随着网络与信息安全问题日益突出, 保障信息交换及时、有效、安全已刻不容缓。为在信息交换必要性与信息安全重要性间找到一个平衡点, 网络隔离与安全信息交换技术应运而生, 引入了全新的信息安全理念。
1 网络隔离与安全信息交换技术概述
网络隔离技术的思想来源于一个著名的黑盒定理——如果想保证一个计算机系统的绝对安全, 就将它锁进一个黑盒。计算机系统与外界的连接越多, 它所受的安全威胁就越大。如何调节安全性和互联性实时性这一对不可调和的矛盾, 使计算机系统在能够隔离的情况下能够提供服务, 便成了网络隔离技术研究的出发点。
第五代隔离技术的实现原理是通过专用通信设备、专用通信协议, 进行不同安全级别网络之间的数据交换, 彻底阻断了网络间的直接TCP/IP连接, 同时对网间通信的内容、过程施以严格的安全审查, 从而保证了网间数据交换的安全性, 杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。它由内部网处理单元、外部网处理单元和控制处理单元三个逻辑部门组成。内部网络与外部网络为不同的安全域, 具有不同用户对象和数据敏感程度。网络隔离系统处于内部网络和外部网络之间, 其内网单元与内网相连, 外网单元与外网相连。控制单元是内网单元、外网单元之间唯一且安全的数据通道。
通过允许原始应用数据进入的技术手段保证内部网络和外部网络的安全隔离, 主要解决不同安全等级网络间的数据交换问题, 防止内网的资源被隔离对象以外的人员访问, 并保证交换数据的完整性、实时性。结合网络隔离系统上的网络应用, 根据不同的数据服务, 对内外网之间通信的数据内容进行过滤, 防止未经允许的内网数据发生泄露。
网络隔离与安全交换是一种非常安全的网络安全技术, 第一, 不采用TCP/IP协议或其他通用网络协议传输数据, 而是通过专用协议传输特定数据。因此, 网络隔离与安全交换技术有效地阻止了基于通用网络协议对内部网络的攻击。第二, 内外网之间没有直接或间接的网络连接。因为互联网是基于TCP/IP协议来实现的, 而大多数攻击都可归纳为对基于TCP/IP协议的数据的攻击。因此, 断开TCP/IP的连接, 就可以消除目前TCP/IP网络存在的攻击。第三, 网络隔离与安全交换技术不依赖操作系统, 采用网络隔离与安全交换技术的设备运行在专用操作系统上。不依赖通用操作系统有效地降低了利用操作系统漏洞进行攻击的威胁。
网络隔离与安全交换技术交换的是原始的数据, 这此数据只会传送给特定用户, 而且在数据传输到用户之前允许对数据内容进行审查, 通过这此措施可以达到安全防护的目的。
2 网络隔离与安全信息交换系统总体框架研究
根据前面的分析, 可将网络隔离与安全信息交换技术的主要功能特点归结为通过安全隔离技术, 对外防攻击, 对内防泄漏。网络安全隔离与信息交换技术框架设计我们可以看到, 整个技术框架模型可分为内/外部代理及数据开关控制单元、可信路径系统及规则配置单元四部分。以下将详细阐述各部分的构成及功能。
2.1 内部代理单元构成及功能要求
在模块组成上, 内部代理单元由管理配置模块、审计日志模块、密级标识检查、认证与授权、协议转换等模块组成, 通常由一台专用计算机实现, 亦称为内部代理机。
内部代理单元的一个重要功能是对外防泄密。通过密级标识检查对敏感机密信息的检查、阻断, 认证与授权对各个用户访问权限、可访问资源进行判别, 有效保护了敏感机密信息的安全。
管理配置模块将根据用户的需要通过可信路径系统及规则配置单元制定访问规则, 完成基本的系统配置, 实现各个模块之间的防调调度。
内部代理中的审计日志模块主要生成内部网络流出的访问或数据以及外部网络流入的正常的访问或数据记录审计迹, 并缓存访问口志, 向管理员提供各种分类的日志审查方式。
协议转换模块对网络访问所使用的协议进行检查, 过滤访问规则中不允许的访问命令或参数, 其后将协议转换为能被数据交换及开关控制单元所识别的专用传输防议, 向其发送。另一方面, 该模块还必须能截获由数据交换及开关控制单元通过专用传输协议传送的数据, 将其还原为通用协议格式的数据。
2.2 外部代理单元构成及功能要求
外部代理单元包括管理配置、审计日志、访问控制、病毒防护、协议转换、D.O.S攻击防护等模块。
在结构和功能上与内部代理单元类似, 但由于功能及所处网络位置的不同而稍有区别。
外部代理的一个主要功能是对外防攻击。因此, 外部代理具有病毒防护、D.O.S攻击防护等抗攻击模块。
访问控制主要是针对由外至内的访问, 包括对支持的访问防议、访问命令, 以及IP地址、端口等作检查判断。
协议转换模块与内部代理单元中的对应模块功能相似, 根据管理访问控制规则实施高层协议的参数检查、协议命令过滤, 并进行专用协议—通用协议之间的转换。协议转换在完成转换的过程中对合法的协议及命令进行对应的转换, 丢弃不符合转换规则的协议及命令, 实现了协议的“被动检查”, 有效减少网络协议攻击的威胁。
外部代理中的日志模块主要记录非法访问的审计迹, 为网络管理员修改访问控制规则, 填补网络漏洞提供依据。
2.3 数据交换及开关控制单元构成及功能要求
数据交换及开关控制单元构成及功能要求是整个技术框架的重点、难点之一。该单元中包括了内/外两个开关及数据交换区以及开关控制模块。
内/外两个开关在开关控制模块的独立控制下, 满足开关互斥, 即内开关接通时外开关断开, 外开关接通时内开关断开, 保证一定时刻只有内/外网络与数据交换区连通, 完成数据读写及交换。这样, 内/外网络间实现了真正意义上的安全隔离, 配合采用专用传输协议对网络访问及数据进行转换, 实现防议、数据的被动检查, 使得网络安全隔离与信息交换技术在设计理念上较防火墙等网络隔离设备具有更高的安全性。
开关控制模块通常采用硬件电路担当, 除了独立于其它部件或模块控制内/外开关的开关互斥外, 还以一定速率完成开关的切换, 实现数据的高速交换。
数据交换区模块可以使用SCSI硬盘、USB、以及内存等硬件存储设备实现数据摆渡。对数据的加密以及保护也由该模块来完成。
2.4 可信路径及规则配置单元构成及功能要求
可信路径系统及规则配置单元与内外网络相对独立, 以可信路径如内部网络加密套接字协议层 (Security Socket LayerSSL) , CONSOLE等途径提供管理配置界面, 通过内/外代理单元上的管理配置模块接口完成对内/外代理IP地址等参数配置, 并制定满足细粒度访问控制的安全策略。
摘要:网络隔离与安全信息交换技术是当前保障信息安全的重要手段没, 本文对该技术进行了理论探讨, 并重点对网络隔离与安全信息交换系统总体框架设计进行了研究。
关键词:网络隔离,信息安全,交换技术
参考文献
[1] 联想网御安全隔离与信息交换系统为公安移动警务保驾护航[J].网络安全技术与应用, 2005 (3) .
[2] 翟胜军.有效实施网络隔离下的数据交换[J].中国电信业, 2008 (4) .
【网络隔离与安全信息交换技术研究】相关文章:
隔离技术计算机网络安全论文04-28
计算机网络信息安全技术研究09-12
计算机网络数据通信交换及技术研究09-11
交换技术在信息通信行业的合理应用研究09-11
大数据背景下企业网络信息安全技术体系研究09-11
信息安全与网络通信技术论文04-27
计算机信息技术与网络安全论文05-01
计算机病毒与网络安全维护技术研究09-11