1.前言前期跨网传输(一)主要是对介绍几种模式,本次是收集到通过《下一代安全隔离与信息交换产品原理与应用》此书呈现的各种交换平台实现原理、技术实现及典型部署应用。 2.概述随着互联网技术的不断发展,网络黑客入侵、病毒攻击、网络泄密等安全事件的不断发生,网络安全问题越来越被重视起来。各国都在采取不同的措施来应对这一问题,比如美国军方就有规定——一些负责特殊作用的设备必须与互联网进行物理隔离。然而在现有安全技术标准和框架下,不同安全级别网络(安全域)间的数据交互需求日益强烈,安全隔离与信息交换技术正式在这种背景下应运而生。 由于安全隔离与信息交换技术采取了全新独特的架构,因此安全隔离与信息交换技术具备网络边界隔离、广播/攻击风暴抑制、安全访问控制、应用协议安全检查、内容过滤及抗攻击能力,很好的解决了防火墙、IDS等安全产品的不足。 3.安全隔离与信息交换产品的实现3.1.产品发展历史3.1.1.FTP/SQL应用代理基于FTP和SQL数据库相关协议/命令进行过滤的一种应用代理隔离技术。具体流程是应用服务器通过FPT/SQL将需要交换的数据推向FTP/SQL检查模块,模块完成检查后即与对应模块进行摆渡交换。这种交换模式的优点是对FTP/SQL提供了细粒度更细的访问控制。 图 1 3.1.2.PULL&PUSH数据同步 通过管理员预先配置的数据同步交换任务完成摆渡交换。具体流程是数据库服务器/文件服务器将文件推送至相应模块,然后该模块执行管理员预设好的同步任务完成摆渡交换。这种方式的优点在于安全隔离与信息交换系统不对外开放任何服务端口。 图 2 3.1.3.单向数据中继 某些特定的应用场合,内部往来需要确保不收外网的任何攻击,这个需求发展出了一种专用的安全隔离与单向数据中继系统。 该系统: 1.采用物理单向传输器件—一般是光纤。 2.多中数据冗余纠错机制,保证在单向无反馈传输中的数据完整性。 3.统一采用文件方式完成数据的单向中继传输。 图 3 3.1.4.安全交换平台目前国内存在一部分安全交换平台,主要应用在对数据保密性要求高的一些政务的部门。这些部门内部网络按照保护数据的不同,划分等级并进行相应的安全保密系统建设。边界处部署安全交换平台,与外部网络进行数据交互。 安全交换平台整体架构图如下: 图 4 3.2.安全隔离与信息交换系统数据交换方式安全隔离与信息交换系统需要对结构化数据、非结构化数据、各类协议等均提供交换服务。基本框架如下: 图 5安全隔离与信息交换系统基本框架 1.文件数据库同步模块:用于实现结构化数据交换和非结构化数据的交换服务。 2.定制协议数据交换模块:可以根据特定协议,对固定协议的混合数据提供数据交换服务。 3.实施应用高强度安全交换模块:用于实现实时请求/响应数据交换服务,向应用系统提供高强度安全交换通道服务。 4.数据缓存单元:实现交换信息的缓存。 5.消息服务模块:用于实现数据收发消息的控制功能。 6.安全隔离交换板:用于实现安全隔离交互功能。 3.3.产品原理概况3.3.1.结构化和非结构化数据交换实现原理结构化和非结构化数据共用一个数据安全交换模块进行交换,采用数据抽取/装载的方式,有对应的数据安全交换设备进行交换。这种交换方式主要实现:数据交互、资源共享、安全鉴别、消息通知、信息级别权限控制、结构化数据和非结构化数据交换安全控制等。 实现原理如下图所示: 图 6结构化和非结构化数据交换工作原理 3.3.2.定制协议数据交换实现原理定制协议数据交换方式采用XML格式化数据封装形式,可接收数据库记录、图片文件、应用系统定制协议等混合数据。主要实现了:复杂数据类型交换、高性能数据交换、应用程序接入认证等。 实现原理如下图所示: 图 7定制协议数据交换工作原理 3.3.3.实施应用高强度安全交换实现原理实时应用高强度安全交换采用安全代理工作模式,通过采集实体指纹对接入主机与应用进程进行接入认证。这种交换方式主要解决内外网间实时访问类应用的功能需求,采取信息摆渡交换的方式,而非建立TCP/IP实时连接,所以没有破坏内外网间的网络隔离安全性。 实现原理如下图所示: 图 8实时应用数据交换工作原理 3.3.4.数据完整性安全隔离与信息交换系统在各个步骤采取签名、验签技术实现对源数据完整性和合法性的校验。 3.4.关键技术实现3.4.1.关键技术思路和原则1、 保密策略及目标: (1) 在确保内部核心资源安全的情况下,尽可能保持与外部网络的连接。而传统的防火墙的保密策略为在保持内外部网络连通的同时,尽可能保证内部受保护资源的安全。 (2) 隔离设备自身的安全:采用安全的操作系统、核心的隔离功能不可编程、设备管理机制的安全性。 (3) 隔离设备提供的安全性: 1)双主机模式中,在外网采用瘦客户终端。这使得就算外网主机被攻陷了,对内网的影响也非常小。 2)通过隔离开关和双主机模式可以物理断开内外网之间的物理连接。由于电子开关是可控的,关键时刻可以使用开关断开内网网之间的物理连接,保障内外的安全性。 3)隔离设备可以断开TCP连接。 4)隔离只提供原始应用数据的交换,而不是基于TCP协议的应用数据交换。 5)隔离设备提供内容检查机制。 6)细粒度足够细的日志审计功能。 7)稳定性。 8)可管理性。 2、 基本组成及功能描述、外部接口说明: (1)组成 安全隔离与信息交换系统通常采用2+1安全体系架构,即外端安全处理子系统、隔离不见子系统和内部安全处理子系统,如下图所示: 图 9系统结构 (2)系统功能 图 10系统功能框架 主要功能: 1)网络隔离与安全防护
2)结构化和非结构化数据交换
3)定制协议交换
4)实时应用高强度安全交换功能
5)数据缓存功能
6)消息服务功能
7)平台集中管理系统功能
3.4.2.系统软硬件实现1.设计原则和思想 (1)基本原则 基于物理隔离,从而弥补其它安全产品的不足。在保障数据安全的前提下,进行有必要的数据交换。 (2)设计思想 1)物理上断开内外网络; 2)逻辑上断开TCP连接; 3)可控的数据交换; 4)采用专用的封装协议; 5)具有严格的访问控制功能; 6)采用安全的操作系统; 7)良好的可管理性。 2.总体设计方案 (1)从物理上断开内外网络 为了达到内外网络之间的物理断开,同时又能适度交换数据,调研了三类隔离交换机制:网络开关、实时开关和单向连接。 1)网络开关是在一个系统里安装两套虚拟系统和一个数据系统,数据被写入到一个虚拟系统,然后交换到数据系统,再交换到另一个虚拟系统。 2)实时开关,相当于在两个系统之间共用一个交换设备,交换设备连接到网络 A ,得到数据,然后交换到网络 B 。 3)单向连接,指数据向一个方向移动,一般指从高安全性的网络向安全性低的网络移动。数据不能反向、不能交互。 实时开关和单向连接的速度较快,网络开关的速度较慢。 (2)从逻辑上断开 TCP 连接 (3)实现应用数据的交换 采用应用级代理就可以在应用层提取出应用数据,并对应用数据进行细粒度的安全控制。为了达到应用数据交换,必须定义自有的专用封装协议以封装并交换应用数据。 (4)具有严密的访问控制功能 采用应用代理模式可以实现对通信的严密访问控制。应用代理模式可以从 IP 层、传输层、应用层逐层对通信进行访问控制,因此具有极高的访问控制细粒度。 (5)采用安全的操作系统。 (6)良好的可管理性。 3.详细设计 图 11安全隔离与信息交换系统详细设计图 (1)硬件部分 图 12系统硬件设计框图 (2)软件部分 图 13软件高层设计图 4.安全隔离与信息交换产品标准《GB/T 20279-2015信息安全技术网络和终端隔离产品安全技术要求》已经公布。 5.安全隔离与信息交换产品典型部署图 14单一网关部署示意图 图 15内外网安全交换平台部署示意图 图 16服务器区域防护部署示意图 图 17单向数据导入部署示意图 图 18某系统部署网络拓扑图 图 19某行业安全隔离与信息交换系统部署网络拓扑图 图 20某金融系统安全隔离与信息交换系统部署结构图 来源CSDN博客:https://blog.csdn.net/hbzhl1/article/details/51753184,作者:口苗 |
|