防范不明攻擊　維護網絡安全

寅　杰

在信息化社會中，計算機通信網絡在政治、軍事、金融、商業、交通、電信、文教等方面的作用日益增長。社會對計算機網絡的依賴也日益增強，尤其是計算機技術和通信技術相結合所形成的信息基礎設施，已經成為反映信息社會特征最重要的基礎設施。人們建立了各種各樣完備的信息系統，使得人類社會的一些機密和財富高度集中于計算機中。但是這些信息系統都是依靠計算機網絡接收和處理信息，實現其相互間的聯系和對目標的管理、控制。以網絡方式獲得信息和交流信息已成為現代信息社會的一個重要特征。

隨著網絡的開放性、共享性及互聯程度的擴大，特別是Internet網的出現，網絡的重要性和對社會的影響也越來越大。隨著網絡上各種新業務的興起，比如電子商務（Electronic Commerce）、電子現金（Electronic Cash）、數字貨幣（Digital Cash）、網絡銀行（Network Bank）等的興起，以及各種專用網（比如金融網、科研網等）的建設，使得安全問題顯得越來越重要。因此對網絡安全技術的研究成為現在計算機和通信界的一個熱點，并且成為信息科學的一個重要研究領域，正日益受到人們的關注。

我國的信息化進程雖然剛剛起步，但是發展迅速，網絡已經滲透到國民經濟的各個領域，滲透到了我們工作和生活的方方面面。在短短的幾年時間里，也發生了多起針對、利用計算機網絡進行犯罪的案件，給國家、企業和個人造成了重大的經濟損失和危害，特別是具有行業特征（例如金融部門等）的犯罪，更是令人觸目驚心。面對如此嚴重危害計算機網絡的種種威脅，必須采取有力的措施來保證計算機網絡的安全。但是現有的計算機網絡大多數在建設之初都忽略了安全問題，即使考慮了安全，也只是把安全機制建立在物理安全機制上，隨著網絡的互聯程度的擴大，這種安全機制對于網絡環境來講形同虛設。另外，目前網絡上使用的協議，比如TCP/IP協議，在制訂之初也沒有把安全考慮在內，所以沒有安全可言。TCP/IP協議中存在很多的安全問題，根本不能滿足網絡安全要求。開放性和資源共享是計算機網絡安全問題的主要根源，它的安全性主要依賴于加密、網絡用戶身份鑒別、存取控制策略等技術手段。

面對新型網絡攻擊手段的出現和高安全度網絡對安全的特殊需求，一種全新安全防護防范理念的網絡安全技術“第五代網絡隔離技術"應運而生。網絡隔離技術的目標是確保把有害的攻擊隔離在可信網絡之外和保證可信網絡內部信息不外泄的前提下完成網間數據的安全交換。網絡隔離技術是在原有安全技術的基礎上發展起來的，它彌補了原有安全技術的不足，突出了自己的優勢。網絡隔離，英文名為Network Isolation，主要是指把兩個或兩個以上可路由的網絡（如：TCP/IP）通過不可路由的協議（如：IPX/SPX、NetBEUI等）進行數據交換而達到隔離目的，由于其原理主要是采用了不同的協議，所以通常也叫協議隔離（Protocol Isolation）。隔離概念的出現，是為了保護高安全度網絡環境的情況下產生的；隔離產品的大量出現，也是經歷了五代隔離技術不斷的實踐和理論相結合后得來的。

第五代隔離技術的出現，是在對市場上網絡隔離產品和高安全度網需求的詳細分析情況下產生的，它不僅很好地解決了第三代和第四代很難解決的速度瓶頸問題，并且先進的安全理念和設計思路明顯地提升了產品的安全功能，是一種創新的隔離防護手段。第五代隔離技術的實現原理是通過專用通信設備、專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術進行不同安全級別網絡之間的數據交換，徹底阻斷了網絡間的直接TCP/IP連接，同時對網間通信的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制，從而保證了網間數據交換的安全可控，杜絕了由于操作系統和網絡協議自身的漏洞帶來的安全風險。

北京蓋特佳信息安全技術有限公司的研發人員最早從1999年就開始對網絡隔離技術的研究， 經歷了從串口、并口到USB的研發過程。在實踐中發現，要更安全地完成協議隔離，靠不可路由的協議雖然達到了一定的安全度，但由于像串口、并口和USB等都為通用設備，IPX/SPX和NetBEUI等都為常見協議，都有規范的接口，安全強度仍然不夠高。為此，研發人員提出了用專用硬件通信和專有安全協議的全新理念，雖然增加了研發難度，但明顯地提高了系統的抗攻擊能力，有更強的控制能力，并最終研發出了“網杰安全隔離與信息交換系統”。

2003年8月14日，國家保密局保密信息系統安全保密測評中心簽發了北京蓋特佳信息安全技術有限公司自主研發的“網杰安全隔離與信息交換系統”檢測報告，這標志著我國首套新一代專用通道型式網絡安全隔離系統誕生。同時，“網杰安全隔離技術”的面世，實現了我國信息安全行業網絡安全隔離技術的重大突破，填補了國內空白。

隨著網絡信息的建設和深化，網絡安全已經成為國家和企業的重要關口。而在目前的網絡安全技術中，防火墻、IDS入侵檢測系統、反病毒等傳統的安全防范技術手段，已經不能滿足我國政府和企業對網絡安全的需要。在此情況下，“網絡隔離概念”已成為網絡安全領域的一項新技術，“網杰安全隔離與信息交換系統”成為我國網絡安全領域的新產品，是我國網絡安全技術中的一種創新范例。