二极管防火墙:道里云公司参展英特尔北京IDF峰会产品介绍(一)

原创 2012年03月23日 08:56:20

今年315消费者日央视披露了多例因不法分子盗用个人隐私数据而对消费者造成了严重损害事件。据央视披露,此类信息安全破坏事件大规模猖獗发生的背后是一条黑色产业链:在产业链的源头有诸如银行,电信,网络社区,高档会所等商家或服务提供商,甚至有关服务部门,由于需要向用户提供服务而存放着大量消费者、公民个人身份敏感数据如姓名,身份证号,地址,电话号码,登陆账号名,甚至登录口令,等等,然而却未能使用相应的信息安全保护措施,因而不法分子可以从这些地方轻易将用户数据大规模盗取出去。盗出的数据被卖给一些团伙通过雇佣简单劳动力使用乏味的试错登录法,即便小概率机会也因为盗出数据量足够大,仍然可从大量试错中提取出不少有用信息如账号登录口令,从而攻击得逞。

产业链源头大规模盗取数据可以是由黑客入侵造成,也可更为有效地,由服务提供方内部人员监守自盗从内部取出。后一类攻击方式的确更容易发生,家贼难防嘛。内部监守自盗确实是央视所披露黑色产业链源头部分的主要因素。黑客入侵攻击可以应用通常的防火墙技术有效防止,然而传统防火墙技术对于内部人员监守自盗攻击就无能为力了。如今网络存储无所不在,内部人员很容易将大量数据打包发出。U盘拷贝也是一个易攻难防的漏洞。传统信息安全技术对于源自内部发起的攻击,防御能力十分有限。

道里云公司研发出一款二极管防火墙产品专门用于防止组织内部人员通过网络向外发出数据。该新型防火墙技术与传统防火墙侧重防御外部入侵不同,可以对网络上流动的数据实施流动方向控制,只允许数据从一端流向另一端,而反向不然。通过二极管防火墙方向设置可以制止内部数据向外流出。

稍懂点网络技术的高手们自然要问了:TCP/IP通信协议必须开通双向通信,你这二极管仅允许单向通信,岂不限制了TCP/IP的正常通信功能,从而导致合法用户也不能通过网络连接正常使用信息服务了吗?的确,TCP/IP是需要双向通信,之所以需要双向通信是因为该通信协议必须让数据接收端通知数据发送端使其知晓接收端是否已经正确收到了所发出的数据包。TCP/IP协议的这种反馈控制信息机制其魔力十分强大了得:英特网上数据从A点发到B点居然可以走多种不同路径因而可能导致B点收到的IP包顺序被打乱(由于不同路径网速可能不同),还有可能丢包、乱码;双向通信机制使AB双方通过来回通报消息手段仍然可以达到按A所发出顺序接收到全部正确数据包的结果。

运行在虚拟化技术底层的虚拟机监控器可以实时截获网络通信流,区分出TCP/IP协议中的用户态数据部分(user-mode payload)与内核态控制元数据部分(kernel-mode metadata)。如此,我们可以仅对用户数据payload实施流动方向控制而不对控制数据metadata做任何限制。二极管防火墙就是通过这样的原理实现了用户数据流向的单向性。虚拟化技术着实威力强大!

采用二极管防火墙技术,授权用户可以经过身份认证方法合法登录数据服务端正常享受数据服务,而服务端内部人员企图向外发数据会被反向设置的二极管阻挡。

应英特尔公司之邀,道里云公司携带自主研发的二极管防火墙技术将于411-12日参展英特尔北京IDF峰会展览(http://www.intel.com/idf/beijing/index.htm),欢迎有兴趣同仁来道里云公司展台参观该产品。

但是如果内部监守自盗者通过U盘拷贝之类方法盗取数据怎么办呢?是呀,U盘属于本地存储设备,拷贝数据根本不走网络,你控制TCP/IP协议之类的网络数据流又有什么用呢?

且容我下回分解。

 

版权声明:本文为博主原创文章,未经博主允许不得转载。

相关文章推荐

BLP防数据泄露安全操作系统:道里云公司参展英特尔北京IDF峰会产品介绍(二)

上一讲中介绍了二极管单向防火墙技术:通过控制网络数据流的方向---数据只准从外部流入内部---这一手段防止数据泄露。 一个操作系统还有存储设备:磁盘,U盘,光盘,等等。这些设备都是以本地总线方式连接...

BLP安全操作系统---道里云公司参展英特尔北京IDF峰会介绍(三)

如今无所不在的社交网络,Web邮箱,移动存储设备,网络存储方法,等等,让企业与组织敞开了大门,内部信息可以毫无阻拦地流向外部。企业与组织担心员工将内部数据向外泄露,引入了大量的防范方法。有比较“军事化...

道里公司参展第三届中国云计算大会

道里公司研发的云安全产品于2011年5月18-20日参加了第三届中国云计算大会的展出。现与大家分享几张参展照片。道里展台人头攒动,背景角落里有一台服务器在嗡嗡作响现在看到原来有两台服务器,它们正在PK...

道里云公司网络虚拟化架构NVI技术开放源代码--序言

近年来,云计算随着无所不在的宽带互联技术以及服务器虚拟化技术在商业模式上的创新性运用而兴起,IT的使用方式正在发生一个革命性的变更:以按需租用服务为主的IT使用新方式正在逐步,也必将会,取代作为财产拥...

英特尔IDF 2013热点回顾:Scorpio,HTML5,开放混合云

2013年4月10日~11日是英特尔IDF 2013北京站。本届IDF共安排了20个技术主题,涉及学术界与行业的交流、英特尔的芯片架构、图形和视觉计算、嵌入式等老话题,也涉及一体机、超级本、感知计算、...

北京某公司"新产品研发项目管理"内训圆满结束!

2015年6月12--13日,北京某公司新产品研发项目管理培训,中科院计算所培训中心副校长谢老师主讲。    在21世纪,持续的竞争优势不仅来自于新技术,更多地出自卓越的新产品开发流...

Android开发代码规范(来自:北京普友科技公司旅游产品移动终端开发部)

Android开发代码规范 1.命名基本原则     在面向对象编程中,对于类,对象,方法,变量等方面的命名是非常有技巧的。比如,大小写的区分,使用不同字母开头等等。但究其本,追其源,在...
  • ihrthk
  • ihrthk
  • 2012-07-19 17:59
  • 4878

一个产品人的成长与抉择:从上海到北京、从软件到硬件、从大公司到小团队

本文作者 KentZhu /朱坤,文章原标题《硬起来,再玩一次》,选自其微信公号 Kentzhu,ID:iamkentzhu。转载文章经过作者同意。   2012年,我离开百度,加入快捷酒店管...
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:深度学习:神经网络中的前向传播和反向传播算法推导
举报原因:
原因补充:

(最多只允许输入30个字)