¿Alguien puede ayudarnos a explicar la diferencia entre una puerta de aislamiento de seguridad y un firewall?
El informe de investigación del FBI/CSI de 2002 muestra que los ataques informáticos están aumentando a un ritmo del 64% anual. Esta amenaza siempre ha existido en áreas clave de nuestro país, especialmente la red gubernamental central (red confidencial), la red privada gubernamental y otros sistemas centrales de proyectos gubernamentales como "Golden Shield", "Golden Trial", "Golden Finance" y "Golden Tax" está ejecutando mucha información confidencial importante y la seguridad de la red y la información es particularmente importante.
En la actualidad, el estado estipula claramente que las redes confidenciales del gobierno deben estar físicamente aisladas de Internet para garantizar la seguridad de la información. De hecho, esto evita eficazmente las amenazas a la red procedentes de Internet. Sin embargo, existe desconfianza mutua entre las redes confidenciales, como entre superiores y subordinados dentro de una industria y entre diferentes departamentos de la industria. Cuando la información fluye, enfrentará problemas de seguridad, por ejemplo, es necesario hacer circular información confidencial en la intranet de seguridad pública; Al mismo tiempo, las redes confidenciales de ambos departamentos tienen recursos altamente sensibles a la información y no hay confianza entre sí, por ejemplo, el flujo de información entre la intranet industrial y comercial y la intranet fiscal, la intranet financiera. y la intranet de aduanas se enfrentan a problemas de interoperabilidad y seguridad de Internet. Por lo tanto, se deben tomar las medidas de seguridad correspondientes para garantizar la seguridad de las intranets confidenciales. Actualmente, se utilizan comúnmente los dos métodos siguientes.
Utilice la copia manual para intercambiar información en aislamiento
En la actualidad, las redes confidenciales suelen estar físicamente aisladas del mundo exterior. Cuando es necesario intercambiar información entre redes confidenciales, suele ser en. la zona intermedia. Instalar servidores de datos en ambos lados e implementar la copia manual por parte de personal de confianza. Mediante la copia manual, se evitan amenazas como los ataques de piratas informáticos desde redes no confiables, pero también trae consigo nuevos problemas. En primer lugar, los gastos generales de gestión de la inversión manual son relativamente altos y ambas partes deben invertir personal para participar en el trabajo de copia de datos; en segundo lugar, el rendimiento en tiempo real de la copia manual es deficiente y no puede aprovechar la comunicación rápida; la conveniencia que brinda la tecnología de la información de red, finalmente, debido al uso frecuente de disquetes u otros medios de almacenamiento, aumenta los canales y las posibilidades de que se propaguen virus y troyanos, lo que genera nuevos problemas de seguridad. Por lo tanto, este método no puede adaptarse a la tendencia de desarrollo del gobierno electrónico.
Utilice firewalls y otros mecanismos lógicos para proteger la seguridad de las intranets confidenciales
Además de utilizar la copia manual para lograr el intercambio de información en condiciones de aislamiento físico, otros departamentos utilizan intranets confidenciales. Se utiliza para lograr un aislamiento lógico de otras redes privadas. Sin embargo, los cortafuegos todavía tienen las siguientes debilidades en su desarrollo.
Figura 1 Desconfianza unilateral en la solución de aislamiento de seguridad entre intranets confidenciales
En primer lugar, el firewall no puede resistir los ataques basados en datos, es decir, una gran cantidad de paquetes de datos legales causan congestión de la red y causan fallas normales en la comunicación; en segundo lugar, es difícil para los firewalls prevenir intrusiones iniciadas por vulnerabilidades en el propio protocolo general; en tercer lugar, las fallas del propio sistema de firewall también son un problema importante que afecta la seguridad interna. Además, solo la configuración correcta y razonable del firewall puede desempeñar su propio papel de seguridad. La complejidad de la configuración no solo genera una carga de trabajo engorrosa para el personal de administración de la red, sino que también aumenta los peligros ocultos causados por una configuración incorrecta. Dado que la tecnología que puede atravesar firewalls está en constante desarrollo, utilizar firewalls como barreras en redes confidenciales es un método de defensa poco confiable.
Del análisis anterior se puede ver que aunque la primera solución logra aislamiento físico, carece de un mecanismo de información en tiempo real y tiene una gran sobrecarga de gestión de personal; la segunda solución utiliza una lógica menos rigurosa en el; Mecanismo de defensa de seguridad. La tecnología de aislamiento se utiliza para proteger la seguridad de la información de las redes confidenciales, lo que sin duda brinda la posibilidad de fuga de datos y destrucción de piratas informáticos. Por lo tanto, ambos no pueden considerarse una solución completa. La tecnología GAP emergente puede proporcionar protección confiable para redes confidenciales. Esta tecnología utiliza hardware dedicado para garantizar que las dos redes logren una transmisión de datos segura y un intercambio de recursos bajo la premisa de que la capa de enlace físico esté desconectada y puede mejorar significativamente la seguridad interna. redes de usuarios.
La tecnología Topwalk Security GAP permite aislar e intercambiar información
Topwalk Security Isolation Gatekeeper (Topwalk-GAP) es desarrollado conjuntamente por Topwalk Security Information Technology Co., Ltd. y el Ministerio de Seguridad Pública El producto de aislamiento de seguridad de nueva generación desarrollado conjuntamente por la Oficina de Comunicaciones es también uno de los productos representativos de la tecnología GAP en China. Este producto utiliza hardware de aislamiento patentado y un diseño único que integra estrechamente múltiples unidades de procesamiento. Integra varios módulos de seguridad y se implementa entre redes confiables y no confiables para prevenir y resistir diversos ataques de red y virus de piratas informáticos, y proporciona a los usuarios una variedad de. métodos de intercambio de información, como transferencia de archivos e intercambio de bases de datos, envío y recepción de correos electrónicos y navegación por la web.
Por lo general, se implementa entre redes internas centrales entre redes confiables y no confiables, utilizando tecnología GAP (aislamiento de seguridad), conversión de protocolos, tecnología de kernel de sistema operativo seguro, tecnología de detección de intrusiones de kernel, tecnología de escaneo de virus y seguridad P&P (Pull and Push) y otras medidas de seguridad. Las tecnologías previenen la información dañina y forman un canal seguro para el intercambio de datos entre redes. El controlador de aislamiento proporciona principalmente los siguientes módulos funcionales, así como módulos personalizados según los requisitos especiales de los usuarios.
Solución de aislamiento de redes confidenciales de confianza unilateral
En el mismo departamento industrial, los superiores y subordinados a menudo enfrentan problemas de flujo de información en redes confidenciales. En este caso, los subordinados suelen confiar en sus superiores. La sensibilidad de los superiores es mayor que la de los subordinados, es decir, las redes confidenciales con diferentes niveles de confianza necesitan intercambiar información. Puede consultar las siguientes soluciones.
Figura 2 Diagrama esquemático del intercambio de información entre redes confidenciales
Como se muestra en la Figura 2, el cuadro de la izquierda representa la intranet confidencial del departamento fiduciario, generalmente el gobierno central, los ministerios. y provincias Las redes internas centrales de departamentos importantes, como agencias gubernamentales, generalmente administran recursos relacionados con secretos de estado, información gubernamental y económicamente sensible en intranets confidenciales, por lo que tienen requisitos de seguridad muy altos. Las intranets de estos departamentos necesitan compartir e intercambiar información con las intranets confidenciales de los departamentos locales y subordinados correspondientes a través de redes privadas. En este caso, suele ser una relación de confianza unilateral en la que la seguridad del superior es mayor que la del subordinado y el gobierno central es mayor que el gobierno local. La solución de seguridad de confianza unilateral mencionada anteriormente entre redes confidenciales puede ser. usado. Esta solución establece el guardián de aislamiento en el extremo confiable y todas las solicitudes se inician desde el extremo confiable, lo que garantiza la seguridad de la red confidencial confiable. Al mismo tiempo, el controlador de aislamiento proporciona a los usuarios una variedad de módulos funcionales para realizar funciones flexibles y convenientes, como el intercambio de documentos oficiales, envío y recepción de correo electrónico, intercambio de bases de datos, etc., satisfaciendo así las necesidades de seguridad de la información entre diferentes redes confidenciales. como departamentos, superiores y subordinados *Disfrutar de la demanda.
Ambas partes no confían en la solución del aislamiento confidencial de la red
En la aplicación de asuntos de gobierno electrónico, a menudo nos encontramos con el problema del intercambio de información entre redes de diferentes industrias. Dado que ambos sectores industriales tienen sus propios sistemas de gestión de información y sistemas de gestión de personal, aún debe lograrse un intercambio de información adecuado garantizando al mismo tiempo un alto grado de seguridad para las redes confidenciales de ambas partes. Como se muestra en la Figura 3, la red interna confidencial del Departamento A y la red interna confidencial del Departamento B son áreas altamente sensibles a la seguridad y generalmente deben estar aisladas de forma segura de la red externa. Dado que la información debe intercambiarse moderadamente entre intranets confidenciales, se debe crear un área intermedia de datos para ambas partes. El área intermedia y las intranets secretas de ambos lados realizan el intercambio de información de forma aislada a través de puertas de aislamiento de seguridad.
La configuración del guardián de aislamiento de seguridad de esta manera se basa en los siguientes puntos: el guardián de aislamiento de seguridad adopta tecnología P&P (Pull and Push) de datos seguros. Todas las solicitudes son iniciadas por la red interna (es decir, la red confiable). final) y procesados externamente. La unidad no proporciona ningún servicio. Por lo tanto, se recomienda configurar un servidor en el área de aislamiento intermedio para proporcionar archivos, correos electrónicos y bases de datos, que es responsable de aceptar los datos enviados por ambas partes, y luego la red secreta solicita activamente extraer los datos requeridos del aislamiento intermedio. área. Esto garantiza que los usuarios que envían o extraen datos sean iniciados activamente por partes confiables de ambas partes. Además, el mecanismo de control de acceso y verificación de identidad adoptado por la puerta de aislamiento segura garantiza la seguridad y confiabilidad del intercambio de información de datos entre las dos partes. , y al mismo tiempo asegura Mejora la operación fácil y en tiempo real de la circulación de información.
La tecnología GAP tiene ventajas en el intercambio de información
Las dos soluciones anteriores utilizan Topwalk Security Isolation Gatekeeper (Topwalk-GAP) como barrera de aislamiento entre redes confidenciales. Este producto ha pasado el enlace físico. La capa entre diferentes redes confidenciales se desconecta para obtener un alto grado de seguridad y permitir diversas formas de intercambio de información entre sí.
Las ventajas en comparación con la copia manual incluyen las siguientes:
Métodos de intercambio flexibles y diversos
La tecnología GAP proporciona intercambio de archivos, intercambio de bases de datos y envío y recepción de correo electrónico , etc. Diversos medios de intercambio seguro de datos. La copia manual solo puede copiar archivos a través de disquetes u otros medios de almacenamiento extraíbles. Cuando hay demasiados archivos o demasiado grandes, es difícil satisfacer la demanda o no se puede lograr al transferir tablas o registros entre grandes bases de datos relacionales.
Intercambio de información oportuno
La tasa de intercambio de datos internos del hardware del producto alcanza los 819,2 Mbps, la tasa de intercambio de datos del sistema alcanza los 120 Mbps, el tiempo de conmutación del hardware es de solo 5 ms y el número máximo El número de conexiones simultáneas ha superado el nivel actual y el límite nacional de 1.500 ha alcanzado más de 5.000, lo que puede garantizar que el intercambio de información en redes internas y externas se complete en un tiempo más corto y puede satisfacer las necesidades de intercambio de información de la mayoría de las oficinas gubernamentales. La copia manual requiere mucho tiempo.
Con función de filtrado de contenido de virus y palabras clave.
La copia manual requiere el uso de medios de almacenamiento móviles como disquetes, que a menudo se convierten en una forma de propagación de virus o troyanos, y no es fácil de gestionar y controlar de forma centralizada. Cuando se utiliza un controlador de aislamiento, los archivos o datos intercambiados se analizarán en busca de virus o contenido de palabras clave, lo que reduce en gran medida los riesgos de seguridad causados por virus o fugas involuntarias de información.
Figura 3 Las dos partes no confían en la solución de aislamiento de seguridad entre intranets confidenciales
En comparación con productos como los firewalls, la tecnología GAP tiene las siguientes ventajas:
Mayor seguridad y confiabilidad que los firewalls
Los firewalls adoptan un mecanismo de aislamiento lógico en la capa de red, que se implementa principalmente a través de políticas de software. Dado que están conectados en la capa de red, es difícil ponerle fin. piratas informáticos experimentados. El guardián de aislamiento de seguridad de Tianxing basado en la tecnología GAP realiza el aislamiento de seguridad entre la red confidencial y el mundo exterior basándose en la capa de enlace, lo que hace que los ataques de los piratas informáticos basados en protocolos de red sean ineficaces. Esto no solo elimina la amenaza que representan las vulnerabilidades de los protocolos comunes. intranet confidencial y también evita que personas externas exploten las puertas traseras y las vulnerabilidades del software y del sistema interno.
Prevenga eficazmente los ataques de red DOS
Dado que los firewalls generalmente se construyen en la ruta del protocolo TCP/IP y necesitan proporcionar servicios externos, los ataques de denegación de servicio (DOS) utilizan TCP/ IP El defecto del protocolo es que la unidad de procesamiento externa de la puerta de aislamiento no necesita ejecutar ningún programa de servidor y garantiza que no exista una ruta de protocolo TCP/IP con la red interna y no acepta conexiones iniciadas desde ningún externo. host (TCP SYN), por lo que el host externo no puede Desde la perspectiva de Internet, es como si estuviera oculto, lo que garantiza efectivamente la seguridad de la puerta de aislamiento y de la intranet.
Prevenir riesgos de red causados por errores de configuración
Sabemos que un firewall se compone de una serie de reglas, que se utilizan para verificar los paquetes de red entrantes y salientes. Normalmente, los firewalls lo son. Es relativamente seguro, pero pueden producirse errores de configuración que provoquen la apertura de canales inseguros, que pueden ser aprovechados por los piratas informáticos. El guardián de aislamiento solo permite el intercambio de información personalizada. Incluso si se produce un error, como máximo los datos ya no se transmitirán y no abrirán la puerta a la seguridad para los piratas informáticos.
Evite las actualizaciones continuas de los sistemas operativos y el software
Por lo general, los firewalls solo pueden prevenir ataques en la capa de red y no pueden proporcionar un buen método de protección para los problemas de seguridad en los sistemas operativos y el software, muchos de ellos. Los usuarios que usan firewalls todavía tienen problemas con el virus "Nimda" es un buen ejemplo. Los usuarios que usan firewalls todavía tienen que actualizar constantemente sus sistemas operativos y navegadores para evitar ataques al sistema debido a estos problemas. El guardián de aislamiento está desconectado en la capa de enlace y prohíbe todas las conexiones de red directas, por lo que puede garantizar de manera efectiva la seguridad del sistema interno y evitar trabajos de actualización complicados para los usuarios.