区块链与信息安全讨论之:浅谈网络隔离(二)

学技术,问问题,找专家,上区块链兄弟

作者:于中阳

本文发表自区块链兄弟,著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

本文约1700字+,阅读(观看)需要10分钟

此次分享是信息安全中的信息安全基础—安全政策解读之网络隔离,信息安全是一个交叉学科,知识点很多、很杂,很多东西需要整理,但其又是当今社会愈发重要的信息技术,其和区块链的联系也颇深。(于中阳 Mercina-zy)

在网络隔离手段中,最常用的是防火墙技术。其主要是通过网络的路由控制,也就是访向控制列表技术。

网络是一种包交换技术,数据包是通过路由交换到达目的地的,所以控制了路由,就能控制通讯的线路和数据包的流向。

所以,早期的网络安全控制方面基本上是防火墙。

但是,防火墙也有一个很显著的缺点。那就是,防火墙只能做网络四层以下的控制,而其对于应用层内的病毒、蠕虫都是没有办法。

当然,这对于初级的安全要求隔离是可以的,但对于需要深层次的网络隔离就显得力不从心了。

在此,我提一下防火墙中的 NAT 技术。

其地址翻译是可以隐藏内网 IP 地址的,很多人把它当作一种安全的防护,并认为没有路由就是足够安全的。

地址翻译,其实是代理服务器技术的一种,其中不让业务访问直接通过,这其实在安全上是前进的,但目前应用层的绕过,NAT 技术很普遍,隐藏地址只是相对的。

目前很多攻击技术是针对防火墙的,尤其防火墙对于应用层没有控制,这就方便了木马的进入。进入到内网的木马看到的是内网地址,直接报告给外网的攻击者, NAT 的安全作用就不大了。

新一代防火墙技术,是通过多重安全网关,通过架设更多的关卡来处理不同类别的事务。

其基本的策略,其实都是架桥的策略。主要是采用安全检查的方式,对应用的协议不做更改,所以速度快,流量大,从客户应用上来看,没有什么不同。

其中,关于网闸的设计,其实形象的借鉴了船闸的概念。其设计采用"代理+摆渡"。

通俗的讲,不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即便是攻击,也不可能一下就进入,在船上总是要受到管理者的各种控制。

补充说明一下,网闸的功能也是存在代理的,当然,这个代理不只是协议代理,而是数据的"拆卸"把数据还原成原始的面貌,拆除各种通信协议添加的:“包头”与“包尾”。

很多攻击是通过对数据的拆装来隐藏自己的,所以,若没有了这些“通信的外衣”,攻击者其实是非常难以藏的。

网闸的安全理念是:网络隔离,即"过河用船不用桥",也就是用“摆渡方式”来隔离网络。

其中,协议隔离,即“禁止采用集装箱运输”,通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用代理方式支持上层业务。

按国家安全要求就是:

1)需要涉密网络与非涉密网络在互联的时候,要采用网闸隔离。

2)若非涉密网络与互联两连通时,采用单向网闸,若非涉密网络与互联网不连通时,采用双向网闸。

交换网络

交换网络的模型来源于银行系统的 Clark-Wilson 模型,主要是通过业务代理与双人审计的思路保护数据的完整性。

交换网络是在两个隔离的网络之间建立一个数据交换区域,负责业务数据交换(单肉或双向)。交换网络的两端可以采用多重网关,也可以采用网闸。

在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。

交换网络的核心也是业务代理。

客户业务要经过接入缓冲区的申请代理,到业务缓冲区的业务代理,才能进入生产网络。网闸与交换网络技术都是采用渡船策略,通过延长数据通信的“里程”,来增加安全保障措施。

网络隔离技术要点

网络隔离技术的安全要点经过概括,有如下几点:

1)要具有高度的自身安全性。

2) 要确保网络之间是隔离的。

3)要保证网间交换的只是应用数据。

4) 要对网间的访问进行严格的控制和检查。

5) 要在坚持隔离的前提下保证网络畅通和应用透明。

总结

网络隔离的关键,其实在于系统对通信数据的控制,即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层,并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素,所以这要通过访问控制、身份认证、加密签名等安全机制来实现,而这些机制的实现都是通过软件来实现的。

因此,隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明的支持,以适应高复杂和高带宽需求的网间数据交换。

文章发布只为分享区块链技术内容,版权归原作者所有,观点仅代表作者本人,绝不代表区块链兄弟赞同其观点或证实其描述。

热文推荐

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180202G13S0G00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券

年度创作总结 领取年终奖励