◆贾 峰
单位网络安全隔离与数据交换技术的应用
◆贾 峰
(西山煤电物资供应分公司 山西 030053)
随着互联网信息技术的迅速发展,企业在网络环境下也在逐步建立健全内部的综合信息平台。结合单位的实际情况,单位的信息数据交换频繁复杂,且与集团内部各单位都有数据互联,各单位涉及了不同等级的涉密信息,在单位之间必须进行安全隔离。因此采用更好的网络安全隔离措施来保证数据信息的完整性、机密性成了单位信息化平台改造急需解决的核心问题。
信息综合平台;网络隔离技术;网络安全隔离;数据交换
近些年,随着单位信息数据交换的增加,业务电子信息的规范化,网络空间安全形势愈加严峻。如Web应用服务器、各操作系统、第三方软件、网络设备等的漏洞,虽未威胁到单位的业务系统,但信息服务人员的常态化漏洞检查、整改仍避免不了存留有安全隐患[1];路由器、交换机、防火墙等网络与安全设备是构成单位网络的基础,一旦发生故障或被攻击,会造成大面积断网事件和大规模的数据泄露,尤其外部人员利用某些代码和工具修改防火墙安全策略,对目标路由器进行攻击所带来的损失是无法估量的[2]。因此加强单位内部与外部网络的安全措施,保障信息数据交换的完整性、私密性是网络信息系统平台安全运行的首要基础。
综合信息平台主要由三部分构成,单位内部网、集团各单位业务网和集团外网。根据集团对各单位网络的使用范围和隔离效果进行规定,集团外网上处理的一般都是公开信息,而单位与集团各单位业务系统网属于涉密网络,为确保业务系统的正常运行和信息安全,因此规定单位内网和各单位业务网必须实行网闸隔离才能保证信息系统稳定安全。综合信息平台网络结构图如图1。
图1 综合信息平台网络结构图
网络隔离技术是指在可信网络之外和可信网络内部信息不外泄情况下,通过隔离有害攻击,完成网间数据的安全稳定交换。目前有多种形式的网络隔离,如物理隔离[3]、协议隔离和VPN隔离等。无论采用什么形式的网络隔离,其实质都是数据或信息的隔离。网络隔离的重点是物理隔离[4]。物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。下面将不同的网络隔离技术进行比较,见表1。
表1 网络隔离技术比较
根据单位实际网络环境,需要将网络隔离数据交换技术应用到现有网络平台,内、外网既要安全隔离还要保证数据交换的安全需求,现介绍这项技术的原理和在实际当中的工作流程。
互联网体系结构由OSI模型[5]来描述,而来自外部的攻击都是基于其中一层或多层,如果断开该OSI数据模型的七层,就可以消除以互联网为载体的攻击。
(1)OSI的最底层是物理层,它提供基于物理链路的传输机制。物理层的逻辑表示和传输均具有被攻击的可能。把物理层断开,可能导致OSI模型其它层的工作机制失效。但物理层的断开只解决基于物理层的攻击,并不表明可以解决对0SI模型其他层的攻击。
(2)数据链路层是建立在物理层上可进行数据通信的数据链路,数据链路依据通信协议实现。数据链路层的断开对建立的控制信号进行消除,使得通信链路无法直接建立;由于阻断协议,它无法保证每一次通信链路数据传输的正确性;破坏了数据通信的基础,也因此消除了基于数据链路的攻击。
(3)网络层协议的基础是基于IP数据包的传输机制。网络层的断开,可对IP协议进行剥离,数据包的相关信息就会被阻断,从而不会暴露内部的网络结构,同时IP碎片也被消除,所以攻击者无法通过针对IP协议的漏洞实施攻击。
(4)传输层是基于可靠传输的TCP协议和不可靠的UDP协议。传输层的断开,就是剥离TCP或UDP协议,TCP序列号、端口信息均被阻断。
(5)会话层的断开消除了一个应用会话的连接,关闭了交互式的应用会话。
(6)表现层的断开主要是消除了跨平台的应用。
(7)应用层是为用户提供服务的接口。应用层的断开,就是对所有的应用协议进行剥离,并没有实现应用层的断开,只是实现了应用层的检查。
网络隔离技术是在网络隔离的环境下如何进行交换数据,而不是为了断开而进行网络隔离。隔离区域由两台计算机、独立的固态存储介质和一个单纯的调度与控制电路组成[6]。外网和内网完全是断开的,隔离设备外部主机和外网相连,隔离设备内部主机和内网相连,每一次数据交换,隔离设备都经历了接收、存储和转发三个过程,图2为网络隔离下的数据交换流程。
图2 网络隔离下的数据交换流程
(1)线路标识1,内网发起请求,必须通过网络隔离设备进行摆渡。请求数据先到达网络隔离内网主机,由内网主机对数据连接的所有TCP/IP协议进行剥离,将原始的数据写入固态存储介质。根据应用的不同,对存储数据进行完整性和安全性检查,防止病毒或恶意代码侵入[7]。数据写入网络隔离存储介质后立即切断与网络隔离的内网主机。
(2)线路标识2,网络隔离存储介质发起,对网络隔离外网主机进行非TCP/IP协议的数据连接,发送数据,网络隔离外网主机收到数据后,立即进行TCP/IP的封装和应用协议的封装,并发送给外网。在控制台接收到完整的交换信号之后,网络隔离存储介质立即切断与外网主机的直接连接,并断开网络回到初始状态。
(3)线路标识3,如果外网向内网进行响应信息返回给内网,同样经过网络隔离设备的摆渡过程,网络隔离的外网主机接受外网的数据后,建立与存储介质之间的非TCP/IP协议的数据连接,剥离所有的TCP/IP协议和应用协议,得到原始数据,并将数据写入网络隔离的存储介质。根据需要,对数据进行预防病毒处理和恶意代码检测,切断与网络隔离的外网主机的直接连接,回到初始断开状态。
(4)线路标识4,存储介质发起与对网络隔离的内网主机的非TCP/IP协议的数据连接,将存储介质的数据发送给网络隔离的内网主机。网络隔离内网主机收到数据后,立即进行TCP/IP的封装和应用协议的封装,发送给内网,控制台收到信息处理完毕后,立即中断隔离设备与内网的连接,恢复到初始断开状态。
单位在原有网络环境下进行网络隔离技术方案的改进后,经过不定期的监测,在业务数据的交换过程中,没有出现任何有病毒侵入和攻击现象,保证了各单位业务系统的正常运行,实现了原定的电子业务安全目标。任何的系统都不可能做到十全十美,因为在个人用户的一些不当操作,如在进行U盘、移动硬盘传输文件时,有携带文件病毒的文件误拷贝到操作系统内,进而盗取用户的个人信息等,还有部分病毒对操作系统进行破坏,针对这类攻击的对策就是发现一次解决一次,并定期对各用户终端进行网络病毒查杀,在内网设置传统的防火墙、入侵检测、审计系统等安全防护[8],尽最大努力对在用户端终端可能发生的任何不安全行为做好防护。
因单位现有的网络系统在结合当前业务的前提下,实施了最有效的网络隔离安全防御手段。随着互联网技术更深层次的发展,我们将一如既往地继续将单位内网和外网的信息安全放在首位,在以后的工作中,我还将和团队继续对信息网络数据的安全进行更深层次的研究。
[1]洪京一.世界信息技术产业发展报告[M].社会科学文献出版社,2015.
[2]尹丽波.世界网络安全发展报告[M].社会科学文献出版社,2018.
[3]SushilJajodia.网络空间态势感知问题与研究[M].国防工业出版社, 2014.
[4]360互联网安全中心.互联网安全的40个智慧洞见[M].人民邮电出版社,2016.
[5](美)海吉(Yusuf Bhaiji)著;田果,刘丹宁译.网络安全技术与解决方案(修订版).人民邮电出版社,2010.
[6]梅祥岸,赵良水,王维等.网络安全隔离与数据交换技术在三峡梯调生产系统中的应用[C]//中国水力发电工程学会自动化专委会换届大会暨全国水电厂自动化技术2012年度学术交流研讨会,2012.
[7]黄传河.网络规划设计师教程[J].清华大学出版社,2009.
[8] BehrouzA,Forouzan.密码学与网络安全[M].清华大学出版社,2017.