网络安全物理隔离技术分析及展望*
2016-09-08王永建杨建华郭广涛刘永涛中国通信建设集团设计院有限公司北京100079
王永建, 杨建华, 郭广涛, 刘永涛(中国通信建设集团设计院有限公司,北京100079)
网络安全物理隔离技术分析及展望*
王永建, 杨建华, 郭广涛, 刘永涛
(中国通信建设集团设计院有限公司,北京100079)
网络物理隔离是一种特殊的网络安全技术,适用于可信网络与不可信网络(或者两个不同安全级别的安全域)之间数据交换。阐述了常见网络物理隔离技术,进行了对比分析,并指出其缺陷与问题。简述了光闸的概念、特性及主要实现技术,并分析了日前国内外光闸研究存在的问题和不足。最后,在总结现有成果的基础上,介绍了网络物理隔离研究方向,为下一步的研究提出了新的问题和思路。
物理隔离;网闸;光闸;无反馈
[Abstract]Network physical isolation is a special kind of network security technology,suitable for data exchange between the trusted network and untrusted network(or two security domains different security levels).This paper describes the principle of common network physical isolation technologies,points out their defects and problems via comparison and analysis,outlines the concept and characteristics and main implementation technologies of optical Gap,and analyzes existent problems and inadequacies in both domestic and international research.Finally,based on the summing-up of existing achievements,the future research direction of network physical isolation is discussed,and some new questions and ideas for further study also provided.
[Key words]physical isolation;Gap;optical Gap;without feedback
0 引言
随着云计算、大数据、LTE、智能终端、物联网等信息技术的发展,对网络信息安全要求越来越严格和特殊。传统的防火墙 (Fire Wall)、VPN(Virtual Private Network)、漏洞扫描(Vulnerability Scanning)和入侵防御 (Intrusion Prevention System)等网络安全技术已不能满足要求,亟需一种有效的安全防护技术。
国家保密局在 《计算机信息系统国际联网保密管理规定》中规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息相连接,必须实行物理隔离”[1]。
中保委在《关于严禁用涉密计算机上国际互联网的通知》规定:涉密计算机信息系统必须与互联网实行物理隔离,严禁用处理国家秘密信息的计算机上互联网[2]。
在这种情况下,产生了一种新的安全防护理念——网络物理隔离(Network Physical Isolation)。
1 网络物理隔离概述
日前业界对网络物理隔离没有完整的规范、标准,也没有没有明确的定义,本文定义为:通过一定技术方式使得多个(≥2个)不同范畴的网络系统(含设备、线路、存储、外设等)均相对独立的组合。基于OSI网络模型,即实现七层全部断开,以非网络方式交换数据交换的是非网络数据(可以是文件,但不能是标准协议格式,如IP包)。
只有对OSI网络模型的七层断开技术特征的正确理解,才能准确的理解网络物理隔离的含义,OSI网络模型的七层断开技术特征如表1所示:
对于OSI网络模型而言,某一层的断开降低了该层与其它层被攻破的风险,却没从根本上消除基于其它层的攻击;断开了某一层,照样存在对其它层攻击的风险,因此必须实施网络物理隔离,以实现OSI网络模型的七层断开。如图1所示:
表1 OSI网络模型的七层断开技术特征
图1 OSI网络模型七层断开示意图
2 相关技术分析
2.1 单主板安全隔离计算机技术
单主板安全隔离计算机基于双硬盘技术,在BIOS中嵌入内/外网转换装置,插槽也分为安全区(可信网络)和公共区(不可信网络)。由于该技术是基于较低层的BIOS中进行开发的,因此,与原来计算机的兼容性较好,改造优化成本较低[3]。
在计算机主板上形成两个独立的“区域”,每个区域由各自独立的网卡和硬盘负责网络接入和信息存储,通过BIOS实现信息发送和I/O设备的控制,并且只能在各自所属的区域内工作,不能跨区域工作。主要功能如下。
(1)对外设限制功能:在系统引导的过程中禁止驱动器中存在移动存储介质,禁止输入/输出外设(如扫描仪、打印机、投影仪等)接入;实现软驱、光驱关闭/禁用控制功能。
(2)对双向接口设备限制功能:对双接口(如LPT、COM、SCSI、USB、1394、MIDI等)设备的双向功能限制;对于BIOS通过防写跳线防止病毒侵入、非法刷新、恶意修改等。
单主板安全隔离计算机技术的缺陷和风险:
由于打印机、一体机等外设配置数据缓存,有的还支持数据调阅,因此单主板安全隔离计算机在内/外网切换时,外设未彻底清除数据缓存或历史记录,将有被二次获取的泄密隐患。
2.2 网络安全隔离卡
网络安全隔离卡(Net Security Sepatate Card)属于硬件插卡,设置在计算机最低层的物理部件上,在物理上将计算机划分为两个独立的部分,每一部分都有各自的“独立”硬盘。其一边连接IDE硬盘,另一边通过IDE总线连接主板[4]。计算机的硬盘被分割成安全区(可信网络)和公共区(不可信网络)两个物理区。如图2所示:
图2 网络安全隔离卡工作原理图
网络安全隔离卡像一个分接开关,任何时刻计算机只能与一个数据分区以及对应的网络连通。计算机因此被分为安全模式和公共模式,并且某一时刻只可以在一个模式下工作;两个模式转换时,所有的临时数据都会被彻底删除。
(1)安全模式:主机仅能通过安全区与可信网络互联,此时与不可信网络断开,公共区是封闭的。
(2)公共模式:主机仅能通过公共区与不可信网络互联,此时与可信网络是断开的,安全区是封闭的。
安全区与公共区之间不允许直接交换数据,但是可以通过专门设置的中间功能区进行,或通过设置的安全通道使数据由公共区向安全区转移(不可逆向)。
网络安全隔离卡的缺陷和风险:
(1)错误连接风险:网络安全隔离卡有网卡接口、内网接口和外网接口,要求隔离卡的网卡接口连接网卡,内网接口连接内网,外网接口连接外网;实际应用中常出现连接错误,造成信息泄漏。
(2)网络安全隔离卡失效:安全隔离卡中的继电器属于主要电路元器件,虽然具有一定的耐久性,但是安全隔离卡的工作状态属于长时间通电状态,易造成元器件烧坏,从而引起安全隔离卡失效。
(3)如果安全隔离卡的控制或驱动程序设计不严谨,存在被第三方程序篡改的可能[5]。
2.3 网络安全集线器
网络安全集线器(Net Security Sepatate HUB),是一种多路开关切换设备,又称网络线路选择器,基于物理层互联设备集线器(HUB)开发。网络安全集线器与网络安全隔离卡联合使用,对其发出检测信号,识别出所连接的计算机,自动切换到对应网络的HUB上进行互联,从而实现计算机与可信网络和不可信网络之间的安全连接与自动切换。如图3所示:
图3 网络安全集线器工作原理图
2.4 网闸
网闸(GAP)是当前网络物理隔离中最为典型的技术,网闸的原理基于安全岛的理念。
2.4.1 安全岛
(1)安全岛理念
安全岛旨在构建一个实现可信网络与不可信网络之间物理断开,但逻辑相连的数据交换机制,要求可信网络与不可信网络之间不允许数据直接交换,并且不允许实际互联。
安全岛采用“摆渡”的方式实现数据交换。首先安全岛与A网络连接(此时与B网络断开),将一侧网络过来的数据“卸载”到安全岛中;其次安全岛与A网络断开(与B网络仍保持断开状态),对安全岛中的数据进行协议剥离、格式检查、内容检测、冗余数据去除等安全措施,留下“安全数据”;然后安全岛与B网络连接(此时与A网络断开),根据相应策略将“安全数据”转入B网络[6]。如图4所示:
图4 安全岛实现原理图
(2)安全岛组成结构
安全岛由两个安全半岛组成,完成两个接口机之间的数据交换,可通过硬件控制安全半岛的读写,从而通过硬件控制数据的单方向传输。
由两个嵌入式计算机及安全岛装置实现网络的物理隔离,并由安全半岛调度引擎实现安全“摆渡”,完成数据交换。系统内置硬件Watchdog,保证系统软件的可靠运行。如图5所示:
图5 安全岛组成结构图
安全策略设置在可信网络侧的主机上,禁止安全岛与不可信网络和可信网络同时相连,切断来自不可信网络的任何攻击。通过专门的硬件控制系统,控制安全岛的“通”和“断”,实现不可信网络与可信网络之间的数据交换,保证不被攻击者篡改和“越狱”。
2.4.2 网闸茅统结构与原理
基于安全岛的理念,网闸采用“2+1”(双主机系统+专用隔离交换器件)的系统结构,断开内/外网络,确保两个网络之间安全隔离。内、外网主机系统之间,不存在通信的物理连接和逻辑连接,没有任何基于的协议通信,保证了通信协议连接断开。通过隔离交换系统进行无协议的、专有格式化的、纯数据块的“摆渡”,实现了内/外网之间数据交换[7]。如图6所示:
图6 网闸系统结构图
通过网闸的数据,首先被剥离为不包含任何附加信息的纯数据,经过严格检查数据合法性后,按照专用协议对这些纯数据进行处理和转发。如图7所示:
图7 网闸数据交换流程示意图
(1)从内网过来的数据到达内网主机后,原来的网络协议被阻断、会话被终结;(2)应用层信息被从层层协议中剥离为不包含任何附加信息的“纯数据”,检测用户的合法性和数据的安全性;(3)通过专用硬件和专用协议将“纯数据”发送给数据通道控制单元对“纯数据”进行解析、过滤、重组等处理后发送给另一方;(4)“纯数据”到达日的地后再还原为标准通信协议(如TCP/IP)。
因此,在内网和外网之间只传递“纯数据”而不传递冗余数据等存在安全隐患的信息,过滤掉了基于通信协议漏洞的攻击,保证了内/外网之间交换信息的纯净、安全和可靠。
2.4.3 网闸主流实现技术
(1)SCSI开关技术
基于SCSI的开关技术是当前主流的网闸技术。SCSI不属于通信协议,而是一个主从的单向外设读写协议,外设仅仅是介质日标,自身不具备逻辑执行能力。主机仅写入数据,自身并不判断正确,而是采用专门的读/写验证机制,将写入的数据读出来后验证写入数据的正确性,该机制保证读/写数据的正确性与可靠性[8]。SCSI断开了OSI模型中的数据连接,没有通信协议。如图8所示:
图8 基于SCSI的网闸技术原理图
说明:上图中,设K断开为0,闭合为1;K3=K1×K2≠1。
(2)内存总线技术
基于内存总线的技术采用一种叫双端口的静态存储器(Dual Port SRAM),双端口分别通过开关连接独立的计算机,采用独立的CPLD控制电路实现对两个端口的开关,确保双端口静态存储器的两个独立开关不能同时闭合。这种结构存在较大的缺陷,必须保证应用协议的剥离,当交换的内容是文件数据时,是物理隔离;当交换的内容是IP包时,则不是物理隔离[9]。如图9所示:
图9 基于内存总线的网闸技术原理图
(3)单向传输技术
单向传输是相对双向通信而言的,没有反向通道,采用固定断开技术,不需要开关。单向传输必须保证OSI网络模型七层的单向,其中某一层或者多层的双向,并不属于真正的物理隔离。利用两个反向的单向传输通道,可构成支持数据交互的网闸,这种结构与传统的通信通道有本质的不同,两个反向的单向传输通道是完全无关的[10]。如图10所示:
图10 基于单向传输的网闸技术原理图
2.4.4 网闸存在的问题与不足
(1)不能保证无反馈单向传输
网闸是典型的、应用广泛的网络物理隔离技术。但最新研究表明,网闸不能防止泄密,存在潜在反向通道,有信息被泄露的风险[11]。如ICMP和IGMP定位问题,就可能被攻击者非法利用。虽然当前也产生了一些使用硬件或软件的小反馈技术实现的单向网闸,但是小反馈技术的方法仍然存在潜在的返向通道。
(2)“纯数据”会成为病毒或者攻击的载体
基于数据“摆渡”的原理,“病毒或者攻击数据”暂时藏匿于“纯数据”之中,通过网闸后“复活”从而进行攻。虽然网闸定义了一系列数据安全规则,仍然不能消除病毒或者攻击“偷渡”过网闸[9]。
(3)数据传输效率低
随着信息技术的发展,语音、数据、视频、图片等业务对网络带宽要求越来越高,而基于数据“摆渡”技术的网闸延迟长、带宽有效率低,无法满足海量数据交互的需求。日前主流网闸的带宽有效使用率很低,由于其数据“摆渡”的实现原理局限,数据传输速率很难有大的提高。
(4)产品设计本身存在安全漏洞
日前网络安全攻击的技术逐渐深层化,攻击手段多样化。基于“2+1”(双主机系统+专用隔离交换器件)架构的网闸,其主机系统类似于代理服务器,即使采用了嵌入式系统,其自身仍存在被攻击的漏洞。
(5)开放式“摆渡”,数据加密机制匮乏
网闸将数据“摆渡”的过程中,原来数据的封装协议被剥离,只剩下“净数据裸露”,数据加密机制不完善,数据依然存在被窃取或者篡改的风险。
对于网闸,国家相关单位明确指出:“GAP技术不是物理隔离,不能用于涉密网络与非涉密网络之间的连接”[12]。因此,需要一种新的技术替代网闸,以实现网络物理隔离,于是产生了光闸。
2.5 光闸
2.5.1 光闸的概念与特性
光闸(optical Gap)是利用物理层光的单向传输技术实现无反馈单向传输的软硬件组合,是近些年新兴的技术。日前业界对光闸没有统一的命名与定义,光闸的名称也是业界通常根据原来网闸的名字称其为“光闸”。
光闸的传输效率极高,延迟可控制在纳秒级,相对于传统的数据“摆渡”技术,数据交互的实时性极高;相对于网闸带宽的瓶颈,光纤通信带宽容量可达到Tb/s级。
2.5.2 光闸的研究情况
日前国内外关于光闸研究的文献资料比较少,缺乏统一的标准和规范。
(1)国内的研究情况
文献[11]中采用嵌入式技术与光耦芯片,设计了一种无反馈单向传输实现方法。文献[13]中提出了一种高可靠的无连接传输层协议——单向数据包协议(One Way Data Protoeol),采用无连接协议方式,并定义了数据包格式和错误校验方式。文献[14]中从数据无反馈传输保障和安全冗余考虑,提出了一种高可靠的无连接传输层协议——光闸数据包协议(Optical Shutter Data Protocol),该协议采用CRC检验以提高校验错能力,协议可选项--报文摘要,用于纠错功能,在双机冗余备份系统情况下,可大幅提高数据传输的可靠性。文献[15]中提出了一种采用旁路分光还原技术的光闸设计方案。文献[16]和[17]是两种光闸专利技术,提出了两种光闸的设计方法。
(2)国外对光闸的研究
国外对光闸研究的文献资料更少,但是在无反馈单向传输实现技术上却研究深入,日前业界主流的无反馈单向传输技术均来自国外。
数据泵技术(Data Pump):数据泵是无反馈单向传输发展初期的技术,在1993年由Myog H.Kag等提出。其实现思想是,采用反向确认机制限制数据由内网向外网流出,从而保证数据从外网向内网的单向传输。数据泵技术中通信控制体系是双向的,存在反向通道,因此存在数据反向传输的风险[18]。
数据二极管技术(Data Diode):与数据泵相比,数据二极管没有反向的反馈通道,采用PUSH的数据传输模式,发送端主动向接收端“推”数据,接收端只被动接收数据,不向发送端反馈任何信息。发送端属于“盲发”,不知道接收端的接收情况,接收端通过容错控制机制保证数据的正确完整性[19]。
日前,国内外在无反馈单向传输领域展开的相关研究,主要以数据二极管技术为设计思路,但是其实现技术成本较高。
2.5.3 光闸存在的问题
尽管光闸有很多优点,由于其发展时间较短,仍存在一些问题和不足,亟待完善与改进,主要如下。
(1)业界缺乏明确的规范与标准,实现技术、产品性能、兼容性、可扩展性等参差不齐。
(2)单向数据传输实现协议,数据传输模型及策略不足。
(3)差错控制技术对于单向传输数据的校验不足。
3 展望分析
网络物理隔离技术主要用于涉密系统或者高敏感系统,相对于常规网络安全技术,要求更为严格,结合日前研究情况,今后研究方向和需完善之处主要如下。
(1)标准、规范。完善网络隔离的规范、标准,避免市场上出现的多种声称“网络物理隔离”的产品,实际效果却差强人意。
(2)专用通信协议。日前没有专门的网络物理隔离通信协议,现有的研究主要是基于传统通信协议(如TCP/IP)改进而来。尤其是无反馈单向传输,日前研究往往采用UDP协议或者广播协议:由于这些协议设计初衷不是面向网络物理隔离的,并不能满足要求。
(3)差错控制。在无反馈单向传输系统中,由于无反向通道,单向传输本身是不可靠的,必须从数据的校验、检查上来验证正确、可靠性。前向纠错技术(Forward error correction)尤为关链,当前的研究成果并不理想,这也是无反馈单向传输的技术难点。
(4)测试、验证方法。测试网络物理隔离,必须确保OSI网络模型七层全部断开,日前缺乏系统有效的测试方法。对于无反馈单向传输,还必须验证不存在反向通道。
(5)数据识别分离。网络物理隔离,既要保证“隔离”,又要保证“通过”,必须识别并分离安全数据、冗余数据、不安全数据,只允许“安全数据”交互,保证数据的“纯净”。
(6)新兴技术的应用。未来网络物理隔离不仅仅是单纯的“物理隔离”,利用量子通信、光子集成、可信计算等新兴技术,将会推动网络物理隔离的迅速发展。
本文对常见的网络物理隔离技术进行了分析,指出其存在的缺陷,阐述了今后研究方向和需要解决的难点问题,为该领域研究提供了必要的参考与借鉴。
[1] 春增军,邹来龙.发电企业集团办公网与互联网隔离策略分析与方案研究[J].电子技术应用,2010(1):144-147.
[2] 宋卫平.四川省电力公司双网隔离环境下内外网交互平台的设计与实现[D].成都:电子科技大学,2013.
[3] 曾明.AirGap机制及实现研究[D].昆明:昆明理工大学,2003.
[4] 张莉.网络安全技术及解决方案探讨[J].广东公安科技,2003(2):47-48.
[5] 纵健羽,洪克良,席丽萍.安全隔离计算机保密管理探讨[C]//第十八届全国信息保密学术会议.北京:金城出版社,2008:220-225.
[6] 中国电力科学研究院.网络安全产品技术交流[DB/OL].http://wenku.baidu.com/view/bdd130d53186bceb19e8bb1d.html?re=view,2011-10-08/2015-07-23.
[7] 网御神州.安全隔离与信息交换系统技术白皮书[DB/OL]. http://wenku.baidu.com/view/6e45e50abb68a98271fefabf.html?from=search,2010-09-25/2015-07-23.
[8] 刘建.浅谈隔离技术在不同安全域间进行信息交换方面的应用[J].信息网络安全,2007(3):67-68.
[9] 汪鸣.隔离网闸技术浅析[J].商场现代化,2011(11):75-76.
[10] 万平国.网络隔离与网闸.北京:机械工业出版社,2004:72. [11] 刘永富,焦斌亮,靳国庆.网络信息安全无反馈单向传输的设计与实现[J].计算机安全,2010(11):38-41.
[12] 张岩.如何保障内外网之间的安全联接[J].信息网络安全,2007(9):16-18.
[13] 王海洋,王江波,孟凡勇.一种新型的安全隔离和数据传输设备设计[C]//第27次全国计算机安全学术交流会.合肥:中国科学技术大学出版社,2012,(8):118-120.
[14] 万月亮,朱贺军,刘宏志.基于光闸的单向传输系统可靠性研究[J].攻防技术研究,2010(12):25-27.
[15] 火一莽,张福奎,张春霁.光闸技术方案设计[J].电子世界,2011(03):26-30.
[16] 李志鹏,王洪波.一种单向隔离光闸[P].中国专利:CN 202385106 U,2012-08-15[2015-07-23].http://dbpub. cnki.net/grid2008/dbpub/detail.aspx?QueryID=6&CurRec =1&dbcode=SCPD&dbname=SCPD2012&filename= CN202385106U&urlid=&yx=.
[17] 汤志伟,吴轶轩,梅林.一种基于单向传输的内外网安全隔离系统[P].中国专利:CN 202178780 U,2012-03-28 [2015-07-23].http://dbpub.cnki.net/grid2008/dbpub/detail.aspx?QueryID=3&CurRec=1&dbcode=SCPD&dbname =SCPD2012&filename=CN202178780U&urlid=&yx=.
[18] KANG M H,Moskowitz I S.A Pump for Rapid,Reliable,Secure Communication[C]//1st.ACM Confon Computer and Communications Security.Virginia,USA:Virginia Press,1993:119-129.
[19] Jones Douglas W,Browersox Tom C.Secure Data Export and Auditing Using Data Diodes[C]//Wallach Proceedings of the USENIX/Accurate Electronic Voting Technology Workshop. California,USA:University of California at Berkeley Press,2006:04.
Analysis and Prospect of Physical Isolation Technology for Network Security
WANG Yong-jian,YANG Jian-hua,GUO Guang-tao,LIU Yong-tao
(China International Telecommunication Construction Group Design Institute Co.Ltd,Beijing 100079,China)
TN918.91
A
1009-8054(2016)02-0117-06
2015-10-15
王永建(1981—),男,硕士,高级工程师,主要研究网络信息安全、数据通信、多媒体通信、数据挖掘分析;
杨建华(1979—),男,本科,高级工程师,主要研究数据通信、网络信息安全;
郭广涛(1977—),男,本科,高级工程师,主要研究数据通信、网络信息安全;
刘永涛(1981—),男,本科,工程师,主要研究数据通信、光通信。
