气井缓蚀剂厂家
免费服务热线

Free service

hotline

010-00000000
气井缓蚀剂厂家
热门搜索:
行业资讯
当前位置:首页 > 行业资讯

当网闸比防火墙更安全的技术选择

发布时间:2021-09-15 02:20:17 阅读: 来源:气井缓蚀剂厂家

闸:比防火墙更安全的技术选择

一、概述

如今,络隔离技术已经得到越来越多用户的重视,重要的络和部门均开始采用隔离闸产品来保护内部络和关键点的基础设施。目前世界上主要有三类隔离闸(物理隔离交换/SGAP)技术,即SCSI技术,双端口RAM技术和物理单向传输技术。SCSI是典型的拷盘交换技术,双端口RAM也是模拟拷盘技术,物理单向传输技术则是二极管单向技术。本文就是和大家一起来探讨物理隔离交换技术的应用。

大家知道,随着互联上黑客病毒泛滥、信息恐怖、计算机犯罪等威胁日益严重,防火墙的攻破率不断上升,在政府、军队、企业等领域,由于核心部门的信息安全关系着国家安全、社会稳定,因此迫切需要比传统产品更为可靠的技术防护措施。物理隔离闸最早出现在美国、以色列等国家的军方,用以解决涉密络与公共络连接时的安全。在电子政务建设中,我们会遇到安全域的问题,安全域是以信息涉密程度划分的络空间。涉密域就是涉及国家秘密的络空间。非涉密评定各种光滑剂的光滑功能的环块磨擦磨损实验机域就是不涉及国家的秘密,但是涉及到本单位,本部门或者本系统的工作秘密的络空间。公共服务域是指不涉及国家秘密也不涉及工作秘密,是一个向互联络完全开放的公共信息交换空间。国家有关文件就严格规定,政务的内和政务的外要实行严格的物理隔离。政务的外和互联络要实行逻辑隔离,按照安全域的划分,政府的内就是涉密域,政府的外就是非涉密域,互联就是公共服务域。国家有关研究机构已经研究了安全闸技术,以后根据需求,还会有更好的闸技术出现。通过安全闸,把内和外联系起来;因此闸成为电子政务信息系统必须配置的设备,由此开始,闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。

二、闸的概念

闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

安全隔离与信息交换系统,即闸,是新一代高安另外全度的企业级信息安全防护设备,它依托安全隔离技术为信息络提供了更高层次的安全防护能力,不仅使得信息络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。

第一代闸的技术原理是利用单刀双掷开关使得内外的处理单元分时存取共享存储设备来完成数据交换的,实现了在空气缝隙隔离(Air Gap)情况下的数据交换,安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。

第二代闸正是在吸取了第一代闸优点的基础上,创造性地利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外之间高速的数据交换,有效地克服了第一代闸的弊端,第二代闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现的,虽然仍是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但却提供了比第一代闸更多的络应用支持,并且由于其采用的是专用高速硬件通信卡,使得处理能力大大提高,达到第一代闸的几十倍之多,而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,从而在保证安全性的同时,提供更好的处理性能,能够适应复杂络对隔离应用的需求。

闸(SGAP)与传统防火墙的技术特点对比如下表所示:

三、闸工作原理

隔离闸(安全隔离与信息交换),是在保证两个络安全隔离的基础上实现安全信息交换和资源共享的技术。它采用独特的硬件设计并集成多种软件防护策略,能够抵御各种已知和未知的攻击,显著提高内的安全强度,为用户创造无忧的络应用环境。

GAP源于英文的“Air Gap”,GAP技术是一种通过专用硬件使两个或者两个以上的络在不连通的情况下,实现安全数据传输和资源共享的其中技术。GAP中文名字叫做安全隔离闸,它采则分辨力为0.3N用独特的硬件设计,能够显著地提高内部用户络的安全强度。

GAP技术的基本原理是:切断络之间的通用协议连接;将数据包进行分解或重组为静态数据;对静态数据进行安全审查,包括络协议检查和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的身份认证机制获取所需数据。

安全隔离与信息交换系统SGAP一般由三部分构成:内处理单元、外处理单元和专用隔离硬件交换单元。系统中的内处理单元连接内部,外处理单元连接外部,专用隔离硬件交换单元在任一时刻点仅连接内处理单元或外处理单元,与两者间的连接受硬件电路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一时刻仅连通内部或者外部,既满足了内部与外部络物理隔离的要求,又能实现数据的动态交换。SGAP系统的嵌入式软件系统里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机制,可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应用于银行、政府等部门的内部络访问外部络,也可用于内部的不同信任域间的信息交互。

四、闸的应用定位

1)涉密与非涉密之间;

2)局域与互联之间(内与外之间);

有些局域络,特别是政府办公络,涉及政府敏感信息,有时需要与互联在物理上断开,用物理隔离 闸是一个常用的办法。

3)办公与业务之间

由于办公络与业务络的信息敏感程度不同,例如,银行的办公络和银行业务络就是很典型的信息敏感程度不同的两类络。为了提高工作效率,办公络有时需要与业务络交换信息。为解决业务络的安全,比较好的办法就是在办公与业务之间使用物理隔离闸,实现两类络的物理隔离。

4)电子政务的内与专之间

在电子政务系统建设中要求政府内望与外之间用逻辑隔离,在政府专与内之间用物理隔离。现常用的方法是用物理隔离闸来实现。

5)业务与互联之间

电子商务络一边连接着业务络服务器,一边通过互联连接着广大民众。为了保障业务络服务器的安全,在业务络与互联之间应实现物理隔离。

五、闸的应用领域

目前,象国产的中隔离闸、伟思络安全隔离闸、联想御安全隔离闸等厂家闸产品可以满足信任络用户与外部的文件交换、收发邮件、单向浏览、数据库交换等功能,同时已在电子政务中,如政府内部的领导决策支持系统、政务应用系统(OA系统、专用业务处理系统)和公共信息处理系统(信息采集系统、信息交换系统、信息发布系统等)得到应用,闸很好地解决了安全隔离下的信息可控交换等问题,从而推动了电子政务走向应用时代。

由于闸可以实现两个物理层断开络间的信息摆渡,构建信息可控交换“安全岛”,所以在政府、军队、电力等领域具有极为广阔的应用前景。闸有会突破电子政务外与内之间数据交换的瓶颈,并消除政府部门之间因安全造成的信息孤岛效应。目前闸大都提供了文件交换、收发邮件、浏览页等基本功能。此外,闸产品在负载均衡、冗余备份、硬件密码加速、易集成管理等方面需要进一步改进完善,同时更好地集成入侵检测和加密通道、数字证书等技术,也成为新一代闸产品发展的趋势。

目前国外有Whale公司的e-GAP系统、Spearhead公司的NetGAP等闸产品,在军政、航天、金融等部门被采用。Whale公司将e-GAP系统定位为应用层的防护设备。该产品通过隔离服务器、数据暂存区、隔离开关(Air GAP Switch)、并结合应用层安全控制来达到整体安全。它集成了加密技术、授权认证、PKI、HTTP镜像、规则过滤、Air GAP(空气隔离)等多种安全技术构成软硬一体化平台。

Spearhead公司的NetGAP直接连接两个络。通过插在PCI槽的安全电路板与LVDS总线一起实现了“Reflective GAP”技术,每一个安全电路板包含一对双开关结构,双开关结构确保了在两个络之间一个完全的链路层隔断。数据包从外传至内需要经理会话终止、剥离数据、编码、恶意代码扫描、传输恢复、会话再生等过程,确保内的安全性。另外,NetGAP还提供了入侵监测、负载均衡和容错等扩展功能。

从当前应用情况来看,国内目前闸市场也已经具备一定规模,用户主要集中在政府、公安、电力等对安全性要求很高的重要部门。总之,安全闸适用于政府、军队、公安、银行、工商、航空、电力和电子商务等有高安全级别需求的络,当然闸也可用来隔离保护主机服务器或专门隔离保护数据库服务器。(end)

微机控制门式电子万能试验机
碗扣式万能材料钢管扣件试验机
全自动建筑钢管脚手架扣件试验机
1000Nm汽车转向轴扭转试验机