分析信息交換技術的發(fā)展新動向
硬件隔離,信息擺渡,應用層的細粒度檢查是信息交換系統(tǒng)中最關鍵的三個技術,隨著電子政務和各種社會化便民網(wǎng)絡工程的建設完成,各政府部門和社會管理服務系統(tǒng)希望通過安全的信息系統(tǒng)建設,提高了辦事效率,增加了辦公的透明度,加強了監(jiān)管力度。
因此,各種網(wǎng)上便民應用要求相關部門的業(yè)務網(wǎng)與互聯(lián)網(wǎng)實現(xiàn)信息交換系統(tǒng),同時業(yè)務部門之間的網(wǎng)上辦公系統(tǒng)要求相關業(yè)務網(wǎng)也要實現(xiàn)信息交換系統(tǒng)。在這些網(wǎng)絡安全需求中,安全隔離與信息交換系統(tǒng)(以下簡稱“安全隔離網(wǎng)閘”)得到了廣泛應用。安全隔離網(wǎng)閘市場已經(jīng)開始進入高速增長期。安全隔離網(wǎng)閘的高安全性已經(jīng)逐漸地被政府網(wǎng)絡管理者所認可,從安全隔離網(wǎng)閘現(xiàn)在在公安專網(wǎng)與其外聯(lián)網(wǎng)絡(如印章制作中心網(wǎng)絡、旅店監(jiān)管網(wǎng)絡等),稅務專網(wǎng)與互聯(lián)網(wǎng)、工商專網(wǎng)與互聯(lián)網(wǎng)等政府部門網(wǎng)絡中的廣泛應用就可以得到印證,并且數(shù)十臺以上的集中采購項目已經(jīng)是經(jīng)常可見的。除了政府應用外,軍隊、金融、電力等行業(yè)也認識到了安全隔離網(wǎng)閘的安全價值,在重要的網(wǎng)絡隔離中采購安全隔離網(wǎng)閘來實現(xiàn)高安全的數(shù)據(jù)交換。
安全隔離網(wǎng)閘需求量的迅速增長是以產(chǎn)品成熟為前提的!國家相關部門對安全隔離網(wǎng)閘最基本的技術要求有兩點:一點是硬件架構為“2+1”結構,即由兩個擁有獨立操作系統(tǒng)的主機系統(tǒng)和一個專有的隔離交換模塊組成;另一點是對流經(jīng)的數(shù)據(jù)處理方式,對數(shù)據(jù)包全部在應用層進行重組、深度內(nèi)容檢測之后在網(wǎng)間進行信息“擺渡”。這兩點技術要求已經(jīng)在主流廠商的安全隔離網(wǎng)閘上得到了嚴格的執(zhí)行。
但是,各安全隔離網(wǎng)閘廠商研發(fā)的重點都只是集中在對“擺渡”數(shù)據(jù)的深度檢測實現(xiàn)和提高處理性能上了,筆者在進行廣泛地調(diào)研后認識到安全隔離網(wǎng)閘的技術發(fā)展忽視了其作為網(wǎng)關級安全設備應該進一步具有適應性、可管理性以及自身安全性。以下筆者將從客戶應用需求的角度,展望安全隔離網(wǎng)閘下一步的幾個最新發(fā)展動向。
多網(wǎng)接入安全隔離需求
現(xiàn)在,交警、電業(yè)局、自來水公司等單位在通過銀行實現(xiàn)相關費用代收時一般要與多家銀行進行網(wǎng)絡連接。安全隔離網(wǎng)閘在這樣的網(wǎng)絡中部署時使客戶出現(xiàn)了困擾,原因在于現(xiàn)有各廠商的安全隔離網(wǎng)閘部署時每個主機系統(tǒng)只能連接一個網(wǎng)絡,那么在不能將各家銀行網(wǎng)絡連接到同一個信息交換系統(tǒng)設備上的安全要求下,一般的解決方式只能是有幾家銀行接入就部署幾臺安全隔離網(wǎng)閘。這樣的解決方案很明顯是過于浪費的!
以交警網(wǎng)絡與銀行網(wǎng)絡連接為例,我們仔細分析發(fā)現(xiàn)各銀行網(wǎng)絡相對于交警內(nèi)網(wǎng)都是相同安全級別的網(wǎng)絡。在各銀行網(wǎng)絡在實現(xiàn)無法互訪和分別能與交警內(nèi)網(wǎng)進行數(shù)據(jù)信息交換系統(tǒng)的前提下,是可以通過一臺安全隔離網(wǎng)閘與交警內(nèi)網(wǎng)相連接的。這就要求安全隔離網(wǎng)閘滿足主機系統(tǒng)有多個網(wǎng)絡連接接口,從而實現(xiàn)每一主機系統(tǒng)可以同時連接多個相同安全級別的網(wǎng)絡,并且每個網(wǎng)絡接口之間在系統(tǒng)內(nèi)部固化實現(xiàn)無法互訪。
集中管理需求
防火墻從最初作為獨立的安全設備部署在網(wǎng)絡中,到現(xiàn)在可以通過集中管理控制平臺來實現(xiàn)對多臺防火墻的統(tǒng)一協(xié)同安全防護和設備狀態(tài)監(jiān)控等管理。安全隔離網(wǎng)閘作為與防火墻相類似的網(wǎng)關級安全設備,其管理上也必然有相類似的管理技術發(fā)展脈絡。
當前,市場上的安全隔離網(wǎng)閘還無法實現(xiàn)集中管理功能,但由于安全隔離網(wǎng)閘的規(guī)模性部署增多和對管理人員技能要求更高,所以用戶對安全隔離網(wǎng)閘的集中管理功能的需求已經(jīng)相當迫切。集中式安全管理系統(tǒng),要以統(tǒng)一的策略和集成的平臺對受控網(wǎng)絡進行安全配置和管理。集中管理員能通過集中管理中心可以對全局網(wǎng)絡中的安全隔離網(wǎng)閘完成集中、統(tǒng)一的配置、管理和系統(tǒng)監(jiān)視工作。
集中管理模式對于擁有多臺安全隔離網(wǎng)閘的網(wǎng)絡的安全管理尤為重要。它一方面提高了網(wǎng)絡安全規(guī)則的一致性,增進網(wǎng)絡的安全性,另一方面也為管理員提供了方便的配置和診斷工具,使管理員可以騰出更多精力的關注更高級的安全管理工作。
操作系統(tǒng)抗攻擊需求
用戶對安全隔離網(wǎng)閘操作系統(tǒng)抗攻擊的需求越來越迫切。安全隔離網(wǎng)閘作為網(wǎng)關級網(wǎng)絡安全設備,并且對所有的應用協(xié)議都是在應用層采取代理的方式進行處理,從而導致安全隔離網(wǎng)閘的并發(fā)連接數(shù)都是不高的,如百兆平臺一般并發(fā)連接數(shù)不超過一萬個,這個數(shù)量級與防火墻的少則幾十萬和多則上百萬相比實在太少了。因此,如果在相連網(wǎng)絡中有主機感染網(wǎng)絡病毒或者蓄意發(fā)起DDOS攻擊時,就會導致安全隔離網(wǎng)閘無法響應正常的連接請求,由此出現(xiàn)的網(wǎng)絡故障時有發(fā)生。
安全隔離網(wǎng)閘的操作系統(tǒng)內(nèi)置獨立的入侵檢測功能和抗DDOS攻擊功能將成為必需。其入侵檢測功能要與系統(tǒng)緊密集成,包括包解碼、規(guī)則解析及檢測引擎、日志記錄及報警等子模塊。采用實時入侵檢測機制和自動響應技術,可選擇配置不同的攻擊特征碼,并且支持攻擊特征碼分類,可根據(jù)大類進行特征碼選擇。攻擊的特征庫應包括掃描攻擊、SMTP攻擊、HTTP攻擊、FTP攻擊等多類攻擊,可以檢測到網(wǎng)絡中的絕大多數(shù)入侵行為,可以實時設置阻斷規(guī)則,將入侵及時阻斷。市場需求是產(chǎn)品技術發(fā)展的指揮棒,用戶的迫切需求需要具有研發(fā)實力和市場遠見的安全隔離網(wǎng)閘廠商來完成。
技術發(fā)展需要
安全隔離與信息交換系統(tǒng)(以下簡稱“網(wǎng)閘”)的三項關鍵技術是:硬件隔離,信息擺渡,應用層的細粒度檢查。網(wǎng)閘作為對網(wǎng)絡保護程度接近于物理隔離的安全產(chǎn)品,首先要在硬件上實現(xiàn)物理隔離。因此,網(wǎng)閘的硬件架構上就要是“2+1”,即有兩個主機模塊和一個隔離交換模塊。現(xiàn)在除了個別廠商采用兩個主機模塊直接連接之外,大部分廠商都是采用“2+ 1”的架構,只是各自的交換模塊設計方式不同。
現(xiàn)在國內(nèi)網(wǎng)閘業(yè)內(nèi)的交換模塊設計主要有三類實現(xiàn)方式:專有隔離交換硬件、與主機模塊相同的主機和數(shù)據(jù)存儲模塊。基于要在硬件上實現(xiàn)物理隔離的原則,就要求三個模塊的系統(tǒng)必須互相獨立,并且通過隔離交換模塊控制開關的切換確保兩個主機系統(tǒng)任何時刻不直接相連。網(wǎng)閘支持的應用通常包括數(shù)據(jù)庫的同步和訪問、文件交換、郵件交換和訪問、HTTP訪問、FTP訪問等等。對于各種應用的控制強度和在應用層的檢查力度是檢驗各廠商產(chǎn)品的安全防護能力的驗金石。
用戶安全需要
現(xiàn)在我國各級政府的網(wǎng)絡建設重心已經(jīng)由最初的面子工程轉變成為各級政府電子政務提供基礎應用平臺。政府的網(wǎng)絡基礎建設已經(jīng)基本完成,如網(wǎng)上報稅、網(wǎng)上工商、政府辦公大廳等網(wǎng)絡應用已經(jīng)開始全面展開,大大地方便了公民或企業(yè)辦事。這些應用都要求各政府單位的業(yè)務網(wǎng)與國際互聯(lián)網(wǎng)直接或者間接的進行連接,同時各政府單位又擔心安全和保密問題。網(wǎng)閘基于其自身的高安全性,因此是解決此問題的最佳選擇。網(wǎng)閘以自身的安全隔離特性和極高的檢測機制保證了其保護的網(wǎng)絡主機和網(wǎng)絡不會被入侵。在高安全需求的網(wǎng)絡環(huán)境下,網(wǎng)閘正在全面取代防火墻。
聯(lián)想網(wǎng)御通過多年防火墻的研發(fā)積蓄了豐富的硬件設計、訪問控制、主機安全防護、數(shù)據(jù)深層次檢查等安全產(chǎn)品研發(fā)經(jīng)驗。很多安全技術就已經(jīng)成功移植到網(wǎng)閘上,例如多機負載均衡技術的移植,使聯(lián)想網(wǎng)御網(wǎng)閘最大支持32節(jié)點群集,無需任何第三方負載均衡軟硬件支持。經(jīng)過多年的高速增長,聯(lián)想網(wǎng)御積累了雄厚的資金,從而保障了網(wǎng)御產(chǎn)品擁有相當數(shù)量的、穩(wěn)定的、高素質(zhì)的研發(fā)人員,使聯(lián)想網(wǎng)御的網(wǎng)閘技術能夠傲視群雄,不斷開拓新的市場。同時還有遍布全國的服務體系,可以全方位的7×24小時的支持,保證了用戶的利益和安全。
另外,聯(lián)想網(wǎng)御作為國家《電子政務信息安全等級保護實施指南》的執(zhí)筆單位,對各政府部門的電子政務的安全防護有更深層次的理解。聯(lián)想網(wǎng)御網(wǎng)閘正是在其安全理論的指引下,按照電子政務各種應用特點進行了多種定制開發(fā),真正做到了想用戶之所想。正如使用了聯(lián)想網(wǎng)御網(wǎng)閘的某市政府信息中心主任所說,“網(wǎng)絡安全工作有聯(lián)想網(wǎng)御幫助使我們感到踏實!”
