- 程序有所改变。发帖如还有问题请报告
- 【征集】西西河的经济学,及清流措施,需要主动参与者,『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】一个廉价的内外网隔离解决方案设想,请各位高手指教 -- 闲云野熊
家园 【原创】一个廉价的内外网隔离解决方案设想,请各位高手指教 很多国内政府部门要求政务内网与外网物理隔离,但在办公桌上放置两台计算机很占地方,且费用不低,而且两者之间交换数据文件很不方便。而有些公司提供了内外网切换的解决方案实际上要求在一台桌面计算机内配置两套硬盘和内存,成本依然较高,且切换速度很慢(在一分钟左右)。
我昨天闲暇无事,忽然设想了一种廉价的解决方案,不知是否可行,请河内诸高人指教:
(1) 在桌面计算机上配置一个身份认证客户端软件,实现对上级用户的身份认证和执行相应的访问控制功能。并实现与下面提到的加密文件驱动和网卡驱动的接口。并实现对特定用户行为的日志。
(2)在桌面计算机上配置一个文件系统驱动程序,该程序的加载和使用需要通过身份认证和访问控制,该文件系统驱动作用于本机硬盘上一个专门为存放内网文件的卷。这样对该卷的访问必须通过此文件系统驱动进行,对于其他用户或其他状态,该卷上内容不能解释,无法分辨具体文件。而通过文件系统加载实现保密可以避免对具体文件进行加密影响性能。
在桌面计算机上配置两个网卡,一个用于内网,一个用于外网,然后设计一个网卡驱动程序中间件,该驱动配置在NDIS驱动的中间层,下端与媒体访问层相连,上端与协议驱动连接,基本相当于防火墙过滤器。在该驱动实现如下功能:根据配置要求实现两个网卡一通一断,此通彼断,实现物理隔离。 该驱动也与身份认证客户端互动,实现在特定客户端行为下加载。
这样当特定用户登录并根据授权选择所使用网络后,涉密文件系统和网卡驱动可以根据安全规则可用或不可用。实现保护涉密数据。而由于使用驱动内部过滤规则实现通断,切换速度很快。该技术全部使用软件实现,部署成本很低。
该方案非常灵活,可以实现多种不同安全级别的配置,例如可以满足不同用户身份区别对待上网选择权。还可以配置网络集中授权管理用户权限,避免用户本地私自更改。
请各位高手指点一下,这个思路是否可行,有什么问题。
家园 早就有可靠的解决方案了,而且很廉价:( 长城电脑02还是03为江苏省税务局定制了一批机器,有长城隔离卡的。
隔离卡原理超级简单,双网卡对应双硬盘,分别装系统。拨动开关选择从哪个硬盘启动,只有被选择启动的硬盘和与其对应的网卡才会被供电。
实际相当于两台机器共用一个机箱,而且完全不必担心从外网上有人偷窥储存在内网硬盘上的数据,要在两个盘之间拷贝点数据也只能拆机器:)
家园 哈,偶正这么想呢没想人已经给做出来了 要求物理隔离就不要再琢磨怎么从软件上实现啦...
你做得再好,用户一句话就能把你否掉 -- “这很好,可惜不是真正物理隔离!”
家园 不理解.为什么不直接用两个网络口,直接插拔呢?然后刷新IP不就行了 至少在家里,如果要绕过router,直接连出去,就这么干的.
家园 双网卡+NAT,或者使用路由器就可以解决了吧? 家园 说到底这只是软加密 这个办法不能保护本机上属于内网专用部分的内容。有足够权限的用户,从外网进入,可以绕过你的驱动导出全硬盘的生内容,因为硬盘至少要支持bios读出。硬盘格式数据应该不难搞到,那么剩下的保护就只是软件加密了。如果软件加密完全可靠可以信任,也就没必要搞什么物理隔离了。卷不卷的只是格式划分而已一点保护都没有。专门设计出配套的保险硬盘是可能的,但是多半不会比现有的两套硬盘的解决法便宜。这样至少部分内网的数据就外泄了(本机内网用户所使用的部分)。如果内网安全设置不好,还可能被安装针对内网用户的木马。
家园 搞到硬盘数据不难,如何解释呢? 一个很简单的移位变换就可以挡住解密者了。与破译电报不同,这里你根本知道文件的头和尾在哪。破译者可以得到的只是一长串字节流。
又:软加密安全性并不比硬加密差,只不过软加密占用大量本机运算资源,性能较差而以,这是发展硬件加密的根本原因。但软加密成本低,易于升级,不可偏废。方案中应该强调在文件系统驱动设置加密机制,多谢兄台提醒。
家园 再多说两句 物理隔离是网络安全界公认的最安全的设置,不是绝对安全,而是在其他条件相同情况下,和其他设置相比它可以提供最好的保护。另外它和软件保护并不冲突。也就是说物理隔离的系统仍然可以附加软件保护。不光中国,各国有安全级的网络一样有此要求。
软保护再好也不会等于硬隔离。一来加密算法没有绝对安全一说(移位这种简单算法很好破的),二来IT人员和用户常常会因为不知道或者疏忽而人为制造安全漏洞。物理隔离可以把这种可能减到最小。另外也有不同程度的物理隔离,整机隔离还是硬盘隔离内存隔离等等。一般认为至少要硬盘隔离,也就是说连外网时内网用硬盘要断电。如果要实现内外网同时上可以快速切换,那么内存等其他可以存放可执行指令的部件也都要隔离。不过这样其实和两台机器加kvm切换实际已经没有了太大区别。网卡分不分开没有多大实际意义,也就是用起来方便。如果你相信操作系统的安全性,个人防火墙就可以实现所需功能。而针用户权限(这里就是指区分内外网用户)的软保护从早期的大型机就有了,比如ibm早期的虚拟机操作系统。现在sun还把它跟smartcard认证结合起来,富士通等也在做指纹等biometric认证。
你的想法实际仍然是软保护范畴,不能提供和物理隔离同等的安全性。当然这决不是说软保护没有用处,正相反大多数系统采用的是软保护,比如各种安全操作系统,加密文件系统等等都是例子。这里涉及到一个具体用户要求的问题,如果用户需要的安全性用软保护就可以提供,那么就没有必要非要物理隔离。至于中国政府网有没有必要物理隔离大概就不属于本贴的讨论范围了
元宝推荐:Highway,
家园 你这个方案没有太看懂,并且觉得怪怪的。我从来没有见过这样的网络设计。 美国公司,学校的网络我接触过一些。没听说过“内网外网物理隔绝”这么个概念。我知道的网络安全控制是通过Gateway和Firewall来实现的。
如果想廉价,那么部门内部可以用Switch连在一起组织一个C类网。这样外部无法进入你们的网络(当然你们可以出去)。如果你想Expose内部网络的某台计算机,可以使用DMZ将它暴露出去。如果安全要求稍低一些,使用Router的Port forwarding也可以将内部的web,ftp服务发布出去。
微软的网站有不少组建网络的例子,如果你很认真的话,建议看看。
家园 公路兄可能一直生活在国外,这是国内一种很普通的需求 家园 我可以理解这个概念提出的背景。因为如果想做到信息的绝对 安全,那么就要和外界没有物理接触。否则操作系统,Router这是东西都是“洋货”,有没有“后门”我们很难控制。
但是这个问题具体如何解决我倒有些好奇。
家园 这也算一个特殊需求吧 toHighway]:很有特色需求的物理隔离,呵呵.
而且国内有不少厂商在作这方面的产品,大部分依托于某些部门.
家园 “物理隔离“让我想起了电影《Mission Impossible》里面 美国中央情报局的那种Mainframe计算机,那算是真正的物理隔离。靠两个网卡来回切换我觉得不可靠,因为只要接触外界的时候被坏人打入,那么此后就门户洞开了。
外链图片需谨慎,可能会被源头改家园 物理隔离的考虑正是有鉴于此 如果在连通外网时植入木马,由于无法访问内部网络和内部文件系统,并不能产生后果,切换到内网后,隔断了外网,植入的木马无法向外网发送数据。单纯使用物理隔离不能解决所有问题,还是需要其他安全设施的。只不过相对于逻辑隔离更安全一些。
家园 你的这个方案我觉得有些担心。先假设你的那些加密,认证等等 软件都非常非常非常的可靠,那么漏洞依然很明显。比如说,你用外网网卡上网的时候,恶意的软件(且叫做A)打了进来,那么下列情况就可能发生。
1)A进来的时候,看不到内部文件,它不停的试,不停的失败
2)当你切换到内网的时候,A看到了你的文件,它可以篡改,删除,甚至是向外发送。但是发送行为会失败了,因为外网不通。那怎么办呢,它可以像Email那样将文件放到Outbox去,慢慢的等待机会
3)当你再度切换到外网的时候,A就可以成功地将文件发送出去。
事实上,如果A狡猾一点的话,那它就不用费这么大劲了。它可以控制你的计算机,自主切换网络,随心所欲,任意妄为。从技术上讲这一点也不困难。
物理隔离和防性病的Condom一样,你必须总带着。一次破例,那么你其他的努力就白费了,是不是这样?
