1
什么是隔离装置
年7月,《中华人民共和国国家安全法》(以下简称国家安全法)正式颁布,规定“禁止将涉密信息系统接入国际互联网及其他公共信息网络”。面对各行各业需要将内网的部分信息及业务向互联网公开,提供信息服务的需求,传统的防火墙已经无法满足安全需求,而隔离卡、移动介质这种低效率、低可靠性的解决方案也无法满足企业信息化需要。
安全隔离技术首先出现于国外,最早出现的是物理隔离的概念,以色列首先研发了物理隔离卡,使得一台主机可在两个安全等级不同的区域间来回切换,随后,以色列和美国又出现了基于这种原理的网络隔离产品,在两个网络并不同时连通的情况下进行数据交换与信息共享。目前,各个国家的政府、军队均有采用不同形式的隔离产品保障信息安全。当前隔离技术主要有如下两种实现方式:
1、“摆渡型”,采用多主机系统,连接内外网的主机内装有物理或电子方式的切换开关,确保内外网络间在同一时刻没有通畅的链路,依靠软件控制在两个网络间实现文件转存。
2、“通讯重构型”,采用多主机系统,连接内外网的主机使用专有通信协议进行通讯,从而实现内外部网络的隔离和数据交换,内外网主机实时捕获、分析网络中的数据包,并进行重新封装,并在此基础上实现安全审查与访问控制。
“摆渡型”隔离技术在实时通信、稳定性、安全性方面都面临巨大的、甚至是难以逾越的技术障碍。而“通讯重构型”隔离技术较好地解决了实时通信的问题,但当今黑客技术发展迅速,入侵行为往往分散成多个伪装成正常业务动作的数据包穿越各种防护设备,抵达目标后进行重组并造成危害,令“通讯重构型”隔离产品无法防范。
在我国,政府、企事业单位等均采用隔离技术,解决涉密网与公开网之间信息交换的安全问题,保证网络的保密性、完整性和高可用性。应用领域如电子政务、广电、公安、医疗、银行、电力等。本文介绍了隔离装置的分类、原理、技术架构,再以电力行业较为特殊的SQL代理隔离装置为例,介绍该技术的使用场景。
2
隔离装置的原理
隔离装置系统架构主要由内、外网处理单元和隔离交换单元三部分构成。内网处理单元与内网相连,外网处理单元与外网相连,内、外网处理单元分别负责内外网信息的获取和协议分析,隔离交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,并根据安全策略完成信息的安全检测。
国家保密局对安全隔离与信息交换类产品的应用进行了规定,规定安全隔离与信息交换系统在以下四种网络环境下应用:
不同的涉密网络之间;
同一涉密网络的不同安全域之间;
与Internet物理隔离的网络与秘密级涉密网络之间;
未与涉密网络连接的网络与Internet之间。
针对不同环境下的安全要求,以及通用隔离装置无法对私有协议进行数据内容检查的问题,隔离装置从技术线路上分为单向隔离装置和信息交换隔离装置。
隔离装置用于低安全区域到高安全区域数据流的单向传输,接收端无需任何反馈,以电力企业生产控制大区安全区I/II到管理信息大区安全区III的单向数据传递为例,如图所示:
正向隔离装置用于高安全区域到低安全区域数据流的单向传输,与反向隔离装置不同的是,正向隔离装置允许存在tcp应答,但是从低安全区到高安全区的TCP应答禁止携带应用数据,从而保证数据流的传输是单向的,以电力企业管理信息大区安全区III到生产控制大区安全区I/II的单向数据传递为例,如图所示:
信息交换隔离装置用于在保障信息安全的前提下,在两个不同安全级别的网络区域间进行适量的、可靠的数据交换,通常包含数据库同步、文件同步、数据库访问、邮件访问、安全Web访问、FTP访问等功能。以电子政务内外网的数据交换为例,如图所示:
电力企业内部自研的逻辑强隔离装置仅支持SQL代理方式进行数据交换,以电力企业互联网大区到管理信息大区的数据交换为例,如图所示:
3
Sql型隔离装置的原理和架构
SQL代理隔离装置是在双网隔离条件下提供外网业务系统访问内网数据库功能的专用安全装置,常用于电力信息内外网边界,是一种基于协议隔离的网络安全隔离装置,通过提供兼容JDBC3.0标准的SG-JDBC驱动程序,基于专门设计的私有加密通信协议在SG-JDBC驱动程序与隔离装置间构建安全通道,实现数据库代理访问。通过在内网和外网的网络边界部署SQL代理隔离装置,仅允许内外网间必须的业务数据在可控的数据库通信方式下进行交互,并切断内网主机与互联网之间的任何连接,保证业务访问的可靠性和安全性。
SQL代理隔离装置架构由装置、管理软件客户端、SG-JDBC驱动三大部分组成。装置通过外网处理单元接收外网业务应用访问数据库的SQL请求,根据设定的规则做必要的安全检查和sql语句重建,然后通过内置的相应数据库驱动,经过内网处理单元将请求发送至内网真实数据库服务器,最后将访问应答结果发送至外网业务应用。SQL代理隔离装置相对于应用服务器而言,就是数据库服务器。在应用服务器上,需要使用SQL代理服务器的JDBC驱动与SQL代理服务器进行通信。
4
Sql代理隔离装置使用方式
1、外网应用服务器通过sql语句直接对内网数据库进行增删查改操作。
缺点:如果外网应用服务器被攻击和控制,则整个数据库数据可以被修改和窃取;对多个数据库进行查询时,需要连接多个代理进程,进行多次查询,内外网数据交互效率低;只能单向发起交互,无法从内网主动发起请求。
2、外网应用服务器通过强隔离驱动JDBC方式将查询数据信息写入内网数据库,内网应用服务器通过正常的驱动JDBC方式访问数据库,取到查询参数后返回调用内网业务系统,取到内网数据并将查询结果写回到数据库结果表中。外网应用服务器发现结果表中有数据,查询获取并展示给用户,从而完成内外网之间数据的传输通信。
缺点:如果外网应用服务器被攻击和控制,则整个数据库数据可以被修改和窃取,隔离装置虽然设计是单向的,但是可以部署外网和内网两个应用访问数据库,所以内网和外网应用仍然可以交互信息,增加内网被攻击的风险;内外网应用服务器直接访问数据库接口,由于无法保证消息持久,只能通过同步通信的方式完成数据传输,内外网数据交互效率较低。
3、通过一种基于消息中间件的内外网数据安全高效传输技术,在传输架构中加入消息中间层作为消息持久,保证信息可靠传输;其次,在电力内网中设置专用的穿透数据库,只暂存交互数据,解除与具体业务的强相关性。应用该技术后,内外网应用服务器只和消息中间层进行通讯,不再直接访问内网数据库,实现了与强隔离装置的解耦,大幅提升内外网信息传输效率。
缺点:依然打通了内外网通道,增加内网被攻击的风险。
5
总结
SQL代理隔离装置本质还是信息交换隔离装置,通过减少较多功能来增加安全性,随着信息化进程的不断推进,照片、声音、短视频传输等业务交互需求日益增多,实现信息共享、拆除信息壁垒、联通信息孤岛已成为当前“互联网+”发展下的必然趋势,因此,寻求“安全隔离保障”与“高效互联互通”之间的平衡是当前面临的主要难题,电力企业应该积极创新,拥抱变化,引入第三方厂商,促进市场经济的有效竞争。