|
||
|
||
| 信息和网络技术已越来越深入地影响着人们工作、生活和交流的方式,通过Internet进行网上冲浪和收发电子邮件也成为许多人日常生活的一部分。整个人类社会的信息化成为历史进程中不可阻挡的潮流和趋势,信息化将席卷社会的每个角落。利用网络和信息技术,许多行业和企业改变了原有的运营和管理模式,包括政府、企业和社区等。近年来,电子政务、电子商务和电子社区建设已如火如荼地开展起来,而这一切都是离不来信息和网络技术的支撑和发展。可以毫不夸张地说,信息和网络系统已成为国家和社会的基础设施之一,就象公路和铁路是工业时代的象征一样,信息和网络系统是未来信息社会的象征。 信息和网络技术给社会生活带来的进步是不言而喻的,但科学从来都是一把双刃剑,有人利用它造福人类,有人却利用它大搞破坏,网络和信息技术也不例外。如同现实社会一样,在网络世界里也存在着偷窥者、骗子和攻击者,越来越多的企业和个人已经感受到来自他们的威胁。这些破坏者利用他们所掌握的知识和信息技术的漏洞来攻击他人,使很多企业、他人蒙受巨大的损失。网络的安全性和可信性已成为社会信息化和信息技术进一步应用的主要障碍之一。 网络和信息安全成为社会讨论和业界研究的热点问题之一,特别是在美国911事件和中美黑客大战之后,“网络安全”和“黑客”成为很多人耳熟能详的词语。很多国家已将信息安全上升到国家安全和立法的高度,信息战已成为一种可以预见的、不见硝烟但破坏力巨大的未来战争形式。信息安全已涉及到国家、企业和个人等不同社会阶层的切身利益。 网络攻击、网络犯罪和网络安全事故在近年来呈快速、稳步上升的趋势,根据CERT组织的统计,从1998年到今年期间,CERT登记网络安全事故的数目每年的增长率超过50%,考虑到很多企业和商业机构出于商业声誉或损失不大考虑,并未向CERT登记安全事故,整个信息安全事故的数目是相当惊人的。从图1可以看出这种增长趋势。  而我国的网络安全现状更加令人担心,根据由“国家信息安全报告”课题组编写的《国家信息安全报告》一书,如果将信息安全分为9个等级,我国的安全等级为5.5,安全形式相当严峻。 随着互联网技术的普及应用,通过网络的入侵已成为破坏信息安全的主要形式之一。互联网将全世界众多的信息设备连接成一个没有边界的大网,信息共享变得非常方便,但威胁随之而来,非法的访问和入侵层出不穷。网络需要安全边界,需要网络安全边界控制产品来阻止非法的访问和入侵。防火墙作为一种边界访问控制类产品,是一种技术较为成熟、应用广泛的网络安全产品,是保护网络安全的常规武器之一,防火墙的安全性来自于规则的完备性和有效性,是一种逻辑隔离产品。防火墙对于保护公司、企业、政府等部门的私有网络安全起到了一定的作用,但还远远不够,据统计,1/3以上的受到过攻击的企业都安装有防火墙,可见,将所有的安全性全部依赖于防火墙是非常危险的。 也许,在目前的技术条件和现状下,正象有些人建议的那样,“拔掉网线”是最安全的解决方案。“物理隔离”的思想也由之而来,最早的物理隔离概念来自于美国和以色列军方,称为“physical disconnection”,但随着时间的推移,物理隔离的概念和含义也在发生变化,并没有一个统一的定义,原来的“physical disconnection”也变成了“Gap Technology”网闸,但不管怎么说,普遍认为“物理隔离”或“网闸”技术具有相对较高的安全性。为保护涉密网络的安全,为此,国家有关部门规定,涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。针对上述规定的各种物理隔离类产品也陆续得到发展和应用。物理隔离类产品由双网,物理隔离卡,隔离集线器,转播站发展到现在的网络安全隔离系统类。 双网是真正的严格意义上的物理隔离,两个网络之间在任何时刻不存在物理链路或逻辑上的连接关系,不存在信息交流,从技术安全性上来说最高,但两个网络成为信息孤岛,对于开展电子政务等应用来说,没有信息交流是不可想象的,另外,建立两套网络系统的成本也很高。 隔离卡将一台计算机划分成为两个独立的虚拟计算机分别连接公共网络和涉密网络。通过隔离卡,用户的硬盘被划分为公共区和安全区,装有独立的操作系统和应用软件,当用户在公共区启动时,计算机连接公共网络,当用户在安全区启动时,计算机连接涉密网,隔离卡在一定程度上比双网节省了硬件费用,但两套软件费用和布线的费用依然存在,同时,隔离卡依然没有解决两个网络之间的信息交换问题。 信息转播站将转播服务器作为信息的载体,先从公共网络上将需要转播的信息转存在转播服务器上,内网用户从转播服务器上下载信息,转播服务针对特定的应用,实时性差。 网络安全隔离系统类是目前开发的热点,它也是由前面所介绍的产品演进而来,现在网络安全隔离系统类实现的形式多种多样,各不相同,但总结起来,有以下几个突出的共同点: ●存在一个独立的第三方存储区作为公共网和涉密网信息交换的唯一媒介 ●公共网和涉密网在任何时刻不能同时访问第三方存储区,这种互斥的访问机制必须非软件逻辑实现。 ●公共网与涉密网之间采用私有协议通讯,进行协议隔离 ●第三方存储区所保存的信息必须是静态的、应用级净荷数据 ●对进入涉密网的数据具有应用级的内容管理功能,如杀毒;对出涉密网的数据具有过滤和控制功能。 ●良好的审计功能。 国家保密局己将此类产品归类为“网络安全隔离与信息交换系统”,是比较准确地定义了此类产品的技术本质。首先,它不同于利用防火墙技术的“逻辑隔离”,独特的硬件设计使连接的双网不存在任何形式的网络层“连接”,可以有效防止已知和未知的基于网络层的攻击,这在以逻辑隔离技术为基础的防火墙上是作不到的。同时,它利用特殊的硬件平台,进行应用层数据的交换,又不能称为严格意义上的“物理隔离”。“网络安全隔离”的定义,一方面有别于“物理隔离”概念,同时又强调了其在“网络层”实现硬件隔离技术的本质。网络安全隔离和信息交换技术兼顾了网络的安全性和网络的可用性,符合“适度安全”的原则。  网络安全隔离与信息交换技术与防火墙技术有着不同的技术发展路径(如下图),也决定了网络安全隔离技术有着更高的安全性,为涉密网络和安全强度有更高要求的网络提供了更好的保护。  大唐永创科技发展有限公司开发的“网络隔离与信息交换系统SafeDoor”于今年4月17日在国家保密局顺利通过了由蔡红副局长主持、曲成义为组长的专家组评审,SafeDoor以独立研制的GapSwitcher核心部件为基础平台,以其高安全性和可靠性、高性能、高可用性和方便的可管理性得到了与会专家的高度评价和一致认可。 Safedoor所采用的网络安全隔离技术为网络边界安全提供了新的思路,为电子政务和电子商务构筑新的安全平台,有力的推动我国信息化、网络化和自动化建设进程。 (责任编辑:郁单曰) |
||
| :查看相关: | ||