【摘要】 由于廣播播出的特殊性,為了保證安全�,幾乎所有的廣播自動播出系統均為封閉式設計�,這給工作站的實際應用帶來了很多不利因素��。為了解決這一問題��,我們對目前的安全網閘技術進行了一些探索
【關鍵詞】 安全網閘 GAP
廣播自動播出系統是電臺集制、編����、播于一體的計算機系統�,考慮到廣播節目安全播出的要求����,因此���,我們往往將整個系統設計���、建設成一個完全與辦公網物理隔離的全封閉系統��。在實際工作中��,封閉網絡確實有效的阻止了外來的網絡攻擊和病毒的傳播,杜絕了一切已知的和未知的網絡風險����。但是�����,由于缺少和外界進行一定數據交換的有效途徑,也為我們的日常工作帶來的一個極大的弊端——系統功能受到限制、工作效率降低。例如:外出采訪獲得的素材只能通過音頻方式以1:1的方式進入系統��;外場直播室不能調用廣播大廈數據庫中的節目���;文稿系統和播出系統的融合工作無法開展等等���。解決所有這些問題的方法���,都需要我們找到一條內網和外界進行數據交換的安全途徑����。
為了保證網絡安全,在現有的各種網絡安全技術中�,防火墻是被廣泛使用的主流產品���,它為大多數應用系統提供了較高的可用性和網絡的安全性。然而我們也應該看到���,防火墻雖然能在一定程度上保證網絡及系統的安全,但是針對層出不窮的OS漏洞和網絡層攻擊�,它依然有些力不從心�����,攻破防火墻、攻擊服務器���、數據丟失的事件時有發生,且造成了非常嚴重的后果。因此��,防火墻技術并不能完全滿足我們對系統安全的要求�����,我們需要一種更為完善的網絡安全防范技術來保護網絡安全�,安全網閘(GAP)也許就是目前我們最好的一種選擇���。
一. 網閘實現的技術模型
網閘最基本的設計理念來源于一個簡單的日常工作模型����,該模型期望解決一個矛盾:即如何在最大程度上保護我們私有網絡安全的同時,又可與外界(如Internet)進行安全的交換數據交換�。這實際上也是目前很多廣播電臺的實際工作模型�����,該模型的結構如圖1所示。
在這種工作模型中���,一般由網絡管理員完成在不可信網絡和可信網絡間的數據搬遷操作,往往還會有一個獨立的計算機�����,或者一個與兩個網絡分離的DMZ區域���,用于內容檢查����。系統管理員在辦公網/外網的計算機上將數據拷貝到CD�����、磁盤或磁帶上����,在一臺獨立且經過嚴格審查的計算機上���,對CD���、磁盤或磁帶進行內容檢測�����,包括:病毒掃描���、檢驗該文件格式是否和預先定義的文件格式相符等等�。如果內容檢測為不安全或非法,它們將被丟棄;如果內容是安全和合法的,系統管理員在內網計算機上將數據拷貝到自動播出系統中。
由于國內對網閘技術的理解不同�����,缺乏標準���,所以各個廠家的產品在功能和設計思路上有比較大的差別���,使得市場上出現了兩類網閘產品�����。
一種是采用串、并口�,1394��、USB,網卡或加密卡等實現隔離的安全產品,采用所謂的私有協議或加密信道來傳輸數據�����,希望達到隔離內外網的作用�����。其實這與傳統的被動防護的安全思想相同��,由于沒有硬件的開關隔離裝置,沒有在物理鏈路層上的保障���,使得系統仍然具有傳統安全技術一樣的漏洞隱患和被攻擊的可能。
我們以串口通信方式為例做一個簡單說明:首先���,串口通信方式是一個公開標準的通信協議,串口也就是我們常說的“啞終端”�����。采用串口通信方式很容易增加編程接口�����,如加載TCP/IP,可能受某些軟件編程控制�����,不能有效和徹底地中斷TCP/IP和應用服務���。這些方式通常通過軟件編碼在原有通用協議上作了分析檢測和重組轉化��,屬于基于軟件策略的協議隔離���,在安全性方面缺乏物理層面的保障�����,一些鏈路層協議如PPP和SLIP協議等有可能穿過隔離,軟件編碼也存在漏洞被利用攻擊的可能性����。一旦�����,外部主機被黑客攻破,那么熟悉串口編程技術的黑客就有可能通過TELNET方式或者一些“軟手段”來攻入內網����,這是非常危險的��。
另一種其核心特性就是采用了硬件的物理開關。通過物理隔離開關實現物理鏈路層上的斷開���,隔斷網絡協議,其硬件的不可編程特性在物理層保證了系統的安全性。同時通過獨立的存儲介質與開關的分時連通實現數據的高效邏輯傳輸。
如圖2所示,高速電子開關由一個擺動的半導體電子開關和數據交換池組成�,圖中箭頭標志代表了半導體電子開關�,它可以在外網服務器與內網服務器間擺動,同一時刻開關僅能與一邊服務器連通,該動作模擬人在斷開的內外網服務器間的移動���。與電子開關直接相連的是一個暫存數據的交換池,該結構模擬了人手中的存儲介質。
以下我們將主要對采用硬件物理開關為核心的安全網閘做一些技術分析和探索。
圖3是網閘技術的一種典型工作流程���,從不可信網絡(外網)經隔離網閘到可信網絡(內網)的數據流要經過如下步驟:會話終止—協議檢查—數據抽取—數字簽名—反射GAP——編碼—基于安全策略的決策審查—解碼—會話生成。
會話終止
會話終止是指在外網的服務器通過隔離網閘與內網建立連接時����,隔離網閘的外部網絡接口會通過模擬應用的服務器端����,終止網絡之間的會話連接�,這樣可確保在不可信和可信網絡之間沒有一條激活的會話連接。
協議檢查
對來自連接的數據包進行基于內部RFC的協議分析�,也可以對某些協議進行動態分析����,檢查是否有攻擊成分�����。目前可分析的協議有HTTP����、HTTPS��、FTP��、SMTP、POP3、DNS����、SQL、SOAP等��。
數據抽取和內部封裝
在協議檢查同時,去掉IP頭和TCP頭,將協議分析后的數據包中的數據提取出來�����,然后將數據和安全協議一起通過特定的格式壓縮����,數據封裝,轉化成隔離網閘另一端能接受的格式。
數字簽名
數字簽名是針對壓縮后數據塊進行簽名��,其目的是為了防止其他軟件模擬不可信端處理過的數據�����。因為隔離網閘的內部服務器端始終要對收到的數據進行安全檢查��,如果沒有數字簽名,將浪費內部服務器的處理時間���,降低系統性能。但值得指出�����,攻擊者即使偽造成功�����,也不能對內部服務器造成除處理時間以外的其他損害��,因為無論何種情況發生,內部服務器都必須對得到的數據進行特定順序的安全檢查�����。
每次系統啟動時�����,都會由安全主板的主芯片初始化一個KEY���,并把它傳給相應服務器上的數字簽名模塊�����,此模塊根據這個KEY和加密算法對壓縮格式數據進行簽名,每個會話的數據采用不同的KEY產生數字簽名(由一個KEY變換裝置產生不同的KEY)��,數字簽名校驗由安全主板上的硬件完成����,沒有簽名或簽名不對的數據將被丟棄。
反射GAP
數據包從外部安全電路板內存中取出����,驗證數字簽名��,然后數據塊經過反射GAP中繼到內部安全電路板。
編碼
對已經是靜態的數據塊進行編碼�����,編碼是相對復雜而且基于隨機關鍵字的�。一旦編碼,則打亂了數據或命令的原有格式����,使數據中可能攜帶的可執行惡意代碼失效�����,阻止惡意程序執行��。
基于安全策略的決策審查
&