[摘 要]隨著我國(guó)信息化水平的不斷提高，各企業(yè)在信息化系統(tǒng)建設(shè)中對(duì)于信息安全性的要求也越來越高，為追求更高安全性的解決方案，隔離網(wǎng)閘技術(shù)應(yīng)運(yùn)而生。隔離網(wǎng)閘技術(shù)是在保證兩個(gè)網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享的技術(shù)，本文就隔離網(wǎng)閘技術(shù)的概念和應(yīng)用做了簡(jiǎn)要的介紹并詳細(xì)闡述其關(guān)鍵技術(shù)。

[關(guān)鍵詞]隔離網(wǎng)閘 信息安全

一、背景

信息安全一直以來都是企業(yè)安全運(yùn)營(yíng)的基礎(chǔ)，如何從企業(yè)的業(yè)務(wù)本身出發(fā)，結(jié)合安全最佳標(biāo)準(zhǔn)和業(yè)界相關(guān)標(biāo)準(zhǔn)的安全模型，形成一套行之有效的方法論，幫助企業(yè)定位安全建設(shè)的現(xiàn)狀、了解安全建設(shè)的需求、組織未來安全建設(shè)的規(guī)劃和實(shí)施是目前企業(yè)亟需的。

眾所周知，即便是在信息安全國(guó)際標(biāo)準(zhǔn)和相關(guān)最佳實(shí)踐的指導(dǎo)下，企業(yè)按照標(biāo)準(zhǔn)的安全實(shí)踐方法，設(shè)計(jì)和實(shí)施信息安全解決方案時(shí)，依然會(huì)遇到很多挑戰(zhàn)。

近年來，隨著我國(guó)信息化水平的不斷提高，各企業(yè)在信息化系統(tǒng)建設(shè)中，外部網(wǎng)絡(luò)連接著Internet，內(nèi)部網(wǎng)絡(luò)連接著各類數(shù)據(jù)服務(wù)器、桌面辦公系統(tǒng)，在外網(wǎng)、內(nèi)網(wǎng)之間交換信息是基本要求。這些信息交換的前提是安全，互聯(lián)網(wǎng)的安全性能對(duì)此提出了挑戰(zhàn)。防火墻、防病毒系統(tǒng)等各種復(fù)雜的安全技術(shù)得到了廣泛的應(yīng)用。但這些基于軟件的安全保護(hù)并非是絕對(duì)的安全。

在防火墻的發(fā)展過程中，人們最終意識(shí)到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾并沒有很好地解決。防火墻體系架構(gòu)在高安全性方面的缺陷，驅(qū)使人們追求更高安全性的解決方案，人們期望更安全的技術(shù)手段，隔離網(wǎng)閘技術(shù)應(yīng)運(yùn)而生。

二、隔離網(wǎng)閘技術(shù)的概念

隔離網(wǎng)閘技術(shù)是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接。

隔離網(wǎng)閘技術(shù)是在保證兩個(gè)網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享的技術(shù)。它采用獨(dú)特的硬件設(shè)計(jì)并集成多種軟件防護(hù)策略，能夠抵御各種已知和未知的攻擊，顯著提高內(nèi)網(wǎng)的安全強(qiáng)度。

三、隔離網(wǎng)閘技術(shù)概述

如今，網(wǎng)絡(luò)隔離技術(shù)已經(jīng)得到越來越多用戶的重視。重要的網(wǎng)絡(luò)和部門均開始采用隔離網(wǎng)閘產(chǎn)品來保護(hù)內(nèi)部網(wǎng)絡(luò)和關(guān)鍵點(diǎn)的基礎(chǔ)設(shè)施。目前世界上主要有三類隔離網(wǎng)閘(物理隔離交換/SGAP)技術(shù)，即SCSI技術(shù)，雙端口RAM技術(shù)和物理單向傳輸技術(shù)。SCSI是典型的拷盤交換技術(shù)，雙端口RAM也是模擬拷盤技術(shù)，物理單向傳輸技術(shù)則是二極管單向技術(shù)。

SCSI技術(shù)是目前最主流的隔離網(wǎng)閘技術(shù)。SCSI是一個(gè)外設(shè)讀寫協(xié)議，而不是一個(gè)通信協(xié)議。外設(shè)協(xié)議是一個(gè)主從的單向協(xié)議，外設(shè)設(shè)備僅僅是一個(gè)介質(zhì)目標(biāo)，不具備任何邏輯執(zhí)行能力，主機(jī)寫入數(shù)據(jù)，但并不知道是否正確。需要讀出寫入的數(shù)據(jù)，通過比較來確認(rèn)寫入的數(shù)據(jù)是否正確。因此，SCSI本身已經(jīng)斷開了OSI模型中的數(shù)據(jù)鏈路，沒有通信協(xié)議。但SCSI本身有一套外設(shè)讀寫機(jī)制，這些讀寫機(jī)制保證讀寫數(shù)據(jù)的正確性和可靠性。

雙端口RAM技術(shù)采用一種叫雙端口的靜態(tài)存儲(chǔ)器（Dual Port SRAM），配合基于獨(dú)立的CPLD的控制電路，以實(shí)現(xiàn)在兩個(gè)端口上的開關(guān)，雙端口各自通過開關(guān)連接到獨(dú)立的計(jì)算機(jī)主機(jī)上。CPLD作為獨(dú)立的控制電路，確保雙端口靜態(tài)存儲(chǔ)器的每一個(gè)端口上存在一個(gè)開關(guān)，兩個(gè)開關(guān)不能同時(shí)閉合。當(dāng)交換的內(nèi)容是文件數(shù)據(jù)時(shí)，它確實(shí)給出了一種隔離斷開的實(shí)現(xiàn)。當(dāng)交換的內(nèi)容是IP包，則不是，因?yàn)殡p端口RAM可以進(jìn)行IP包的存儲(chǔ)和轉(zhuǎn)發(fā)，這是一種結(jié)構(gòu)缺陷。采用這種技術(shù)的產(chǎn)品，應(yīng)該嚴(yán)格檢查是否實(shí)現(xiàn)了TCP/IP協(xié)議的剝離，是否實(shí)現(xiàn)了應(yīng)用協(xié)議的剝離，確保是應(yīng)用輸出或輸入的文件數(shù)據(jù)被轉(zhuǎn)發(fā)，而不是IP包。除此之外，還必須有機(jī)制來保證雙端口RAM不會(huì)被黑客用來轉(zhuǎn)發(fā)IP包。如果設(shè)計(jì)不當(dāng)，TCP/IP協(xié)議沒有剝離，IP包會(huì)直接被寫入內(nèi)存存儲(chǔ)介質(zhì)，并且被轉(zhuǎn)發(fā)。在這種情況下，盡管OSI模型的物理層是斷開的，鏈路層也是斷開的，由于TCP/IP協(xié)議的3層和4層沒有斷開，也不是網(wǎng)絡(luò)隔離。

物理單向傳輸技術(shù)采用的是單向傳輸，不需要開關(guān)。是相對(duì)于通訊的雙向而言的。隔離網(wǎng)閘中無論采用那種開關(guān)技術(shù)，實(shí)際就是物理鏈路的倒換，在內(nèi)外網(wǎng)之間提供一個(gè)安全的、功能視同隔離的交換區(qū)，象碼頭的擺渡一樣，把我們認(rèn)為是真實(shí)的數(shù)據(jù)擺渡過去。但是通訊協(xié)議的設(shè)計(jì)是分層次的，要交換的純數(shù)據(jù)本身在隔離網(wǎng)閘的種種技術(shù)手段中還是要穿越網(wǎng)閘，那么某種攻擊的行為就可能掩藏于“純數(shù)據(jù)”之中，通過網(wǎng)閘后再還原成攻擊程序。即使定義了安全原則的網(wǎng)閘只提供文件交換的功能，也還是要為兩端的客戶提供一定的服務(wù)接口，否則用戶沒有辦法把數(shù)據(jù)交給你，若拋開所有的安全檢測(cè)技術(shù)不談，服務(wù)就有可能成為攻擊行為的承載列車。

四、隔離網(wǎng)閘關(guān)鍵技術(shù)

第一，具有高度的安全性，至少在理論和實(shí)踐上要比防火墻高一個(gè)安全級(jí)別。除了和防火墻一樣對(duì)操作系統(tǒng)進(jìn)行加固優(yōu)化或采用安全操作系統(tǒng)外，關(guān)鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來。也就是說至少要由兩套主機(jī)系統(tǒng)組成，一套控制外網(wǎng)接口，另一套控制內(nèi)網(wǎng)接口，然后在兩套主機(jī)系統(tǒng)之間通過不可路由的協(xié)議進(jìn)行數(shù)據(jù)交換。

第二，網(wǎng)間完全隔離，關(guān)鍵是網(wǎng)絡(luò)包不可路由到對(duì)方網(wǎng)絡(luò)，無論中間采用了什么轉(zhuǎn)換方法，只要最終使得一方的網(wǎng)絡(luò)包能夠進(jìn)入到對(duì)方的網(wǎng)絡(luò)中，都無法稱之為隔離，即達(dá)不到隔離的效果。顯然，只是對(duì)網(wǎng)間的包進(jìn)行轉(zhuǎn)發(fā)，并且允許建立端到端連接的防火墻，是沒有任何隔離效果的。此外，那些只是把網(wǎng)絡(luò)包轉(zhuǎn)換為文本，交換到對(duì)方網(wǎng)絡(luò)后，再把文本轉(zhuǎn)換為網(wǎng)絡(luò)包的產(chǎn)品也是沒有做到隔離的。

第三，數(shù)據(jù)交換安全，既然要達(dá)到網(wǎng)絡(luò)隔離，就必須做到徹底防范基于網(wǎng)絡(luò)協(xié)議的攻擊，即不能夠讓網(wǎng)絡(luò)層的攻擊包到達(dá)要保護(hù)的網(wǎng)絡(luò)中，所以就必須進(jìn)行協(xié)議分析，完成應(yīng)用層數(shù)據(jù)的提取，然后進(jìn)行數(shù)據(jù)交換，這樣就把諸如TearDrop、Land、Smurf和SYN Flood等網(wǎng)絡(luò)攻擊包，徹底地阻擋在了可信網(wǎng)絡(luò)之外，從而明顯地增強(qiáng)了可信網(wǎng)絡(luò)的安全性。

第四，訪問控制，作為一套適用于高安全度網(wǎng)絡(luò)的安全設(shè)備，要確保每次數(shù)據(jù)交換都是可信的和可控制的，嚴(yán)格防止非法通道的出現(xiàn)，以確保信息數(shù)據(jù)的安全和訪問的可審計(jì)性。所以必須施加以一定的技術(shù)，保證每一次數(shù)據(jù)交換過程都是可信的，并且內(nèi)容是可控制的，可采用基于會(huì)話的認(rèn)證技術(shù)和內(nèi)容分析與控制引擎等技術(shù)來實(shí)現(xiàn)。

第五，網(wǎng)絡(luò)暢通，隔離技術(shù)會(huì)在多種多樣的復(fù)雜網(wǎng)絡(luò)環(huán)境中運(yùn)用，并且往往是數(shù)據(jù)交換的關(guān)鍵點(diǎn)，因此，要具有很高的處理性能，不能夠成為網(wǎng)絡(luò)交換的瓶頸，要有很好的穩(wěn)定性；不能夠出現(xiàn)時(shí)斷時(shí)續(xù)的情況，要有很強(qiáng)的適應(yīng)性，能夠透明接入網(wǎng)絡(luò)，并且透明支持多種應(yīng)用。

第六，數(shù)據(jù)通訊，即通過不可路由的協(xié)議來完成網(wǎng)間的數(shù)據(jù)交換。由于通信硬件設(shè)備工作在網(wǎng)絡(luò)七層的最下層，并不能感知到交換數(shù)據(jù)的機(jī)密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認(rèn)證、加密簽名等安全機(jī)制來實(shí)現(xiàn)，而這些機(jī)制的實(shí)現(xiàn)都是通過軟件來實(shí)現(xiàn)的。

因此，隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對(duì)應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。

五、隔離網(wǎng)閘應(yīng)用

由于隔離網(wǎng)閘技術(shù)可以實(shí)現(xiàn)兩個(gè)物理層斷開網(wǎng)絡(luò)間的信息擺渡，構(gòu)建信息可控交換 \"安全島\"，所以在政府、軍隊(duì)、電力等領(lǐng)域具有極為廣闊的應(yīng)用前景。目前隔離網(wǎng)閘大都提供了文件交換、收發(fā)郵件、瀏覽網(wǎng)頁(yè)等基本功能。此外，隔離網(wǎng)閘在負(fù)載均衡、冗余備份、硬件密碼加速、易集成管理等方面需要進(jìn)一步改進(jìn)完善，同時(shí)更好地集成入侵檢測(cè)和加密通道、數(shù)字證書等技術(shù)，也成為新一代隔離網(wǎng)閘發(fā)展的趨勢(shì)。

從當(dāng)前應(yīng)用情況來看，國(guó)內(nèi)目前隔離網(wǎng)閘市場(chǎng)也已經(jīng)具備一定規(guī)模，用戶主要集中在政府、公安、電力等對(duì)安全性要求很高的重要部門?？傊綦x網(wǎng)閘適用于政府、軍隊(duì)、公安、銀行、工商、航空、電力和電子商務(wù)等有高安全級(jí)別需求的網(wǎng)絡(luò)，當(dāng)然隔離網(wǎng)閘也可用來隔離保護(hù)主機(jī)服務(wù)器或?qū)ｉT隔離保護(hù)數(shù)據(jù)庫(kù)服務(wù)器。