【51CTO.com 独家特稿】企业物理层面临着对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。而相应的防范措施包括抗干扰系统、物理隔离、防辐射系统、隐身系统、加固系统、数据备份和恢复等。在众多技术当中,物理隔离和数据备份及恢复是最为关键和重要的企业物理层安全防护技术,本文将对他们进行详细介绍。
一、物理隔离
在互联网高度发展的今天,访问没有好的防护措施的企业的内部局域网对于外部的恶意访问者来说并非难事,他们通常可以窥探、非法获取甚至是恶意毁坏企业的宝贵数据和资料,从而对企业造成不可挽回的经济损失。当前绝大多数的企业都在物理层面采用了物理隔离的措施将本地局域网和互联网进行隔离,保证两个网络的不可互访,从而达到保护内网数据安全的目的。
网闸原理图
目前看来,对安全要求比较高的企业,一般会采用物理隔离网闸来实现企业的网络管理。物理隔离网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。由于物理隔离网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议"摆渡",且对固态存储介质只有"读"和"写"两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使"黑客"无法入侵、无法攻击、无法破坏;物理隔离网闸可以解决以下威胁:操作系统漏洞,入侵,基于TCP/IP漏洞的攻击,基于协议漏洞的攻击,木马,基于隧道的攻击,基于文件的攻击等。这些是互联网目前存在的绝大部分主要威胁,物理隔离网闸在理论上是完全实现了真正的安全。
物理隔离网闸最早出现在美国、以色列、俄罗斯等国家的军方,用以解决涉密网络与公共网络连接时的安全。俄罗斯的Ry Jones,以色列的Buky Carmeli,Elad Baron,Daniel Steiner等人都是该领域的先驱,后者现在美国开公司。目前最大的物理隔离公司当属美国的Whale communications公司,Spearhead公司也不小。
随着我国电子政务快速发展,外部网络连接着广大民众,内部网络连接着政府公务员桌面办公系统,专网连接着各级政府的信息系统,在外网、内网、专网之间交换信息是基本要求。如何在保证内网和专网资源安全的前提下,实现从民众到政府的网络畅通、资源共享、方便快捷是电子政务系统建设中必须解决的技术问题。一般采取的方法是在内网与外网之间实行防火墙的逻辑隔离,在内网与专网之间实行物理隔离。出于对重要信息、文件保护的目的,物理隔离网闸开始被人们接受,物理隔离网闸成为电子政务信息系统必须配置的设备。
物理隔离网闸主要由内网处理单元、外网处理单元、安全隔离与信息交换处理单元三部分组成。外网处理单元与外网(如Internet)相连,内网处理单元与内网(如军队网)相连;安全隔离与信息交换处理单元通过专用硬件断开内、外网的物理连接,并在任何时刻只与其中一个网络连接,读取等待发送的数据,然后"推送"到另一个网络上。在切换速度非常快的情况下,可以实现信息的实时交换。
物理隔离卡是物理隔离的低级实现形式,一个物理隔离卡只能管一台个人计算机,甚至只可能在Windows环境下工作,每次切换都需要开关机一次。物理隔离网闸是物理隔离的高级实现形式,网闸可以管理整个网络,不需要开关机。网闸实现后,原则上不再需要物理隔离卡。安全隔离是一种逻辑隔离,防火墙就是一种逻辑隔离,因此防火墙也是一种安全隔离。有些厂商对安全隔离增加了一些特点,如采用了双主机结构,但双主机之间却是通过包来转发的。
无论双主机之间采用了多么严格的安全检查,但只要是包转发,就存在基于包的安全漏洞,存在对包的攻击。这在本质上同两个防火墙串联并无本质的差别。从目前已经存在的安全隔离网闸,包括以下类型:通过串口或并口来实现双主机之间的包转发,通过USB或1394或firewire(火线)等方式来实现双主机之间的包转发,甚至是直接通过以太线来实现双主机之间的包转发,以及其他任何形式的通信方式来实现双主机之间的包转发如专用ASIC开关电路,ATM,Myrinet卡等,都是安全隔离网闸,但都不是物理隔离网闸。
对于企业用户来说,物理隔离网闸适用于五种典型应用场合:
1、局域网与互联网之间(内网与外网之间)
有些局域网络,特别是政府办公网络,涉及政府敏感信息,有时需要与互联网在物理上断开,用物理隔离网闸是一个常用的办法。
2、办公网与业务网之间
由于办公网络与业务网络的信息敏感程度不同,例如,银行的办公网络和银行业务网络就是很典型的信息敏感程度不同的两类网络。为了提高工作效率,办公网络有时需要与业务网络交换信息。为解决业务网络的安全,比较好的办法就是在办公网与业务网之间使用物理隔离网闸,实现两类网络的物理隔离。
3、电子政务的内网与专网之间
在电子政务系统建设中要求政府内望与外网之间用逻辑隔离,在政府专网与内网之间用物理隔离。现常用的方法是用物理隔离网闸来实现。
4、业务网与互联网之间
电子商务网络一边连接着业务网络服务器,一边通过互联网连接着广大民众。为了保障业务网络服务器的安全,在业务网络与互联网之间应实现物理隔离。
5、涉密网与非涉密网之间
电子政务建设中一般都对网络按照安全级别进行了安全域的划分,这在一定程度上保证了信息的安全,非涉密的系统及面向公众的信息采集和发布系统主要运行在非涉密网部分。涉密网、非涉密网之间物理隔离,依照涉密信息"最小化"原则,进行涉密网和非涉密网之间两个不同的信息安全域信息的适度"可靠交换"。
物理隔离网闸在网络的第七层将数据还原为原始数据文件,然后以"摆渡文件"的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。根据我国计算机网络安全管理的规定,物理隔离网闸需要取得公安部、国家保密局和中国信息安全测评认证中心的安全产品的测评认证证书。在此基础上,进入军事领域,还需要军队测评认证中心的认证证书。
涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离。涉密网络必须在物理隔离的基础上实现WWW浏览和自由收发E-mail。各级政府机关和涉密单位,必须将已建成的办公局域网同Internet或上一级专网实行物理隔离,正在建设的电子政务网络必须实现物理隔离。除了党政军外,其他行业和部门纷纷颁布建设规范和管理办法,要求使用物理隔离。电力、铁道、金融、银行、证券、保险、税务、海关、水利、交通、民航、社保、石化等行业部门,要求在物理隔离的条件下实现安全的数据库数据交换。为了保证电子政务和电子商务体系中关键系统的安全性,物理隔离网闸将确保关键网络和涉密网络万无一失,同时又能提供网络业务的互联互通。
目前市场上出现专门应用于特定行业的物理隔离网闸,如供应电力专用物理隔离网闸是一种专门用为是一种专门用为电力系统"二次安全防护设计的"一款单向物理隔离网闸。主要应用于实时控制区(I区、或者DCS网)、非控制生产区(II区)与生产管理区(III、IV区、或MIS网)完全的网络物理隔离,并保证I、II区可向III、IV有效实时地传输数据,但反过来,任何网络入侵、病毒的攻击均被有效地阻隔,这样就可在最大的限度上防止黑客、病毒的侵害。#p#
二、数据备份和恢复
备份不仅是数据的保护,其最终目的是为了在系统遇到人为或自然灾难时,能够通过备份内容对系统进行有效的灾难恢复。备份不是单纯的拷贝,管理也是备份重要的组成部分。管理包括备份的可计划性、磁带机的自动化操作、历史记录的保存以及日志记录等。对于现代企业来说,在正常运作的过程中难免出现如下几种情况的灾难,需要针对他们进行数据的备份和恢复工作:
◆计算机软硬件故障:对于某一企业,发生可能性最大,也最频繁,是经常发生的一类故障。
◆人为操作故障:对管理较严、人员素质较高的企业,偶尔发生;对管理较松、人员培训不足的企业,会经常发生。
◆资源不足引起的计划性停机:对于某一企业,随着业务的快速增长,平均每年均会发生如软、硬件升级、系统资源扩充等事件,业务增长越快的企业,发生亦越频繁。
◆自然灾害:由于火灾、水灾、地震、雷击等自然灾害引起的企业计算资源和数据的毁灭或者丢失。这种情况对于任何企业来说都是不可避免和抗拒的,当然发生的概率相对上述几种灾害来说通常比较小。
根据目前的应用情况来看,如下的一些分类的备份方法可以提供给企业根据不同的应用情况进行能够选用。
a)备份模式
逻辑备份:每个文件都是由不同的逻辑块组成。每一个逻辑的文件块存储在连续的物理磁盘块上,但组成一个文件的不同逻辑块极有可能存储在分散的磁盘块上。备份软件通常既可以进行文件操作,又可以对磁盘块进行操作。基于文件的备份系统能够识别文件结构,并拷贝所有的文件和目录到备份资源上。这样的系统跨越了存储在每个inode上的指针,可顺序的读取每个文件的物理块,然后备份软件连续的将文件写入到备份媒介上。这样的备份使得每个单独文件的恢复变得很快,但连续的存储文件会使得备份速度减慢,因为在对非连续存储磁盘上的文件进行备份时需要额外的查找操作。这些额外的操作增加了磁盘的开销,降低了磁盘的吞吐率。另外,对于文件一个很小的改变,基于文件的逻辑备份也需将整个文件备份。
物理备份:系统在拷贝磁盘块到备份媒介上时忽略文件结构,这会提高备份的性能,因为备份软件在执行过程中,花费在搜索操作上的开销很少。但这种方法使得文件的恢复变得复杂且缓慢,因为文件并不是连续的存储在备份媒介上。为了允许文件恢复,基于设备的备份必须要收集文件和目录是如何在磁盘上组织的信息,才能使备份媒介上的物理块与特定的文件相关联。因而,基于设备的备份适合于指定一个特定的文件系统来实现,并且不易移植。而基于文件的方案则更易移植,因为备份文件包含的是连续文件。另外,基于设备的备份方案可能会导致数据的不一致。
b)备份策略
全备份:这种备份方式很直观,容易被人理解。当发生数据丢失的灾难时,只要用一盘磁带(即灾难发生前一天的备份磁带),就可以恢复丢失的数据。但也存在不足之处:首先,每天都对系统进行完全备份,在备份数据中有大量内容是重复的,例如操作系统与应用程序。这些重复的数据占用了大量的磁带空间,意味着增加成本;另外,由于需要备份的数据量相当大,备份所需时间也就较长。
增量备份:该备份的优点是没有重复的备份数据,节省磁带空间,缩短备份时间。缺点在于当发生灾难时,恢复数据比较麻烦。例如,若系统在周四早晨发生故障,那么就需要将系统恢复到周三晚上的状态。管理员需要找出周一的完全备份磁带进行系统恢复,再找出周二的磁带来恢复星期二的数据,最后再找出周三的磁带来恢复星期三的数据。在这种备份下,各磁带间的关系就像链子一样,其中任何一盘磁带出了问题,都会导致整条链子脱节。
差分备份:管理员先在周一进行一次系统完全备份,然后在接下来的几天里,再将当天所有与星期一不同的数据备份到磁带上。差分备份无需每天都做系统完全备份,备份所需时间短,节省磁带空间,灾难恢复也很方便。系统管理员只需两盘磁带,即系统全备份的磁带与发生灾难前一天的备份磁带,就可以将系统完全恢复。
c)备份服务器在备份过程中是否可接收用户响应和数据更新角度
冷备份:冷备份很好地解决了在备份选择进行时并发更新带来的数据不一致性问题,缺点是用户需要等待很长的时间,服务器将不能及时响应用户的需求。目前的新技术有LAN-Free、Server-Free等,这种方式的恢复时间比较长,但投资较少。
热备份:由于是同步备份,热备份资源占用比较多,投资较大,但是它的恢复时间非常短。在热备份中有一个很大的问题就是数据的有效性和完整性,如果备份过程中产生了数据不一致性,会导致数据的不可用。解决此问题的方法是对于一些总是处于打开状态的重要数据文件,备份系统可以采取文件的单独写/修改特权,保证在该文件备份期间其他应用不能对它进行更新。
d)备份地点
远程备份:在本地将关键数据备份,然后送到异地保存,以防止企业本地备份的数据在灾难终也遭到破坏。灾难发生后,按预定数据恢复程序恢复系统和数据。这种方案可以采用磁带机、磁盘阵列等存储设备进行本地备份同样还可以选择磁带库、光盘库等存储设备。
本地备份:在本地将关键数据进行备份,然后进行保存,主要包括本地双机备份、本地局域网备份等等。
e)备份介质
磁带备份:磁带一开始就是储存恢复备份的主要介质。随着容量和速度不断提升,磁带可以让用户以较低的成本存储多重备份或版本。由于它是一种可移动式的介质,磁带也可以作为远程灾难恢复备份用途。磁带备份最大的挑战是,它的备份质量并不稳定。在操作过程中,有可能数据已经全部备份成功,但是,却很难验证磁带内所有数据是否皆可恢复。质量不良的磁带会令恢复操作失败,而这种错误通常察觉不出来,一定要等到执行恢复操作时才会发现,等到那时已经来不及了。当备份数据量非常大时,价格优势十分明显。
磁盘备份:磁盘阵列不需要稳定的数据流。即使采用只存储少量数据的增量备份,也没有"摩擦"效应。第二,磁盘阵列允许管理人员进行较不常做的全部数据备份工作(Full Backup),而不用忍受执行速度变慢的后果或增加恢复资料时损坏的风险,可以简化及加快整体备份的速度。除了缩短备份时间以外,对于时常进行的完整备份,也可以减少恢复时所需的磁带数量,简化恢复过程。以磁带备份来看,恢复时所需的磁带数量会依增量备份的次数而增加。而磁盘阵列允许管理人员简化这样的备份过程。在制作远程恢复备份时,磁盘也比较容易且更有效。利用"磁盘至磁带"复制数据时,不需要同时由一个磁带内处理多位使用者的恢复备份,它可以针对每位使用者直接复制恢复备份,因此加快了恢复的过程。另外,"磁盘至磁带"也比"磁带至磁带"复制方式更有弹性。当正在进行"磁带至磁带"复制时,主要来源磁带和要备份的磁带,两种都没有办法再做其它的备份或恢复操作。相反的,当正在复制数据到磁带时,磁盘允许使用者同时存取数据,接受备份及恢复操作。
灾难恢复措施在整个备份制度中占有相当重要的地位。因为它关系到系统在经历灾难后能否迅速恢复。灾难恢复操作通常可以分为两类。第一类是全盘恢复,第二类是个别文件恢复,还有一种值得一提的是重定向恢复。
全盘恢复:全盘恢复一般应用在服务器发生意外灾难导致数据全部丢失、系统崩溃或是有计划的系统升级、系统重组等,也称为系统恢复。
个别文件恢复:由于操作人员的水平不高,个别文件恢复可能要比全盘恢复常见得多,利用网络备份系统的恢复功能,我们很容易恢复受损的个别文件。只需浏览备份数据库或目录,找到该文件,触动恢复功能,软件将自动驱动存储设备,加载相应的存储媒体,然后恢复指定文件。
重定向恢复:重定向恢复是将备份的文件恢复到另一个不同的位置或系统上去,而不是进行备份操作时它们当时所在的位置。重定向恢复可以是整个系统恢复也可以是个别文件恢复。重定向恢复时需要慎重考虑,要确保系统或文件恢复后的可用性。为了防备数据丢失,我们需要做好详细的灾难恢复计划,同时还要定期进行灾难演练。每过一段时间,应进行一次灾难演习。可以利用淘汰的机器或多余的硬盘进行灾难模拟,以熟练灾难恢复的操作过程,并检验所生成的灾难恢复软盘和灾难恢复备份是否可靠。
【51CTO.com独家特稿,非经授权谢绝转载!合作媒体转载请注明原文出处及出处!】