安全生產(chǎn)工作離不開信息化管理,網(wǎng)絡(luò)技術(shù)在社會(huì)活動(dòng)中的運(yùn)用不斷擴(kuò)大。利用一臺(tái)計(jì)算機(jī)甚至一部微型的手持計(jì)算設(shè)備,我們就可以自由地獲取信息和數(shù)據(jù),這為安全生產(chǎn)管理工作提供了很大的便利。然而便利與安全始終是一對(duì)矛盾體,信息容易獲取的事實(shí)對(duì)普通計(jì)算機(jī)用戶和懷有惡意的計(jì)算機(jī)黑客來說都是對(duì)等的。我們必須利用技術(shù)手段確保自己信息的安全,以保證安全生產(chǎn)管理工作的順利實(shí)施。
筆者在這里介紹物理隔離技術(shù)。這是一種獨(dú)特的、具有特殊功用的計(jì)算機(jī)安全保護(hù)技術(shù),可以解決很多常規(guī)防護(hù)措施無法解決的問題。
我們知道,防火墻是網(wǎng)絡(luò)安全防護(hù)中最常用也最有效的產(chǎn)品類型。然而一些“先天”的問題使得防火墻并不能適用于所有的環(huán)境,操作系統(tǒng)的安全問題會(huì)轉(zhuǎn)嫁到防火墻上,降低防火墻的抗攻擊能力,從而威脅到網(wǎng)絡(luò)的安全。
物理隔離技術(shù)最主要的特色是在于物理隔離產(chǎn)品的理念。與防火墻這樣的產(chǎn)品不同的是,物理隔離產(chǎn)品是在保證絕對(duì)安全的基礎(chǔ)上,提供網(wǎng)絡(luò)之間的互通性;而防火墻產(chǎn)品恰恰相反,首先要保障網(wǎng)絡(luò)互通能力,在此基礎(chǔ)上向用戶提供安全保護(hù)功能。所以在要求絕對(duì)安全的環(huán)境下,物理隔離產(chǎn)品比防火墻更具安全性,因?yàn)槠涔δ芨蛹兇猓旧淼膱?jiān)固程度也更加突出。從這一點(diǎn)也可以看出,物理隔離技術(shù)并不是對(duì)某些已有安全技術(shù)的替代,而更多的是一種特定條件下的網(wǎng)絡(luò)安全解決方案。
常見的應(yīng)用形式
物理隔離最常見的一種應(yīng)用形式是用于分離外網(wǎng)和內(nèi)網(wǎng)。在通常情況下,外網(wǎng)和內(nèi)網(wǎng)被物理隔離設(shè)備完全隔開,兩個(gè)網(wǎng)絡(luò)之間無法進(jìn)行任何數(shù)據(jù)交換。當(dāng)外網(wǎng)有數(shù)據(jù)抵達(dá)內(nèi)網(wǎng)的時(shí)候,位于外網(wǎng)的服務(wù)器會(huì)向物理隔離設(shè)備發(fā)起一個(gè)專用的網(wǎng)絡(luò)連接,隔離設(shè)備負(fù)責(zé)將接到的數(shù)據(jù)與所有網(wǎng)絡(luò)和應(yīng)用協(xié)議剝離,最終將數(shù)據(jù)寫入專用的存儲(chǔ)介質(zhì)。在數(shù)據(jù)完全存儲(chǔ)到存儲(chǔ)介質(zhì)之后,物理隔離設(shè)備會(huì)斷開外網(wǎng)與物理設(shè)備之間的連接,再次發(fā)起一個(gè)與內(nèi)網(wǎng)之間的專用連接,內(nèi)網(wǎng)可以經(jīng)由這個(gè)連接從專用的存儲(chǔ)介質(zhì)中讀取所請(qǐng)求的數(shù)據(jù)。當(dāng)數(shù)據(jù)寫入到存儲(chǔ)設(shè)備以及提供給內(nèi)網(wǎng)之前,可以執(zhí)行諸如數(shù)據(jù)完整性檢測(cè)、防病毒檢測(cè)這樣的內(nèi)容安全檢測(cè),以確保所傳遞的數(shù)據(jù)是安全的。對(duì)于內(nèi)網(wǎng)向外網(wǎng)發(fā)送數(shù)據(jù)的情況也是如此。物理隔離設(shè)備始終保持內(nèi)、外網(wǎng)之間不直接連通。這樣可以避免由于各種協(xié)議的封裝而帶來的不安全問題,因?yàn)閮?nèi)網(wǎng)和外網(wǎng)的計(jì)算機(jī)設(shè)備并不直接通信。
主要的物理隔離產(chǎn)品
物理隔離卡。物理隔離卡是物理隔離技術(shù)的一種低成本實(shí)現(xiàn),其安全性和功能性相對(duì)較差。將隔離卡安裝到計(jì)算機(jī)之后,該計(jì)算機(jī)就具有了兩種不同的工作狀態(tài),并可以在這兩種狀態(tài)之間進(jìn)行切換。這種隔離卡可以連接計(jì)算機(jī)的硬盤和控制計(jì)算機(jī)的網(wǎng)絡(luò)連接。在插接了隔離卡的計(jì)算機(jī)上,硬盤從物理層次被劃分為兩個(gè)區(qū)域,隔離卡的固件通過數(shù)據(jù)傳輸總路線控制磁盤通道。在任何情況下,數(shù)據(jù)只能在一個(gè)區(qū)域上操作。另外,隔離卡可以保證在同一時(shí)間只連接到一個(gè)網(wǎng)絡(luò)當(dāng)中。
物理隔離集線器。這種設(shè)備從本質(zhì)上講是一種多路開關(guān)切換裝置,往往與物理隔離卡配合使用。與物理隔離卡一樣,物理隔離集線器也采用標(biāo)準(zhǔn)的RJ-45網(wǎng)絡(luò)接口,其入口與物理隔離卡相連,出口則分別與內(nèi)網(wǎng)和外網(wǎng)的集線器設(shè)備相連。這種設(shè)備在工作的時(shí)候會(huì)檢測(cè)網(wǎng)絡(luò)隔離卡發(fā)出的專用信號(hào),識(shí)別出所連接計(jì)算機(jī)的工作狀態(tài),并將其網(wǎng)絡(luò)連接切換到相應(yīng)的網(wǎng)絡(luò)中。使用物理隔離集線器可以實(shí)現(xiàn)多臺(tái)獨(dú)立的計(jì)算機(jī)在內(nèi)外網(wǎng)之間的切換,有效提高網(wǎng)絡(luò)的安全程度。
物理隔離網(wǎng)閘。物理隔離網(wǎng)閘雖購置成本高,但安全強(qiáng)度高。它采用“雙主機(jī)”的工作模式,可以從物理層面阻斷所有攻擊連接。雖然采用兩臺(tái)計(jì)算機(jī)也可以搭建這種模式的物理隔離裝置,但是由于計(jì)算機(jī)本身具有操作系統(tǒng),所以在安全性上不如集成式的、專用的物理隔離網(wǎng)閘設(shè)備。由于物理隔離網(wǎng)閘沒有任何網(wǎng)絡(luò)通訊功能,也不具備應(yīng)用層功能,所以很難被攻破。事實(shí)上這類設(shè)備只是依據(jù)物理隔離技術(shù)原理進(jìn)行文件在內(nèi)外網(wǎng)之間的互遞,甚至沒有自己的操作系統(tǒng),只是在固件當(dāng)中集成了特定的一些讀寫命令。物理隔離網(wǎng)閘主要包含三個(gè)部分的硬件,分別是專用安全隔離切換裝置、內(nèi)部處理單元和外部處理單元。
安全文化網(wǎng) www.zltai.com