国内现有“网络安全隔离与信息交换系统”(安全网闸)产品介绍
物理隔离是我国目前解决涉密网信息安全保密的唯一有效办法,但也带来了信息交换的困难。近几年,为解决这一难题,国内一些有识企业开展了网络安全隔离与信息交换技术的研究,在国外称为AirGap技术或Gap技术。该技术试图在物理隔离的网络间建立“逻辑连接”,在完成信息交换的同时,实现网络的“安全隔离”。
国家保密局对国内现有“网络安全隔离与信息交换系统”(安全网闸)产品进行了检测。检测结果显示,目前国内利用该技术生产的“网络安全隔离与信息交换系统”并不能真正达到物理隔离的要求。
一、“网络安全隔离与信息交换系统”的工作原理
“网络安全隔离与信息交换系统”基本上是用计算机模拟“人工拷盘”的方式实现数据交换的。它主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。
外网处理单元与外网(如国际互联网)相连,内网处理单元与内网(如内部办公网)相连;安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接,并在任何时刻只与其中一个网络连接,读取等待发送的数据,然后“推送”到另一个网络上。在切换速度非常快的情况下,可以实现信息的实时交换。具体过程为:
当外网数据要传送到内网时,外网处理单元会完整地接收所有的TCP/IP数据包,并按照相关RFC标准将其组装成磁盘文件。经过安全检查(如入侵检测、查杀病毒等)后,由安全隔离与交换处理单元将数据文件“摆渡”到内网处理单元,此后,安全隔离与信息交换处理单元与内网处理单元断开,由内网处理单元以TCP/IP数据包的方式将数据传递给内网的主机。
当内网数据要传送到外网时,内网处理单元会完整地接收所有的TCP/IP数据包,并按照相关RFC标准将其组装成磁盘文件。经过保密检查(如内容审查等)后,由安全隔离与交换处理单元将数据文件“摆渡”到外网处理单元,此后,安全隔离与信息交换处理单元与外网处理单元断开,由外网处理单元以TCP/IP数据包的方式将数据传递给外网的主机。
从以上工作原理可以看出其技术特点为:
(1)在网络链路层断开网络连接;
(2)不允许信息以数据包的方式直接进出网络,以纯文件拷贝方式进行交换;
(3)集成了其他的安全防护技术,如入侵检测、防病毒、内容审查技术等。
网络安全隔离与信息交换系统能否满足物理隔离的要求?先了解一下计算机安全保密的要求。
二、计算机安全保密要求
计算机安全保密要求是建立在BLP模型和Biba模型基础上。
1、BLP模型。该模型基于强制访问控制系统(MAC),以信息敏感度来划分资源的安全级别,对主体和客体按照强制访问控制措施的要求进行分类,坚持两条基本规则来保证数据的保密性:(1)主体不可读安全级别高于他的客体,即“不上读”;(2)主体不可将信息写入安全级别低于他的客体,即“不下写”。
2、Biba模型。该模型也基于情知访问控制系统,要求对主体、客体按照完整性级别进行等级划分,它坚持以下两条基本规则来保证数据的完整性:(1)当且仅当客体的完整性级别支配主体的完整性级别时,主体才具有对客体“读”的权限,即“不下读”;(2)当且仅当主体的完整性级别支配客体的完整性级别时,主体才具有对客体“写”的权限,即“不上写”。
BLP模型只解决信息保密性问题,而Biba模型只解决信息完整性问题。目前,还没有人提出两者“统一”的模型。在考虑网络的安全保密性时,必须寻找保密性和完整性之间的平衡点。
三、对“网络安全隔离与信息交换系统”的安全保密性分析
由于我国用户大都使用美国微软的Windows系列操作系统,因而“网络安全隔离与信息交换系统”无法按照两个模型的要求,对所有的主体(如用户、系统进程)和客体(如系统文件、用户数据等)设置安全属性“标签”,如主体的授权等级和完整性级别,以及客体的电子密级标识和完整性级别标识等。这样,“网络安全隔离与信息交换系统”就无法按照BLP和Biba模型的要求建立相应的安全控制策略,根据主、客体的安全属性来决定是否允许信息的交换。
另外,目前我国现有的“网络安全隔离与信息交换系统”虽不允许信息以TCP/IP数据包的方式进行直接交换,在一定程度上减轻了由于网络协议本身漏洞而导致遭受攻击的危险,但是由于我国并不掌握计算机核心芯片以及操作系统的关键技术,以及基于语义分析的人工智能内容检查技术还不完善,病毒检测技术还不能发现新病毒(恶意代码)等原因,该产品不能完全阻止隐藏在操作系统内的特洛伊木马后门程序、新型病毒(恶意代码)和数据驱动式的网络攻击,也不能阻止由邮件程序把隐藏在授权用户发送的合法邮件中的数据,从安全级别高的内网发送到安全级别低的外网上。
因此,从理论上讲,我国目前现有的“网络安全隔离与信息交换系统”(安全网闸)还不能完全保障内、外网信息交换时内网信息的安全保密性,即达不到内、外网物理隔离的要求。国家保密局对该类产品的鉴定意见是:只适用于以下4种场合:(1)不同涉密网络之间;(2)同一涉密网络的不同安全域之间;(3)与互联网物理隔离的网络与秘密级网络之间;(4)未与涉密网络连接的网络与互联网络之间。
出处:山东省保密局 发布时间:2005-6-11 9:54:48