从物理隔离走向安全隔离

要确保网络安全吗?那就断开网络吧!"这句话并非玩笑。在政府、金融、航天、军事等行业和部门物理隔离技术及产品已经开始发挥着重要的作用。但是这已经不是传统意义上的物理隔离,而是保证信息交换的安全隔离了。

物理隔离作为一种安全管理和技术手段,能够比较有效地防范来自外界对网络和信息系统的安全威胁。但是物理隔离隔断了网络,禁止了数据交换,造成信息化工作无法开展,属于消极的防御方法。

"积极防御",就是说,既不能因为存在信息安全的威胁而消极地停止或者滞后信息化进程,隔断网络使信息不能共享;也不能忽视或者轻视信息安全威胁,使信息系统缺乏安全保障。实现"积极防御"思想的方式方法和技术有很多种,比如从可信计算角度出发解决问题。GAP技术,则是在物理隔离的基础上,基于目前国内的信息安全技术现状,提出的一种适合于电子政务网络安全的"积极防御"技术。

GAP的核心理念

沈昌祥院士指出:"在电子政务的内外网中,要处理的工作流程都是预先设计好的,操作使用的角色是确定的,应用范围和边界都是明确的。"审计部门需要财政部门定期提供财政预算数据,税务部门需要定期向财政部门提交税收数据。电子政务涉及到的网络间和信息系统间的数据传输大都是固定模式、可以明确定义。

基于这样的需求特点,可以变被动为主动,采取与"黑名单"防御技术思路完全不同的方法进行"积极"防御:将正常需要传输和交换的、合法的数据经过明确定义列入"白名单",在网络的边界仅允许"白名单"所定义的应用数据通过,任何其它未知的数据传输一律阻断,并把这一机制用可信的防篡改的专用硬件固化下来。

这一采用"白名单"思路进行积极防御的技术即为GAP技术(也叫安全隔离与信息交换技术)。GAP技术最初来源于物理隔离。为了防范网络、信息系统受到安全威胁,物理隔离禁止网络和信息系统与外界非信任网络的所有数据交换。这种手段固然能够最大程度地保证内部网络和信息系统的安全性,但是网络和信息系统的一些优点也都不复存在。

这是背离信息化方向的,是消极的,与"积极防御"的指导方针背道而驰。另外,物理隔离的消极影响还在于可能会导致内部网络用户出现通过电话线外连、移动计算设备一机多用、用移动存储介质在网络间交换未知数据等潜在威胁。从业界出现的各种关于"主机非法外联监控"技术和相关产品的情况来看,这种潜在威胁已经浮出水面。认为物理隔离能保证高度安全无异于把头埋在沙堆里的鸵鸟。

物理隔离产生消极影响的原因是:用户希望根据业务和应用需求,在物理隔离的网络之间进行安全适度的信息交换。设想,用户需要在相互隔离的网络之间传输一些指定的文件,比如甲部门需要向乙部门定期提供的汇报、审计、总结等信息和数据,那么很自然的方式是采用移动介质,将所需要的文件从一个网络的服务器上拷贝到另外一个网络的服务器上。这种数据交换方式如果加上内容检查(包括病毒查杀在内)机制,保证对所需传输的数据来源、格式和内容的确认,并确保其它未知数据不能在网络之间交换,即可在进行了数据交换的同时保持物理隔离手段所提供的高安全性。

GAP技术按照以上思路,在物理隔离的基础上,发展了安全信息交换的技术。就像上面描述的信息交换过程一样,GAP方式的信息和数据交换过程为:首先保证网络之间的隔离,然后根据业务需求,以"白名单"方式定义在网络间需要交换的数据,再通过主动请求或专用接口的方式获取数据,并且对所交换数据进行格式和内容的检查,最后将数据安全发送到目的地。从而在保持物理隔离的高安全性基础上提供信息交换的功能。基于对实际应用系统的安全需求分析和风险分析,GAP技术采用了独特的软硬件设计架构,保证"白名单"策略的实施。

GAP的技术内涵

GAP这一独特技术思路的实施,需要独特的机制保证。体系结构示意图如下:

首先,GAP硬件采用多主机架构。GAP设备需要对在网络间交换的数据进行预处理。预处理过程包括:将网络上传送的数据还原为应用层数据;对这些数据进行由用户所定义的检查;读取和发送这些应用数据。这些预处理操作在进行数据交换之前必须在独立的主机系统中进行,保证数据的隔离。另外,多台主机用专用硬件串联的架构形成纵深防御,既使外部主机被攻击,也可以保证内部主机的安全。

第二,GAP硬件架构中采用专用防篡改硬件隔断TCP/IP协议通信,保证数据传送和检查机制固化、防篡改,保证网络隔离的有效性。

第三,GAP的"白名单"策略面向应用数据,并对未知来源的主动请求一律拒绝。因为用户对所传输的数据的定义只能是面向应用而不可能面向网络会话或者IP报文。读取和发送这些数据时,GAP采用主动请求(Pull & Push)或者专用安全接口或专用安全客户端的方法。内部网络的服务端口暴露在各种各样的未知请求面前时,很难避免遭受堆栈溢出、绕过安全检查、拒绝服务等的攻击。通过主动请求的方法可以避免开放服务端口;通过专用安全接口或者专用安全客户端进行数据读取和发送可以避免接收未知数据。这样可以避免绝大多数隐患。

最后,GAP提供内容检查机制。内容检查机制首先采用病毒查杀引擎对已知病毒进行查杀。其次内容检查根据用户对数据的定义检查数据的格式和内容。

综上所述,GAP技术隔断了从物理层到应用层所有网络层次的协议通信,因此,可以把GAP理解成"the Gap of All Protocol"的缩写。作为国内GAP概念的提出者,天行网安认为,只要能够有效保证对应用数据进行"白名单"方式传输和交换,实现的方法可以多种多样。但是,GAP概念与防火墙、IDS/IPS等概念还是有明确区分的。