一、信息安全的要求
按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是逻辑隔离的,则采用单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低密级网络。
二、网闸的作用
网闸的隔离作用是基于定向地“摆渡”数据,网闸的原理是模拟人工的数据“拷贝”,不建立两个网络的“物理通路”,所以网闸的一般形式是把应用的数据“剥离”,摆渡到另外一方后,再通过正常的通讯方式送到目的地,因此从安全的角度,网闸摆渡的数据中格式信息越少越好,当然是没有任何格式的原始数据就更好了,因为没有格式信息的文本就没有办法隐藏其他的非数据的东西,减少了携带“病毒”的载体。
网闸是切断了上层业务的通讯协议,看到了原始的数据,为了达到“隔离”的效果,采用私有通讯协议,或采用存储协议,都是为了表明要彻底剥离所有的协议附加信息,让摆渡的数据是最“干净”的。但为了方便地“摆渡业务”,在网闸的两边建立了业务的代理服务器,从逻辑上把业务连通。
网闸虽然传递的是实际的数据,但代理协议建议后,每次摆渡的可能不再是一个完整数据内容,为安全检查带来的困难,攻击者可以把一个“蠕虫”分成若干的片段分别传递,甚至小到单个的命令,不恢复原状就很难知道它是什么;若传递“可执行代码”的二进制文件,网闸就很难区分数据与攻击。
网闸对陌生的业务是采用关闭策略,只开通自己认为需要的、可控的业务服务,所以网闸在不同密级网络之间的隔离作用还是有一定效果的。
在涉密信息的保密要求中,要求高密级网络中的高密级数据不能流向低密级网络,但低密级数据可以流向高密级网络(数据机密性要求),这就提出了数据的单向流动的要求,若我们只保留单向的数据流,就可以实现数据保密性要求,这种情况下产生了单向网闸的需求。
三、单向网闸
单向网闸就是只允许单向的数据流动,具体的实现技术有下面几种:
1、数据泵技术(Data Pump):1993年为实现低级向高级数据库的可靠数据拷贝,由Myong H.Kang等提出Pump技术,称为“安全存储转发技术”。其方法是通过反向的确认来限制由内向外的数据传输,实现从外向内的单向数据流。
数据泵技术是在基于通讯的基础上,只允许单方向地传送数据,反方向只有控制信息的可以通过,比如数据的收到确认、差错控制、流量控制等等。也就是通讯协议中只让一个方向的数据通过。因此,数据泵技术实现起来相对简单,可以采用目前成熟的通讯协议。
数据泵技术中虽然数据是单方向的,但协议控制星系是双方向传递的,若协议本身存在漏洞,则有可能利用协议的漏洞达到反向发送数据的可能。
2、数据二极管技术(Data Diode):若连反向的控制协议也取消,采用“盲发”的方式,也就是一方只管发送,另一方只管接收,至于数据是否有错误,是否完整都不去管它,反向没有数据通道也没有控制通道,完全处于盲状态。也可以理解为在传统的全双工通讯中只选择一个方向的线路,所以也称为信息流的单向技术。
数据二极管技术中的关键技术:
由于是单向的“盲发”,没有交互的控制协议,数据的容错控制就是一个大问题,因为发送方不知道对方收到没有,接收方也不清楚收到的数据是否是对的,知道错了,也没有办法让发送方重新发送,所以一般采用一些策略控制可能的出错:
1、
收方及时向“上层”汇报:
接收方接收到数据,按事先约定的格式恢复数据,若发现不能恢复,或部分数据有错误,都直接报告给上层,也就是数据的接收人,让人通过其他方式通知发送方重新发送。
2、
发送方增加冗余校验
发送方为了保证数据的正确,在降低效率的前提下,增加数据的冗余度:
n
定间隔地把一份数据重复地再发送两次,接收方比较收到的三个副本,取其两个是相同的。“三取二”是重要系统中常用的控制方式,还可以采用五取三等方式。
n
在数据中增加块校验码。如CRC校验等。
n
直接重复数据,如发送1234时,改为11223344,减少出错的概率。
3、为了经常检测系统的准确性,定期插入固定检测码,若接收方发现检测码序列异常,则立即报警,或放弃该检测码之前的区间内收到的数据。
四、单向网闸产品发展与应用
数据二极管技术的产品化,国外已经趋于成熟,比较出名的有美国Owl公司,荷兰Fox-IT公司,澳大利亚Tenix公司,美国HP公司。国内的单向网闸产品还处于起步阶段,有产品推出的有中铁信安公司与国保金泰公司。
单向网闸可以定向传递数据,在目前很多的政府内、外网之间传递数据是很有用途的。
n
文件传递:由于政府内网的涉密网络,与外网(与互联网连通)是“物理隔离”的,但是外网上的很多政务文件,希望在内网中使用,靠人工拷贝的方式工作量很大,采用单向网闸可以把外网的文件传送到内网,由符合数据保密性的要求。
n
信息收集:外网与互联网连通,是政府对外的服务窗口,并且互联网本身就是个信息宝库,但大量的信息不能及时地传递到内网的有关系统上,对信息的汇总与统计带来困难。若在外网上建立一个服务器,收集互联网的相关信息,通过单向网闸送给内网,就可以保证信息的及时性了。
n
邮件转发:政府人员经常要查收内、外网两个邮箱,非常不方便。在外网建立一个邮件的代理服务器,把接收到的邮件及时转给内网的邮件服务器,工作人员就不必到外网去收邮件了。
由于单向网闸没有反向的数据通道,所以对抑制黑客的入侵有一定的效果,黑客攻击必然是要取得相关的信息,若通信是单向的,就掐断了黑客的控制方式,没有“利益”,攻击就没有意义了。
本文转自 zhaisj 51CTO博客,原文链接:http://blog.51cto.com/zhaisj/65597,如需转载请自行联系原作者
