張 慶

（重慶醫(yī)科大學附屬大學城醫(yī)院 重慶 401331）

0 引言

在信息技術飛速發(fā)展的今天，網絡安全問題越來越受人關注，人們對信息傳輸的安全性、及時性、有效性要求越來越高。為了滿足信息傳輸的需要和網絡安全的保障等問題，催生了網絡安全隔離和信息交換技術。

1 目前網絡安全存在的威脅

在網絡信息的傳輸與交換中，會產生各式各樣自身或他人的因素對信息的安全性和保密性產生威脅，具體說來主要有網絡本身的安全缺陷和網絡攻擊兩大類。

1.1 網絡安全缺陷

一個完整的網絡，是由網絡協(xié)議和網絡應用兩大部分構成的，在協(xié)議的制定和應用的設計上都有可能出現網絡安全缺陷。

1.1.1 協(xié)議設計缺陷

協(xié)議的設計往往都是以實用性為主，安全問題不被重視甚至被忽略，常借于應用來實現，這容易導致安全缺陷的產生；協(xié)議設計錯誤或對設計中發(fā)生的問題處理不當，容易是服務受到影響，也會成為黑客的目標；協(xié)議架構在其他基礎協(xié)議之上時，若是所選協(xié)議不牢固，也會使所設計的協(xié)議功能性、穩(wěn)定性和安全性受到影響。

1.1.2 軟件編寫、操作及維護不當

軟件編寫的方式不正確，習慣較差的情況，常常會遺留下安全漏洞，如模塊應用錯誤、應用程序假設錯誤、資料容錯力差、對未知錯誤的預判不夠等；操作人員未能按照手冊操作程序，或是對協(xié)議認知度不夠，發(fā)生錯誤操作，也會導致漏洞的產生；有的軟件的默認值設置不當，在方便用戶的同時，也為病毒和木馬創(chuàng)造了機會；軟件開發(fā)完成后缺乏一定頻率的維護，未能及時發(fā)現和修補系統(tǒng)的漏洞，導致網絡攻擊有機可趁。

1.2 網絡攻擊

現代的網絡攻擊手段較過去有了很大變化，攻擊方式和工具層出不窮且易于掌握，攻擊發(fā)起者也從個人行為到有組織有效率的團體行為，具體說來，網絡攻擊主要分為以下幾種：

①病毒：計算機病毒會占用磁盤空間，引發(fā)CPU過度運行，導致系統(tǒng)效率降低或崩潰，更嚴重的會破壞資料，導致系統(tǒng)癱瘓或重啟，甚至損壞硬件；

②木馬：木馬的說法來源于希臘神話中特洛伊之戰(zhàn)的故事，主要指將惡意程序隱藏在某些看似正常合法的軟件中，侵入用戶的系統(tǒng)。一旦進入用戶系統(tǒng)，木馬會竊取用戶的大量隱私等重要信息，包括賬號密碼，登錄口令等，還會盜用用戶的資料，以及一些其他的非法目的。

③黑客：黑客是利用網絡攻擊技術，攻擊他人的系統(tǒng)以達成自己的不法目的。如網絡嗅探，查看網絡數據包并獲取其中的內容，用來得知用戶的賬號、密碼、口令等；拒絕服務，樂意通過反復向 WEB站點發(fā)送請求以阻塞該站點的網絡傳輸，妨礙網站的正常功能；后門，在用戶系統(tǒng)中留下“后門”程序，方便下次闖入。

正因為有如此多的網絡不安全因素，這才推動了網絡安全信息防護工作的發(fā)展。

2 網絡安全隔離與信息交換技術發(fā)展及概況

網絡安全隔離與信息交換技術的發(fā)展已經有長足的進步，通過數個階段的摸索和測試，現有的網絡信息防護技術已經相對成熟。筆者認為，網絡安全隔離與信息交換技術的發(fā)展主要有以下幾個階段。

2.1 最初的網絡安全隔離與信息交換技術

通過人工操作實現信息交換，是最初的網絡安全隔離與信息交換技術。這種方法是在兩個網絡間進行物理隔斷，由人工操作實施信息交換與傳遞。雖然此方式安全性較高，但是具有太多限制，比如人工操作緩慢，仍然無法徹底解決病毒和機密信息泄漏問題，傳輸形式只限于文件，應用范圍很有限。

2.2 網絡硬件隔離技術

時過境遷，以硬件隔離為代表的新一代網絡隔離技術問世了。此法是將客戶端和主板連接間加入一塊硬件卡，由硬件卡控制系統(tǒng)硬件設備。硬件隔離卡是網絡空間、時間隔離的初步形態(tài)，已經具有了一定的功效。但是由于切換網絡需要重啟系統(tǒng)及網絡布線的局限性，該方式仍然有待改進。

2.3 新型網絡隔離技術

經過硬件和軟件技術的飛速發(fā)展，網絡安全隔離技術開始了一個全新的階段。參考防火墻的防護優(yōu)點，并借鑒多樣化的網絡安全技術如訪問限制、日志審查、病毒防護等措施，建立了集眾家之所長的網絡安全新技術框架。這種技術框架，能在空間和時間兩個方面進行網絡安全隔離和信息交換工作。空間上，通過中間交換儲存介質分時連接內外網絡，避免內外網絡的直接聯(lián)系；時間上，保證用戶在同一時刻只能處于內網或外網的其中一個，實現信息高速安全的傳輸。

3 新型網絡安全隔離技術的模型概述

新型網絡安全隔離技術就是通過在內外網間建立交換儲存控制開關，對流經的數據進行檢查，分解，重組等操作。根據數據處理的過程，整個系統(tǒng)可以分為交換儲存介質部分和內外網代理部分。

3.1 內外網代理部分的工作原理

內外網代理是保護信息安全的首要屏障，它們分別通過運行簡化的服務器端程序和客戶端程序，來處理通過它們的數據流量。該代理模塊主要由TCP/IP協(xié)議棧、協(xié)議分解、協(xié)議重構、會話處理等部分構成。其中TCP/IP協(xié)議棧能處理多種協(xié)議的會話，如HTTP、SMTP、FTP等，協(xié)議分解負責將TCP/IP協(xié)議頭映射為表單結構，表單結構含有許多重要協(xié)議參數，在映射過程中，會對協(xié)議的各項內容進行嚴格審查，并使用驗證碼校驗加密，防止代理部分被外部攻擊；協(xié)議重構則將上述表單重新生成為數據。三個部分結合在一起稱為應用代理子模塊。該模塊繼承了防火墻的優(yōu)點，能進行包括IP審查，IP過濾、應用層協(xié)議訪問控制等功能。

首先，TCP/IP協(xié)議棧會接受會話鏈接請求時，會自動終止鏈接，保證內外網無直接鏈接聯(lián)系，之后協(xié)議棧根據設立好的規(guī)則對會話進行安全檢查，當發(fā)現不符合安全規(guī)則的協(xié)議，協(xié)議棧將立刻終止會話；若是通過了安全檢查，協(xié)議棧將為該會話建立會話表項，記錄進程的有關參數以便處理外網持續(xù)傳回的信息。此后，會話請求會被傳送到協(xié)議分解部分，在此，會話內容被分為數據內容和應用內容；前者以特殊形式映射，靜態(tài)封裝，后者則附上驗證序號，寫入中間交換儲存設備。會話處理部分則連接著外網的外部代理，起到了讀取表單，重新構成協(xié)議段，并將具有同樣驗證序號的協(xié)議段及數據再組合，構成新會話并發(fā)送給外部服務器。

3.2 交換儲存介質的工作原理

若是僅僅通過專用協(xié)議的邏輯隔離，并不能將數據靜態(tài)化，可能出現利用底層協(xié)議攻擊或避開安全規(guī)則攻擊的網絡安全漏洞。只有使內外網真正隔離，才能有效組織網絡攻擊的發(fā)生，真正保護信息安全，交換儲存介質就發(fā)揮著這樣的作用。

4 結語

經過多年的發(fā)展與不懈的探索，網絡安全隔離與信息交換技術的發(fā)展日漸成熟，已成為防范網絡攻擊，保護信息安全的重要手段。采用內外網代理和交換儲存處理模塊組成的新型網絡安全隔離技術，可以真正實現硬件上的隔離，保護信息安全，徹底將網絡攻擊扼殺在萌芽中。

[1]蘇智睿 李云雪 王曉斌.網絡安全隔離與信息交換技術分析[J].信息安全與通信保密，2012，04

[2]蘇智睿.新型網絡安全防護技術——網絡安全隔離與信息交換技術的研究：[學位論文].電子科技大學，2013，02

[3]王詩琦.網絡安全隔離與信息交換技術的系統(tǒng)分析[J].信息通信，2012，03

[4]馬瑞祥 王宇.安全隔離與信息交換技術的最新發(fā)展動向[J].中國計算機報，2011，08