徐琛

摘 要： Internet的使用已經(jīng)普及全球，網(wǎng)絡(luò)安全問(wèn)題日益成為我們關(guān)注的焦點(diǎn)，網(wǎng)絡(luò)隔離設(shè)備是網(wǎng)絡(luò)安全主要防護(hù)設(shè)備。單向物理隔離網(wǎng)閘是一種由專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能夠在物理隔離的網(wǎng)絡(luò)之間進(jìn)行適度的安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。本文主要介紹了隔離技術(shù)在DNC網(wǎng)絡(luò)中的應(yīng)用，單向物理隔離網(wǎng)閘系統(tǒng)的原理，并分析了傳統(tǒng)的物理隔離技術(shù)與單向物理隔離技術(shù)的區(qū)別，以及單向物理隔離網(wǎng)閘與防火墻的區(qū)別。

關(guān)鍵詞： 網(wǎng)閘；DNC；網(wǎng)絡(luò)化；數(shù)控加工

前言

隨著互聯(lián)網(wǎng)上黑客病毒泛濫、信息恐怖、計(jì)算機(jī)犯罪等威脅日益嚴(yán)重，防火墻的攻破率不斷上升，在政府、軍隊(duì)、企業(yè)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國(guó)家安全、社會(huì)穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施。物理隔離網(wǎng)閘最早出現(xiàn)在美國(guó)、以色列等國(guó)家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。在企業(yè)信息化建設(shè)中，我們會(huì)遇到安全域的問(wèn)題，安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國(guó)家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國(guó)家的秘密，但是涉及到本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指不涉及國(guó)家秘密也不涉及工作秘密，是一個(gè)向互聯(lián)網(wǎng)絡(luò)完全開(kāi)放的公共信息交換空間。國(guó)家有關(guān)文件就嚴(yán)格規(guī)定，企業(yè)的內(nèi)網(wǎng)和企業(yè)的外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。企業(yè)的外網(wǎng)和互聯(lián)網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，企業(yè)的內(nèi)網(wǎng)就是涉密域，企業(yè)的外網(wǎng)就是非涉密域，互聯(lián)網(wǎng)就是公共服務(wù)域。國(guó)家有關(guān)研究機(jī)構(gòu)已經(jīng)研究了安全網(wǎng)閘技術(shù)，以后根據(jù)需求，還會(huì)有更好的網(wǎng)閘技術(shù)出現(xiàn)。通過(guò)安全網(wǎng)閘，把內(nèi)網(wǎng)和外網(wǎng)聯(lián)系起來(lái)；因此網(wǎng)閘成為企業(yè)信息系統(tǒng)必須配置的設(shè)備，由此開(kāi)始，網(wǎng)閘產(chǎn)品與技術(shù)在我國(guó)快速興起，成為我國(guó)信息安全產(chǎn)業(yè)發(fā)展的一個(gè)新的增長(zhǎng)點(diǎn)。

一、網(wǎng)閘概念

傳統(tǒng)網(wǎng)閘是使用帶有多種控制功能的固態(tài)開(kāi)關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議"擺渡"，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有"讀"和"寫"兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使"黑客"無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。安全隔離與信息交換系統(tǒng)，即網(wǎng)閘，是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開(kāi)關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來(lái)完成數(shù)據(jù)交換的，實(shí)現(xiàn)了在空氣縫隙隔離（AirGap）情況下的數(shù)據(jù)交換，安全原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，創(chuàng)造性地利用全新理念的專用交換通道PET（PrivateExchangeTunnel）技術(shù)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了第一代網(wǎng)閘的弊端，第二代網(wǎng)閘的安全數(shù)據(jù)交換過(guò)程是通過(guò)專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來(lái)實(shí)現(xiàn)的，雖然仍是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全效果的，但卻提供了比第一代網(wǎng)閘更多的網(wǎng)絡(luò)應(yīng)用支持，并且由于其采用的是專用高速硬件通信卡，使得處理能力大大提高，達(dá)到第一代網(wǎng)閘的幾十倍之多，而私有通信協(xié)議和加密簽名機(jī)制保證了內(nèi)外處理單元之間數(shù)據(jù)交換的機(jī)密性、完整性和可信性，從而在保證安全性的同時(shí)，提供更好的處理性能，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對(duì)隔離應(yīng)用的需求。

二、網(wǎng)閘技術(shù)

2.1 網(wǎng)閘的工作原理

網(wǎng)閘是一種由具有多種控制功能的專用硬件在電路上切斷網(wǎng)絡(luò)之間的鏈路層連接，能夠在網(wǎng)絡(luò)之間進(jìn)行適度安全數(shù)據(jù)交換的網(wǎng)絡(luò)安全設(shè)備。網(wǎng)閘系統(tǒng)主要由內(nèi)網(wǎng)處理、外網(wǎng)處理和安全檢測(cè)與控制處理3個(gè)模塊組成。其中，內(nèi)網(wǎng)處理模塊負(fù)責(zé)內(nèi)、外網(wǎng)信息獲取和協(xié)議分析；而安全檢測(cè)與控制處理模塊則根據(jù)安全策略完成信息的安全檢測(cè)、內(nèi)外網(wǎng)絡(luò)隔離和安全交換。其主要性能指標(biāo)有：系統(tǒng)數(shù)據(jù)交換速率（120 Mb/s）和硬件切換時(shí)間（5 ms）。其安全功能模塊具有安全隔離、內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)換、病毒查殺、訪問(wèn)控制、安全審計(jì)、身份認(rèn)證等功能。

由于互聯(lián)網(wǎng)是基于TCP/IP協(xié)議實(shí)現(xiàn)連接，因此入侵攻擊是依賴于OSI 7層數(shù)據(jù)通信模型的一層或多層，如果斷開(kāi)OSI數(shù)據(jù)模型的所有層，則可消除來(lái)自網(wǎng)絡(luò)的潛在攻擊。網(wǎng)閘正是依照該原理實(shí)現(xiàn)信息安全傳遞的，而不是依靠網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)包轉(zhuǎn)發(fā)，只有數(shù)據(jù)的無(wú)協(xié)議“擺渡”，阻斷了基于OSI協(xié)議的潛在攻擊，從而保證系統(tǒng)安全。因此，網(wǎng)閘真正實(shí)現(xiàn)網(wǎng)絡(luò)隔離，在阻斷各種網(wǎng)絡(luò)攻擊的基礎(chǔ)上，為用戶提供安全的網(wǎng)絡(luò)操作、郵件訪問(wèn)以及基于文件和數(shù)據(jù)庫(kù)的數(shù)據(jù)交換。第二代網(wǎng)閘通過(guò)專用交換通道、高速硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制可實(shí)現(xiàn)高速、安全的內(nèi)外網(wǎng)數(shù)據(jù)交換，使得處理能力大大提高，能夠適應(yīng)復(fù)雜網(wǎng)絡(luò)對(duì)隔離應(yīng)用的需求：而私有通信協(xié)議和加密簽名機(jī)制保證內(nèi)外處理單元間數(shù)據(jù)交換的機(jī)密性、完整性和可信性。因此，網(wǎng)閘具有更高的安全性和可靠性，通過(guò)內(nèi)部控制系統(tǒng)連接兩個(gè)獨(dú)立網(wǎng)絡(luò)，利用內(nèi)嵌軟件完成切換操作，并增加安全審查程序。作為數(shù)據(jù)傳遞“中介”，網(wǎng)閘在保證重要網(wǎng)絡(luò)與其他網(wǎng)絡(luò)隔離的同時(shí)能夠安全交換數(shù)據(jù)。

2.2 網(wǎng)閘主要功能

針對(duì)內(nèi)外網(wǎng)信息共享的類型和共享速度的需求，網(wǎng)閘主要包括以下功能：

2.2.1 數(shù)據(jù)庫(kù)訪問(wèn)提供客戶端安全訪問(wèn)數(shù)據(jù)庫(kù)服務(wù)器功能；

2.2.2 文件交換文件交換模塊在內(nèi)、外網(wǎng)服務(wù)器指定目錄或指定盤問(wèn)進(jìn)行單向或雙向的文件隔離交換，包括格式檢查、內(nèi)容過(guò)濾、簽名校驗(yàn)等；

2.2.3 安全瀏覽提供內(nèi)網(wǎng)用戶安全上網(wǎng)功能。支持透明模式和非透明模式，即把網(wǎng)閘配置成網(wǎng)關(guān)設(shè)備和配置客戶端代理；

2.2.4 郵件交換在內(nèi)、外網(wǎng)郵件服務(wù)器之間隔離交換郵件，內(nèi)網(wǎng)用戶安全收發(fā)外網(wǎng)郵件；

2.2.5 數(shù)據(jù)庫(kù)同步在內(nèi)外網(wǎng)數(shù)據(jù)庫(kù)之間進(jìn)行數(shù)據(jù)同步。數(shù)據(jù)庫(kù)同步代理根據(jù)用戶設(shè)置定時(shí)啟動(dòng)同步任務(wù)，并按一定周期重復(fù)執(zhí)行。如果周期設(shè)置為秒級(jí)，則可實(shí)現(xiàn)實(shí)時(shí)同步；

2.2.6 ftp訪問(wèn)客戶端可直接安全訪問(wèn)FTP服務(wù)器；

2.2.7 郵件訪問(wèn) 用戶直接安全訪問(wèn)郵件服務(wù)器。

三、網(wǎng)閘在DNC系統(tǒng)的應(yīng)用

DNC系統(tǒng)主要分兩部分，即通訊系統(tǒng)和管理系統(tǒng)。通訊系統(tǒng)是DNC系統(tǒng)實(shí)現(xiàn)的關(guān)鍵，這是建立DNC系統(tǒng)的基礎(chǔ)。雖然數(shù)控設(shè)備種類繁多，控制系統(tǒng)各異，但數(shù)控機(jī)床通訊方式有限，有串口通訊、以太網(wǎng)卡通訊和無(wú)線傳輸通訊。不同的DNC思想對(duì)于DNC通信要求也不完全一致，需要根據(jù)DNC的思想選擇合適的DNC通信方案或擴(kuò)展DNC的通信功能。鑒于目前公司的數(shù)控機(jī)床提供的主要是串行通信接口，因此主要針對(duì)具有串行通信接口的數(shù)控機(jī)床。

對(duì)于應(yīng)用串行通信的數(shù)控機(jī)床，網(wǎng)絡(luò)化DNC系統(tǒng)通信結(jié)構(gòu)采用以下兩種實(shí)現(xiàn)方式：局域網(wǎng)結(jié)合點(diǎn)對(duì)點(diǎn)式DNC通信結(jié)構(gòu)和局域網(wǎng)式結(jié)構(gòu)。

早期的DNC系統(tǒng)通訊結(jié)構(gòu)為局域網(wǎng)結(jié)合點(diǎn)對(duì)點(diǎn)式DNC通信結(jié)構(gòu)，在局域網(wǎng)結(jié)合點(diǎn)對(duì)點(diǎn)式DNC通信結(jié)構(gòu)中，每臺(tái)數(shù)控機(jī)床均配置一臺(tái)計(jì)算機(jī)，通過(guò)計(jì)算機(jī)把數(shù)控機(jī)床連接到網(wǎng)絡(luò)。這種系統(tǒng)存在大量計(jì)算機(jī)的維護(hù)工作和機(jī)床操作人員的培訓(xùn)工作，而且DNC通信傳輸軟件大多為專用系統(tǒng)，一種通信軟件一般只能支持一種或有限的幾種的數(shù)控機(jī)床，理想情況應(yīng)是以一種通用性的DNC通信軟件支持全部的數(shù)控機(jī)床，并增加機(jī)床狀態(tài)信息映射功能，把采集的信息實(shí)時(shí)網(wǎng)絡(luò)發(fā)布。

在應(yīng)用現(xiàn)場(chǎng)總線實(shí)現(xiàn)的通信結(jié)構(gòu)中，過(guò)多的協(xié)議層次導(dǎo)致了整個(gè)系統(tǒng)的復(fù)雜和開(kāi)發(fā)的難度，如果不使用現(xiàn)場(chǎng)總線，把車間的以太網(wǎng)直接延伸到數(shù)控機(jī)床，車間的通信結(jié)構(gòu)變成internet/intranet/serial，從而簡(jiǎn)單了很多。具有以太網(wǎng)接口的串口服務(wù)器和具有以太網(wǎng)接口的可編程邏輯控制器的出現(xiàn)，以及以太網(wǎng)技術(shù)的發(fā)展使這項(xiàng)技術(shù)成為可能。局域網(wǎng)式DNC通信的結(jié)構(gòu)與點(diǎn)對(duì)點(diǎn)式結(jié)構(gòu)相比，是一種簡(jiǎn)潔高效的解決方案；相對(duì)于現(xiàn)場(chǎng)總線式結(jié)構(gòu)，減少了系統(tǒng)的復(fù)雜性，同時(shí)可實(shí)現(xiàn)車間辦公自動(dòng)化網(wǎng)絡(luò)和自動(dòng)化設(shè)備網(wǎng)絡(luò)的直接連接。使車間乃至整個(gè)企業(yè)的信息網(wǎng)與DNC通訊網(wǎng)絡(luò)得以統(tǒng)一，無(wú)須像現(xiàn)場(chǎng)總線那樣對(duì)DNC主控計(jì)算機(jī)作為信息整合的接口，實(shí)現(xiàn)了全車間信息的完整性、通透性、一致性。同時(shí)該結(jié)構(gòu)可以實(shí)現(xiàn)嵌入式internet服務(wù)功能，使擁有權(quán)限的internet用戶可以在任何時(shí)候、任何地方監(jiān)控機(jī)床的運(yùn)行情況。針對(duì)不同類型的數(shù)控設(shè)備開(kāi)發(fā)通訊程序，建立通訊協(xié)議庫(kù)，選擇合適的通訊協(xié)議下載到DNC控制器，從而在DNC服務(wù)器端用一個(gè)統(tǒng)一的信息平臺(tái)來(lái)管理全部的數(shù)控設(shè)備，實(shí)現(xiàn)異構(gòu)數(shù)控設(shè)備的集成。

四、DNC系統(tǒng)管理模塊功能設(shè)計(jì)

DNC系統(tǒng)管理模塊的功能主要是管理數(shù)控設(shè)備信息和數(shù)控加工任務(wù)信息，實(shí)現(xiàn)數(shù)控資源的網(wǎng)絡(luò)共享。服務(wù)器平臺(tái)在功能上劃分為以下幾點(diǎn)。

4.1 機(jī)床信息管理

這里主要實(shí)現(xiàn)各類數(shù)控機(jī)床靜態(tài)信息管理，包括數(shù)控銑床、車床、電火花和線切割機(jī)床信息的錄入、修改和刪除，這些靜態(tài)信息包括機(jī)床名稱、所屬企業(yè)、工作臺(tái)面和數(shù)控系統(tǒng)等信息。各類機(jī)床的參數(shù)正確的錄入才能保證DNC系統(tǒng)的正常通訊。

4.2 數(shù)控程序管理

包括數(shù)控程序的審核、上傳、編輯、模擬和查詢功能。數(shù)控編程人員根據(jù)選擇的數(shù)控機(jī)床，生成數(shù)控程序，然后將數(shù)控程序相關(guān)信息錄入到數(shù)據(jù)庫(kù)中，并加入到機(jī)床任務(wù)隊(duì)列，這些信息包括對(duì)應(yīng)機(jī)床、數(shù)控程序。數(shù)控程序模擬是提供對(duì)數(shù)控程序的在線模擬。數(shù)控程序的查詢可以按照機(jī)床編號(hào)或名稱以及加工狀態(tài)等方式進(jìn)行。

4.3 機(jī)床任務(wù)管理

提供對(duì)每臺(tái)機(jī)床的加工任務(wù)管理。網(wǎng)內(nèi)人員獲得權(quán)限的才可以對(duì)機(jī)床的加工任務(wù)進(jìn)行添加、刪除和任務(wù)查詢，也可以把每日加工任務(wù)生成任務(wù)單下達(dá)給機(jī)床操作人員。

4.4 機(jī)床狀態(tài)分析

通過(guò)DNC控制器獲得機(jī)床的運(yùn)行狀態(tài)日志，并提供對(duì)運(yùn)行日志的各種分析報(bào)告。機(jī)床狀態(tài)比例是指用百分比的形式顯示各機(jī)床工作狀態(tài)比例圖。

4.5 機(jī)床狀態(tài)觀察

通過(guò)DNC控制器實(shí)時(shí)采集的機(jī)床狀態(tài)。如機(jī)床是加工、空閑、設(shè)置還是報(bào)警。

4.6 用戶和設(shè)備的管理

提供對(duì)內(nèi)部人員的帳號(hào)和工作權(quán)限的管理，這部分工作由系統(tǒng)管理員完成，可對(duì)內(nèi)部人員劃分角色以及分組管理。

五、結(jié)語(yǔ)

通過(guò)網(wǎng)絡(luò)化加工，實(shí)現(xiàn)數(shù)控設(shè)備資源的共享，進(jìn)行數(shù)控資源的配置和重組，以網(wǎng)絡(luò)化模式進(jìn)行新產(chǎn)品的制造和加工。也就是說(shuō)，企業(yè)在缺乏數(shù)控加工能力的情況下，不是一味的增加數(shù)控設(shè)備的投入，而是從降低企業(yè)投資風(fēng)險(xiǎn)出發(fā)，在不需要投入大量資金的情況下，盡可能獲得所需要得數(shù)控加工資源，擴(kuò)大企業(yè)得數(shù)控加工能力。提高企業(yè)快速響應(yīng)市場(chǎng)，適應(yīng)多樣化加工得能力，使合作各方得資源得到充分得利用，降低生產(chǎn)成本，爭(zhēng)取在局部最優(yōu)得基礎(chǔ)上取得全局最優(yōu)。

參考文獻(xiàn)

[1]王淑江.網(wǎng)絡(luò)安全[M].北京：機(jī)械工業(yè)出版社，2007.

[2]彭德明，喬月圓.計(jì)算機(jī)網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社.2007.