현재 국가는 정부의 비밀 네트워크가 인터넷과 물리적으로 격리되어 정보 안전을 보장해야 한다고 분명히 규정하고 있다. 이것은 인터넷의 네트워크 위협을 효과적으로 피한다. 업계 내 상하, 업종 부문 간 관계와 같은 밀접한 네트워크 사이에는 불신이 있으며, 정보 흐름은 보안 문제에 직면할 수 있습니다. 예를 들어 공안 인트라넷의 민감한 정보는 검사위원회 인트라넷으로 유포되어야 하며, 두 부서는 모두 인터넷 내부의 민감한 정보 자원을 필요로 하며 서로 신뢰하지 않는다. 예를 들어 상공업내망과 세무내망, 금융내망과 세관 내망 사이의 정보 흐름은 모두 비밀 네트워크의 안전과 상호 운용성 문제에 직면해 있다. 따라서 기밀 인트라넷의 안전을 보장하기 위해 적절한 보안 조치를 취해야 한다. 현재 일반적으로 사용되는 방법에는 두 가지가 있습니다.
수동 복제를 통한 격리 상태에서의 정보 교환
현재 비밀 관련 네트워크는 일반적으로 외부 세계로부터 물리적으로 격리된다. 기밀 네트워크 간에 정보를 교환해야 하는 경우 일반적으로 양측의 데이터 서버가 중간 영역에 설정되어 신뢰할 수 있는 사람이 수동으로 복제하면 됩니다. 수동 복제를 통해 신뢰할 수 없는 네트워크에서 해커 공격 등의 위협을 피할 수 있지만 새로운 문제도 제기된다. 첫째, 수동 입력 관리 비용은 비교적 높으며, 양 당사자는 데이터 복제 작업에 참여할 인력을 입력해야 합니다. 둘째, 수동 베끼기의 실시간 차이는 네트워크 정보 기술이 제공하는 신속한 의사 소통의 장점을 충분히 발휘할 수 없습니다. 마지막으로 플로피 디스크나 기타 스토리지 미디어를 자주 사용함에 따라 바이러스와 트로이 말의 전파가 증가하여 새로운 보안 문제가 발생합니다. 따라서 이 방법은 전자정무의 발전 추세에 적응할 수 없다.
방화벽과 같은 논리적 메커니즘을 사용하여 기밀 인트라넷의 보안 보호
물리적 격리를 보장하는 경우 수동 복제를 통해 정보를 교환하는 것 외에도 다른 부서의 기밀 인트라넷 사이에 방화벽을 사용하여 다른 사설망과의 논리적 격리를 가능하게 합니다. 그러나 방화벽에는 여전히 다음과 같은 약점이 있습니다.
그림 1 일방적 불신 기밀 인트라넷 간 보안 격리 솔루션
첫째, 방화벽은 데이터 기반 공격, 즉 대량의 합법적인 패킷으로 인해 네트워크 정체가 발생하고 정상적인 통신이 마비될 수 없습니다. 둘째, 방화벽은 일반적인 프로토콜 자체의 취약점으로 인한 침입을 막기 어렵습니다. 다시 한 번, 방화벽 시스템 자체의 결함도 인트라넷 보안에 영향을 미치는 중요한 문제입니다. 또한 적절하고 합리적인 방화벽 구성만이 자신의 보안 역할을 할 수 있으며, 구성의 복잡성은 네트워크 관리자에게 번거로운 작업량을 가져오고 부적절한 구성으로 인한 숨겨진 위험을 증가시킵니다. 방화벽을 돌파할 수 있는 기술은 끊임없이 발전하기 때문에 비밀네트워크에서 방화벽을 장벽으로 사용하는 것은 믿을 수 없는 방어 수단이다.
위의 분석에서 알 수 있듯이, 첫 번째 방안은 물리적 격리를 이루었지만 실시간 정보 메커니즘이 부족하여 인력 관리 비용이 많이 듭니다. 두 번째 시나리오는 보안 방어 메커니즘이 그다지 엄격하지 않은 논리적 격리 기술을 사용하여 기밀 네트워크와 관련된 정보를 보호합니다. 이는 데이터 유출 및 해커 파괴에 대한 가능성을 제공합니다. 따라서 둘 다 하나의 완전한 솔루션으로 볼 수 없습니다. 현재 새롭게 부상하고 있는 GAP 기술은 기밀 네트워크를 위한 안정적인 보호를 제공합니다. 이 기술은 특수 하드웨어를 활용하여 물리적 링크 계층이 끊긴 상태에서 두 네트워크 간의 데이터 보안 전송 및 리소스 공유를 보장함으로써 내부 사용자 네트워크의 보안 강도를 크게 높일 수 있습니다.
스카이넷의 갭 기술은 정보를 격리하고 교환한다.
Topwalk-GAP 은 천성망 안정보기술유한공사와 공안부 통신국이 공동으로 개발한 차세대 보안 격리 제품이자 국내에서 GAP 기술을 대표하는 제품 중 하나입니다. 이 제품은 독립 독점 격리 하드웨어와 여러 처리 장치가 긴밀하게 통합되는 독자적인 설계를 통해 다양한 보안 모듈을 통합하고 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이에 배포하며 다양한 네트워크 공격 및 해커 바이러스 침입을 방지하고 방지할 수 있습니다. 사용자에게 파일 전송 및 데이터베이스 교환, 메일 송수신, 웹 브라우징 등 다양한 정보 교환 방식을 제공합니다. 일반적으로 P& 기술, 프로토콜 변환, 보안 운영 체제 커널 기술, 커널 침입 탐지 기술, 바이러스 검색 기술 및 보안 P & ampp (풀 푸시) 와 같은 보안 기술을 사용하여 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 사이의 핵심 내부 네트워크 사이에 배포되어 유해한 정보를 차단하고 네트워크 간 데이터 교환을 위한 보안 채널을 형성합니다. 격리 게이트웨이는 주로 다음과 같은 기능 모듈과 사용자의 특정 요구 사항에 맞게 사용자 정의된 모듈을 제공합니다.
단방향 신뢰 및 기밀 네트워크 격리 솔루션
같은 업종에서 하급자의 분류 네트워크는 종종 정보 유통의 문제에 직면해 있다. 이 경우, 하급자는 일반적으로 상급자를 신뢰하고, 상급자의 정보 민감도는 하급자보다 높다. 즉, 신뢰 수준이 다른 기밀 네트워크는 정보를 교환해야 하며, 다음 해결책을 참조할 수 있다.
그림 2 분류 네트워크 간 정보 교환 다이어그램
그림 2 에서 볼 수 있듯이 왼쪽 상자는 신뢰 부서의 기밀 인트라넷을 나타내며, 일반적으로 중앙, 부처, 성급 기관 등 중요한 부서의 핵심 인트라넷입니다. 기밀 인트라넷에서는 일반적으로 국가 기밀, 정부 및 경제에 민감한 정보를 포함하는 자원을 운영하기 때문에 보안 요구 사항이 매우 높습니다. 이들 부서의 내부 네트워크는 사설망을 통해 지방 및 산하 부서의 기밀 내부 네트워크와 정보를 공유하고 교환해야 한다. 이 경우, 일반적으로 상급자의 안전은 하급자보다 높고, 중앙은 지방보다 높은 일방적인 신뢰 관계이다. 이러한 계층 네트워크 간의 일방적인 신뢰 보안 솔루션을 사용할 수 있습니다. 이 시나리오에서는 격리 게이트웨이가 신뢰할 수 있는 쪽에 설정되고 모든 요청이 신뢰할 수 있는 측에서 시작되므로 신뢰할 수 있는 비밀 네트워크의 보안이 보장됩니다. 동시에 격리 게이트웨이는 사용자에게 문서 교환, 메일 송수신, 데이터베이스 공유 등 유연하고 편리한 기능을 제공하는 다양한 기능 모듈을 제공합니다. 상하 부서 등 서로 다른 관련 네트워크 간의 정보 공유 요구를 충족시킬 수 있습니다.
쌍방 모두 비밀 네트워크의 격리 방안을 신뢰하지 않는다.
전자정무의 응용에서는 서로 다른 업계 네트워크 간의 정보 교환 문제가 자주 발생한다. 두 업종 모두 자체 정보 관리 시스템과 인사 관리 시스템을 갖추고 있기 때문에 양측 기밀 네트워크의 높은 보안을 보장하는 동시에 적절한 정보 교환이 필요하다. 그림 3 에서 볼 수 있듯이 A 부서의 기밀 인트라넷과 B 부서의 기밀 인트라넷은 보안 민감도가 높은 지역으로, 일반적으로 엑스트라넷과 안전하게 격리해야 합니다. 기밀 인트라넷 간에 정보를 적절히 교환해야 하므로 양 당사자를 위한 데이터 중간 영역을 설정해야 합니다. 중간 영역과 양측의 기밀 인트라넷에 대한 정보 교환은 보안 격리 게이트웨이를 통해 이루어집니다.
보안 격리 게이트웨이의 이러한 구성은 보안 데이터 P & amp; 를 사용하는 보안 격리 게이트웨이에 기반을 두고 있습니다. P(Pull and Push) 기술, 모든 요청은 인트라넷 (신뢰할 수 있는 네트워크) 에 의해 시작되며 외부 처리 장치는 서비스를 제공하지 않습니다. 따라서 중간 격리 구역에 파일, 메일, 데이터베이스를 제공하는 서버를 설치하고, 양 당사자가 제출한 데이터를 수신한 다음, 중간 격리 영역에서 필요한 데이터를 추출하도록 네트워크 내부에서 사전 예방적으로 요청하는 것이 좋습니다. 이렇게 하면 사용자가 제출하거나 추출한 데이터가 신뢰할 수 있는 양 당사자가 시작하도록 할 수 있습니다. 또한 보안 격리 게이트웨이가 사용하는 액세스 제어 및 인증 메커니즘을 통해 상호 데이터 교환의 보안과 신뢰성을 보장하는 동시에 정보 흐름의 실시간 및 운영성을 보장합니다.
갭 기술 정보 교환이 우세하다.
두 시나리오 모두 Topwalk-GAP 를 비밀 네트워크 간의 격리 장벽으로 사용하여 서로 다른 기밀 네트워크 간의 물리적 링크 계층을 끊어 보안 수준을 높이고 다양한 형태의 정보 교환을 충족합니다.
수동 복사에 비해 다음과 같은 장점이 있습니다.
교환 방식이 유연하고 다양하다.
GAP 기술은 파일 교환, 데이터베이스 교환 및 메일 송수신과 같은 다양한 보안 데이터 교환 수단을 제공합니다. 플로피 디스크 또는 기타 이동식 스토리지 미디어를 통해서만 수동 복제를 수행할 수 있는 경우 파일이 너무 많거나 너무 크면 요구 사항을 충족하거나 대형 관계형 데이터베이스 간에 테이블이나 레코드를 전달할 수 없습니다.
시기적절한 정보 교류
제품 하드웨어 내부 데이터 교환 속도 8 19.2Mbps, 시스템 데이터 교환 속도 120 Mbps, 하드웨어 전환 시간 5ms, 최대 동시 연결 수가 현재 국내 1500 제한을 돌파했습니다.
바이러스와 키워드 콘텐츠 필터링 기능이 있습니다.
수동 복제에는 플로피 디스크와 같은 이동식 스토리지 미디어가 필요합니다. 이는 종종 바이러스나 트로이 목마가 전파되는 방법이 되며 중앙 집중식 관리 및 제어가 쉽지 않습니다. 격리 게이트웨이를 사용하면 교환된 파일 또는 데이터가 바이러스 또는 키워드 내용에 의해 감지되어 바이러스 또는 의도하지 않은 정보 유출로 인한 보안 위험을 크게 줄일 수 있습니다.
그림 3 쌍방이 신뢰하지 않는 기밀 인트라넷 간의 보안 격리 솔루션
GAP 기술은 방화벽 등의 제품에 비해 다음과 같은 장점을 가지고 있습니다.
방화벽보다 더 강력하고 안정적입니다.
방화벽은 네트워크 계층의 논리적 격리 메커니즘을 사용합니다. 즉, 주로 소프트웨어 정책을 통해 이루어집니다. 네트워크 계층에서 통하기 때문에 경험이 많은 해커는 끝내기 어렵다. GAP 기술을 기반으로 한 Skyline 보안 격리 게이트웨이는 링크 계층을 기반으로 비밀 네트워크와 외부의 보안 격리를 구현함으로써 해커의 네트워크 프로토콜 기반 공격을 무효로 만들고, 비밀 네트워크에 대한 일반적인 프로토콜 취약점의 위협을 제거하며, 내부 시스템 및 소프트웨어 백도어 및 취약점이 외부에서 이용되는 것을 방지합니다.
DOS 네트워크 공격을 효과적으로 방지
방화벽은 일반적으로 TCP/IP 프로토콜 경로에 구축되므로 외부 서비스를 제공해야 합니다. 서비스 거부 공격 (DOS) 은 TCP/IP 프로토콜의 결함을 이용하는 것으로, 게이트웨이의 외부 처리 장치를 격리하기 위해 서버 프로그램을 실행할 필요가 없으며, 인트라넷에 TCP/IP 프로토콜 경로가 없고, 외부 호스트에 의해 시작된 연결 (TCP SYN) 이 허용되지 않도록 하여 외부 호스트를 인터넷에 보이지 않게 하고, 격리 게이트웨이 자체를 효과적으로 보장합니다.
구성 오류로 인한 네트워크 위험 방지
우리는 방화벽이 일련의 규칙으로 구성되어 있다는 것을 알고 있다. 이 규칙을 사용하여 들어오는 네트워크 패킷을 확인합니다. 방화벽은 일반적으로 안전하지만 구성 오류가 있어 안전하지 않은 채널이 열려 해커가 이용할 수 있습니다. 격리 게이트웨이는 사용자 정의 정보 교환만 허용합니다. 에러가 발생하더라도 데이터를 최대 전송하지 않고 해커에게 편리한 문을 열지 않는다.
운영 체제 및 소프트웨어의 지속적인 업그레이드를 피하십시오.
일반적으로 방화벽은 네트워크 계층의 공격만 방지할 수 있으며 운영 체제와 소프트웨어의 보안 문제를 보호할 수 있는 좋은 방법을 제공하지 않습니다. 한 가지 좋은 예는 방화벽을 사용하는 많은 사용자들이 여전히' 니임다' 바이러스에 시달리고 있다는 것이다. 방화벽을 사용하는 사용자는 이러한 문제로 인한 시스템 공격을 방지하기 위해 운영 체제와 브라우저를 지속적으로 업그레이드해야 합니다. 격리 게이트웨이는 링크 계층에서 분리되어 모든 직접 네트워크 연결을 금지하므로 내부 시스템의 보안을 효과적으로 보장하고 사용자의 복잡한 업그레이드를 방지할 수 있습니다.