物理隔离网闸——入门篇(1)
一、物理隔离网闸的概念
我国2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。
物理隔离网闸最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全。我国也有庞大的政府涉密网络和军事涉密网络,但是我国的涉密网络与公共网络,特别是与互联网是无任何关联的独立网络,不存在与互联网的信息交换,也用不着使用物理隔离网闸解决信息安全问题。所以,在电子政务、电子商务之前,物理隔离网闸在我国因无市场需求,产品和技术发展较慢。
近年来,随着我国信息化建设步伐的加快,“电子政务”应运而生,并以前所未有的速度发展。电子政务体现在社会生活的各个方面:工商注册申报、网上报税、网上报关、基金项目申报等等。电子政务与国家和个人的利益密切相关,在我国电子政务系统建设中,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。物理隔离网闸成为电子政务信息系统必须配置的设备,由此开始,物理隔离网闸产品与技术在我国快速兴起,成为我国信息安全产业发展的一个新的增长点。
1.1 物理隔离网闸的定义
物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。
1.2 物理隔离网闸的信息交换方式
我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接,实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后,两个独立主机系统之间如何进行信息交换?网络只是信息交换的一种方式,而不是信息交换方式的全部。在互联网时代以前,信息照样进行交换,如数据文件复制(拷贝)、数据摆渡,数据镜像,数据反射等等,物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之间的信息交换。
网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来,物理隔离网闸将外部主机的TCP/IP协议全部剥离,将原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。说到“摆渡”,我们会想到在1957年前,长江把我国分为南北两部分,京汉铁路的列车只有通过渡轮“摆渡”到粤汉铁路。京汉铁路的铁轨与粤汉铁路的铁轨始终是隔离、阻断的。渡轮和列车不可能同时连接京汉铁路的铁轨,又连接到粤汉铁路的铁轨。当渡轮和列车连接在京汉铁路时,它必然与粤汉铁路断开,反之依然。与此类似,物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接,即当它与外部网络的主机系统相连接时,它与内部网络的主机系统必须是断开的,反之依然。即保证内、外网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储(写入)和转发(读出)。
物理隔离网闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP over USB、代理主机、以及通过开关方式来转发信息包有本质的区别。下面以内网与专网之间的物理隔离网闸为例,说明通过物理隔离网闸的信息交换过程。
当内网与专网之间无信息交换时,物理隔离网闸与内网,物理隔离网闸与专网,内网与专网之间是完全断开的,即三者之间不存在物理连接和逻辑连接,如图1所示。
当内网数据需要传输到专网时,物理隔离网闸主动向内网服务器数据交换代理发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的协议剥离,将原始数据写入存储介质。在写入之前,根据不同的应用,还要对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等。
在此过程中,专网服务器与物理隔离网闸始终处于断开状态,见图2所示。
一旦数据完全写入物理隔离网闸的存储介质,开关立即打开,中断与内网的连接。转而发起对专网的非TCP/IP协议的数据连接请求,当专网服务器收到请求后,发出“读”命令,将物理隔离网闸存储介质内的数据导向专网服务器。专网服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,完成了内网到专网的信息交换。详见图3所示。
分享到:
相关推荐
物理隔离网闸,希望对大家有帮助。 物理隔离网闸,希望对大家有帮助。 物理隔离网闸,希望对大家有帮助。
【中网物理隔离网闸X-Gap用户手册】是一份详细介绍公司自主研发的网络安全设备——X-GAP隔离网闸的技术文档。这款产品凝聚了公司在网络安全领域的多年技术积累,旨在提供高安全性的隔离防护解决方案。 隔离网闸X-...
这篇文章主要介绍了基于独立的CPLD或FPGA的控制电路实现物理隔离网闸的设计。物理隔离网闸是一种采用物理隔离技术的网络安全设备,能够在网络间进行安全适度的应用数据交换。其硬件设备主要由三部分组成:外部处理...
传统物理隔离网闸的特征包括:硬件的物理隔离开关部件,可以链路层以下断开或连接所隔离网络的功能,并保证所保护的内外网之间不能同时通过网闸通信,同一时刻只能由一个方向的网络通信;协议的分拆和重组,把所有...
安全隔离网闸技术的核心思想是在物理隔离的基础上,通过白名单的方式定义允许数据的阻断和通行,这既保证了系统的绝对安全,又不会完全隔绝数据交换,实现了安全与效率的平衡。 首先,我们需要理解所谓的物理隔离...
天行安全隔离网闸 技术白皮书 天行安全隔离网闸 技术白皮书
1. **硬件安装**:包括网闸的物理安装位置选择、电源连接、网络线缆连接等,确保设备能正常工作。 2. **系统初始化**:设置设备的基本参数,如IP地址、子网掩码、默认网关等,为后续的网络配置打下基础。 3. **...
1. **"2+1"系统架构**:安全隔离网闸的核心硬件结构包括内网主机系统、外网主机系统和隔离交换矩阵。内网和外网主机系统各自拥有独立的运算单元和存储单元,以确保彼此之间不直接通信,避免了安全风险。VSP...
根据提供的文件信息,本知识点将围绕“基于FPGA的物理隔离网闸设计与实现”展开详细说明。 首先,物理隔离技术是一种网络安全措施,它通过切断内部网络与外部网络之间的直接连接来提供安全保护,避免了TCP/IP协议的...
该架构的设计考虑了电力系统的特点和安全要求,采用了物理隔离网闸技术,实现了电力系统的安全隔离。 物理隔离网闸技术是一种基于网络安全的技术,它可以实现网络的安全隔离,阻断来自外部网络的威胁。这种技术可以...
"深圳利谱TIPTOP隔离网闸系列产品白皮书" TIPTOP隔离网闸系列产品是深圳利谱信息技术有限公司开发的一款高级隔离网闸产品,旨在提供安全、可靠、可扩展的网络隔离解决方案。从技术角度来看,TIPTOP隔离网闸系列产品...
本文将详细介绍物理隔离技术的不同方案及其优缺点,并重点探讨物理隔离网闸技术和物理隔离卡技术的具体实施过程。 #### 二、物理隔离技术方案概述 物理隔离技术是指通过物理手段实现内外网的彻底分离,以此来确保...
外网处理单元与低安全级别网络(外网)相连,数据交换子系统包括即将研制的数据交换卡和专用数据交换协议,数据交换卡为内网机和外网机惟一物理通道,并通过物理开关连接内网机和外网机,隔离网闸系统内部将由独立的...
深信服安全隔离与信息交换系统(网闸GAP)产品白皮书 深信服安全隔离与信息交换系统(网闸GAP)是一款面的安全隔离与信息交换解决方案,旨在帮助企业解决安全隐患和信息交换问题。该系统采用先进的安全技术和架构...
隔离网闸Linux操作系统的安全设计.pdf
(1)物理层断开 网闸采用的网络隔离技术,就是要保证网闸的外部主机和内部主 机在任何时候是完全断开的。但外部主机与固态存储介质,内部主机 与固态存储介质,在进行数据传递的时候,有条件地进行单个连通, 但不...
电厂网络安全隔离设备配置详细步骤教程
1. 独特的2+1平安体系架构,基于ASIC芯片技术设计的专用隔离电子开关系统,实现用户关键网络及服务系统与外界的物理隔断。 2. 全新硬件隔离架构,拥有全线速隔离交换性能,满足大型网络应用对高性能和多条流水线设计...
奇安信网闸是一种网络安全设备,旨在实现两个相互业务隔离的网络之间的数据交换。下面是奇安信网闸产品初级安装配置指南: 一、网闸的工作原理 网闸的工作原理是基于代理实现的,按工作方式可以分为主动模式和被动...