涉密网希望访问互联网信息,这种需求和呼声越来越高,但安全和保密方面的要求和挑战一直无法很好的解决。现在,利用中网物理隔离网闸(X-gap),可以实现涉密网和互联网的物理隔离,并且涉密网可以向互联网实时发起服务请求,但互联网无法访问涉密网。本文探讨物理隔离网闸在涉密网中的应用。
一、概述
传统的网络安全是通过限制边界来执行安全政策完成的。内网和外网,专网和公网,涉密网和非涉密网,互联网和内联网(Internet and Intranet),大体上反映了这样一种划分。这种二元逻辑划分,有时候过于简单,人们采用非战区(DMZ)或安全访问子网(SSN)的办法进行补充。通过限制边界,改善了网络的安全状况。
意识到需要解决网络安全问题,在这种二元安全观的基础上,客户已经花费巨资安装了很多安全设备。然而,随着时间的推移,人们发现了这些设备的缺点,黑客曝光这些设备的漏洞,它们不足以满足客户的安全要求。因为每一种安全设备都有自己的局限性,于是市场上出现了很多的防御体系,以防火墙为核心的安全防御体系,以入侵检测为核心的安全防御体系,以管理为核心的安全防御体系等。今天,身份认证技术,单点登录技术,密码技术,过滤技术,端口封锁技术,入侵检测技术,漏洞扫描技术,防病毒技术等众多的技术被集成到一个防御体系之中,复杂性大大增加,协同作业困难,配置冲突,升级困难,最后出现了“木桶原理”,即水桶的装水量由最短的板块决定,安全体系的安全性取决于所有设备的安全性最差的那一个。很明显,这些体系也未能有效地解决客户的网络安全问题。在没有有效解决互联网的安全问题之前,基于二元安全观的办法,多是因噎废食,彻底放弃互联网的好处,与互联网断开。
是不是与互联网断开就安全?答案是否定的。2002年底发生SQL Slammer病毒,将病毒的感染传播特性和网络拒绝服务的攻击特性合二为一,在很短时间里,将互联网基础设施破坏。这意味着,完全与互联网断开的专网,如果病毒被从其他途径进入专网,如人工安装软件,照样可以感染带攻击性的病毒,因此也不能完全防止来自互联网的攻击。因此,即使与互联网断开,也必须增加可以阻断这些攻击的安全设备。物理隔离网闸正是这样一种阻断设备。
在今天的竞争社会里,这种二元划分以及其改进办法,在很大程度上已经无法满足客户的需求。今天的互联网在信息交换和共享方面已经远远超过传统的报纸杂志广播电视,成为独领风骚的第五媒体,普通人都可以从互联网上得到信息,但涉密网内部的人员却不能得到,因为为了涉密网的安全,涉密网必须和互联网断开。在我国,从中央到地方,也出现了越来越高的呼声,要求涉密网与互联网安全连接。
为了解决这些问题,一种新的网络安全技术“物理隔离网闸”应运而生。美国、俄罗斯、以色列等国家纷纷采用物理隔离网闸,用于本国的政治、军事和经济等重要网络与互联网隔离。我国保密部门对物理隔离网闸技术十分重视和关注。可以预见不远的将来,物理隔离网闸技术将应用在我国的涉密网络和专网上。
二、涉密网对互联网信息的需求、风险及安全要求
1.涉密网对互联网信息的需求日益增加
涉密网,顾名思义,服务于党政军涉及机关国家秘密的网络。涉密网应该高度安全。随着知识经济和信息时代的到来,信息发生和传递的速度越来越快,互联网业已成为全球第五大媒体,且信息量大、实效性强。涉密网内部的党政军领导和工作人员,对信息的时效性要求越来越高,需要及时、准确地得到互联网上大量的信息,以便于利用。
按照我国《计算机信息系统国际联网保密管理规定》的要求,涉密网不能直接或间接与互联网以及其他公共信息网络连接,必须实行物理隔离。在物理隔离网闸技术问世之前,对互联网信息的需要,多采用以下办法:
1)每个工作人员采用两台计算机,一台在内部涉密网上,一台在互联网上。该方案重复建设,投资过大,使用不方便,没有那么大的办公地方放两台计算机,明显不合适。
2)采用物理隔离卡等低级形式,每次使用开关机一次,不方便。
3)设立专门的互联网隔离访问室,到专门指定的地方访问互联网,或人工把从互联网上采集的信息拷到内部涉密网上,实时性不好。
4)不使用互联网。
随着我国社会主义事业的快速发展和进步,尤其是加入WTO之后,党政军机关对互联网信息的需求越来越高,现有的方式已不能满足党政军机关对各种信息的实时性要求。因此,急需解决互联网和涉密网之间的访问和安全问题,既需要高速高效的访问互联网,又必须在互联网和涉密网之间实现物理隔离。
2.目前存在的来自互联网的安全威胁和风险
来自网络上的威胁和风险主要包括:(红线属于内容安全的范畴)
|
对象 |
环境 |
威胁 |
传统技术 |
其他解决办法 |
| |
外网 |
入侵 |
IDS,蜜罐 |
隔离 |
|
攻击 |
抗攻击网关 |
隔离 |
|
扫描 |
网络屏蔽 |
隔离 |
|
来自网络病毒 |
杀病毒 |
限制类型 |
|
木马 |
恶意代码清除 |
隔离 |
|
假冒和重演 |
. |
隔离,代理 |
|
破坏完整性 |
防篡改 |
隔离,代理 |
|
窃取信息和数据 |
访问控制技术 |
访问控制,隔离 |
|
非授权访问 |
访问控制技术 |
访问控制,隔离 |
| |
网络结构缺陷 |
.除 |
屏蔽,隔离 |
| |
网络配置错误 |
. |
屏蔽,隔离 |
|
网络 |
内网 |
已经植入的木马 |
恶意代码清除 |
隔离 |
|
非授权访问 |
访问控制技术 |
访问控制,隔离 |
|
信息泄漏 |
内容审查 |
内容检查,控制 |
|
操作失误 |
. |
屏蔽,隔离 |
|
网络故障 |
. |
屏蔽,隔离 |
|
主机 |
操作系统漏洞 |
. |
屏蔽,隔离 |
|
配置错误 |
. |
屏蔽,隔离 |
|
危险命令 |
. |
代理,隔离 |
|
应用缺陷 |
补丁 |
代理,隔离 |
|
故障 |
. |
屏蔽,隔离 |
|
操作失误 |
. |
屏蔽,隔离 |
|
已经感染病毒 |
主机杀毒 |
类型限制,查杀 |
|
非授权访问 |
访问控制技术 |
访问控制,隔离 |
|
假冒,重演 |
认证授权审计 |
隔离,代理 |
面对这些威胁和风险,除了目前采用防火墙,入侵检测,漏洞扫描,VPN,AAA,CA,安全审计,安全恢复和备份,防病毒等技术外,还有很多无法解决的问题。即使采用上述技术,效果也不是都很好。但这些问题,利用隔离技术(Gap),代理技术,认证技术,内容检测技术,访问控制技术和防病毒技术等技术结合的物理隔离网闸,却能很好的解决上述安全威胁和风险。
3.涉密网的安全需求
涉密网直接为党政军机关服务,处在国家信息安全保密最重要的部位,占据最重要的位置,内网上的信息涉及大量党政军和国家的核心机密。因此,涉密网络对安全性的特殊要求具有非常意义。
涉密网和互联网的安全性必须满足以下要求:
1) 该系统必须保证涉密网与互联网是物理隔离;
2) 涉密网的任何信息不能通过该系统进入互联网;
3) 可限制指定格式的文件(保证文件的无害性)才能通过该系统进入涉密网;
4) 在隔离系统连接互联网的一端采取访问控制技术、代理技术、认证技术、内容检测、病毒检测等安全手段,并对请求返回的数据进行类型限制和安全检查;
5) 具有单向访问的能力,即禁止互联网主动向涉密网发起数据访问请求,准许涉密网向互联网访问数据发起请求,并准许请求回来的数据经过安全检查后流入涉密网;
6) 整个系统是完全可控的。
从上面的分析,我们知道涉密网和互联网之间的安全性体系是一个完全不对称不对等的关系。必须消除来自互联网对涉密网的任何形式的攻击,涉密网希望得到互联网的信息,但严格禁止互联网从涉密网得到信息,严格防止从涉密网泄密信息到互联网,严格防止从互联网上请求回来的数据具有有害性、攻击性、病毒特性和恶意代码。
三、物理隔离网闸在涉密网中的应用
物理隔离网闸是一套双主机系统,双主机之间是永远断开的,以达到物理隔离的目的,双主机之间的信息交换是通过拷贝、镜像、反射等借助第三方非网络方式来完成的,是以物理隔离为目的的安全系统。物理隔离网闸,中断了网络的直接和间接通信连接,剥离了TCP/IP协议,中断了应用的客户和服务器会话,还原应用数据,通过代理方式执行所有的应用协议检查和内容检查,达到“只有符合全部安全政策的数据才能通过,其他都拒绝”的安全策略。物理隔离网闸的目标是建立一个对网络攻击是免疫的安全系统,即消除来自网络的威胁和风险。
物理隔离网闸的指导思想与防火墙有很大的不同:防火墙的思路是在保障互联互通的前提下,尽可能安全;而物理隔离网闸的思路是在保证必须安全的前提下,尽可能互联互通,如果不能保证安全则完全断开。
1.中网物理隔离网闸(X-gap)
中网物理隔离网闸(X-gap)是完全自主知识产权的新一代的高安全性的国产物理隔离网闸。X-gap采用“2+1”的结构,即两套单边计算机主机和一套固态介质存储系统的隔离开关,如下图。
所谓的单边计算机主机,是相对于传统的防火墙和网络设备而言。传统的防火墙和物理设备,网络的数据从一边流入,经过OSI模型的某层或多层处理后,从另一边流出,其典型的结构如下:
单边计算机主机,撤消了另外一个网卡,即来自网络上的包数据只能到达应用层,还原为文件数据,然后脱离OSI的网络模型,因为网络必须断开,以非网络的方式进行文件数据交换。网络上的任何行为,无论是正常的,还是非正常的,都到此为止。
外部的单边计算机主机,只有外网卡,没有内网卡。该主机是物理隔离网闸在外网或互联网上的“脸面”,或干脆叫“Agent”。这个“Agent”不是内网或涉密网的一部分,而是外网或互联网的一部分。涉密网需要的信息,不是以涉密网名义去从互联网上得到,而是以“Agent”的名义。它的IP地址是外网或互联网的,但不公开,从互联网上其他的服务器请求的信息可以送回来给它。尽管它不是内网或涉密网的一部分,却是由内网或涉密网来控制的,但它的公开身份还是互联网的。涉密网控制它并利用它,但却完全不信任它,从来就没有同它连接过。它几乎不知道内网或涉密网的任何信息,但乐此不疲地根据内网或涉密网的指示为它们服务,代理内网或涉密网去互联网获取信息,然后放在指定的地方。有些技术人员戏称它为世界上“最完美的特勤人员”。
内部的单边计算机主机,只有内网卡,没有外网卡。该主机是物理隔离网闸在内网或涉密网的连接点,属于内网或涉密网的一部分。所有涉密网的主机需要得到互联网上的信息,都必须通过这台主机来代办。这台主机并不是简单地代理所有的请求,而是执行严格的安全政策,内容审查,防泄密,批准或是不批准访问请求。它从固定的地方取回请求的文件信息,检查请求回来的数据是否安全或带有病毒,建立内部的TCP/IP网络连接,将文件数据发回给请求者。
基于固态存储介质的网络开关,是物理隔离的核心。外部单边计算机主机与内部单边计算机主机是永远断开的,因此是物理隔离的。隔离开关在逻辑上是由两个开关组成,一个开关处在外部单边计算机主机和dump固态存储介质之间,我们称之为K1,另一个开关处在内部单边计算机主机和dump固态存储介质之间,我们称之为K2。K1和K2在任何时候至少有一个是断开的,即K1×K2=0,这是物理上固定的,不受任何控制系统的控制。因此,只有三种情况,K1=1,K2=0;K1=0,K2=1;K1=0,K2=0。外部单边计算机主机与内部单边计算机主机是永远断开的,因为K1×K2=0。
怎样在两个网络完全断开的情况下,实现信息的交换,是物理隔离网闸的关键。外部单边计算机主机,在K1=1和K2=0状态下,将文件信息交给固态存储介质,类似于交给银行的保险箱。内部单边计算机主机,在K1=0和K2=1状态下,将文件信息从固态存储介质中取回,相当于从银行保险箱中取走文件。两种状况下,K1×K2=0,即两个主机是完全断开的。在K1=0和K2=0状态下,没有任何信息交换,也是断开的。这种情况有些类似于电影中的地下工作者,两人从没有见过面,但还要交换情报,于是,一个人先把情报放在指定的安全地方,然后离开。另外一个人,在安全的情况下,将情报取走。
2.X-gap消除了来自互联网上对涉密网的攻击
X-gap消除来自互联网上的攻击是通过物理隔离来实现的。由于互联网与涉密网是永远断开的,加上采用单边计算机主机模式,中断了TCP/IP,中断了直接的客户服务器永远(C/S),屏蔽了内部的网络拓扑结构,屏蔽了内部主机的操作系统漏洞,让基于网络的攻击无机可趁。X-gap提供了以下特征:
1)无法ping涉密网的任何主机;
2)traceroute无法穿透物理隔离网闸;
3)无法扫描(scan)内部涉密网络;
4)无法发现涉密网的任何主机信息;
5)无法发现涉密网的主机的操作系统信息;
6)无法发现涉密网的应用信息;
7)无法发现涉密网的内部主机的漏洞;
8)无法发现涉密网的应用的漏洞;
9)无法同涉密网的主机建立通信连接;
10)无法向涉密网发送IP包;
11)无法同涉密网的任何主机建立TCP/UDP/ICMP连接;
12)无法同涉密网建立网络连接;
13)无法同涉密网的任何主机建立应用连接(C/S或B/S);
14)无法到达涉密网;
15)无法建立基于网络的攻击。
3.X-gap消除了对自身攻击的威胁和风险
X-gap的外部主机本身,不对外提供任何服务,也不向外开放任何服务端口,只由应用决定来主动向外请求服务,因此,互联网上的计算机,不能对X-gap外部主机的任何端口进行攻击。任何主动向X-gap发起连接都被拒绝,因为X-gap外部主机必须是主动向互联网请求服务,而不接受任何互联网主机的主动请求,因此,无法主动对X-gap进行攻击。
X-gap主机采用了中网抗攻击内核的专利技术。互联网上的主机无法主动达到外部主机,完全屏蔽了外部主机的存在,因此无法攻击。
X-gap的双主机结构消除了物理隔离网闸的操作系统漏洞的威胁。一般说来,没有任何操作系统保证100%没有漏洞。从这个意义上来讲,单机完全无法彻底消除操作系统的漏洞的威胁,尽管可以把威胁降到最低。双主机之间的开关,是一个完全的硬件介质,没有操作系统,没有软件,没有状态,没有任何控制单元,因此,完全无法攻击。这就保证了即使退一万步,外部主机的操作系统的漏洞被曝光,也无法对涉密网的内部主机进行刺探,因为开关是完全无法进行攻击的。
在最坏的情况下,外部主机的操作系统漏洞被曝光,黑客所能做的最坏的结果是,向开关发送无效的数据,这个我们不用担心,因为涉密网的内部主机的鉴别和过滤程序会拒绝这些数据;破坏操作系统并关闭外部主机,这个我们也不担心,因为物理隔离网闸在这种情况下,还是物理断开的,符合我们的安全政策:如果不能保证安全就断开。
4.X-gap采用了严格的内容过滤和检查机制
在过滤机制上有两种类型:一是所有的都被拒绝,除非被明确地准许通过;二是所有的都被通过,除非被明确的要求拒绝。很明显,前者是非常严格的,后者较为宽松。由于内容过滤有其特殊性的一面,即必须考虑基于语意的内容过滤,即动态过滤规则。X-gap组合使用了这些过滤方法。
1)对URL进行格式过滤和控制;
2)对URL进行内容隔离;
3)对URL执行白名单或黑名单过滤;
4)对GET进行格式过滤和控制;
5)对GET进行内容过滤;
6)对GET的文件类型进行限制;
7)对POST进行禁止;
8)对POST进行内容过滤;
9)对POST进行类型、格式控制;
10)对交换的数据进行防病毒检查;
11)对交换的数据进行防恶意代码检查;
12)对交换数据中包含的命令、协议进行检查;
13)对重定向进行限制;
14)通过应用代理来执行严格的应用规范检查。
5.X-gap重重把关严防泄密
X-gap在涉密网中执行的是一种单向信息流入的服务策略,即涉密网可以访问互联网,但互联网不能访问涉密网。在此基础上,X-gap采取多重措施,严防泄密。这些措施包括:
身份认证:所有涉密网的用户需要访问互联网,必须先进行身份认证,根据与其身份相对应的授权来决定是否可以访问,访问哪些内容,并对其进行审计。身份认证可以采用硬件和一次性密码相结合的认证方式。这部分工作是在涉密网完成的。
严格的格式控制机制:涉密网的用户,请求的URL格式只能是被动选择,禁止主动询问。如果一个用户访问新浪网站,只能输入标准的http://www.sina.com.cn原格式的请求,禁止增加后缀,然后只能点击已经返回的页面的连接来进一步访问。消除了利用URL攻击和泄密的可能性。
关键词过滤:即使是点击已经返回的连接,也要进行关键词过滤。
访问控制技术:对内部的用户访问的目标进行访问控制。
除了上述的技术之外,我们还推荐用户采用其他已经成熟的防泄密安全技术如入侵检测、实时监控系统、审查技术等来配合物理隔离网闸使用,以达到最大限度的防泄密功能。
6.利用X-gap,涉密网可以与互联网进行物理隔离和信息交换
从涉密网对互联网进行信息访问的要求和呼声越来越高,这是时代发展和技术进步的要求,同时对安全和保密工作提出了更高的要求和挑战。我国政府对此十分重视,有关部门多次组织了科技攻关,已经取得了相当的成绩和进步。在政府部门的大力支持下,有关单位、科技部门和企业在物理隔离网闸方面已经初步达到实用化的水平,与美国等发达国家的水平不相上下。
X-gap是一个完全的物理隔离网闸。可以使用在涉密网的下列用途方面:
1)收集互联网信息,单向向涉密网传输
这种应用,主要是专人收集互联网上的信息,然后通过物理隔离单向传递给涉密网的信息服务器,供内部使用。内部的用户没有选择权,不能实时的请求信息服务。
2) 密网单向向互联网请求信息
这种应用,涉密网的用户在身份认证和得到授权的前提下,通过中网物理隔离网闸,可以安全地向互联网发起实时服务请求。反过来,互联网不能主动向涉密网发起服务请求。是一种单向的服务。
|
