網絡隔離與企業信息安全

周 全 榮東明 何 遠

[摘要]隨著網絡用戶的增加,網絡的不斷發展,企業信息安全問題也越來越嚴重。從企業的安全現狀分析,網絡隔離技術的發展及改進三個方面進行論述,并對改進后的網絡隔離在實際應用中的注意事項做說明。

[關鍵詞]防火墻木馬網絡隔離

中圖分類號:TP3文獻標識碼:A文章編號:1671-7597(2009)1110071-01

2008年上半年《中國互聯網網絡安全報告》指出國家互聯網應急中心(CNCERT)接收和自主監測的各種網絡安全事件數量與2007年上半年同期相比有較為顯著的增加。網絡攻擊的頻次、種類和復雜性均比往年大幅增加,遭入侵和受控計算機數量巨大,潛在威脅和攻擊力繼續增長,信息數據安全問題日益突出,網絡安全形勢依舊嚴峻。

一、一般企業的網絡安全措施及現狀

企業一般為了自己的應用需要建立了很多的網絡,由企業內部局域網組成,我們通常叫做內網。另一個是現在我們普遍使用的互聯網,它是一個全球性的網絡,通常被叫做外網。網絡安全是從外網安全和內網安全兩部分來講,企業更關注的還是內網的安全,因為內網里有企業的信息,內網信息一旦泄露了,那么重要的企業信息也就泄露了,這對企業來說是很危險的。

企業一般通過ADSL或光纖等接入外網,然后通過路由器與內網相連,其主要安全措施是防火墻。使用的防火墻大體分為3種:包過濾防火墻、狀態檢測包過濾防火墻、應用層代理防火墻。防火墻在網絡安全方面確實能起到一定的保護作用,但仍有不少缺陷。主要表現為:包過濾防火墻不能防御IP欺騙攻擊、D0S拒絕服務攻擊、分片攻擊、木馬攻擊;狀態檢測包過濾防火墻不能防御協議隧道攻擊和繞過防火墻認證的攻擊;應用層代理防火墻只能防御已知病毒的攻擊,而對新的攻擊無法及時預防。

二、網絡隔離的發展與不足

網絡隔離的思想是絕對的隔離就有絕對的安全(這排除內部“間諜”和電磁分析等),是指把兩個或兩個以上可路由網絡(如TCP/IP網絡)的直接連接從物理上斷開,通過隔離保護內部網絡的安全,使信息不致外泄或免受外部網絡的攻擊。隔離概念的出現,是為了保護高安全度的網絡環境。網絡隔離產品發展至今共經歷了五代:

第一代隔離技術:完全的隔離。采用完全獨立的設備、存儲和線路來訪問不同的網絡,做到了完全的物理隔離,但需要多套網絡和系統,建設和維護成本較高。

第二代隔離技術:硬件卡隔離。通過硬件卡控制獨立存儲和分時共享設備與線路來實現對不同網絡的訪問,它仍然存在使用不便、可用性差等問題,有的設計上還存在較大的安全隱患。

第三代隔離技術:數據轉播隔離。利用轉播系統分時復制文件的途徑來實現隔離,切換時間較長,甚至需要手工完成,不僅大大降低了訪問速度,更不支持常見的網絡應用,只能完成特定的基于文件的數據交換。

第四代隔離技術:空氣開關隔離。該技術是通過使用單刀雙擲開關,通過內外部網絡分時訪問臨時緩存器來完成數據交換的,但存在支持網絡應用少、傳輸速度慢和硬件故障率高等問題,往往成為網絡的瓶頸。

第五代隔離技術:安全通道隔離。此技術通過專用通信硬件和專有交換協議等安全機制,來實現網絡間的隔離和數據交換,不僅解決了以往隔離技術存在的問題,并且在網絡隔離的同時實現高效的內外網數據的安全交換,它透明地支持多種網絡應用,成為當前隔離技術的發展方向。

雖然第五代隔離技術是當前的發展方向,但它還存在應用協議的代理模塊不能適應更多的應用環境、各模塊算法實現的效率較低、系統的性能瓶頸、對木馬和僵尸網絡的防御能力不足等問題。想達到更安全的效果還是需要第一代隔離技術。

三、第一代隔離技術實用化的改進

第一代隔離技術因為實現了物理上的完全隔離,所以其安全性能要比其它的高很多,病毒、網絡攻擊等都被網絡隔離而無法在內網實施破壞。其實用性不強主要表現在需要多套獨立的設備和多套獨立布線,所以對其進行改進從而達到實用化是技術的關鍵。以下是具體改進方案:

通過在終端上插一塊網絡隔離卡以及兩塊硬盤,通過選用不同的硬盤和網絡接口,使一臺終端拆分出兩臺終端。在兩臺終端分別安裝操作系統,設定不同的IP地址,通過重啟系統切換到不同的網絡,從而實現網絡隔離的目的。這樣只使用了一套終端,而實現了2套獨立終端的功能,實用性大大加強。

也可以通過修改隔離卡支持單塊硬盤切分技術,實現類似兩塊硬盤的功能。通過使用DM等硬盤工具來劃分硬盤分區,不同的網絡使用不同的分區,使用內網時外網分區是隱藏的,內網無法通過操作系統訪問到外網分區,反之亦然。連接隔離卡的跳線開關,使其變為可記憶狀態,隔離卡記錄了分區信息后,斷開跳線開關。啟動時選擇不同的網絡就選擇了與之對應的分區和操作系統,進一步降低了硬件成本。

對于網絡布線,盡量使用單位原有的線路資源,保持原來的網絡拓撲。通過網絡隔離卡的網卡接口設計,使其接口的1,2,3,6條線對應內網,4,5,7,8對應外網,這樣就能充分利用原有的布線和網絡資源,只需在配線間增加網絡隔離集線器即可。具體如圖1所示,虛線部分為網絡隔離集線器,內、外網分別連接到相應的網絡,但不同的網絡仍然保持物理上的隔離。

其工作原理為:以物理方式將一臺終端拆分為兩個終端,實現終端的雙重狀態,即可在安全狀態(內網),又可在公共狀態(外網),兩個狀態是完全隔離的。網絡隔離卡通過PCI插槽與主板相連,通過網絡隔離卡上的電源設計分別對內、外網的硬盤供電,或者由啟動時控制不同的分區。在任何時候內、外網只能與自己的硬盤或分區交換數據。在使用不同網絡