江嵐

摘 要 文章提出了一種具有雙通道實時網(wǎng)絡(luò)安全隔離器的初步設(shè)計，在PC主機在需要對網(wǎng)絡(luò)數(shù)據(jù)隔離驗證環(huán)境下，安全傳輸數(shù)據(jù)到用戶桌面，該設(shè)計使得PC主機網(wǎng)絡(luò)隔離有更好的安全提升。通過該網(wǎng)絡(luò)隔離器能滿足實時數(shù)據(jù)的傳輸。同時對PC主機來說，能在硬件防火墻和軟件防火墻間起到了第三道防線作用

關(guān)鍵詞 網(wǎng)絡(luò)隔離；ARM；傳輸

中圖分類號 TP3 文獻標識碼 A 文章編號 1674-6708（2018）220-0078-02

1 PC主機網(wǎng)絡(luò)隔離技術(shù)的應(yīng)用

現(xiàn)階段，網(wǎng)絡(luò)通信安全的問題日益突出，對于安全需求較高的組織和部門，更加需要獨立的主機網(wǎng)絡(luò)隔產(chǎn)品需要主動解決面臨網(wǎng)絡(luò)空間安全問題。目前業(yè)界現(xiàn)有網(wǎng)絡(luò)隔離技術(shù)應(yīng)用較多的網(wǎng)絡(luò)安全隔離措施是使用防火墻硬件或軟件，但是防火墻類軟硬件與軟件本身存在一定局限：一是防火墻隔離待通過數(shù)據(jù)包。過濾主要原理還是屏蔽IP原地址或者傳輸層端口來實現(xiàn)，TCP/IP協(xié)議應(yīng)用時間久，協(xié)議結(jié)構(gòu)自誕生至今尚無明顯改變，致使協(xié)議本身存在諸多的漏洞；二是防火墻是由各類操作系統(tǒng)端控制，OS系統(tǒng)和防火墻硬件、軟件在識別和驗證方面有一定差異，因此并不能有效主動發(fā)現(xiàn)PC機所面對網(wǎng)絡(luò)信息安全問題。

網(wǎng)絡(luò)防護隔離是指內(nèi)部網(wǎng)絡(luò)接外部網(wǎng)絡(luò)即互聯(lián)網(wǎng)，能夠在發(fā)現(xiàn)異常時候屏蔽主機對話。網(wǎng)絡(luò)隔離技術(shù)通過隔離內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的通信來保證PC主機安全，在不基于網(wǎng)絡(luò)層協(xié)議運行、不依賴于操作系控制的基礎(chǔ)上，能在一定程度上解決PC主機在使用網(wǎng)絡(luò)過程中出現(xiàn)攻擊征兆時，及時主動防御，保護主機。防御由網(wǎng)絡(luò)漏洞所帶來的各種安全問題，如惡意代碼、病毒、網(wǎng)絡(luò)入侵、木馬、DDos攻擊等威脅。網(wǎng)絡(luò)安全等級要求較高的主機，在安全性、機密性、完整性、可用性、可控性和可審查性的安全需求，同時又能保證享有高效、穩(wěn)定、共享的網(wǎng)絡(luò)資源。

2 PC網(wǎng)絡(luò)隔離器技術(shù)設(shè)想

目前，主機網(wǎng)絡(luò)物理隔離防護的技術(shù)有：單機隔離防護技術(shù)和雙物理防護隔離技術(shù)。單機隔離防護技術(shù)是采用主機物理防護隔離卡。這項技術(shù)主要是將PC主機的內(nèi)部與外部劃分為公共和安全兩個區(qū)域。在現(xiàn)實使用過程中，PC主機能工作在受保護私有狀態(tài)和對外公共狀態(tài)等不同的網(wǎng)絡(luò)環(huán)境下。滿足不同安全與互聯(lián)需求。這種技術(shù)缺陷是：一旦隔離，通常靠物理上認為斷開路由器或者交換機的端口實現(xiàn)，或者只能基于防火墻的C/S模式進行內(nèi)部與外網(wǎng)通信。而雙物理端口防護隔離技術(shù)則是：兩塊芯片之間通過一個Double通道端口的緩存處理進行數(shù)據(jù)的傳輸，Double緩存端口能夠?qū)?shù)據(jù)通信劃分成兩個區(qū)域，一個區(qū)域是PC主機端向外網(wǎng)單向發(fā)送數(shù)據(jù)的端口。另一個區(qū)域則是外部網(wǎng)絡(luò)端口向內(nèi)部PC主機傳輸外部數(shù)據(jù)的端口。一般情況下PC主機與外網(wǎng)是被隔離的，Double端口單元芯片處于待命狀態(tài)。當有數(shù)據(jù)要傳輸請求發(fā)生時，PC外部數(shù)據(jù)才通過Double端口識別受信任數(shù)據(jù)與PC主機進行傳輸。

PC網(wǎng)絡(luò)防護隔離器的實時開關(guān)初步實現(xiàn)方式應(yīng)該主要基于SCSI（ Small Computer System Interface）防護隔離技術(shù)的隔離器和基于總線防護控制單元的網(wǎng)絡(luò)隔離器。應(yīng)用總線實時防護網(wǎng)絡(luò)隔離器采用Double端口存儲單元芯片，結(jié)合獨立的控制電路ARM的控制芯片，網(wǎng)絡(luò)Double端口通過各自的防護隔離開關(guān)與PC主機連接。使用獨立的控制電路ARM芯片能夠保證Double端口存儲器的兩個端口上都存在一個防護隔離控制電路單元，并且兩個電路控制單元不允許其同時打開、同時閉合（K1？K2=0）。而基于SCSI接口單元的PC防護網(wǎng)絡(luò)隔離器，則能把數(shù)據(jù)通道轉(zhuǎn)換到基于SCSI數(shù)據(jù)傳輸單元的端口模式連接。內(nèi)部的存儲單元則使用的是基于SCSI接口的ARM芯片控制器。而用于控制數(shù)據(jù)傳輸單元，則使用獨立ARM芯片的來實現(xiàn)，不占用PC主機CPU資源。

通過隔離器的數(shù)據(jù)傳輸交換過程：以數(shù)據(jù)由外網(wǎng)到PC主機內(nèi)的傳遞順序為例，其步驟如下：

1）隔離器對外來數(shù)據(jù)進行低層協(xié)議和高層應(yīng)用協(xié)議的篩選和分析，后將其還原為二進制原始數(shù)據(jù)。

2）對由外部進入內(nèi)部方向的數(shù)據(jù)進行完整性、安全性的信息驗證。

3）審查通過后，將被信任的數(shù)據(jù)傳遞給PC主機內(nèi)部，然后對內(nèi)接口的防護隔離器接口收到這一組數(shù)據(jù)。

4）對它們進行低層協(xié)議和高層應(yīng)用協(xié)議的檢查和封裝。

5）把數(shù)據(jù)發(fā)送到主機數(shù)據(jù)接口。反之則將PC機內(nèi)部數(shù)據(jù)傳輸至外部網(wǎng)絡(luò)。如以PC主機接收外部進入數(shù)據(jù)件為例，當外網(wǎng)有數(shù)據(jù)需要傳入PC主機端時，對外的防護隔離器端口將立刻會對隔離器所認為的受信的數(shù)據(jù)進行數(shù)據(jù)連接，防護隔離器端將對來自外部網(wǎng)絡(luò)的數(shù)據(jù)包的相關(guān)協(xié)議包頭進行解析，若被信任的數(shù)據(jù)包將會轉(zhuǎn)入對內(nèi)PC主機的接口。

根據(jù)與不同特征的匹配和分析，如果發(fā)現(xiàn)有風(fēng)險特征出現(xiàn)，將對數(shù)據(jù)的真實性、完整性、安全性做進一步進行檢查，如若發(fā)現(xiàn)具有病毒特征或具有惡意代碼特征相匹配的數(shù)據(jù)時，將對此類數(shù)據(jù)傳輸進行隔離阻斷。

3 PC網(wǎng)絡(luò)隔離器實現(xiàn)

數(shù)據(jù)傳輸?shù)倪^程是通過對隔離硬件上的存儲單元的讀寫來實施。存儲單元芯片作為內(nèi)部與外部的數(shù)據(jù)交換，及中間數(shù)據(jù)的存儲區(qū)域，其性能優(yōu)劣決定了PC網(wǎng)絡(luò)隔離器的數(shù)據(jù)交換的效率。因PC主機會有較高的數(shù)據(jù)傳輸速率要求。在此基礎(chǔ)上，考慮采用帶緩沖設(shè)計的Double端口，并能實時分析的防護隔離技術(shù)。

網(wǎng)絡(luò)防護隔離器的Double端口存儲器將數(shù)據(jù)交換處理區(qū)域劃分為兩個區(qū)域K1和K2。外部通過K1通道只能由外網(wǎng)向PC內(nèi)部發(fā)送數(shù)據(jù)，而內(nèi)部發(fā)至外部數(shù)據(jù)則通過K2，從內(nèi)部向外部傳輸數(shù)據(jù)，由此結(jié)構(gòu)數(shù)據(jù)區(qū)域?qū)⒂呻p向的（全雙工）數(shù)據(jù)通道變?yōu)榱藘蓚€的獨立的、單向的數(shù)據(jù)通道。

此設(shè)計使在原有的PC隔離器內(nèi)外部處理單元對隔離防護器處理單元上進行讀和寫操作，以此提高數(shù)據(jù)通道數(shù)據(jù)傳輸?shù)奶幚砟芰?，PC主機和外部網(wǎng)絡(luò)之間，在數(shù)據(jù)傳輸速率上和傳輸?shù)姆€(wěn)定性上會有明顯提升；PC主機在開啟防護隔離模式后，實現(xiàn)了在PC防護隔離器內(nèi)部特征存儲單元和外網(wǎng)防護隔離處理單元之間，能同時實現(xiàn)穩(wěn)定、安全、可靠、高效、動態(tài)實時監(jiān)控并可操控的數(shù)據(jù)傳輸。物理上由運算單元、主機防護處理單元、數(shù)據(jù)轉(zhuǎn)發(fā)單元、PC外部處理單元、PC外部隔離單元、控制電路單元等部分組成的隔離防護器因為獨立于PC主機之外，不會占用主機運算和內(nèi)存資源。

PC網(wǎng)絡(luò)隔離防護器實現(xiàn)了在物理上的網(wǎng)絡(luò)防護隔斷，能在物理上隔斷了PC主機與外部網(wǎng)絡(luò)，建立了有防護隔離的安全邊界。網(wǎng)絡(luò)防護隔離器被初步設(shè)計為基于物理層面上，內(nèi)部與外部的數(shù)據(jù)轉(zhuǎn)發(fā)由網(wǎng)絡(luò)隔離器則有控制電路來執(zhí)行，在某一特定時間節(jié)點，網(wǎng)絡(luò)防護隔離器只接受來自內(nèi)部處理數(shù)據(jù)請求，另一時段則會外部數(shù)據(jù)處理檢測轉(zhuǎn)發(fā)的請求，防護隔離控制單元主要負責(zé)控制PC主機數(shù)據(jù)區(qū)與外部網(wǎng)絡(luò)防護隔離區(qū)的通信請求，同時控制單元對PC主機區(qū)中的已檢驗過的外部數(shù)據(jù)進行權(quán)限開放，準其進入內(nèi)部。

一般情況下在通過PC網(wǎng)絡(luò)防護隔離器審核之后，在隔離器在檢查數(shù)據(jù)通行權(quán)限并與隔離器處理單元中的特征列表中的特征行為進行進項匹配分析后，通斷控制電路單元此時才會開放由外對內(nèi)的通信權(quán)限，打開數(shù)據(jù)通道，并按其數(shù)據(jù)由外向內(nèi)的方向進行數(shù)據(jù)的傳輸。

4 結(jié)論

在此對PC主機的雙接口雙通道的網(wǎng)絡(luò)防護隔離器進行了最初步設(shè)想，保留緩沖區(qū)的雙通道接口實時防護隔離功能，該設(shè)計能根據(jù)實際需求連接或隔離PC主機和外部網(wǎng)絡(luò)，將PC主機的雙向數(shù)據(jù)傳輸設(shè)置為兩個獨立的單元（雙半雙工）的數(shù)據(jù)傳輸，能夠明顯的提升由外到內(nèi)、由內(nèi)到外的數(shù)據(jù)傳輸效率；同時隔離單元模式下數(shù)據(jù)傳輸?shù)陌踩軌虻玫阶畲笙薅鹊谋ＷC。因而在外部數(shù)據(jù)到桌面環(huán)節(jié)上保證了真正的安全隔離，一定程度提高了信息安全級別。防御了一部分網(wǎng)絡(luò)安全威脅，對維護公用PC機控制系統(tǒng)信息安全與系統(tǒng)運行安全起到了重要作用。

網(wǎng)絡(luò)隔離器的設(shè)計在考慮安全性同時也考慮到傳輸速度上的需求，PC網(wǎng)絡(luò)防護隔離器的隔離單元采用帶緩沖單元的Double通道實時關(guān)閉-合啟與技術(shù)，有效的提高了PC主機與外部數(shù)據(jù)傳輸效率，在保證PC主機與外部的安全防護隔離的前提下，對公共及企業(yè)用途PC機的信息系統(tǒng)安全維護及系統(tǒng)安全運行提供了較為良好的安全保障。

參考資料

[1]胡林峰，須文波.基于ARM的網(wǎng)絡(luò)隔離器的設(shè)計[J].微計算機信息，2006，22（2）：132-133.

[2]俞建新，王健，宋健建，等.嵌入式系統(tǒng)基礎(chǔ)教程[M].北京：機械工業(yè)出版社，2015.