【摘要】 由于广播播出的特殊性,为了保证安全,几乎所有的广播自动播出系统均为封闭式设计,这给工作站的实际应用带来了很多不利因素。为了解决这一问题,我们对目前的安全网闸技术进行了一些探索
【关键词】 安全网闸 GAP
广播自动播出系统是电台集制、编、播于一体的计算机系统,考虑到广播节目安全播出的要求,因此,我们往往将整个系统设计、建设成一个完全与办公网物理隔离的全封闭系统。在实际工作中,封闭网络确实有效的阻止了外来的网络攻击和病毒的传播,杜绝了一切已知的和未知的网络风险。但是,由于缺少和外界进行一定数据交换的有效途径,也为我们的日常工作带来的一个极大的弊端——系统功能受到限制、工作效率降低。例如:外出采访获得的素材只能通过音频方式以1:1的方式进入系统;外场直播室不能调用广播大厦数据库中的节目;文稿系统和播出系统的融合工作无法开展等等。解决所有这些问题的方法,都需要我们找到一条内网和外界进行数据交换的安全途径。
为了保证网络安全,在现有的各种网络安全技术中,防火墙是被广泛使用的主流产品,它为大多数应用系统提供了较高的可用性和网络的安全性。然而我们也应该看到,防火墙虽然能在一定程度上保证网络及系统的安全,但是针对层出不穷的OS漏洞和网络层攻击,它依然有些力不从心,攻破防火墙、攻击服务器、数据丢失的事件时有发生,且造成了非常严重的后果。因此,防火墙技术并不能完全满足我们对系统安全的要求,我们需要一种更为完善的网络安全防范技术来保护网络安全,安全网闸(GAP)也许就是目前我们最好的一种选择。
一. 网闸实现的技术模型
网闸最基本的设计理念来源于一个简单的日常工作模型,该模型期望解决一个矛盾:即如何在最大程度上保护我们私有网络安全的同时,又可与外界(如Internet)进行安全的交换数据交换。这实际上也是目前很多广播电台的实际工作模型,该模型的结构如图1所示。
在这种工作模型中,一般由网络管理员完成在不可信网络和可信网络间的数据搬迁操作,往往还会有一个独立的计算机,或者一个与两个网络分离的DMZ区域,用于内容检查。系统管理员在办公网/外网的计算机上将数据拷贝到CD、磁盘或磁带上,在一台独立且经过严格审查的计算机上,对CD、磁盘或磁带进行内容检测,包括:病毒扫描、检验该文件格式是否和预先定义的文件格式相符等等。如果内容检测为不安全或非法,它们将被丢弃;如果内容是安全和合法的,系统管理员在内网计算机上将数据拷贝到自动播出系统中。
由于国内对网闸技术的理解不同,缺乏标准,所以各个厂家的产品在功能和设计思路上有比较大的差别,使得市场上出现了两类网闸产品。
一种是采用串、并口,1394、USB,网卡或加密卡等实现隔离的安全产品,采用所谓的私有协议或加密信道来传输数据,希望达到隔离内外网的作用。其实这与传统的被动防护的安全思想相同,由于没有硬件的开关隔离装置,没有在物理链路层上的保障,使得系统仍然具有传统安全技术一样的漏洞隐患和被攻击的可能。
我们以串口通信方式为例做一个简单说明:首先,串口通信方式是一个公开标准的通信协议,串口也就是我们常说的“哑终端”。采用串口通信方式很容易增加编程接口,如加载TCP/IP,可能受某些软件编程控制,不能有效和彻底地中断TCP/IP和应用服务。这些方式通常通过软件编码在原有通用协议上作了分析检测和重组转化,属于基于软件策略的协议隔离,在安全性方面缺乏物理层面的保障,一些链路层协议如PPP和SLIP协议等有可能穿过隔离,软件编码也存在漏洞被利用攻击的可能性。一旦,外部主机被黑客攻破,那么熟悉串口编程技术的黑客就有可能通过TELNET方式或者一些“软手段”来攻入内网,这是非常危险的。
另一种其核心特性就是采用了硬件的物理开关。通过物理隔离开关实现物理链路层上的断开,隔断网络协议,其硬件的不可编程特性在物理层保证了系统的安全性。同时通过独立的存储介质与开关的分时连通实现数据的高效逻辑传输。
如图2所示,高速电子开关由一个摆动的半导体电子开关和数据交换池组成,图中箭头标志代表了半导体电子开关,它可以在外网服务器与内网服务器间摆动,同一时刻开关仅能与一边服务器连通,该动作模拟人在断开的内外网服务器间的移动。与电子开关直接相连的是一个暂存数据的交换池,该结构模拟了人手中的存储介质。
以下我们将主要对采用硬件物理开关为核心的安全网闸做一些技术分析和探索。
图3是网闸技术的一种典型工作流程,从不可信网络(外网)经隔离网闸到可信网络(内网)的数据流要经过如下步骤:会话终止—协议检查—数据抽取—数字签名—反射GAP——编码—基于安全策略的决策审查—解码—会话生成。
会话终止
会话终止是指在外网的服务器通过隔离网闸与内网建立连接时,隔离网闸的外部网络接口会通过模拟应用的服务器端,终止网络之间的会话连接,这样可确保在不可信和可信网络之间没有一条激活的会话连接。
协议检查
对来自连接的数据包进行基于内部RFC的协议分析,也可以对某些协议进行动态分析,检查是否有攻击成分。目前可分析的协议有HTTP、HTTPS、FTP、SMTP、POP3、DNS、SQL、SOAP等。
数据抽取和内部封装
在协议检查同时,去掉IP头和TCP头,将协议分析后的数据包中的数据提取出来,然后将数据和安全协议一起通过特定的格式压缩,数据封装,转化成隔离网闸另一端能接受的格式。
数字签名
数字签名是针对压缩后数据块进行签名,其目的是为了防止其他软件模拟不可信端处理过的数据。因为隔离网闸的内部服务器端始终要对收到的数据进行安全检查,如果没有数字签名,将浪费内部服务器的处理时间,降低系统性能。但值得指出,攻击者即使伪造成功,也不能对内部服务器造成除处理时间以外的其他损害,因为无论何种情况发生,内部服务器都必须对得到的数据进行特定顺序的安全检查。
每次系统启动时,都会由安全主板的主芯片初始化一个KEY,并把它传给相应服务器上的数字签名模块,此模块根据这个KEY和加密算法对压缩格式数据进行签名,每个会话的数据采用不同的KEY产生数字签名(由一个KEY变换装置产生不同的KEY),数字签名校验由安全主板上的硬件完成,没有签名或签名不对的数据将被丢弃。
反射GAP
数据包从外部安全电路板内存中取出,验证数字签名,然后数据块经过反射GAP中继到内部安全电路板。
编码
对已经是静态的数据块进行编码,编码是相对复杂而且基于随机关键字的。一旦编码,则打乱了数据或命令的原有格式,使数据中可能携带的可执行恶意代码失效,阻止恶意程序执行。
基于安全策略的决策审查
&