关于现有双网隔离计算机安全隐患的分析及应对措施
时间:2013-12-28 10:11 文章来源:http://www.lunwenbuluo.com 作者:李予温 张学军 点击次数:
【摘要】以隔离卡为代表的现有双网隔离计算机由于架构本身的缺陷,存在严重的安全和泄密隐患,继续应用在要求较高的重要机构,必然会对信息安全造成重大威胁。针对其安全隐患,文章提出了一种完全物理隔离,双主机独立工作的双网计算机架构,并建议了一些安全计算机必备的安全防护功能,如指纹识别加电(注)、适时人脸比对验证、内外网网口异型化设计、数据的单向传递、被盗后数据自毁等。通过这些方法有效地提高了计算机终端的安全等级。
【关键词】安全;计算机;内网;外网;物理隔离
1引言
随着计算机的普遍应用及双网办公的迫切需求,以切换器和隔离卡为代表的双网隔离计算机方案得到了一定程度的应用。但是由于架构本身的缺陷,现有安全隔离计算机产品存在严重的安全和泄密隐患,如果继续应用在党政军等重要机构,必然会对我国信息安全造成重大威胁。
在此,我们将近期的双网隔离计算机领域研究成果呈现出来。它对现有安全隔离计算机产品的历史和特点进行了简单的介绍,针对其安全隐患进行了初步的分析,并给出了一些应对措施的建议。希望能为新的双网隔离计算机检测标准献计献策,以便早日为国家信息安全提供更可靠的计算机产品。
2现有安全隔离计算机产品的安全隐患
为了实现内部网络和互联网的安全隔离和双网办公,人们在不同的技术领域分别采用了不同的方法。
在网络传输技术方面,以防火墙为核心的网络边界防御体系只能够满足网络信息交换的一般性安全需求,为此有关机构开发了隔离网闸为代表的安全隔离与信息交换技术,这类技术可以阻止通过普通网络协议进行的信息,但是对于针对网闸工作方式的特定攻击难以防范,因此,必须在在计算机终端方面进一步加强安全防范。
在计算机终端方面,有的机构使用两台独立的计算机分别进行内外网进行工作,也有的机构使用基于隔离卡技术的双网隔离计算机。这里着重分析计算机终端方面相关产品的缺陷。
2.1网络接口方式的缺陷
现有内外网机的网线插头和插座都采用普通的RJ45接口标准,因此内外网机的网线可能会被误插,会直接导致内网主机内的机密数据通过网线泄露到外网,或者外网的病毒或木马程序通过网线进入内网主机及网络。
2.2两台独立的内外网计算机的缺陷
有些机构采取了"简单物理隔离"的办法,即使用两台独立的电脑分别联接内外网进行工作。但这种方式既增加了物理空间和成本,又不方便使用。为此,人们又采用了双主机加键盘鼠标显示器切换器的方法,这种方案虽然在一定程度上方便了使用,但是仍然存在显著缺点。
1)使用了键盘/鼠标切换器(KVM),而市场上相当一部分切换器配备USB接口,可以识别并使用U盘。这样如果在插上U盘的情况下进行切换,即在物理隔离的两个主机系统间建立了共享存储器,破坏了隔离,可能直接导致内网主机内的机密数据通过共享的U盘泄露到外网,或者外网主机内的病毒或木马程序通过共享的U盘进入内网主机及网络。
2)内外网机采用标准USB接口,用于数据传递的U盘也可能会被误插,同样存在泄密的可能。
3)内外网主机缺乏统一的防护系统,不便对用户的操作进行纪录和回溯。
4)需要两套独立的主机和电源,增加了物理空间、能耗和成本。
2.3隔离卡的缺陷
为了解决这些问题,隔离卡技术应运而生,主要原理是在计算机上使用一套CPU主板等主要部件,配备两套硬盘等存储设备,分别分配给内网和外网使用。利用隔离卡上的电子开关或电源开关,实现内网和外网的切换和隔离。这样虽然实现了利用一套CPU和主板等主要部件来进行内外网的分时工作,但是存在如下显著缺陷。
1)隔离卡本身存在物理失效的可能,导致内外网信息隔离失败。
- 论文部落提供核心期刊、国家级期刊、省级期刊、SCI期刊和EI期刊等咨询服务。
- 论文部落拥有一支经验丰富、高端专业的编辑团队,可帮助您指导各领域学术文章,您只需提出详细的论文写作要求和相关资料。
-
- 论文投稿客服QQ:
2863358778、
2316118108
-
- 论文投稿电话:15380085870
-
- 论文投稿邮箱:lunwenbuluo@126.com