【摘 要】計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展至今，網(wǎng)絡(luò)安全方面的問題日益突出，面對(duì)層出不窮的網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)用戶對(duì)安全級(jí)別的特殊要求，全新的安全防護(hù)防范理念的網(wǎng)絡(luò)安全技術(shù)―“網(wǎng)絡(luò)隔離技術(shù)”應(yīng)運(yùn)而生。網(wǎng)絡(luò)安全隔離的目標(biāo)是確保隔離有害的攻擊，在可信網(wǎng)絡(luò)之外和保證可信網(wǎng)絡(luò)內(nèi)部信息不外泄的前提下，完成網(wǎng)間數(shù)據(jù)的安全交換。網(wǎng)絡(luò)隔離技術(shù)是在原有網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上發(fā)展起來的，它彌補(bǔ)了原有安全技術(shù)的不足，突出了自己的優(yōu)勢(shì)。

【關(guān)鍵詞】計(jì)算機(jī)；網(wǎng)絡(luò)；安全；隔離

隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和Internet的普及，人們的生活和企業(yè)的生產(chǎn)等社會(huì)活動(dòng)都和網(wǎng)絡(luò)存在密不可分的關(guān)系，Internet是一個(gè)面向大眾開放的平臺(tái)，它正以驚人的速度改變著人們的生活方式和工作效率，TCP/IP協(xié)議簇對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息的保密和系統(tǒng)的安全性考慮得并不完善，這些缺陷可能導(dǎo)致非授權(quán)訪問、商業(yè)信息泄露、資源耗盡、數(shù)據(jù)篡改等破壞。所以，網(wǎng)絡(luò)安全問題已成為網(wǎng)絡(luò)中至關(guān)重要的一個(gè)環(huán)節(jié)，無論是國(guó)家還是企事業(yè)單位，都不惜投入大量的人力、物力和財(cái)力來提高網(wǎng)絡(luò)的安全性。任何形式的互聯(lián)網(wǎng)服務(wù)都會(huì)導(dǎo)致安全方面的風(fēng)險(xiǎn)，用戶只能通過各種技術(shù)手段把風(fēng)險(xiǎn)降到最低程度。目前對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全措施有數(shù)據(jù)加密、數(shù)字簽名、身份認(rèn)證、網(wǎng)關(guān)隔離、防火墻和入侵檢測(cè)等。

一、劃分子網(wǎng)隔離

在工程實(shí)踐中，子網(wǎng)劃分是進(jìn)行網(wǎng)絡(luò)隔離的常用方法，但進(jìn)行子網(wǎng)劃分不僅僅是為了網(wǎng)絡(luò)隔離，可能是為了減輕系統(tǒng)的擁擠狀況、方便使用多種媒體介質(zhì)、方便查找網(wǎng)絡(luò)錯(cuò)誤，或者限制廣播信息傳播范圍等。例如，網(wǎng)絡(luò)上的兩個(gè)節(jié)點(diǎn)進(jìn)行通信時(shí)占用了整個(gè)網(wǎng)絡(luò)系統(tǒng)的帶寬，當(dāng)增加節(jié)點(diǎn)時(shí)就需要補(bǔ)充新的帶寬。如果將通信活動(dòng)比較頻繁的節(jié)點(diǎn)分放在各自的子網(wǎng)中，就可減少一個(gè)網(wǎng)絡(luò)上通信節(jié)點(diǎn)的數(shù)目，使得各節(jié)點(diǎn)在較小的網(wǎng)絡(luò)內(nèi)部相互通信，從而減輕系統(tǒng)的擁擠程度。

二、邏輯隔離

1.防火墻。Internet中的攻擊可能來自任何地方，對(duì)于一組相互信任的主機(jī)，其安全程度由最弱的一臺(tái)主機(jī)決定，一定某臺(tái)主機(jī)被攻擊進(jìn)入，其他主機(jī)也會(huì)受到影響。出于對(duì)以上問題的考慮，因當(dāng)把企業(yè)或校園網(wǎng)絡(luò)從開放的、無邊界的網(wǎng)絡(luò)中隔離出來，形成可以控制、管理、安全的內(nèi)部網(wǎng)絡(luò)。只有這樣，才能保證網(wǎng)絡(luò)的可用性和安全性，防火墻就是網(wǎng)絡(luò)安全隔離的重要手段。它作為網(wǎng)絡(luò)安全的第一道門，可以實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)與外部不信任網(wǎng)絡(luò)或內(nèi)部不同安全區(qū)域的隔離防護(hù)訪問，有效地阻止了網(wǎng)絡(luò)中的外部攻擊。

在網(wǎng)絡(luò)中應(yīng)用防火墻應(yīng)滿足以下幾個(gè)條件：

·內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳遞的所有數(shù)據(jù)必須都經(jīng)過防火墻。

·安全策略設(shè)置為只有合法的數(shù)據(jù)才可以通過。

·防火墻應(yīng)具有滲透免疫等高安全可靠性。

2.多重安全網(wǎng)關(guān)。防火墻是在“橋”上架設(shè)的一道關(guān)卡，只能做到類似“護(hù)照”的檢查；多重安全網(wǎng)關(guān)的方法就是架設(shè)多道關(guān)卡，有檢查行李的、有檢查人的。多重安全網(wǎng)關(guān)也稱為UTM（統(tǒng)一威脅管理），實(shí)現(xiàn)從網(wǎng)絡(luò)層到應(yīng)用層的全面檢查。多重安全網(wǎng)關(guān)提供了完全性安全保護(hù)。這種技術(shù)對(duì)OSI七層模型中描述的所有層次的內(nèi)容進(jìn)行處理，其有效性超過了狀態(tài)檢測(cè)技術(shù)以及深度包檢測(cè)技術(shù)，具備在干兆網(wǎng)絡(luò)環(huán)境中，實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象的能力，而且重組之后的應(yīng)用層對(duì)象可以通過動(dòng)態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。多重安全網(wǎng)關(guān)還可探測(cè)其他各種威脅，包括不良Web內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙。多重安全網(wǎng)關(guān)通常需要應(yīng)用ASIC技術(shù)來獲得性能保證。與防火墻比較，多重安全網(wǎng)關(guān)也是采用“架橋”的策略，主要是采用安全檢查的方式，不更改應(yīng)用協(xié)議，所以速度快，流量大，從客戶應(yīng)用上來看則沒有不同。

3.交換網(wǎng)絡(luò)。交換網(wǎng)絡(luò)的模型主要是通過業(yè)務(wù)代理與雙人審計(jì)的思路保護(hù)數(shù)據(jù)的完整性。交換網(wǎng)絡(luò)是在兩個(gè)隔離的網(wǎng)絡(luò)之間建立一個(gè)網(wǎng)絡(luò)交換區(qū)域，負(fù)責(zé)數(shù)據(jù)的交換。交換網(wǎng)絡(luò)的兩端可以采用多重網(wǎng)關(guān)，也可以采用網(wǎng)閘。在交換網(wǎng)絡(luò)內(nèi)部采用監(jiān)控、審計(jì)等安全技術(shù)。

三、物理隔離

物理隔離的數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。網(wǎng)絡(luò)隔離則是在物理隔離的基礎(chǔ)上，綜合利用過濾、認(rèn)證、日志等技術(shù)和專用硬件，保證兩個(gè)網(wǎng)絡(luò)在鏈路層斷開的前提下實(shí)現(xiàn)數(shù)據(jù)安全傳輸和資源共享，實(shí)現(xiàn)一個(gè)綜合的安全平臺(tái)。

1.已有物理隔離與數(shù)據(jù)自動(dòng)交換技術(shù)。物理隔離一般是指通過網(wǎng)絡(luò)與網(wǎng)絡(luò)分離來實(shí)現(xiàn)的網(wǎng)絡(luò)隔離，它是網(wǎng)絡(luò)隔離的一種形式，其目的是禁止網(wǎng)絡(luò)之間的資源共享，防止一個(gè)網(wǎng)絡(luò)的信息泄露到另一個(gè)網(wǎng)絡(luò)上去。物理隔離就是必須嚴(yán)格從網(wǎng)絡(luò)的物理層起就與其他系統(tǒng)徹底隔離開來。當(dāng)然，能夠?qū)崿F(xiàn)基于第一層的物理隔離是再安全不過了，但是如果沒有數(shù)據(jù)交換，就難以達(dá)到應(yīng)用的效果和目的。

2.網(wǎng)閘和GAP技術(shù)。網(wǎng)絡(luò)物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接。內(nèi)部主機(jī)和外部主杌在同一時(shí)間最多只有一個(gè)同固態(tài)存儲(chǔ)介質(zhì)建立非TCP/IP協(xié)議的數(shù)據(jù)連接。網(wǎng)絡(luò)隔離的好處是明顯的，即使外網(wǎng)在最壞的情況下，內(nèi)網(wǎng)也不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也非常容易。以上這種基于兩個(gè)單邊主機(jī)（內(nèi)部主機(jī)和外部主機(jī)）之間數(shù)據(jù)交換的網(wǎng)絡(luò)隔離技術(shù)，被稱作網(wǎng)閘。網(wǎng)閘是很多安全網(wǎng)絡(luò)隔離的選擇，但網(wǎng)閘代理業(yè)務(wù)的方式不同，協(xié)議隔離的概念不斷變化，所以在選擇網(wǎng)閘時(shí)要注意網(wǎng)閘的具體實(shí)現(xiàn)方式。

針對(duì)目前網(wǎng)絡(luò)安全威脅及網(wǎng)絡(luò)信息安全技術(shù)現(xiàn)狀，提出網(wǎng)絡(luò)安全隔離與信息交換技術(shù)安全功能的設(shè)計(jì)，對(duì)網(wǎng)絡(luò)安全隔離與信息交換技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)間可靠安全隔離，同時(shí)保障信息可靠交換，從而提升內(nèi)部網(wǎng)絡(luò)安全級(jí)別具有重要的意義。

【參考文獻(xiàn)】

[1]華建祥.企業(yè)網(wǎng)絡(luò)安全隔離技術(shù)分析研究[J].武夷學(xué)院學(xué)報(bào)，2011（5）.

[2]崔國(guó)慶.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防護(hù)的研究[J].電腦知識(shí)與技術(shù)，2009（26）.

[3]周全，榮東明，何遠(yuǎn).網(wǎng)絡(luò)隔離與企業(yè)信息安全[J].硅谷，2009（21）.