1、网闸、光闸的产生
目前的市场上的安全隔离类产品主要有3类:网络隔离产品就是俗称的网闸,网络单向导入产品就是俗称的光闸,终端隔离产品形态为硬件隔离主板或者专用计算机,目前的网闸和光闸仍保存着数亿元的市场规模,而终端隔离产品逐渐消失。
2000年的国内网闸市场发展起源于2000年,由于当时政府信息化和电子政务系统建设步伐加快,在电子政务内外网和专网间交换信息就是基本需求,但是在政府内网的安全性与对外提供的电子政务外网存在显著不同,我们需要保证内网和专网的资源安全,构建民众方便快捷的信息资源共享服务平台是电子政务系统建设中需要解决的技术问题,有相关规定:“涉及到国家机密的计算机信息系统,不得直接或者间接地与国际互联网或者其他公共信息网络相连接,必须实现物理隔离。”于是,我国的物理隔离和网络隔离技术在我国快速的兴起发展,也是我过信息安全产业早期发展中的一个新的产品领域。
隔离技术发展经历了多个阶段的发展,不管是早期以人工拷盘方式的绝对物理隔离机制,还是中间时期的硬件隔离卡或专用隔离计算机形式以及现在主流的双隔离主机+专用隔离部件的网络隔离形式,隔离产品的安全性被认为是远远高于防火墙等网关类型产品的,其主要作用就是切断不同安全域之间实时的逻辑链接和协议链接,内外网间的信息的交换格式不再依据传统TCP/IP协议而是采用数据文件读写形式的无协议(或者私有协议)按需摆渡,减小TCP/IP网络环境下的受攻击面,从而实现最后一道防线的效果。
”网闸技术“它解决了电子政务兴起带来的政务内网和外网之间安全隔离、适度可控的数据交换的需求。
网闸技术是基于双向的,即通过配置,是允许高安全网络和低安全网络之间双向数据交换的。
光闸则是在网闸基础上对专用隔离部件进行改造和加强,建立发送端向接收端的绝对单向传输路径,保证反方向上无任何反馈信息,通过构造这种物理固化、软件不可修改的单向传输特性切断内外网间的数据流双向交互,实现数据由外网向内网的可靠单向流动,起到对内网更高级别的防护。
目前的市场上的隔离类产品具备较强的行业属性,公检法、政府、军工、医疗、能源等行业因为对内部专网的防护要求较高,是产品应用最为广泛的行业,并且随着客户场景的不断细分和变化。例如:公安视频专网、工业控制系统等场景下专用型网闸/光闸细分产品也在不断增多,尤其对于一些涉密等级较高的客户,为了在保证交互性的前提下提高安全性,已经逐步采用两台关闸替代一台网闸的方案。由于独特的物理架构和功能特性,隔离类产品在边界防护场景下具备较强的不可替代性。
2、网闸和光闸的定义
1、网闸-GAP
1、安全隔离网闸(GAP),简称”网闸“技术。其中包含硬件和软件。
2、组成部分:外部处理单元、内部处理单元、隔离硬件(存储单元、数据交换)
内部<--->隔离硬件<---->外部
3、数据安全:切分链路层、实现内外网安全隔离+适度可控数据交换
4、特点:高效、可靠、高安全
5、GAP使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备,在电路上切断网络之间的链路层连接,并且能够在网络之间进行安全交换的网络安全设备。
6、由于物理隔离所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
7、第二代网闸是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET技术,通过专用硬件通信卡、私有通信协议和加密签名机制来实现的。 不过还是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但是比第一代网闸多了更多网络应用支持。其中的专用高速硬件通信卡,提高了处理能力;而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,在保证安全性的同时,提高了更好的处理性能,并且能够适应复杂网络对隔离应用的需求。
8、安全隔离网闸是由软件和硬件组成的额。隔离网闸分为两种架构,一种为双主机的2+1结构,另一种为主机的三系统结构。2+1的安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。
9、安全数据交换单元不同时与内外网处理单元连接。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。
三系统的安全隔离网闸的硬件由三部分组成:外部处理单元(外端机)、内部处理单元(内端机)、仲裁处理单元(仲裁机),各单元之间采用了隔离安全数据交换单元。
2、光闸-FGAP
1、光闸是一种由安全隔离网闸(GAP)基础上发展而成的、基于光的单向性的单向隔离软硬件系统。
2、定义:光闸用于对安全性要求极高的网络的数据交换场景。如涉密网络中,按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是逻辑隔离时,则采用单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低密级网络。
图解为:
光闸技术(FGAP)的产生即为满足这一类单向隔离场景的需求。图解为:
物理隔离:可以简单理解为两个网络安全域在硬件(网线、系统主机)和软件(系统)方面都是单独部署,两套系统之间没有物理连接(或网线连接);同时物理隔离分为强物理隔离和弱物理隔离两种类型。强物理隔离举例: 两个系统之间没有任何物理线连接;弱物理隔离就是如网闸、光闸类产品。举例:就比如在一个办公室里面,分为两个组,两个组之间各自连接着网线,他们用各自的网络上网,之间不是互通的。
逻辑隔离:两个安全域之间是有物理连接的,只是在路由上或者协议上进行阻断,让两者不能互通。就比如在两个组之间由一条网线连接着,通过路由、防火墙等的配置,使两个组之间不能通信,就像在一个局域网内不同网段之间不能进行通信。
物理隔离和逻辑隔离的区别:
- 逻辑隔离是通过虚拟化技术实现的。
- 物理隔离技术为信息网络提供了更高层次的安全防护能力,不仅使信息网络的抗攻击能力大大增强,也可以有效地防范了信息外泄事件的发生;而逻辑隔离特点在于使用的便利性,在同一台计算机上进行窗口切换即可实现不同安全级别网络的访问,同时也不降低安全性。
- 物理隔离因需单独部署系统,因此整体部署成本较高。
如涉密网络与非涉密网络之间,行业内网与公共网络之间安全隔离网闸,它解决了电子政务兴起带来的政务内网和外网之间安全隔离、适度可控的数据交换的需求。
3、光闸是基于单向的,建立发送端向接收端的绝对单向传输路径,一般是数据单向进入。
网闸技术是基于双向的,就是通过配置,是允许高安全网络和低安全网络之间双向数据交换的。
4、单向隔离光闸由三个部分组成:内网单元、外网单元、分光单向传输单元。
- 内网单元和外网单元所实现的安全功能是一致的,只是连接不同的网络,以内网单元为例,其包括内网接口单元与内网数据缓冲区。
- 接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出”纯数据“,做好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调离剥离后的数据,负责与隔离交换单元的数据交换。
分光单向传输单元工作原理:分光单向传输单元能够实现从一个主机系统向另外一个主机系统单向传输数据主要是通过:光传输的单向性,在光纤通道设备内,连接光纤的两端分别为光发生器、光接收器,在光纤通道设备内不允许也不能实现光纤两端都具有光发生器以及光接收器;光传输的可复制性,利用分光设备(如多棱镜)可将一束光复制为两束或更多束光线,利用这一特性,我们可将在一个系统内部传输的数据以光的方式复制一个副本供使用。
5、单向隔离技术
单向隔离技术的发展经过了三个阶段:物理单向技术、电气单向技术、光单向技术
- ① 物理单向技术:光盘
- ② 电气单向技术:程序控制
- ③ 光的单向技术:光纤:单向隔离光闸
根据业务场景需求,单向隔离光闸一般支持数据库传输、文件传输功能。
① 文件传输的功能特点:
图解为:
② 数据库传输的功能特点:
图解为:
6、特点
- 高效率:光单向技术效率高,延迟可控制在纳秒级。高可靠性:使用高可靠性硬件设计,数据传输模板内置差错校验机制。
完善的业务功能:在单向文件传输基础上实现了数据库内容的单向同步,极大丰富单向光闸设备功能,具有更好的应用适应性。
高安全性:网络间的单向隔离,设备不接受任何未知来源的主动请求;应用层数据获取后进行落地还原处理;通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制。
单向隔离光闸即是基于光的单向技术的安全产品。
7、物理结构
最新的光闸硬件采用上下层结构。
8、逻辑结构
光闸通过C引擎和iptables规则来传输TCP、UDP协议数据,中间通过单向光模块走UDP协议进行数据摆渡。
