面對新型網路攻擊手段的出現和高安全度網路對安全的特殊需求,全新安全防護防範理念的網路安全技術——「網路隔離技術」應運而生。
網路隔離技術的目標是確保把有害的攻擊隔離,在可信網路之外和保證可信網路內部資訊不外洩的前提下,完成網間資料的安全交換。網路隔離技術是在原有安全技術的基礎上發展起來的,它彌補了原有安全技術的不足,突出了自己的優勢。
隔離技術的發展歷程
網路隔離,英文名為network isolation,主要是指把兩個或兩個以上可路由的網路(如:tcp/ip)通過不可路由的協議(如:ipx/spx、netbeui等)進行資料交換而達到隔離目的。由於其原理主要是採用了不同的協議,所以通常也叫協議隔離(protocol isolation)。2023年,資訊保安專家mark joseph edwards在他編寫的《understanding network security》一書中,他就對協議隔離進行了歸類。在書中他明確地指出了協議隔離和防火牆不屬於同類產品。
隔離概念是在為了保護高安全度網路環境的情況下產生的;隔離產品的大量出現,也是經歷了五代隔離技術不斷的實踐和理論相結合後得來的。
第一代隔離技術——完全的隔離。此方法使得網路處於資訊孤島狀態,做到了完全的物理隔離,需要至少兩套網路和系統,更重要的是資訊交流的不便和成本的提高,這樣給維護和使用帶來了極大的不便。
第二代隔離技術——硬體卡隔離。在客戶端增加一塊硬體卡,客戶端硬碟或其他儲存裝置首先連線到該卡,然後再轉接到主機板上,通過該卡能控制客戶端硬碟或其他儲存裝置。而在選擇不同的硬碟時,同時選擇了該卡上不同的網路介面,連線到不同的網路。但是,這種隔離產品有的仍然需要網路佈線為雙網線結構,產品存在著較大的安全隱患。
第三代隔離技術—資料轉播隔離。利用轉播系統分時複製檔案的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支援常見的網路應用,失去了網路存在的意義。
***隔離技術—空氣開關隔離。它是通過使用單刀雙擲開關,使得內外部網路分時訪問臨時快取器來完成資料交換的,但在安全和效能上存在有許多問題。
第五代隔離技術—安全通道隔離。此技術通過專用通訊硬體和專有安全協議等安全機制,來實現內外部網路的隔離和資料交換,不僅解決了以前隔離技術存在的問題,並有效地把內外部網路隔離開來,而且高效地實現了內外網資料的安全交換,透明支援多種網路應用,成為當前隔離技術的發展方向。
隔離技術需具備的安全要點
要具有高度的自身安全性 隔離產品要保證自身具有高度的安全性,至少在理論和實踐上要比防火牆高乙個安全級別。從技術實現上,除了和防火牆一樣對作業系統進行加固優化或採用安全作業系統外,關鍵在於要把外網介面和內網介面從一套作業系統中分離出來。也就是說至少要由兩套主機系統組成,一套控制外網介面,另一套控制內網介面,然後在兩套主機系統之間通過不可路由的協議進行資料交換,如此,既便黑客攻破了外網系統,仍然無法控制內網系統,就達到了更高的安全級別。
要確保網路之間是隔離的 保證網間隔離的關鍵是網路包不可路由到對方網路,無論中間採用了什麼轉換方法,只要最終使得一方的網路包能夠進入到對方的網路中,都無法稱之為隔離,即達不到隔離的效果。顯然,只是對網間的包進行**,並且允許建立端到端連線的防火牆,是沒有任何隔離效果的。此外,那些只是把網路包轉換為文字,交換到對方網路後,再把文字轉換為網路包的產品也是沒有做到隔離的。
要保證網間交換的只是應用資料 既然要達到網路隔離,就必須做到徹底防範基於網路協議的攻擊,即不能夠讓網路層的攻擊包到達要保護的網路中,所以就必須進行協議分析,完成應用層資料的提取,然後進行資料交換,這樣就把諸如teardrop、land、**urf和syn flood等網路攻擊包,徹底地阻擋在了可信網路之外,從而明顯地增強了可信網路的安全性。
要對網間的訪問進行嚴格的控制和檢查 作為一套適用於高安全度網路的安全裝置,要確保每次資料交換都是可信的和可控制的,嚴格防止非法通道的出現,以確保資訊資料的安全和訪問的可審計性。所以必須施加以一定的技術,保證每一次資料交換過程都是可信的,並且內容是可控制的,可採用基於會話的認證技術和內容分析與控制引擎等技術來實現。
要在堅持隔離的前提下保證網路暢通和應用透明 隔離產品會部署在多種多樣的複雜網路環境中,並且往往是資料交換的關鍵點,因此,產品要具有很高的處理效能,不能夠成為網路交換的瓶頸,要有很好的穩定性;不能夠出現時斷時續的情況,要有很強的適應性,能夠透明接入網路,並且透明支援多種應用。
網路隔離的關鍵點
網路隔離的關鍵是在於系統對通訊資料的控制,即通過不可路由的協議來完成網間的資料交換。由於通訊硬體裝置工作在網路七層的最下層,並不能感知到交換資料的機密性、完整性、可用性、可控性、抗抵賴等安全要素,所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現,而這些機制的實現都是通過軟體來實現的。
因此,隔離的關鍵點就成了要盡量提高網間資料交換的速度,並且對應用能夠透明支援,以適應複雜和高頻寬需求的網間資料交換。而由於設計原理問題使得第三代和***隔離產品在這方面很難突破,既便有所改進也必須付出巨大的成本,和「適度安全」理念相悖。
隔離技術的未來發展方向
第五代隔離技術的出現,是在對市場上網路隔離產品和高安全度網需求的詳細分析情況下產生的,它不僅很好地解決了第三代和***很難解決的速度瓶頸問題,並且先進的安全理念和設計思路,明顯地提公升了產品的安全功能,是一種創新的隔離防護手段。
隔離原理 第五代隔離技術的實現原理是通過專用通訊裝置、專有安全協議和加密驗證機制及應用層資料提取和鑑別認證技術,進行不同安全級別網路之間的資料交換,徹底阻斷了網路間的直接tcp/ip連線,同時對網間通訊的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制,從而保證了網間資料交換的安全、可控,杜絕了由於作業系統和網路協議自身漏洞帶來的安全風險。
彈性成像技術的未來發展方向
作為具有實際商業產品,在彩超中如果要加入彈性成像功能模組,其演算法在操作上必然要支援徒手操作,如果純粹的演算法理論研究,發表,不需要考慮其實際應用,可以完全不考慮演算法支援徒手操作及實時性。據我的了解 可能不全 就目前各彩超廠商產品的技術而言,含彈性成像技術的產品主要有三類 1.準實時回放 彈性成像...
大資料技術得發展方向如何
大資料技術是新一代的技術和體系結構。大資料技術不斷湧現和發展,讓我們處理海量資料變得更容易 更便宜 更快,成為利用資料的好助手,大資料技術已被應用到各個領域。1 在大資料採集與預處理方向 這方向最常見的問題是資料的多源和多樣性,導致資料的質量存在差異,嚴重影響到資料的可用性。針對這些問題,目前很多公...
傾角感測器技術未來發展方向
隨著科學技術的發展,智慧型感測器將會在越來越多的領域充當重要角色,是未來感測器技術發展的主要方向.傾角感測器就是其中之一。本文總結了傾角感測器未來發展的大致方向和應用範圍。一 利用新發現的現象 效應 傾角感測器本來就是基於一系列效應製造出來的,目前應用的效應很多,比如壓電效應 壓阻效應等等,還有一些...