物理隔離Linux如何貫通安全通道二

　　Red Hat 7.2采用2.4.7-10內核，具有更加出色的網絡配置、用戶管理、防火牆機制和網絡服務機制。mysql是一個小巧玲珑的數據庫服務器軟件，對於中、小型應用系統是非常理想的。　　　　除了支持標准的ANSI SQL語句外，最重要的是它還支持多種平台。在Unix/Linux系統上，MySQL支持多線程運行方式，從而能獲得相當好的性能。　　　　PHP則秉承Linux的GNU風格，能與Linux、Apache和MySQL緊密配合。同時，PHP第四代Zend（PHP4）的核心引擎正式版已經發布，整個程序的核心得到了大幅度改進，PHP程序的執行速度變得更快。因此，PHP在最佳化之後的效率已比傳統CGI或ASP等程序有更好的表現。　　　　采用這樣一種軟件設計體系的另一重要原因是PHP、MySQL、Apache三者都包含在Red Hat Linux中，與Windows NT和其上的SQL Server相比，能節省大筆軟件購置費用。　　　　系統采集引擎的設計　　　　執行采集任務的下載引擎是整個互聯網信息安全采集系統的核心，扮演著極其重要的角色，它的效率直接影響整個系統的性能。　　　　目前，Linux平台下比較流行的下載引擎是wget，這是一個從WWW上用HTTP和FTP兩種協議方式下載文件的自由軟件。wget可以在後台根據Html的文檔結構或FTP的目錄樹，遞歸地下載文件。wget在網速比較慢或網絡連接不穩定的時候表現良好，它將不斷地重試直到完全下載或達到最大的重試次數。　　　　它的缺點主要是沒有HASH機制，在處理大數量文件時速度大大降低；簡單的遞歸導致內存消耗較多；深度優先遞歸搜索則下載結果樹不平衡、不理想；沒有使用多Socket，使得下載效率大打折扣；當網絡速度較慢時不會及時跳出，而出現長時間等待。　　　　針對實際應用，我們對wget算法進行修改，重寫了程序，取得了較好的效果。改進後的新wget算法由於采用多套接字、多任務並發、非阻塞式I/O、I/O多路復用方式和輪詢機制，在下載效率及內存占用等方面取得較為理想的效果。　　　　雖然在系統初啟，建立多任務的過程中會比其它程序稍慢一些，但隨著程序的運行，在下載文件數達到十個以上時，程序的下載效率顯著提高，尤其是網絡帶寬一般或對方網絡響應速度較慢，特別是程序長時間運行時，其下載效率、內存占用、穩定性、可靠性、健壯性等方面的優勢更為明顯。　　　　系統的工作流程　　　　系統的工作流程簡述如下：　　　　（1）操作人員在采集管理服務器上定義若干下載任務模板；　　　　（2）采集管理服務器根據任務模板的定義，生成需要執行的采集任務隊列；　　　　（3）采集管理服務器根據指定算法，將采集任務動態均衡地分配到各個采集服務器上；　　　　（4）采集服務器接受、執行任務，並定時向中間服務器報告任務完成情況；　　　　（5）在物理隔離器的控制下，中間服務器與內部服務器斷開，與采集服務器連通，並取回采集任務結果；　　　　（6）在物理隔離器的控制下，中間服務器與采集服務器斷開，與內部服務器連通，並將采集任務結果送到內部服務器；　　　　（7）內部服務器對接收到的采集任務結果進行特定的分析再處理後，向局域網用戶提供虛擬上網的操作。　　　　系統可以通過Web界面來定義任務模板、管理任務隊列，任務隊列的生成和分配將由系統內部調度程序自動完成，中間服務器與采集服務器、內部服務器的連通斷開時間間隔由物理隔離器來設置。　　　　系統的安全策略　　　　系統為用戶提供了一整套從底層操作系統到高端應用，從軟件到硬件隔離的安全防護策略。系統從硬件到軟件共以五個安全隱患為切入點，從不同層次上對內、外網信息進行了有效控制，對黑客、病毒起到了防護作用。　　　　1．物理鏈路層安全采集（物理隔離設備）　　　　系統對內網、外網信息的安全采集關鍵之處，就是采用了物理設備從物理鏈路層杜絕了內、外網相連的可能性，保證了資源的單向流通，從而絕對避免內網信息的洩漏。　　　　2．操作系統級防護　　　　系統所有功能模塊都運行於Linux操作系統之上，采用最新Linux發行版本。眾所周知，Linux作為開源系統，決無“後門”或“黑洞”隱患。同時，操作系統的進程、服務都是可控的，從而最大限度地對操作系統進行嚴格的訪問控制，防止黑客有可乘之機。　　　　3．應用級服務控制　　　　對於安全采集系統，其本身是一個比較專用的功能平台，所以本系統對於Linux操作系統進行了有效的定制，對於系統提供的服務做了最大程度的裁減。該定制版本對每個功能服務器都略有不同。同時，在系統通信上對每個操作系統進行了嚴格控制，屏蔽所有控制系統基本所需之外的端口和服務。　　　　4．控制系統本身安全采集　　　　系統一共分為三個模塊，對每個模塊的運行系統都建立了一套完整的安全監控機制。除了對系統運行數據進行有效記錄和分析之外，還對系統本身運行平台建立了一套嚴格監控技術，24小時不間斷地觀察和監控系統運行狀況，發現異常立即發出警報。　　　　5．用戶管理　　　　系統不僅給用戶提供了一套完整有效的底層安全策略，同時還給用戶提供了一套用戶管理機制，對用戶日常操作提供了一套有效的管理機制，建立普通用戶和超級用戶的操作行為劃分，從而對內部破壞性行為進行了有效地控制。　　　　實際應用　　　　本系統自2001年研制成功並投入運行以來，經過不斷地完善修改，運行穩定可靠，極大地豐富了內部局域網上的公用信息。該互聯網信息安全采集系統適用於對網絡安全要求很高的黨、政機關、部隊、團體、企事業單位等，實現在與互聯網物理隔離的情況下，局域網用戶訪問部分互聯網網站的目的。