物理隔離設(shè)備網(wǎng)閘詳細(xì)介紹(網(wǎng)閘大全)--現(xiàn)有解決方案
由于物理隔離的高安全性和用戶數(shù)據(jù)交換的實(shí)際需要,政府部門和安全制造商正在積極研究并提出以下解決方案。
1、絕緣卡技術(shù)
分離卡的功能是將一臺(tái)PC虛擬化為兩臺(tái)計(jì)算機(jī),實(shí)現(xiàn)工作站的雙重狀態(tài),使其處于安全或公共狀態(tài)。這兩種狀態(tài)完全隔離,允許工作站在完全安全的情況下連接到內(nèi)部和外部網(wǎng)絡(luò)。該卡位于PC的最低物理層,通過卡一端的IDE總線連接到主板,另一端連接到IDE硬盤。內(nèi)部和外部網(wǎng)絡(luò)必須通過卡連接。PC硬盤在物理上分為兩個(gè)區(qū)域??刂艻DE總線物理層固件的硬盤通道。數(shù)據(jù)一次只能輸入一個(gè)區(qū)域。我們可以使用網(wǎng)絡(luò)層的概念來理解它。它構(gòu)建在物理層上,并向上層提供接口服務(wù)。這些服務(wù)包括安全功能。缺點(diǎn)是所使用的操作系統(tǒng)需要重新啟動(dòng),因?yàn)樗窃谶@些底層構(gòu)建的。除非重新啟動(dòng)操作系統(tǒng),否則數(shù)據(jù)不會(huì)通過內(nèi)存被竊取。除了上述單主板和單硬盤解決方案,還有基于與上述解決方案類似的隔離卡技術(shù)的單主板和雙硬盤解決方案。
通過以上介紹,我們可以總結(jié)出兩點(diǎn):
A、 隔離卡實(shí)現(xiàn)了終端內(nèi)網(wǎng)的時(shí)空邏輯隔離,從技術(shù)上解決了終端兩個(gè)網(wǎng)絡(luò)之間的隔離問題。
B、 隔離卡無法滿足兩個(gè)網(wǎng)絡(luò)之間的實(shí)時(shí)和安全數(shù)據(jù)交換要求。
2、清除技術(shù)
網(wǎng)關(guān)(GAP)也稱為安全隔離和信息交換系統(tǒng)。國內(nèi)主流網(wǎng)絡(luò)接口產(chǎn)品通常采用“2+1”結(jié)構(gòu)設(shè)計(jì),即內(nèi)部網(wǎng)絡(luò)處理器(內(nèi)部網(wǎng)絡(luò)主機(jī)系統(tǒng))、外部網(wǎng)絡(luò)處理器、隔離交換設(shè)備。
2.1、內(nèi)網(wǎng)處理設(shè)備:
包括內(nèi)網(wǎng)接口設(shè)備和內(nèi)網(wǎng)數(shù)據(jù)緩沖區(qū)。接口部分連接到內(nèi)聯(lián)網(wǎng)并終止內(nèi)聯(lián)網(wǎng)用戶的網(wǎng)絡(luò)連接。在對(duì)數(shù)據(jù)進(jìn)行病毒檢查、內(nèi)容過濾、格式檢查等安全測試后,清除“純數(shù)據(jù)”,做好交換準(zhǔn)備,在內(nèi)部網(wǎng)絡(luò)上確認(rèn)用戶身份,確保數(shù)據(jù)的安全通道。數(shù)據(jù)緩沖器用于存儲(chǔ)和規(guī)劃共享數(shù)據(jù),并負(fù)責(zé)與絕緣交換單元進(jìn)行數(shù)據(jù)交換。
2.2、外部網(wǎng)絡(luò)處理器:
它具有與內(nèi)部網(wǎng)絡(luò)處理器相同的功能,但處理外部網(wǎng)絡(luò)連接。
2.3、絕緣開關(guān)單元:
由網(wǎng)絡(luò)門隔離和控制的備用設(shè)備,控制開關(guān)通道的打開和關(guān)閉??刂茊卧〝?shù)據(jù)交換區(qū)域,其是用于數(shù)據(jù)交換的輪渡。隔離開關(guān)裝置可隨時(shí)中斷內(nèi)部和外部網(wǎng)絡(luò)之間的直接連接,并使用特殊的通信手段形成內(nèi)部和外部網(wǎng)之間的物理隔離。該單元具有用于數(shù)據(jù)交換傳輸?shù)臄?shù)據(jù)交換區(qū)。
根據(jù)政府網(wǎng)絡(luò)“邊界清晰、邊界點(diǎn)可定義、網(wǎng)絡(luò)間傳輸或交換數(shù)據(jù)可定義”的特點(diǎn),物理隔離設(shè)備網(wǎng)閘采用“白名單”模式。只有定義明確的信息和數(shù)據(jù)才能傳輸,以確保傳輸?shù)陌踩?。不發(fā)送附加數(shù)據(jù),網(wǎng)關(guān)的這一功能及其“2+1”結(jié)構(gòu)可以有效防止未知攻擊和病毒。
網(wǎng)關(guān)支持具有特定功能模塊的應(yīng)用程序。通常,網(wǎng)關(guān)支持兩種類型的應(yīng)用程序,一種是數(shù)據(jù)同步。第二種是基于應(yīng)用協(xié)議的兩層應(yīng)用代理。
目前,網(wǎng)關(guān)產(chǎn)品被我國政府和其他機(jī)構(gòu)廣泛使用。根據(jù)網(wǎng)關(guān)產(chǎn)品的特點(diǎn),國家安全局定義了以下四種使用環(huán)境:
◆ 不同分類網(wǎng)絡(luò)之間;
◆ 同一秘密網(wǎng)絡(luò)的不同安全域之間;
◆ 在所述網(wǎng)絡(luò)與所述物理隔離網(wǎng)絡(luò)和所述秘密網(wǎng)絡(luò)之間;
◆ 在未連接到分類網(wǎng)絡(luò)的網(wǎng)絡(luò)之間。
3、獲取信息的一次性技術(shù)
單向信息導(dǎo)入是信息的單向流動(dòng)和單向傳輸。實(shí)現(xiàn)單向信息傳輸有兩種方式。一種是通過訪問控制。這可以實(shí)現(xiàn)應(yīng)用數(shù)據(jù)的單向傳輸,但根據(jù)TCP三重握手原理,這種方法具有反饋信息,實(shí)際上是雙向數(shù)據(jù)傳輸。另一種是使用物理設(shè)備設(shè)計(jì),以確保信息的單向傳輸而無需反饋。根據(jù)以上分析,只有后者的單向傳輸才是信息輸入的單向技術(shù)。
由于信息的單向非反饋傳輸,使用單向信息引入技術(shù)的設(shè)備在連接內(nèi)部和外部網(wǎng)絡(luò)時(shí)可以識(shí)別數(shù)據(jù)僅從低密度網(wǎng)絡(luò)流向高密度網(wǎng)絡(luò)。接頭不會(huì)導(dǎo)致泄漏事件。此外,由于單向數(shù)據(jù)傳輸沒有反饋,黑客不僅可以基于網(wǎng)絡(luò)進(jìn)行入侵和檢測,還無法接收與其行為相關(guān)的信息反饋,以消除任何網(wǎng)絡(luò)入侵。
一次性信息導(dǎo)入技術(shù)存在兩個(gè)技術(shù)難點(diǎn)。一種是實(shí)現(xiàn)沒有一次性反饋傳輸?shù)奈锢憝h(huán)境。第二種是在一次性反饋傳輸環(huán)境中可靠和高效的數(shù)據(jù)傳輸。
物理隔離設(shè)備網(wǎng)閘實(shí)現(xiàn)單向無反饋傳輸?shù)奈锢憝h(huán)境,即單向數(shù)據(jù)傳輸組件,目前國內(nèi)主要通過單光纖實(shí)現(xiàn)。由于光的單向傳輸,單向光纖只能實(shí)現(xiàn)單向數(shù)據(jù)傳輸,因此使用單向光纖是實(shí)現(xiàn)無單向反饋傳輸環(huán)境的最明顯方式。
在單一的非反饋傳輸環(huán)境中,數(shù)據(jù)只能“盲目發(fā)送”。也就是說,發(fā)送方只發(fā)送,接收方只接收。發(fā)送方不知道所發(fā)送數(shù)據(jù)的完整性和可用性??煽康臄?shù)據(jù)傳輸是一次性信息導(dǎo)入產(chǎn)品可用性的關(guān)鍵。
國內(nèi)一些公司采用“源多路傳輸+目標(biāo)端比較報(bào)警+源手動(dòng)觸發(fā)反向傳輸”的方式,確保數(shù)據(jù)傳輸?shù)目煽啃?。一些公司采用前向糾錯(cuò)編碼技術(shù),以確保數(shù)據(jù)傳輸?shù)母呖煽啃?。前向糾錯(cuò)編碼技術(shù)廣泛應(yīng)用于無線電和電視等單向傳輸環(huán)境中。