,開關立即打開。中斷與內網的連接。轉而發起對專網的非TCP/IP協議的數據連接請求,當專網服務器收到請求后,發出“讀”命令,將物理隔離網閘存儲介質內的數據導向專網服務器。專網服務器收到數據后,按TCP/IP協議重新封裝接收到的數據,交給應用系統,這樣完成了內網到專網的信息交換。
至于從專網到內網的信息交換,與上述類似,只是方向相反。由上不難看出,每一次數據交換,物理隔離網閘都經歷了數據寫入、數據讀出兩個過程;內網與外網(或內網與專網)永不連接;內網和外網(或內網與專網)在同一時刻最多只有一個同物理隔離網閘建立非TCP/IP協議的數據連接。
由此可見,物理隔離網閘重點是保護內部網絡的安全。物理隔離網閘是可以根本防止病毒進入內網的。它的防病毒機制是建立在應用層的高粒度協議分析、內容檢查過濾上的。物理隔離部件的作用不僅僅是簡單的進行網絡鏈路層的隔離。其核心作用是在正常使用狀態下,其能夠在內外網絡問傳輸安全的“無協議的數據”,通過硬件的編碼、校驗等硬件技術來保證數據的有效和安全(安全時邏輯隔離);另一方面,在非正常狀態下(如外網主機宕機,發現大量非正常數據包,發生溢出),隔離部件可以根據策略規則將隔離開關指向一側,斷開與外部網絡的根本連接,從而保證內網的關鍵服務器免受惡意攻擊,這樣大大降低了內部網絡受到直接攻擊的可能,減少了系統維護和支持的工作(不安全時實施物理隔離)。
三、物理隔離卡的工作原理和實施過程
物理隔離卡是通過硬件徹底實現內網和外網的物理隔離,使局域網中任何一臺計算機都能絕對安全地上外網,而內網不受攻擊。
網絡物理隔離卡的工作原理是物理隔離卡設置在PC機的物理層上。通過繼電器控制安全狀態硬盤和公共狀態硬盤與網絡和系統的連接,并通過網絡安全隔離卡控制軟件實現兩個狀態之間的切換。在操作過程中,用戶始終處于兩個互相排斥的環境中的一個。啟動安全狀態的操作系統,系統工作使用安全狀態的硬盤與內網連接。而此時外網的連接線路是斷開的,且對公共狀態的硬盤不可訪問。啟動公共狀態的操作系統,系統工作使用公共狀態的硬盤與外網連接。而此時與內網的連接線路是斷開的。且對安全狀態的硬盤不可訪問。
基于以上原理,物理隔離卡具有以下一些特性:
1.符合銀行計算機內、外網必須進行物理隔離的要求。
2.純硬件設計,真正實現物理隔離,有效地防止網絡病毒和通過外網對內網進行網絡攻擊,是內網運行在一個相對安全的環境中。
3.安全計算機采用雙硬盤(A、B),A硬盤中存儲一套操作系統用于于內網連接。B硬盤中存儲一套操作系統用于與外網相連。
4.隔離卡插入計算機PCI插槽上,隔離卡上的網絡線分別連接內、外兩個網絡,由隔離卡控制外網的硬盤和相應網絡接通與斷開。
5.內、外網的切換只需點擊屏幕上的圖標即可實現。基于以上的考慮。所需要做的工作只是在具體用戶終端上進行一系列操作,即可實現網絡安全辦公的最初目的,而不需要對網絡結構進行任何操作。
第一步:在兩個硬盤上安裝好各自所需的操作系統,并將兩個硬盤同設為Master,然后用數據線將隔離卡的主IDE與主板上主IDE接口相連。再用隔離卡附帶的兩根數據線分別將內外網硬盤及隔離卡上內外網接口相應連接。
第二步:用串行通信線將隔離卡的串行通信端口和PC機的串行通信端口相連接。
第三步:用網卡連接線將隔離卡上的網絡接口與PC機上的網絡接口相連。
第四步:將隔離卡安裝在PC機的PCI插槽上。PC機上硬件的安裝與連接完畢。接下來是安裝隔離卡的驅動程序。
最后,將隔離卡的網絡接口用網線與特有的網絡安全隔離交換機相連。一切就OK了。
四、物理隔離網閘與物理隔離卡的比較
物理隔離網閘和物理隔離卡功能是不一樣的。物理隔離卡是實現終端PC機的物理隔離的,它通過開關PC機切換,使得PC機“非同時”分別連接兩個網絡一是做網絡物理劃分的。物理隔離網閘是邊界訪問控制設備,是運行在網絡邊界處的,把可信網絡和外界網絡進行物理隔離,在保證高度安全的前提下進行數據交換。所以物理隔離網閘和物理隔離卡是不能相互取代的,有各自不同的安全域。
物理隔離網閘不是真正的物理隔離產品。真正的物理隔離就是指完全的物理隔斷沒有數據交換。物理隔離網閘是利用了物理隔離技術。實現內外網物理層和網絡協議斷開但同時可以進行數據交換的產品。嚴格意義上講,物理隔離網閘是邏輯隔離的產品。是更注重安全且安全級別更高的產品。物理隔離卡才是真正的物理隔離產品。
五、辦公網物理隔離卡技術解決方案在我院的應用
根據學院辦公網的網絡結構我們采取成本較低,技術成熟的雙硬盤雙布線物理隔離卡方案。雙布線系統適合于擁有內網、外網兩臺服務器,兩個HUB或者交換機,并且其網絡線路也是分開的兩套線路。將物理隔離卡安裝在終端內根據連接圖分別將內網、外網以及網卡分別接入,即可實現內外網的物理隔離。
該方案的優點為:(1)可在開機狀態下,通過物理隔離卡經過40秒的網絡切換,可以實現完全的內外網問切換;(2)由于是兩個操作系統,因此,可以確保在上外網問計算機所感染病毒不會傳人內網中。其缺點是由于存在內外網的切換。所以會有—個40秒左右的網絡切換時間差。因此最好的實施方案是:為每一臺PC增加一塊物理隔離卡。并做雙系統,在PC與交換機問前加網絡線路選擇器。
總之,各單位可根據自己的經濟實力和實際網絡狀況,選擇適合自己的物理隔離方案,從而達到提高計算機網絡可靠性和安全性的要求。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.guhuozai8.cn/
本文標題:辦公網信息安全隔離技術研究
本文網址:http://www.guhuozai8.cn/html/consultation/1083952673.html
相關文章
