網路隔離技術
出自 MBA智库百科(https://wiki.mbalib.com/)
目錄 |
網路隔離指將兩個或者兩個以上的可路由的網路通過不可路由的網路協議進行數據交換從而達到隔離的目的。網路隔離技術的誕生主要是為了保護網路信息安全,通過專用通信通道和專有安全協議等措施,將內外網進行隔離和數據交換。網路隔離技術是在物理隔離概念上發展起來,外網直接連接互聯網,內網是相對安全的內部網路。正常情況下,內外網式是完全斷開的,隔離設備作為存儲介質,連接內外網。當外網需要數據上傳到內部網路時,則外部伺服器立即發起對隔離設備的非TCP/IP協議連接,隔離設備將所有的協議剝離,將原有的數據寫入到存儲介質,並對原始數據信息進行安全性檢查,防止病毒木馬入侵。
第一代隔離技術——完全的隔離。此方法使得網路處於信息孤島狀態,做到了完全的物理隔離,需要至少兩套網路和系統,更重要的是信息交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術——硬體卡隔離。在客戶端增加一塊硬體卡,客戶端硬碟或其他存儲設備首先連接到該卡,然後再轉接到主板上,通過該卡能控制客戶端硬碟或其他存儲設備。而在選擇不同的硬碟時,同時選擇了該卡上不同的網路介面,連接到不同的網路。但是,這種隔離產品有的仍然需要網路佈線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術—數據轉播隔離。利用轉播系統分時複製文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網路應用,失去了網路存在的意義。
第四代隔離技術—空氣開關隔離。它是通過使用單刀雙擲開關,使得內外部網路分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題。
第五代隔離技術—安全通道隔離。此技術通過專用通信硬體和專有安全協議等安全機制,來實現內外部網路的隔離和數據交換,不僅解決了以前隔離技術存在的問題,並有效地把內外部網路隔離開來,而且高效地實現了內外網數據的安全交換,透明支持多種網路應用,成為當前隔離技術的發展方向。
(1)光碟拷貝:光碟拷貝現在依然是使用最多的網路隔離方法,該方法將數據刻錄到光碟中,用光碟在內網與外網之間交換數據。光碟拷貝的缺點是每張盤的容量有限且利用率非常低,非常浪費。
(2)數據交換網:數據交換網路是在兩個隔離的網路之間建立一個網路交換區域,在這個區域進行多次入侵檢測和安全檢測,數據交換網在物理上依然連接,通過延長數據通訊確保全全性。其缺點是隔離區容易被穿透進而影響內網。
(3)網閘、隔離卡:網閘和隔離卡通過設置隔離交換單元和數據交換區,使得內外網不同時連接。這種方式物理上雖然不同時連接,但是隔離交換單元和數據交換區同樣會受到攻擊進而影響內網。
(4)協議重構邏輯隔離:協議重構邏輯隔離通過重構現有公共通信協議,形成專有協議,實現數據交換。這種方法物理上連接,只是邏輯上斷開,數據交換的過程中,內網依然容易被侵入。
現如今的網路通信都是基於TCP/IP來實現的,大部分的網路攻擊都是以TCP/IP協議為載體發起的,不存在連接就沒有可利用漏洞,實現網路隔離最有效的方式就是斷開TCP/IP通信模型的某一層或者幾層的連接,實現數據以非TCP/IP協議進行交換。具體的斷開各層連接方式如下:
(1)物理層的斷開
物理層斷開並不是說沒有物理上的連接就是物理層的斷開,而存在物理連接就是沒有斷開物理層。物理層的斷開歸根結底是保證網路不能在物理層的基礎上建立數據鏈路層的連接。
(2)數據鏈路層的斷開
數據鏈路層斷開連接一是保證不能存在任何的數據鏈路,二是消除建立鏈路的控制信號,防止建立新的鏈路。斷開數據鏈路層就是去除鏈路層的協議,雖然因此導致傳輸可靠性降低,但也消除了協議可能帶來的威脅。
(3)網路層的斷開
網路層的斷開即剝離IP協議,以非IP協議的格式重新封裝和重組數據包,沒有IP協議攻擊者就無法通過偽裝IP地址的方式向涉密網路發起攻擊,以此消除IP協議漏洞帶來的攻擊。
(4)傳輸層的斷開
傳輸層的協議包括TCP協議和UDP協議,斷開傳輸層即消除TCP協議或者UDP協議,兩個協議是網路通信中最主要的協議,也是最容易被攻擊者利用的。斷開這兩個協議,就避免了TCP協議和UDP協議帶來的網路攻擊。
(5)應用層的斷開
應用層斷開就是不使用通用的應用層協議。以安全為第一要務,儘量少或者完全杜絕使用那些存在安全隱患的應用層協議,可以提高整個網路通信的安全繫數。
各個行業的監管部門,可能會推行統一的信息安全保護標準及規範,企業出於合規性的訴求,需要按照法律法規的要求進行網路隔離。
我國明確提出 “沒有網路安全就沒有國家安全”,從立法規範的層面重視強調網路安全工作的重要性。對於政府部門,國家保密局2000年1月1日發佈實施的《電腦信息系統國際聯網保密管理規定》,明確要求“涉及國家秘密的電腦信息系統,不得直接或間接地與國際互聯網或其它公共信息網路相連,必須實行物理隔離”。對於金融行業,中國銀監會2006年8月7日發佈實施的《銀行業金融機構信息系統風險管理指引》,其中的第二十五條明確要求,“銀行業金融機構應加強網路安全管理。生產網路與開發測試網路、業務網路與辦公網路、內部網路與外部網絡應實施隔離;加強無線網、互聯網接入邊界控制”。
在嚴峻的安全態勢之下,企業的網路安全體系建設正從“以合規為導向”轉變到“以風險為導向”,從原來的“保護安全邊界”轉換到“保護核心數據資產”的思路上來。
越來越多的企業在網路安全體系建設和日常工作中正面臨一個重要問題,那就是:如何保護企業核心數據資產?所以,很多企業為了防止知識產權、商業機密數據泄露,也主動地將自身網路進行安全性隔離。絕大多數企業都在內部實施了內外網分離,互聯網與內網隔離,生產網與辦公網隔離,辦公網與研髮網隔離,以確保企業信息安全。