物理隔離設(shè)備網(wǎng)閘隔離控制技術(shù)--單通道技術(shù)
單向信道技術(shù)是近年來出現(xiàn)的一種新技術(shù)。無論網(wǎng)絡(luò)門使用什么交換技術(shù),實(shí)際上都是交換物理連接。它在內(nèi)部和外部網(wǎng)絡(luò)(如終端處的渡輪)之間提供了一個(gè)安全、功能隔離的交換區(qū)域,以傳輸我們認(rèn)為真實(shí)的數(shù)據(jù)。但是通信協(xié)議的設(shè)計(jì)是分層的。我們想要交換的純數(shù)據(jù)仍然需要通過網(wǎng)關(guān)的各種技術(shù)手段通過網(wǎng)關(guān),因此一些攻擊可能隱藏在攻擊程序中通過網(wǎng)關(guān)后可以恢復(fù)的“純數(shù)據(jù)”中。即使具有定義的安全原則的網(wǎng)關(guān)僅提供文件交換功能,它也應(yīng)為兩個(gè)客戶端提供部分服務(wù)接口。否則,用戶將無法提供數(shù)據(jù)。如果忽略所有安全檢測(cè)技術(shù),服務(wù)可能成為攻擊的媒介。像一個(gè)包一樣,我們交付給客戶,但包中隱藏著客戶不知道的病毒(或者可能是主觀隱藏的),它們也被重定向到另一邊。
首先,分析攻擊過程:
1、隱藏攻擊者攻擊信息;
2、偽裝信息以通過網(wǎng)關(guān)保留正常數(shù)據(jù);
3、收集信息,向自己恢復(fù)攻擊信息,并以相同方式向攻擊者報(bào)告;
4、根據(jù)獲得的權(quán)限,攻擊將繼續(xù)到下一步。
在這個(gè)過程中,我們可以看到攻擊是一個(gè)交互過程,即通信是雙向的。攻擊者希望通過訪問內(nèi)聯(lián)網(wǎng)上的代理來實(shí)現(xiàn)他的計(jì)劃。
雙向通信為攻擊者提供了通道,因此產(chǎn)生了單向通道技術(shù)。所謂的單向連接意味著通信的接收和發(fā)送鏈路完全分離。如果不在信道上進(jìn)行通信反饋,攻擊將成為半開放連接,無法發(fā)揮作用。發(fā)送方只發(fā)送數(shù)據(jù),數(shù)據(jù)只接收數(shù)據(jù)。
或者,對(duì)于具有更高安全性的網(wǎng)絡(luò),只有信息在一個(gè)方向上流動(dòng),但為了確保網(wǎng)絡(luò)安全,通道不能流出。
如果只有一個(gè)方向,數(shù)據(jù)的完整性將受到很大影響。例如,在傳輸過程中,如果數(shù)據(jù)被損壞,則接收器不通知發(fā)送器前向傳輸是可能的,而是丟棄它。無論發(fā)送方是否發(fā)送數(shù)據(jù),發(fā)送方都不知道另一方是否已收到或可以使用數(shù)據(jù)。然而,由于數(shù)據(jù)完整性的部分損壞,信道技術(shù)提供了安全性。
隨著單向通道技術(shù)的改進(jìn),擴(kuò)展了硬件控制信號(hào)線,增加了簡(jiǎn)單的控制信號(hào),實(shí)現(xiàn)了數(shù)據(jù)的誤差反饋,但沒有增加返回?cái)?shù)據(jù)通道,因此也保證了數(shù)據(jù)的單向通道模型。
該模型表明,攻擊者無法通過單向開關(guān)進(jìn)行攻擊。如果攻擊者控制發(fā)送者的主機(jī)單元并將攻擊信息發(fā)送給發(fā)送者,但由于是單向通道交換機(jī),被控制的主機(jī)單元無法檢索返回的信息,也不知道內(nèi)部情況,因此無法實(shí)施下一個(gè)攻擊計(jì)劃。如果攻擊者控制接收主機(jī)單元,則由于單向通道,他無法將攻擊工具發(fā)送給另一方。當(dāng)然,他不能發(fā)動(dòng)攻擊。
由于單向通道技術(shù)沒有故障反饋機(jī)制,服務(wù)數(shù)據(jù)交換代理無法在單向通道技術(shù)交換機(jī)上實(shí)現(xiàn)。為了實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)的自動(dòng)交換,網(wǎng)絡(luò)中可以使用兩個(gè)相對(duì)的單通道交換機(jī)分別提供兩個(gè)數(shù)據(jù)通道。雙向數(shù)據(jù)交換。
物理隔離設(shè)備網(wǎng)閘隔離控制技術(shù)--總結(jié)
在總線技術(shù)方面,內(nèi)存總線將交換區(qū)視為內(nèi)存磁盤,這是模擬手動(dòng)輪詢最合理的技術(shù)。阻止應(yīng)用程序日志是最徹底的。在安全性方面,單通道技術(shù)在網(wǎng)絡(luò)安全性方面相對(duì)較高,但它為自動(dòng)交換服務(wù)提供了最差的支持。
隔離和交換是相互矛盾的要求。最好根據(jù)兩個(gè)客戶網(wǎng)絡(luò)的具體安全要求選擇合適的交換機(jī)進(jìn)行數(shù)據(jù)交換。建議采用以下方法:
1、對(duì)于安全性要求高的網(wǎng)絡(luò),采用單通道技術(shù),確保高安全網(wǎng)絡(luò)的信息不流動(dòng);
2、考慮到網(wǎng)絡(luò)斷開后的服務(wù)安全性,建議將總線模式存儲(chǔ)在網(wǎng)絡(luò)門上。在此模式下,數(shù)據(jù)可以交換,服務(wù)連接完全斷開。
3、為防止外部攻擊,建議在網(wǎng)絡(luò)中斷時(shí)使用通信總線或存儲(chǔ)總線網(wǎng)關(guān)交換業(yè)務(wù)代理數(shù)據(jù),與企業(yè)交換代理數(shù)據(jù),提高數(shù)據(jù)交換能力,切斷攻擊者的載體。