Die rasante Entwicklung des Internets hat den Informationsaustausch weiter intensiviert, wodurch die Informationssicherheit zunehmend an Bedeutung gewinnt. Derzeit ist die aktive Lösung der Probleme der Informations- und Netzwerksicherheit unerlässlich. 1 Einleitung: Die gängigste Maßnahme zur Netzwerksicherheit im In- und Ausland ist derzeit Firewall-Software. Diese weist jedoch zwei inhärente Schwächen auf: Erstens basiert das durch die Firewall isolierte Netzwerk weiterhin auf dem TCP/IP-Protokoll für den Datenaustausch. Dieses Protokoll ist jedoch nicht lückenlos und kann nicht durch Firewall-Software selbst geschützt werden. Zweitens ist der Betrieb der Firewall untrennbar mit dem Betriebssystem verbunden. Sowohl das Betriebssystem als auch die Firewall-Software weisen Sicherheitslücken auf und können daher Netzwerksicherheitsprobleme, die durch diese Sicherheitslücken verursacht werden, nicht verhindern [1]. Daher ist die Entwicklung entsprechender Anwendungssysteme notwendig. Basierend auf der Analyse bestehender Firewall- und physikalischer Isolationstechnologien schlägt diese Arbeit eine Zweikanal-Echtzeit-Switching-Technologie mit Puffer vor. Der mit dieser Technologie realisierte Netzwerkisolator ermöglicht die Echtzeit-Datenübertragung. Gleichzeitig schlägt diese Arbeit ein technisches Konzept für die sichere Datenweiterleitung in einer Umgebung mit physikalischer Isolation vor. Dieses Konzept gewährleistet eine hohe Sicherheitsleistung des Netzwerkisolators. 2 Prinzip der physikalischen Isolationstechnologie 2.1 Einleitung Physikalische Isolation bedeutet, dass das interne Netzwerk weder direkt noch indirekt mit dem externen Netzwerk, d. h. dem Internet, verbunden sein darf [2]. Die physikalische Isolationstechnologie trennt die Verbindung zwischen internem und externem Netzwerk, unterstützt das TCP/IP-Protokoll nicht und ist betriebssystemunabhängig. Sie löst die grundlegenden Probleme der aktuellen Netzwerksicherheit, nämlich Sicherheitslücken, die durch Betriebssystem- und TCP/IP-Protokollschwachstellen verursacht werden. Sie verhindert effektiv Schadcode, Viren und Netzwerkangriffe und erfüllt die Anforderungen an Vertraulichkeit, Integrität, Verfügbarkeit, Kontrollierbarkeit und Auditierbarkeit in der Netzwerksicherheit. 2.2 Physikalische Isolationstechnologie Zu den derzeit im In- und Ausland gängigen physikalischen Isolationstechnologien gehören: physische Isolationskarten mit einer Festplatte und physische Isolationstechnologien mit zwei Motherboards. 2.2.1 Physikalische Trennung einer einzelnen Festplatte: Diese Technologie teilt eine einzelne Festplatte physisch in zwei Partitionen auf: eine öffentliche und eine sichere Partition. Jede Partition installiert ihr eigenes Betriebssystem. Im Betrieb arbeitet der Benutzer in zwei voneinander unabhängigen Betriebssystemumgebungen: einem sicheren und einem öffentlichen Zustand. Dadurch wird eine sichere Trennung zwischen dem internen und dem externen Netzwerk erreicht. Der Nachteil dieser Technologie besteht darin, dass sie keine Echtzeitdaten übertragen kann. 2.2.2 Physikalische Trennung zweier Motherboards: Die Datenübertragung zwischen den beiden Motherboards erfolgt über einen Dual-Port-RAM ohne Netzwerkverbindung. Der Dual-Port-RAM ist in zwei Bereiche unterteilt. Der erste Bereich ist ein unidirektionaler Datenübertragungskanal vom internen Netzwerkclient zum externen Netzwerkserver. Der zweite Bereich ist der Kanal für die unidirektionale Datenübertragung vom externen Netzwerkclient zum internen Netzwerkserver. Normalerweise sind das interne und das externe Netzwerk getrennt, und der Dual-Port-RAM ist deaktiviert. Wenn Daten übertragen werden müssen, senden die internen und externen Netzwerke die Daten über den Dual-Port-RAM [3]. 3. Funktionsprinzipien der Netzwerkisolatortechnologie. Aktuell gibt es zwei Hauptmethoden zur Echtzeit-Umschaltung von Netzwerkisolatoren: SCSI-basierte und busbasierte Technologie. Der busbasierte Netzwerkisolator nutzt Dual-Port-SRAM in Verbindung mit einer unabhängigen ARM-basierten Steuerschaltung. Jeder der beiden Ports ist über einen Switch mit einem unabhängigen Host-Computer verbunden (siehe Abbildung 1). Die ARM-Steuerung stellt sicher, dass an jedem Port des Dual-Port-SRAM ein Switch vorhanden ist und die beiden Switches nicht gleichzeitig geschlossen sein können (K1 × K2 = 0). Der SCSI-basierte Netzwerkisolator ist ähnlich aufgebaut wie in Abbildung 1 dargestellt, mit dem Unterschied, dass der Datenkanal durch eine SCSI-Festplattenschnittstelle und das Speichermedium durch eine SCSI-Festplatte ersetzt wird. Die Steuereinheit wird auf einer speziell entwickelten Leiterplatte realisiert. [align=center]Abbildung 1. Schematische Darstellung eines Netzwerkisolators basierend auf Bus-Echtzeit-Switching-Technologie[/align] Das Datenaustauschprinzip dieses Systems ist wie folgt: Am Beispiel der Datenübertragung vom externen zum internen Netzwerk entfernt der externe Host zunächst das TCP/IP-Protokoll und das Anwendungsprotokoll aus den empfangenen Daten und stellt sie wieder her. Gleichzeitig führt er Integritäts- und Sicherheitsprüfungen durch. Nach erfolgreicher Prüfung werden die sicheren Daten an das Switching-Gerät übertragen. Der interne Host empfängt diese Daten, kapselt sie mit TCP/IP-Protokoll und Anwendungsprotokoll und sendet sie an das interne Netzwerk. Das umgekehrte Verfahren ist ebenfalls anwendbar. Am Beispiel des E-Mail-Empfangs im internen Netzwerk: Benötigt das externe Netzwerk Daten für das interne Netzwerk, initiiert der externe Server umgehend eine Datenverbindung ohne TCP/IP-Protokoll zum Isolationsgerät. Das Isolationsgerät entfernt alle Protokolle und speichert die Originaldaten auf dem Speichermedium. Je nach Anwendung können Integritäts- und Sicherheitsprüfungen der Daten, wie z. B. Viren- und Malware-Scans, erforderlich sein. Sobald die Daten vollständig auf das Speichermedium des Isolationsgeräts geschrieben sind, trennt dieses umgehend die Verbindung zum externen Netzwerk und stellt eine Datenverbindung zum internen Netzwerk her, die nicht auf dem TCP/IP-Protokoll basiert. Anschließend überträgt das Isolationsgerät die Daten vom Speichermedium an das interne Netzwerk. Nach dem Empfang der Daten kapselt das Intranet umgehend die TCP/IP- und Anwendungsprotokolle und übergibt die Daten an das Anwendungssystem. Gleichzeitig empfängt das Intranet-E-Mail-System die vom externen E-Mail-System über das Isolationsgerät weitergeleitete E-Mail. Sobald die Konsole das Signal für den vollständigen Datenaustausch empfangen hat, trennt das Isolationsgerät umgehend die direkte Verbindung zum Intranet. Falls das Intranet zu diesem Zeitpunkt eine E-Mail zu versenden hat, stellt das Isolationsgerät nach Erhalt der Verbindungsanfrage vom Intranet eine Datenverbindung zum Intranet her, die nicht auf dem TCP/IP-Protokoll basiert. Das Isolationsgerät entfernt sämtliche TCP/IP- und Anwendungsprotokolle, extrahiert die Originaldaten und speichert sie auf seinem Speichermedium. Bei Bedarf führt es Viren- und Schadcodeprüfungen durch. Anschließend unterbricht es die direkte Verbindung zum Intranet. Nachdem die Konsole die Informationen empfangen und verarbeitet hat, trennt sie umgehend die Verbindung zwischen dem Isolationsgerät und dem externen Netzwerk und stellt den vollständig isolierten Zustand wieder her. Jeder Datenaustausch umfasst drei Prozesse: Datenempfang, Speicherung und Weiterleitung. Da diese Prozesse im Speicher und Kernel ausgeführt werden, ist die Geschwindigkeit gewährleistet und kann die volle Busverarbeitungskapazität erreichen [4]. 4. Design der Isolationshardware: Der Datenaustausch in einem Netzwerkisolator erfolgt durch Lesen und Schreiben auf den Speicherchip der Isolationshardware. Der Speicherchip, der als Datenspeicher zwischen internem und externem Netzwerk dient, verfügt über ein Zugriffsdesign, das die Datenaustauschgeschwindigkeit des Netzwerkisolators bestimmt. Um die Anforderungen an die Datenaustauschgeschwindigkeit zu erfüllen, wird eine Zweikanal-Echtzeit-Switching-Technologie mit Puffer eingesetzt. Der statische Dual-Port-Speicher ist in zwei Speicherbereiche, A und B, unterteilt. Ein externer Host kann Daten nur über K1 in A schreiben oder aus B lesen, während ein interner Host Daten nur über K2 in A lesen oder in B schreiben kann. Die Nebenbedingungen für K1 und K2 lauten K1a × K2c = 0 und K1b × K2d = 0. Dadurch wird der bidirektionale Datenkanal in zwei unidirektionale Datenkanäle umgewandelt. Dieses Design verbessert das vorherige, bei dem eine interne oder externe Verarbeitungseinheit Lese-/Schreibvorgänge auf der Isolationshardware durchführen konnte, während die andere keinen Zugriff darauf hatte. Es ermöglicht beiden Einheiten, gleichzeitig in Lese-/Schreib- oder Schreib-/Lesezustände zu wechseln. Diese Struktur führt jedoch zu Lese-/Schreibkonflikten. Wenn beispielsweise ein externer Host Daten über K1 in A schreibt, kann der interne Host keine Daten aus A lesen, und wenn der interne Host Daten aus A liest, kann der externe Host keine Daten in A schreiben. Ähnliche Probleme treten bei Operationen in B auf. Daher wurde eine gepufferte Dual-Channel-Echtzeit-Umschalttechnologie vorgeschlagen. [align=center]Abbildung 2 zeigt das Prinzipdiagramm der gepufferten Zweikanal-Echtzeit-Switching-Technologie[/align]. Die Speicherbereiche A und B sind in N gleich große kleine Speicherblöcke ai und bi (1≤i≤N) unterteilt. Die Nebenbedingungen für K1 und K2 lauten K1ai×K2ai=0 und K1bi×K2bi=0. Diese Verbesserung ermöglicht es einem internen oder externen Host, auf ai oder bi zuzugreifen, während der andere weiterhin auf aj oder bj (i≠j) zugreifen kann. Dadurch wird die Wahrscheinlichkeit von Lese-/Schreibkonflikten reduziert, die Effizienz des Datenkanals verbessert und somit das Ziel einer erhöhten Datenaustauschgeschwindigkeit zwischen den internen und externen Netzwerken erreicht. 5 Entwurf eines sicheren Datenweiterleitungsschemas in einer physikalisch isolierten Umgebung. Das Entwurfsziel des sicheren Datenweiterleitungsschemas in einer physikalisch isolierten Umgebung ist die Gewährleistung eines sicheren, dynamischen und Echtzeit-Datenaustauschs unter der Voraussetzung der Isolation zwischen den internen und externen Netzwerken. Die Architektur für Datenspeicherung und -weiterleitung besteht aus Funktionskomponenten wie einer externen Netzwerkverarbeitungseinheit, einem Datenweiterleitungsbereich, einer internen Netzwerkverarbeitungseinheit, einem physikalischen Isolationsmodul und einer Steuerung für Verbindungsaufbau und -trennung. Dabei sind folgende Punkte relevant: (1) Die externe Netzwerkverarbeitungseinheit ermittelt und sammelt externe Netzwerkdaten, die sich nach den Bedürfnissen der internen Netzwerkbenutzer richten, beispielsweise nach der Zielwebsite. (2) Der Datenweiterleitungsbereich dient der temporären Speicherung und Weiterleitung interner und externer Netzwerkdaten. Beim Datenaustausch exportiert die interne Netzwerkverarbeitungseinheit Daten in den internen Netzwerkweiterleitungsbereich oder die externe Netzwerkverarbeitungseinheit importiert Daten in den externen Netzwerkweiterleitungsbereich. Ob ein Datenaustausch zwischen dem internen und dem externen Netzwerkweiterleitungsbereich stattfindet, wird durch die Isolationshardware anhand der Weiterleitungsberechtigungen des Benutzers gesteuert. Besitzt der Benutzer keine Datenweiterleitungsberechtigungen, sind der externe und der interne Netzwerkweiterleitungsbereich vollständig voneinander isoliert. (3) Die interne Netzwerkverarbeitungseinheit führt Scan-Analysen, Filterungen, Virenprüfungen und weitere Verarbeitungsschritte an den Daten gemäß der vordefinierten Sicherheitsrichtlinie durch. Daten, die gegen die festgelegten Sicherheitsregeln verstoßen, werden blockiert. (4) Die Hardware zur physikalischen Trennung trennt das interne und externe Netzwerk hinsichtlich der physischen Übertragung und isoliert das interne Netzwerk physisch vom externen Netzwerk. Die Hardware zur physikalischen Trennung ist auf der untersten physikalischen Schicht implementiert. Die Datenweiterleitung zwischen dem internen und externen Netzwerk erfolgt über die Hardware zur physikalischen Trennung mittels einer Ein-/Ausschaltsteuerung. Die Hardware zur physikalischen Trennung kann Anfragen für weitergeleitete Daten entweder nur von der internen oder nur von der externen Netzwerkverarbeitungseinheit annehmen. Sie kann nicht gleichzeitig Anfragen von beiden annehmen, sodass die Weiterleitungsbereiche des internen und externen Netzwerks bidirektionale Datenweiterleitungsoperationen ermöglichen. Ein Ausfall der Hardware beeinträchtigt lediglich die Leistung des Datenaustauschs zwischen dem internen und externen Netzwerk und hat keine Auswirkungen auf die Sicherheit des internen Netzwerks. (5) Die Ein-/Ausschalt-Steuerschaltung steuert die Leitungsverbindung zwischen dem internen und dem externen Weiterleitungsbereich des Netzwerks und gleichzeitig die Weiterleitung bzw. Löschung von Daten im Weiterleitungsbereich. Normalerweise verbindet die Ein-/Ausschalt-Steuerschaltung die internen und externen Weiterleitungsbereiche nur dann und führt die Datenweiterleitung entsprechend der Datenflussrichtung durch, wenn die Berechtigungen des Benutzers und der Rolle, denen Datenweiterleitungsberechtigungen erteilt wurden, mit den Berechtigungen in der Objektliste übereinstimmen (nach Prüfung durch die Hardware zur physischen Trennung). 6. Fazit: Diese Arbeit verbessert die Zweikanal-Echtzeit-Switching-Technologie durch die Einführung eines gepufferten Zweikanal-Echtzeit-Switching-Verfahrens. Dieses Verfahren verbindet das interne und externe Netzwerk und wandelt die bidirektionale Datenübertragung in zwei unidirektionale Übertragungen um, wodurch die Datenübertragungsgeschwindigkeit deutlich erhöht wird. Darüber hinaus wird ein sicheres Datenübertragungsschema für physisch getrennte Umgebungen vorgestellt. Daher gewährleistet es eine sichere Trennung zwischen internen und externen Netzwerken sowohl aus Hardware- als auch aus Softwareperspektive. Dies verbessert die Abwehr gegen Netzwerkangriffe und Datenlecks durch Hacker und andere Angreifer, eliminiert die meisten Netzwerksicherheitsrisiken und spielt eine entscheidende Rolle für die Informationssicherheit und den sicheren Betrieb industrieller Steuerungssysteme. Zu den Innovationen der Autoren gehört die Entwicklung eines ARM-basierten Netzwerkisolators. Dieser Isolator nutzt gepufferte Zweikanal-Echtzeit-Switching-Technologie für die Isolationshardware, wodurch die Datenübertragungsgeschwindigkeit zwischen internen und externen Netzwerken deutlich erhöht und eine sichere Trennung sowohl aus Hardware- als auch aus Softwareperspektive gewährleistet wird. Somit trägt er wesentlich zur Informationssicherheit und zum sicheren Systembetrieb bei. Referenzen: [1] Zhongwang Company, Zhongwang Physical Isolation Product White Paper, Beijing Zhongwang Company [2] He Pengju, Wang Wancheng, et al., Design and Implementation of Network Isolators, Control Engineering, 2002, 9 [3] Hu Linfeng, Xu Wenbo, Design of Network Isolators Based on ARM, Microcomputer Information, 2006, 1 [4] Wan Pingguo, Network Isolation and Gateway, Machinery Industry Press, 2004, 4