Red de conocimiento del abogados - Consultar a un abogado - ¿Alguien puede explicar la diferencia entre una puerta de enlace de aislamiento de seguridad y un firewall?

¿Alguien puede explicar la diferencia entre una puerta de enlace de aislamiento de seguridad y un firewall?

El informe de la encuesta FBI/CSI de 2002 mostró que los ataques informáticos están creciendo a un ritmo del 64% anual. Esta amenaza siempre ha existido en áreas clave de nuestro país, especialmente los sistemas centrales de proyectos gubernamentales como "Golden Shield", "Golden Trial", "Golden Finance" y "Golden Tax", como la red central de asuntos gubernamentales ( red confidencial), especializada en el gobierno Internet, etc., procesa una gran cantidad de información confidencial importante, y la seguridad de la red y la información es particularmente importante.

En la actualidad, el estado estipula claramente que las redes confidenciales del gobierno deben estar físicamente aisladas de Internet para garantizar la seguridad de la información. Esto evita eficazmente las ciberamenazas procedentes de Internet. Sin embargo, la relación entre redes confidenciales, como la relación entre superiores y subordinados en la industria, y entre diferentes departamentos de la industria, es desconfiada y surgirán problemas de seguridad cuando la información fluya, por ejemplo, información confidencial de la intranet de seguridad pública; ser transferido a la intranet del Comité de Fiscalía, y las dos partes deben Cada departamento tiene recursos de información altamente confidenciales dentro de la red y no confían entre sí. Por ejemplo, el flujo de información entre la intranet industrial y comercial y la intranet fiscal, y la intranet financiera y la intranet aduanera se enfrentan a los problemas de seguridad e interoperabilidad de las redes confidenciales. Por lo tanto, se deben tomar medidas de seguridad adecuadas para garantizar la seguridad de las intranets confidenciales. Hay dos métodos comúnmente utilizados en la actualidad.

Realizar el intercambio de información de forma aislada mediante copia manual

Actualmente, las redes confidenciales suelen estar físicamente aisladas del mundo exterior. Cuando es necesario intercambiar información entre redes confidenciales, los servidores de datos de ambas partes suelen instalarse en el área intermedia y pueden ser copiados manualmente por personal de confianza. La copia manual evita amenazas como ataques de piratas informáticos desde redes que no son de confianza, pero también crea nuevos problemas. En primer lugar, el costo de la gestión de la entrada manual es relativamente alto y ambas partes deben incorporar personal para participar en el trabajo de copia de datos. En segundo lugar, la naturaleza en tiempo real de la copia manual es deficiente y aporta las ventajas de una comunicación rápida y comodidad; finalmente, debido al uso frecuente de disquetes u otros medios de almacenamiento, la propagación de virus y caballos de Troya ha aumentado, lo que genera nuevos problemas de seguridad. Por lo tanto, este método no puede adaptarse a la tendencia de desarrollo del gobierno electrónico.

Utilizar mecanismos lógicos como firewalls para proteger la seguridad de las intranets confidenciales

Además de utilizar la copia manual para lograr el intercambio de información garantizando al mismo tiempo el aislamiento físico, la información confidencial de otros departamentos se protege mediante firewalls. Se utiliza entre redes para lograr un aislamiento lógico de otras redes privadas. Sin embargo, los firewalls todavía tienen las siguientes debilidades.

Figura 1 Desconfianza unilateral en la solución confidencial de aislamiento de seguridad de la intranet

En primer lugar, los firewalls no pueden resistir los ataques basados ​​en datos, es decir, una gran cantidad de paquetes de datos legítimos provocan congestión de la red y paralizar las comunicaciones normales; en segundo lugar, es difícil para los firewalls prevenir intrusiones iniciadas por vulnerabilidades en protocolos comunes; en tercer lugar, las fallas en el propio sistema de firewall también son un problema importante que afecta la seguridad de la intranet; desempeña su propio papel de seguridad y configuración La complejidad ha traído una carga de trabajo tediosa al personal de administración de la red y también ha aumentado los peligros ocultos causados ​​por una configuración incorrecta. Debido a que la tecnología que puede atravesar los firewalls está en constante desarrollo, utilizarlos como barrera en una red confidencial es un medio de defensa poco confiable.

Se puede ver en el análisis anterior que la primera solución logra el aislamiento físico, pero carece de un mecanismo de información en tiempo real y requiere una gran sobrecarga de administración de personal; la segunda solución utiliza tecnología de aislamiento lógico con una seguridad menos estricta; Mecanismos de defensa para proteger la seguridad de la información de las redes confidenciales, esto sin duda brinda la posibilidad de fuga de datos y destrucción de piratas informáticos. Por lo tanto, ambos no pueden considerarse una solución completa. La tecnología GAP emergente puede proporcionar una protección confiable para redes confidenciales. Esta tecnología utiliza hardware especial para garantizar la transmisión segura de datos y el intercambio de recursos entre las dos redes bajo la premisa de desconectar la capa de enlace físico, lo que puede mejorar significativamente la seguridad de la red interna del usuario.

La tecnología GAP en Skynet permite aislar e intercambiar información.

Topwalk-GAP es una nueva generación de productos de aislamiento de seguridad desarrollado conjuntamente por Tianxing Network Security Information Technology Co., Ltd. y la Oficina de Comunicaciones del Ministerio de Seguridad Pública. También es uno de los productos representativos. de la tecnología GAP en China.

Este producto adopta un diseño único de hardware de aislamiento propietario independiente y una estrecha integración de múltiples unidades de procesamiento. Integra varios módulos de seguridad en uno y se implementa entre redes confiables y no confiables para prevenir y resistir diversos ataques de red y ataques de piratas informáticos. métodos de intercambio de información, como transferencia de archivos e intercambio de bases de datos, envío y recepción de correos electrónicos y navegación por la web. Por lo general, se implementa entre redes internas centrales entre redes confiables y no confiables, utilizando tecnologías de seguridad como la tecnología Pamp, conversión de protocolos, tecnología de kernel de sistema operativo seguro, tecnología de detección de intrusiones de kernel, tecnología de escaneo de virus y Pampp seguro (pull and push), para eliminar los daños. información y formar un canal seguro para el intercambio de datos entre redes. La puerta de enlace de aislamiento proporciona principalmente los siguientes módulos funcionales y módulos personalizados según los requisitos especiales de los usuarios.

Una solución unidireccional de aislamiento de redes de confianza y confidencialidad

En el mismo campo industrial, las redes de clasificación subordinadas a menudo enfrentan problemas de circulación de información. En este caso, los subordinados suelen confiar en sus superiores y la sensibilidad de la información de los superiores es mayor que la de los subordinados. Es decir, las redes confidenciales con diferentes niveles de confianza necesitan intercambiar información.

Figura 2 Diagrama esquemático del intercambio de información entre redes clasificadas

Como se muestra en la Figura 2, el cuadro de la izquierda representa la intranet confidencial del departamento de confianza, generalmente el gobierno central o los ministerios. , agencias provinciales, etc. La intranet central de departamentos importantes. En las intranets confidenciales se suelen gestionar recursos que involucran secretos nacionales, gubernamentales e información económicamente sensible, por lo que los requisitos de seguridad son muy altos. Las redes internas de estos departamentos necesitan compartir e intercambiar información con las redes internas confidenciales de los departamentos locales y subordinados a través de redes privadas. En este caso, suele ser una relación de confianza unilateral donde la seguridad de los superiores es mayor que la de los subordinados, y el gobierno central es superior a los gobiernos locales. Se puede adoptar la solución de seguridad de confianza unilateral mencionada anteriormente entre redes jerárquicas. En esta solución, la puerta de enlace de aislamiento se configura en el extremo confiable y todas las solicitudes se inician desde el extremo confiable, lo que garantiza la seguridad de la red secreta confiable. Al mismo tiempo, la puerta de enlace de aislamiento proporciona a los usuarios una variedad de módulos funcionales para realizar funciones flexibles y convenientes como el intercambio de documentos, el envío y recepción de correo electrónico y el intercambio de bases de datos. , satisfaciendo así las necesidades de intercambio de información entre diferentes redes confidenciales, como departamentos superiores y subordinados.

Ambas partes no confían en la solución de aislamiento para redes confidenciales.

En la aplicación del gobierno electrónico, a menudo se encuentran problemas de intercambio de información entre redes de diferentes industrias. Debido a que ambas industrias tienen sus propios sistemas de gestión de información y sistemas de gestión de personal, aún es necesario lograr un intercambio de información adecuado y al mismo tiempo garantizar la alta seguridad de las redes confidenciales de ambas partes. Como se muestra en la Figura 3, la intranet confidencial del departamento A y la intranet confidencial del departamento B son áreas con alta sensibilidad de seguridad y generalmente necesitan estar aisladas de forma segura de la red externa. Dado que la información debe intercambiarse adecuadamente entre intranets confidenciales, se debe configurar una zona intermedia de datos para ambas partes. El intercambio de información entre el área intermedia y las intranets confidenciales de ambos lados se realiza a través de puertas de enlace de aislamiento de seguridad.

Esta configuración de la puerta de enlace de aislamiento de seguridad se basa en los siguientes puntos: la puerta de enlace de aislamiento de seguridad utiliza tecnología P&P (Pull and Push) de datos seguros y todas las solicitudes son iniciadas por la intranet (es decir, la red confiable). ). La unidad de procesamiento externa no proporciona ningún servicio. Por lo tanto, se recomienda configurar un servidor en el área de aislamiento intermedio para proporcionar archivos, correos electrónicos y bases de datos, responsable de recibir los datos enviados por ambas partes y luego solicitar activamente desde dentro de la red confidencial extraer los datos requeridos del intermedio. zona de aislamiento. Esto garantiza que los datos enviados o extraídos por los usuarios sean iniciados por partes confiables. Además, el mecanismo de control de acceso y autenticación de identidad adoptado por la puerta de enlace de aislamiento de seguridad garantiza la seguridad y confiabilidad del intercambio de datos entre ambas partes, al tiempo que garantiza el tiempo real y la operatividad del flujo de información.

El intercambio de información técnica GAP tiene ventajas.

Las dos soluciones anteriores utilizan Topwalk-GAP como barrera de aislamiento entre redes confidenciales. Al desconectar la capa de enlace físico entre diferentes redes confidenciales, el producto tiene alta seguridad y cumple con sus diversas formas de información. intercambio.

En comparación con la copia manual, tiene las siguientes ventajas:

El método de intercambio es flexible y diverso.

La tecnología GAP proporciona una variedad de métodos seguros de intercambio de datos, como intercambio de archivos, intercambio de bases de datos y envío y recepción de correo electrónico.

Si la copia manual sólo se puede lograr mediante disquetes u otros medios de almacenamiento extraíbles, será difícil satisfacer la demanda cuando haya demasiados archivos o demasiado grandes, o será imposible transferir tablas o registros entre grandes bases de datos relacionales.

Intercambio de información oportuno

La tasa de intercambio de datos internos del hardware del producto alcanza los 819,2 Mbps, la tasa de intercambio de datos del sistema alcanza los 120 Mbps, el tiempo de conmutación del hardware es de solo 5 ms y el máximo El número de conexiones simultáneas ha superado el límite nacional actual de 1.500 y ha alcanzado más de 5.000, lo que puede garantizar que el intercambio de información entre las redes internas y externas se complete en poco tiempo y puede satisfacer las necesidades de intercambio de información de la mayoría de las oficinas gubernamentales. mientras que el manual

tiene función de filtro de contenido de palabras clave y virus.

La copia manual requiere el uso de medios de almacenamiento extraíbles, como disquetes, que a menudo se convierten en una forma de propagación de virus o caballos de Troya, y no es fácil de administrar y controlar de forma centralizada. Cuando se utiliza una puerta de enlace de aislamiento, los archivos o datos intercambiados serán detectados por virus o contenido de palabras clave, lo que reduce en gran medida los riesgos de seguridad causados ​​por virus o fugas involuntarias de información.

Figura 3 Solución de aislamiento de seguridad entre intranets confidenciales en las que ambas partes no confían.

En comparación con productos como los firewalls, la tecnología GAP tiene las siguientes ventajas:

Es más potente y confiable que los firewalls.

El firewall adopta un mecanismo de aislamiento lógico en la capa de red, que se implementa principalmente a través de políticas de software. Debido a que están conectados en la capa de red, a los piratas informáticos experimentados les resulta difícil eliminarlos. La puerta de enlace de aislamiento de seguridad Skyline basada en la tecnología GAP logra el aislamiento de seguridad de las redes confidenciales del mundo exterior basándose en la capa de enlace, lo que hace que los ataques de los piratas informáticos basados ​​en protocolos de red sean ineficaces. No solo elimina la amenaza de vulnerabilidades de protocolos comunes a las redes confidenciales, sino que también elimina la amenaza de vulnerabilidades de protocolos comunes a las redes confidenciales. pero también evita que los sistemas internos queden expuestos y que las puertas traseras y las vulnerabilidades del software se exploten externamente.

Prevenir eficazmente los ataques a la red DOS

Debido a que los firewalls generalmente se construyen en la ruta del protocolo TCP/IP, es necesario proporcionar servicios externos. El ataque de denegación de servicio (DOS) aprovecha las fallas del protocolo TCP/IP. La unidad de procesamiento externa de la puerta de enlace de aislamiento no necesita ejecutar ningún programa de servidor y garantiza que no exista una ruta del protocolo TCP/IP a la red interna. y no acepta conexiones iniciadas por ningún host externo (TCP SYN), lo que hace que el host externo aparezca oculto de Internet, asegurando efectivamente el aislamiento de la propia puerta de enlace.

Prevenir riesgos de red provocados por errores de configuración

Sabemos que un firewall está compuesto por una serie de reglas. Utilice esta regla para verificar los paquetes de red entrantes y salientes. Los firewalls generalmente son seguros, pero puede haber errores de configuración que provoquen la apertura de canales inseguros, que pueden ser aprovechados por los piratas informáticos. Las puertas de enlace aisladas solo permiten intercambiar mensajes personalizados. Incluso si se produce un error, como máximo no se transmitirá ningún dato, lo que no abrirá la puerta a los piratas informáticos.

Evitar actualizaciones continuas de sistemas operativos y software.

Por lo general, los firewalls solo pueden prevenir ataques a la capa de red, pero no pueden proporcionar una buena manera de proteger los sistemas operativos y los problemas de seguridad del software. Un buen ejemplo es que muchos usuarios que utilizan firewalls todavía tienen problemas con el virus "Nimda". Los usuarios que utilizan firewalls aún deben actualizar continuamente sus sistemas operativos y navegadores para evitar ataques al sistema debido a estos problemas. Debido a que la puerta de enlace de aislamiento está desconectada en la capa de enlace y prohíbe todas las conexiones de red directas, puede garantizar de manera efectiva la seguridad del sistema interno y evitar trabajos de actualización complicados para los usuarios.