|
文章编号(Article ID):1009-9336(2003)01-0046-05
中图分类号(CLC number):TP393.4
文献标识码(Document code):B
摘要:建立基于Internet的“网上营业厅”已经成为电信行业发展的必然趋势,但是如何保障这种方式对企业内部业务数据库的安全访问一直没有得到很好的解决。本文针对传统的“网上营业厅”组建模式,提出了新的解决方案,利用GAP网络安全技术优化了电信业务数据库的访问方式,使访问的安全性发生本质变化,在电信“网上营业厅”的安全方面作了有益的探讨。
1 引言
随着Internet的普及,它已成为覆盖面最广、集聚人员最多的虚拟空间,并形成了一个巨大的市场。中国互联网络信息中心(CNNIC)在2002年7月的“中国互联网络发展状况统计报告”中指出,目前我国上网用户总数已经达到4
580万人,而且一直呈现快速上升趋势。面对如此众多的上网用户,为商家提供了无限商机。同时,若通过Internet进行传统业务,将大大节约运行成本。据统计,网上银行一次资金交割的成本只需柜台交割成本的13%。
面对Internet如此巨大的市场,以及大大降低运行成本的诱惑,作为与人们生活、工作息息相关的传统电信行业,迫切需要利用Internet这种新的运作方式,以适应面临的剧烈竞争。为了迎接WTO的挑战,实现电信行业提出的“以客户为中心”的经营理念,电信行业在Internet中最直接的应用就是建立“网上营业厅”,目的是方便用户通过Internet申请各种电信业务,查询话费和话单,以及网上付费等。
但是“网上营业厅”作为基于Internet的业务,容易遭受到黑客的攻击和病毒的破坏,如何保障这种破坏不会影响电信业务网的安全运行就迫在眉睫了。对于一般的防火墙、入侵检测、病毒扫描等网络安全技术的安全性,在人们心中还有很多疑虑,因为很多网络安全技术都是事后技术,即只有在遭受到黑客攻击或发生了病毒感染之后才做出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术,能在用户的局域网和不可信的互联网之间提供一道保护屏障,但它只能防范可预测的攻击行为,这一特点常常被黑客利用,成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只做基于逻辑的安全检测,不提供基于硬件隔离的安全手段。
所谓“魔高一尺,道高一丈”,面对病毒的泛滥,黑客的横行,我们必须采用更先进的办法来解决这些问题。近年来出现了一种新的网络安全技术——GAP,它采用最安全的物理隔离技术,提供了在两个独立的网络之间,在物理层隔离的状态下,以应用层的安全检测为保障,实现高安全的信息交流服务功能。
本文主要讨论如何将这种新的网络安全技术应用于电信行业的“网上营业厅”中,以提高整个系统的安全性。文章先介绍GAP技术,然后详细讨论如何应用GAP技术解决电信“网上营业厅”安全访问电信业务数据库的问题。
2 GAP技术
GAP,又称为Air Gap,是指由空气形成的用于隔离的缝隙。在网络安全技术中,主要指通过专用的硬件设备在物理不连通的情况下,实现两个独立网络之间的数据安全交换和资源共享。由于GAP采用了特殊的硬件设计,能够显著提高用户网络的安全性,现已经在美国、以色列等国家的军政、航天、金融等要害部门广泛采用。
为了能更加清楚地理解GAP,先来看一个日常生活中的GAP实例。在很多储蓄所中,出于安全考虑,营业员往往坐在封闭的环境中,通过柜台上的金属抽屉与顾客交换物品。以取款为例,顾客把存折和取款单放入当前只向自己开放而对营业员关闭的抽屉;营业员透过玻璃检查抽屉中的物品,确保安全后把抽屉拉到自己这边,这时,该抽屉对顾客关闭,只对营业员开放;营业员从抽屉中取出物品,处理业务,把存折和现金放入抽屉;然后再把抽屉推向另一边,此时该抽屉又恢复成对顾客开放而对营业员关闭的状态;顾客取出物品,本次业务完成。在这个例子中,金属抽屉是营业员和顾客交换物品的唯一渠道,某一时刻只与一边相通,而且交换物品是在营业员的监督下进行的,这就保障了储蓄所进行业务的安全性。这个例子中的金属抽屉就是GAP。
从上述例子中,我们对GAP技术有了大致的了解。接下来看看网络安全中的GAP技术。其实在互联网出现以前,GAP技术就已经被使用了。过去人们常常在两台计算机或两个网络之间使用软盘、磁带等可移动的存储介质来交换文件或数据,这样两个隔离的计算机或网络和人一起构成了一个逻辑上的网络(如图1所示),这种逻辑网络被称为sneakernet(人力网)。因为这两个网络是隔离的,只能人为地交换合法数据,所以它具有很高的安全性。这种方式现在还是要害部门在两个隔离网络之间交换数据的主要方法。但其主要缺点是不能实时交换数据,并且效率太低,不能适应现在需要实时交换大量数据的应用。
图1 人力网结构图
近几年网络安全界根据sneakernet的原理提出了一种新的网络安全技术——GAP,又称为安全网闸或安全信息交流,它主要通过专用的GAP设备代替人在两个隔离的网络之间互相交换数据,以物理设备代替人力。其结构如图2所示。
图2 GAP结构图
从图2中,我们可以很清楚地看到连接两个网络的GAP设备不能同时连接到相互独立的A网和B网中,即GAP在某一时刻只与其中某个网络相连。GAP设备的工作方式类似于储蓄所金属抽屉的工作方式,即GAP设备连接A网时,它是与B网断开的,A网处理机把数据放入GAP中;GAP在接收完数据后自动切换到B网,同时,GAP与A网断开;B网处理机从GAP中取出数据,并根据合法数据的规则进行严格的检查,判断这些数据是否合法,若为非法数据,则删除它们。同理,B网也以同样的方式通过GAP将数据安全地交换到A网中。从A网处理机往GAP放入数据开始,到A网处理机从GAP中取出数据并检查结束,就完成了一次数据交换。GAP就这样在A网处理机与B网处理机之间来回往复地进行实时数据交换。在通过GAP交换数据的同时,A网和B网依然是隔离的。
GAP是如何来保证在两个网络之间的安全性呢?首先,这两个网络一直是隔离的,在两个网络之间只能通过GAP来交换数据,当两个网络的处理机或GAP三者中的任何一个设备出现问题时,都无法通过GAP进入另一个网络,因为它们之间没有物理连接;第二,GAP只交换数据,不直接传输TCP/IP,这样避免了TCP/IP的漏洞;第三,任何一方接收到数据,都要对数据进行严格的内容检测和病毒扫描,严格控制非法数据的交流。GAP的安全性高低关键在于其对数据内容检测的强弱。若不做任何检测,虽然是隔离的两个网络,也能传输非法数据、病毒、木马,甚至利用应用协议漏洞通过GAP设备从一个网络直接进入另一个网络。例如,互联网出现以前,病毒的主要传播方式就是通过由人和计算机组成的sneakernet,以可移动的存储介质为传染媒介传播的。
GAP特别适用于交换固定格式的数据。因为固定格式的数据很容易归纳出合法数据的规则,所以能对交换的数据进行高强度的内容检测。综观电信“网上营业厅”与后台数据库的交换内容,可知它们之间交换的数据一般都是各种表单,很容易总结出各种数据格式,因此,将GAP安装在电信“网上营业厅”与后台数据库之间,可以大大提高访问电信业务数据库的安全性。
3 两种常用的电信“网上营业厅”传统解决方案
所谓电信“网上营业厅”,就是利用Internet技术与客户建立信息联系,并向客户提供装机、移机、停机、话费查询、网上付费、手机挂失、故障申告、客户投诉等电信业务及服务的虚拟电信营业厅。电信“网上营业厅”要完成上述功能,除了在Internet上建立Web站点外,还需要电信业务网中相关的数据库支持,因为上述这些功能都必须直接或间接地访问电信业务数据库。为了实现电信“网上营业厅”,通常使用以下两种传统的解决方案。
解决方案一:电信“网上营业厅”的Web站点直接访问电信业务网的数据库,如图3所示。
图3 电信“网上营业厅”传统解决方案之一
这种解决方案的实现非常简单,只需要使用目前流行的网络技术就能够很容易实现。该方案能够实时访问电信业务中的数据,方便地提交各种各样的表单,轻松地实现实时的电信业务,例如申请装机、移机、停机、手机挂失、网上付费等等。
但是这种解决方案的主要不足之处是安全问题。虽然在本解决方案的很多连接之处都可以增加传统的安全设备,但是从Internet到电信业务数据库和电信业务网之间总存在一条物理链路连接,而该物理链路中的设备都有可能被黑客攻破,设备中的漏洞就可能被黑客利用。当全部或部分关键设备出现问题后,电信业务网将直接面临威胁。同时,无孔不入的病毒也可能通过该物理链路传播到电信业务网,干扰和破坏正常的电信业务。所有这些安全问题的发生都将使该电信运营商遭受巨大的损失。
解决方案二:建立数据库的副本,电信“网上营业厅”的Web站点访问副本数据库,如图4所示。
图4 电信“网上营业厅”传统解决方案之二
在该解决方案中,增加了一个电信业务数据库的副本,虽然增加了很多成本,但安全系数提高了。本方案的主要难题是如何为一个复杂的、海量的数据库建立一个副本。假设这个问题很容易地解决,那么安全问题是否发生本质变化,就完全依赖于电信业务数据库与其副本之间的数据传输方式了。
如果数据库与副本之间没有物理链接,它们之间的数据需要工作人员手工导入和导出,即在两个数据库之间组成sneakernet,那么电信业务网与Internet是两个独立的物理隔离的网络,这是很安全的。但在这种方式中,电信“网上营业厅”不能开展实时业务,例如手机挂失、网上付费等。同时,因为数据需要手工导入和导出,既增加了人力、物力,又增大了由于人为操作失误导致出错的概率。再则,随着业务量的增大,手工导入和导出数据将会变得越来越困难。
若数据库和副本之间是通过传统的系统使它们自动同步,虽然可以解决手工和实时业务问题,但又出现了和解决方案一类似的问题,即从Internet到电信业务数据库和电信业务网之间存在一条物理链路连接。这样就存在和解决方案一一样的缺点:电信业务网有可能遭受黑客攻击和病毒感染,其安全问题并没有发生本质的变化。
4 电信“网上营业厅”访问业务数据库的安全解决方案
为了解决电信“网上营业厅”安全访问电信业务数据库的问题,可以采用GAP技术优化上述两种电信“网上营业厅”解决方案。
优化方案一:使用GAP技术实现安全访问电信业务数据库,如图5所示。
图5 电信“网上营业厅”优化方案之一
在该优化方案中,电信“网上营业厅”的Web站点通过GAP以提交表单的形式访问电信业务数据库。由于GAP技术保证了与其连接的两个独立的网络依然是物理层隔离的,所以电信业务网与Internet之间不存在物理链路。同时,内网处理机对接收到的信息都要进行安全检查,保证接收到的信息仅仅只是合法的数据,并且不会将这些数据作为命令或可执行文件来执行。这样,即使黑客入侵或病毒感染了与Internet相连的电信“网上营业厅”Web站点,以及外网处理机,也不可能进一步影响电信业务网的安全。
优化方案二:以GAP技术为通信基础使副本数据库与原始数据库同步,如图6所示。
图6 电信“网上营业厅”优化方案之二
在本优化方案中,通过GAP以表单形式传输数据,自动地完成类似工作人员手工导入和导出数据的功能。这种方式充分利用了GAP技术的实时性和高效性的特点,使该方案既具备了手工操作的隔离优点,又克服了手工操作的滞后和容易误操作等缺点。
在安全性方面,上述两种优化方案都实现了物理层的隔离,保证了业务网的安全,但在处理效率上,由于第二种方案直接访问GAP外的数据库副本,效果更优。
5 结束语
通过上述分析,我们探讨了采用GAP技术对于提高电信“网上营业厅”安全的可行性。目前,已经有很多成熟的实现GAP技术的产品投放到市场,如国外的e-Gap(Whale公司)和Air
Gap AG系列(Spearhead公司),以及国内的京泰安全信息交流系统(京泰公司)、ViGap100(伟思公司)和Topwalk-GAP(天行公司)等。在不久的将来,GAP类的产品将有望成为在两个独立的网络之间安全交换信息的主流产品。
作者简介:
李 纯 1998年毕业于北京工业大学计算机学院,工学硕士,现供职于中国网通集团北京市通信公司信息与技术部。
|
