劉麗娜
濟南職業(yè)學院 山東 250014
2000年1 月1 日,國家保密局發(fā)布實施《計算機信息系統國際聯網保密管理規(guī)定》明確要求“涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網絡相連,必須實行物理隔離”。該規(guī)定在互聯網發(fā)展初期具有前瞻性的提出,政府上網必須“物理隔離”,及時的把政府上網安全提到一個重要的高度,具有重大意義,因此,各種安全隔離產品應運而生,滿足電子政務中高安全性的物理隔離需求。
隔離網閘是一種由帶有多種控制功能專用硬件在電路上切斷網絡之間的鏈路層連接,并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。系統通常實現不同安全級別網絡之間的安全隔離,并提供適度可控的數據交換的軟硬件系統。
隔離網閘一般分三個基本部分:內網處理單元、外網處理單元和隔離數據交換子系統構成,完成兩個網絡之間的安全受控數據交換,如圖1所示。
圖1 隔離網閘系統的體系組成結構
內網機與高安全級別網絡(內網)相連,外網機與低安全級別網路(外網)相連,數據交換子系統包括即將研制的數據交換卡和專用數據交換協議,數據交換卡為內網機和外網機惟一物理通道,并通過物理開關連接內網機和外網機,隔離網閘系統內部將由獨立的兩套網絡處理系統構成:內網機和外網機。內網機用以處理內部網絡數據,外網機用以處理外部網絡數據,內網機和外網機之間將采用自主研制的HRI?技術相連。HRI?技術支持芯片間的純數據交換,其通路由專用硬件組成而非網絡硬件、軟件組成,因此可保證在內外網間的數據交換不依賴并且不存在網絡通路。在內網機和外網機之間將建立起完全隔離的兩條數據通道:一條僅傳輸內網到外網的數據,另一條僅傳輸外網到內網的數據。通過研制專有通信協議(安全隔離交換協議)保證內網和外網之間只傳遞純數據而不傳遞網絡信息、控制信息等存在安全隱患的內容,保證和內外網間交換信息的純潔、安全、可靠。同時“公用網絡協議?安全隔離交換協議?公用網絡協議”的協議轉換也可以過濾掉絕大部分基于公用網絡協議漏洞的攻擊,做到了內外網間的協議隔離。
計算機網絡依據物理連接和邏輯連接來實現不同網絡之問、不同主機之間、主機與網絡之間的數據交換和信息共享。隔離網閘既能隔離、阻斷了網絡的所有連接,實際上就是隔離、阻斷了網絡的連通。在電子政務系統設計中,必須確定隔離網閘在前網數據服務器和后網數據處理服務器之間的數據交換模式。
在電子政務中,為實現政務內網和政務外網間數據的安全隔離和交換。根據電子政務系統業(yè)務的特點及應用要求,隔離網閘的數據交換模式主要集中在數據庫模式。
數據庫模式:其功能主要負責完成在兩個網絡之間隔離的前提下的基于數據庫的安全數據交換。原理主要是外網機與外網數據庫進行連接,并通過根據配置對需要傳輸數據表進行監(jiān)控,內網機與內網數據庫進行連接,并通過配置對需要傳輸數據表進行監(jiān)控。內外網機一旦發(fā)現所監(jiān)控的數據表有更新(包括增加、刪除、修改),立即對該數據進行提取通過隔離網閘系統放置在另外一邊網絡的數據庫中以實現數據的同步。數據庫交換模式如圖2所示。
圖2 數據庫模式
隔離網閘系統的數據庫數據交換過程如下:
如圖3所示,正常情況下,數據交換子系統和內外網機之間是完全斷開的。這樣,保證了外網和內網之間是完全斷開的。
圖3 正常狀態(tài)
首先外網機一邊與非信任網絡數據庫建立數據連接并通過觸發(fā)機制監(jiān)視待傳輸表的數據變化,另外一邊通過證書驗證機制與數據交換子系統建立安全連接;當數據表中的數據發(fā)生變化時,外網機就會提取非信任網絡的需要交換的數據,并通過外網機把數據交給數據交換子系統的暫存區(qū),此時兩邊在鏈路層是斷開的(如圖4)。
圖4 從外網機讀數據到數據交換子系統
然后數據暫存區(qū)的數據分析處理完后就會交給內網機,此時外網機與數據交換子系統斷開(如圖5)。
圖5 數據交換子系統將數據傳輸到內網機
內網機把交換數據進行安全分析檢查后,確認數據的有效性后遞交給信任網絡的數據庫,把變化數據更新到內部的數據庫中,此時數據交換子系統與內外網又恢復到了正常狀態(tài)(如圖6)。
圖6 數據庫同步完成
在數據傳輸中可以看到:數據傳輸的任一階段在信任網絡和非信任網絡之間都沒有物理鏈路上通路,鏈路上是隔斷的。
隔離網閘系統可應用在不同安全級別的網絡之間,主要應用在:
(1) 不同的涉密網絡之間(如圖7);
(2) 同一涉密網絡的不同安全域之間(如圖8);
(3) 與互聯網物理隔離的網絡與秘密級涉密網絡之間;
(4) 未與涉密網絡連接的網路與Internet之間。具體部署位置如圖7所示。
隔離網閘系統應用在不同的涉密網絡之間:
圖7 不同的涉密網絡之間
隔離網閘系統應用在同一涉密網絡的不同安全域之間:
圖8 同一涉密網絡的不同安全域之間
隔離網閘系統應用在與互聯網物理隔離的網絡與秘密級涉密網絡之間(如圖9):
圖9 與互聯網物理隔離的網絡與秘密級涉密網絡之間
隔離網閘系統應用在未與涉密網絡連接的網路與 Internet之間(如圖10):
圖10 未與涉密網絡連接的網路與Internet之間
本節(jié)根據政府部門電子政務系統應用的特點,在政務內網與政務外網之間需要進行信息數據交換,應用隔離網閘系統,提供多種數據交換方式以滿足系統多方位應用需求,本文的隔離網閘技術即可保護政府電子這個內襯內網數據的保密性,又能方便政府的高校實時地辦公。
[1] 張紅江.網閘技術在社會保障信息系統中的應用.電子工程師.2007.
[2] 鄧智群,劉福,慕德俊等.網絡隔離體系結構研究.計算機應用研究.2005.
[3] 李濤.網絡安全概論.北京:電子工業(yè)出版社.2004.