网络隔离与企业信息安全
2009-07-13周全荣东明何远
周 全 荣东明 何 远
[摘要]随着网络用户的增加,网络的不断发展,企业信息安全问题也越来越严重。从企业的安全现状分析,网络隔离技术的发展及改进三个方面进行论述,并对改进后的网络隔离在实际应用中的注意事项做说明。
[关键词]防火墙木马网络隔离
中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)1110071-01
2008年上半年《中国互联网网络安全报告》指出国家互联网应急中心(CNCERT)接收和自主监测的各种网络安全事件数量与2007年上半年同期相比有较为显著的增加。网络攻击的频次、种类和复杂性均比往年大幅增加,遭入侵和受控计算机数量巨大,潜在威胁和攻击力继续增长,信息数据安全问题日益突出,网络安全形势依旧严峻。
一、一般企业的网络安全措施及现状
企业一般为了自己的应用需要建立了很多的网络,由企业内部局域网组成,我们通常叫做内网。另一个是现在我们普遍使用的互联网,它是一个全球性的网络,通常被叫做外网。网络安全是从外网安全和内网安全两部分来讲,企业更关注的还是内网的安全,因为内网里有企业的信息,内网信息一旦泄露了,那么重要的企业信息也就泄露了,这对企业来说是很危险的。
企业一般通过ADSL或光纤等接入外网,然后通过路由器与内网相连,其主要安全措施是防火墙。使用的防火墙大体分为3种:包过滤防火墙、状态检测包过滤防火墙、应用层代理防火墙。防火墙在网络安全方面确实能起到一定的保护作用,但仍有不少缺陷。主要表现为:包过滤防火墙不能防御IP欺骗攻击、D0S拒绝服务攻击、分片攻击、木马攻击;状态检测包过滤防火墙不能防御协议隧道攻击和绕过防火墙认证的攻击;应用层代理防火墙只能防御已知病毒的攻击,而对新的攻击无法及时预防。
二、网络隔离的发展与不足
网络隔离的思想是绝对的隔离就有绝对的安全(这排除内部“间谍”和电磁分析等),是指把两个或两个以上可路由网络(如TCP/IP网络)的直接连接从物理上断开,通过隔离保护内部网络的安全,使信息不致外泄或免受外部网络的攻击。隔离概念的出现,是为了保护高安全度的网络环境。网络隔离产品发展至今共经历了五代:
第一代隔离技术:完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络,做到了完全的物理隔离,但需要多套网络和系统,建设和维护成本较高。
第二代隔离技术:硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问,它仍然存在使用不便、可用性差等问题,有的设计上还存在较大的安全隐患。
第三代隔离技术:数据转播隔离。利用转播系统分时复制文件的途径来实现隔离,切换时间较长,甚至需要手工完成,不仅大大降低了访问速度,更不支持常见的网络应用,只能完成特定的基于文件的数据交换。
第四代隔离技术:空气开关隔离。该技术是通过使用单刀双掷开关,通过内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。
第五代隔离技术:安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。
虽然第五代隔离技术是当前的发展方向,但它还存在应用协议的代理模块不能适应更多的应用环境、各模块算法实现的效率较低、系统的性能瓶颈、对木马和僵尸网络的防御能力不足等问题。想达到更安全的效果还是需要第一代隔离技术。
三、第一代隔离技术实用化的改进
第一代隔离技术因为实现了物理上的完全隔离,所以其安全性能要比其它的高很多,病毒、网络攻击等都被网络隔离而无法在内网实施破坏。其实用性不强主要表现在需要多套独立的设备和多套独立布线,所以对其进行改进从而达到实用化是技术的关键。以下是具体改进方案:
通过在终端上插一块网络隔离卡以及两块硬盘,通过选用不同的硬盘和网络接口,使一台终端拆分出两台终端。在两台终端分别安装操作系统,设定不同的IP地址,通过重启系统切换到不同的网络,从而实现网络隔离的目的。这样只使用了一套终端,而实现了2套独立终端的功能,实用性大大加强。
也可以通过修改隔离卡支持单块硬盘切分技术,实现类似两块硬盘的功能。通过使用DM等硬盘工具来划分硬盘分区,不同的网络使用不同的分区,使用内网时外网分区是隐藏的,内网无法通过操作系统访问到外网分区,反之亦然。连接隔离卡的跳线开关,使其变为可记忆状态,隔离卡记录了分区信息后,断开跳线开关。启动时选择不同的网络就选择了与之对应的分区和操作系统,进一步降低了硬件成本。
对于网络布线,尽量使用单位原有的线路资源,保持原来的网络拓扑。通过网络隔离卡的网卡接口设计,使其接口的1,2,3,6条线对应内网,4,5,7,8对应外网,这样就能充分利用原有的布线和网络资源,只需在配线间增加网络隔离集线器即可。具体如图1所示,虚线部分为网络隔离集线器,内、外网分别连接到相应的网络,但不同的网络仍然保持物理上的隔离。
其工作原理为:以物理方式将一台终端拆分为两个终端,实现终端的双重状态,即可在安全状态(内网),又可在公共状态(外网),两个状态是完全隔离的。网络隔离卡通过PCI插槽与主板相连,通过网络隔离卡上的电源设计分别对内、外网的硬盘供电,或者由启动时控制不同的分区。在任何时候内、外网只能与自己的硬盘或分区交换数据。在使用不同网络