余忠凱，吳金峰，吳美華，陳 戈

（塔里木油田公司信息與通訊技術(shù)中心，庫(kù)爾勒 841000）

隨著現(xiàn)代通信技術(shù)的迅猛發(fā)展和油田信息化建設(shè)的推進(jìn)，物聯(lián)網(wǎng)廣泛應(yīng)用在油田各生產(chǎn)領(lǐng)域中，但網(wǎng)絡(luò)安全問(wèn)題也日益凸顯，為保障油田網(wǎng)絡(luò)和數(shù)據(jù)的安全性，必須采用技術(shù)手段將內(nèi)外網(wǎng)完全隔離，本文介紹采用網(wǎng)絡(luò)安全隔離網(wǎng)閘，對(duì)內(nèi)、外網(wǎng)進(jìn)行物理隔離，以確保內(nèi)網(wǎng)數(shù)據(jù)的安全，同時(shí)又高效實(shí)現(xiàn)與外網(wǎng)共享。

1 網(wǎng)絡(luò)安全隔離網(wǎng)閘的背景

網(wǎng)絡(luò)安全隔離網(wǎng)閘，即安全隔離與信息交換系統(tǒng)，是模擬人工在兩個(gè)隔離網(wǎng)絡(luò)之間的信息交換，20世紀(jì)90年代中期，俄羅斯人Ry Jones首先提出了“AirGap”隔離概念，簡(jiǎn)稱“GAP”。然后，以色列成功研制出物理隔離卡，實(shí)現(xiàn)網(wǎng)絡(luò)之間的隔離。

第一代網(wǎng)閘技術(shù)利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來(lái)完成數(shù)據(jù)交換的，實(shí)現(xiàn)了在空氣縫隙隔離“AirGap”情況下的數(shù)據(jù)交換，安全原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全效果。

第二代網(wǎng)閘充分吸取了第一代網(wǎng)閘優(yōu)點(diǎn)，創(chuàng)造性地利用全新理念的專用交換通道PET技術(shù)，數(shù)據(jù)交換過(guò)程通過(guò)專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來(lái)實(shí)現(xiàn)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，并支持更多的網(wǎng)絡(luò)應(yīng)用。

2 網(wǎng)絡(luò)安全隔離網(wǎng)閘的原理

正常情況下，安全隔離網(wǎng)閘、外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，當(dāng)外網(wǎng)需要向內(nèi)網(wǎng)傳輸數(shù)據(jù)時(shí)，外部的服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，對(duì)數(shù)據(jù)包進(jìn)行數(shù)據(jù)分析與病毒掃描，把經(jīng)過(guò)檢測(cè)后的安全原始數(shù)據(jù)寫入存儲(chǔ)介質(zhì)中，當(dāng)數(shù)據(jù)完全寫入后，隔離設(shè)備立即終端與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隨后，數(shù)據(jù)被推向內(nèi)網(wǎng)，并交給應(yīng)用系統(tǒng)，在控制臺(tái)收到完整的交換信號(hào)后，隔離設(shè)備立即切斷與內(nèi)網(wǎng)的直接連接；當(dāng)數(shù)據(jù)需要有內(nèi)網(wǎng)向外網(wǎng)傳遞時(shí)，也遵從相似過(guò)程。

3 網(wǎng)閘在西部某油田的應(yīng)用探討

西部某油田物聯(lián)網(wǎng)建設(shè)嚴(yán)格按照集團(tuán)公司信息系統(tǒng)建設(shè)要求，從網(wǎng)閘選型上進(jìn)行了分析研究：從硬件架構(gòu)上，傳統(tǒng)網(wǎng)閘采用雙主機(jī)+隔離硬件設(shè)計(jì)思路，并使用專有隔離芯片和流處理芯片，在網(wǎng)絡(luò)通信過(guò)程中采用內(nèi)部私有協(xié)議進(jìn)行數(shù)據(jù)安全擺渡，以阻斷通用的網(wǎng)絡(luò)協(xié)議，其工作原理類似于“二極管”單向?qū)щ姷奶匦?。為方便業(yè)務(wù)訪問(wèn)，傳統(tǒng)網(wǎng)閘產(chǎn)品根據(jù)安全檢測(cè)的結(jié)果，采用在內(nèi)外網(wǎng)接口上解析應(yīng)用協(xié)議的方式工作，一端將應(yīng)用協(xié)議剝離成數(shù)據(jù)，另一端又恢復(fù)成應(yīng)用協(xié)議。這種解析不僅覆蓋常見應(yīng)用協(xié)議，而且對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)也可代理通過(guò)，網(wǎng)閘的安全主要依賴安全檢測(cè)技術(shù)，這就為緩沖區(qū)溢出、SQL注入等攻擊提供了生存的溫床；經(jīng)過(guò)協(xié)議解析后，應(yīng)用可以通過(guò)網(wǎng)閘，攻擊也就有了載體。因此，基于應(yīng)用協(xié)議解析網(wǎng)閘實(shí)際上成為一個(gè)邏輯上的安全網(wǎng)關(guān)，滿足了數(shù)據(jù)交換的功能，但失去了網(wǎng)絡(luò)隔離的效果。

我們認(rèn)為，為保證油田生產(chǎn)安全，油氣物聯(lián)網(wǎng)的網(wǎng)閘設(shè)計(jì)目標(biāo)應(yīng)滿足：在保證業(yè)務(wù)通訊隔離的基礎(chǔ)上，實(shí)現(xiàn)數(shù)據(jù)交換，其關(guān)鍵是安全性的延續(xù)，所以網(wǎng)閘的設(shè)計(jì)重點(diǎn)不僅是隔離與交換的控制邏輯設(shè)計(jì)上，而且包括業(yè)務(wù)代理的實(shí)現(xiàn)模式上。通過(guò)網(wǎng)閘實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)自動(dòng)交換的原理模型見圖2。

圖1 傳統(tǒng)網(wǎng)閘的工作原理

圖2 網(wǎng)閘實(shí)現(xiàn)數(shù)據(jù)自動(dòng)交換工作原理圖

基于以上認(rèn)識(shí)，我們采用市場(chǎng)調(diào)研、壓力測(cè)試、組網(wǎng)驗(yàn)證的手段，最終選用某品牌的高端單向網(wǎng)閘，它采用安全隔離與信息交換系統(tǒng)架構(gòu)。安全隔離與信息交換系統(tǒng)架構(gòu)網(wǎng)閘主要由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)和隔離交換矩陣三部分構(gòu)成。內(nèi)/外網(wǎng)主機(jī)系統(tǒng)分別與內(nèi)/外網(wǎng)相連，負(fù)責(zé)相應(yīng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測(cè)和內(nèi)外網(wǎng)絡(luò)之間的安全交換。整個(gè)系統(tǒng)具備以下技術(shù)特性：多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu)，通過(guò)專用硬件完成兩側(cè)信息的“擺渡”；被隔離網(wǎng)絡(luò)之間任何時(shí)刻不產(chǎn)生物理連接；內(nèi)/外網(wǎng)主機(jī)系統(tǒng)之間沒(méi)有網(wǎng)絡(luò)協(xié)議邏輯連接，通過(guò)隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開；數(shù)據(jù)交換方式完全私有，不具備可編程性。

圖3 基于安全隔離與信息交換網(wǎng)閘的工作原理圖

最終，我們實(shí)現(xiàn)了油氣物聯(lián)網(wǎng)中ORACLE，SYBASE，DB2，MS SQLSERVER等數(shù)據(jù)庫(kù)的單向同步，解決了不同安全域之間信息交換的問(wèn)題，并在此基礎(chǔ)上實(shí)現(xiàn)對(duì)信息交換底層訪問(wèn)控制和應(yīng)用層內(nèi)容的實(shí)時(shí)檢查，從而確保了油氣生產(chǎn)物聯(lián)網(wǎng)安全可靠的通信。

盡管基于安全隔離與信息交換系統(tǒng)架構(gòu)的單向網(wǎng)閘有極高的安全性，但在生產(chǎn)與安保視頻子網(wǎng)中無(wú)法進(jìn)行平臺(tái)互動(dòng)。因此，我們對(duì)視頻網(wǎng)與辦公網(wǎng)的隔離將采用視頻網(wǎng)閘，其工作原理為油氣物聯(lián)網(wǎng)應(yīng)用子系統(tǒng)通過(guò)協(xié)議檢查，對(duì)協(xié)議包格式和內(nèi)容檢查，分析協(xié)議內(nèi)容區(qū)分視頻數(shù)據(jù)和控制信令，只允許UDP視頻數(shù)據(jù)單向傳輸、TCP控制信令雙向傳輸方式。同時(shí)檢查數(shù)據(jù)來(lái)源，阻止非法數(shù)據(jù)接入和送出，并對(duì)傳出的信息執(zhí)行“白名單”檢查，防止非授權(quán)信息外泄。

4 結(jié)束語(yǔ)

要認(rèn)識(shí)到網(wǎng)閘業(yè)務(wù)協(xié)議解析帶來(lái)的新的安全挑戰(zhàn)，不是說(shuō)網(wǎng)閘功能越豐富越好，要從網(wǎng)閘處于網(wǎng)絡(luò)中的位置以及實(shí)現(xiàn)的目的規(guī)劃設(shè)計(jì)安全原則。使用網(wǎng)閘的目的是為了隔離業(yè)務(wù)的，進(jìn)行安全的數(shù)據(jù)交換；從安全服務(wù)的角度講，網(wǎng)閘開通的服務(wù)種類越少，被攻擊的可能性越小，網(wǎng)閘可交換的數(shù)據(jù)類型越少，隱含攻擊的可能越小。網(wǎng)閘的安全原則應(yīng)定義為：?jiǎn)我环?wù)，只完成數(shù)據(jù)文件的交換，只完成文件形式的數(shù)據(jù)交換。其他的服務(wù)一律關(guān)閉；定向交換，在數(shù)據(jù)交換時(shí)指定接收人、發(fā)送人；網(wǎng)閘不支持應(yīng)用協(xié)議解析，不透?jìng)鳂I(yè)務(wù)應(yīng)用，只進(jìn)行文件數(shù)據(jù)的擺渡，對(duì)于HTTP，SMTP，F(xiàn)TP等協(xié)議無(wú)法通過(guò)，數(shù)據(jù)庫(kù)的訪問(wèn)就更加不能通過(guò)，網(wǎng)閘只起到數(shù)據(jù)的擺渡，不支持應(yīng)用的互通，應(yīng)用協(xié)議的終止，讓入侵、攻擊徹底失去了傳播的載體?！?/p>