一種艦載網絡隔離與交換技術的研究＊

張 靚 袁 野 楊 勇

（1.海軍駐426廠軍事代表室 大連 116005）（2.91550部隊 大連 116023）（3.武漢市74223信箱 武漢 430074）

1 引言

面對新型網絡攻擊手段的出現和高安全度網絡對安全的特殊需求，全新安全防護防范理念的網絡安全技術—“網絡隔離技術”應運而生。

網絡隔離技術的目標是確保把有害的攻擊隔離，在可信網絡之外和保證可信網絡內部信息不外泄的前提下，完成網間數據的安全交換。

2 網絡隔離技術的發展與特點

網絡隔離［1］，英文名為 Network Isolation，主要是指把兩個或兩個以上可路由的網絡（如：TCP／IP）通過不可路由的協議（如：IPX／SPX、NetBEUI等）進行數據交換而達到隔離目的。由于其原理主要是采用了不同的協議，所以通常也叫協議隔離（Protocol Isolation）。

隨著隔離產品的發展隔離技術經歷了完全隔離、硬件卡隔離、數據轉播隔離、空氣開關隔離、安全通道隔離五個發展階段。就隔離技術而言應具有以下要求：

1）要具有高度的自身安全性

隔離產品要保證自身具有高度的安全性［2］，從技術實現上，應采用加固或安全的操作系統，關鍵在于要把內外網接口從操作系統層分離。通過構建兩套主機系統分別控制內外網絡接口，并在其接口間通過不可路由的協議進行數據交換，以達到自身的安全級別。

2）要滿足應用透明化和處理高速化要求

面對各種網絡環境下的數據交換隔離技術應支持網絡接入、網絡應用的透明化和交換處理的高速化的需求。

3）要滿足數據交換的可信、可控、可靠等要求

在應用安全上要能防止非法通道等網絡攻擊的出現，保證滿足數據安全穩定傳遞、網絡安全訪問以及操作可審計等要求。

3 艦載網絡隔離與交換應用需求

商用成熟網絡隔離產品在電子政務、銀行、通信等領域已有成熟的應用，在軍用辦公信息化領域也已有少量應用。但在實時性、可靠性、安全性等要求高的艦用環境下的網絡集成領域，艦載網絡隔離產品的應用需作進一步深入的分析。

3.1 艦載網絡互聯互通需求

根據基本組成和使命任務，現代海軍艦船中除了作戰自動化系統外，還有艦船平臺自動化系統、辦公自動化系統、通信自動化等業務系統［3］。艦船平臺自動化系統實現對艦船內各種機電設備的自動化監控，包括火警、消防、液位、閥門狀態、空調、動力、照明和航行等；通信自動化系統保證艦船內、外的通信聯系，提供網絡支持能力，實現對數據、語言、圖形、圖像等信息的接收和發送；辦公自動化系統管理兩方面的內容，與艦船有關的系統信息（如名稱、舷號、服役時間、長度、排水量等）和行政管理信息（如人事、工資、醫療、文件等）。鑒于使命任務和安全級別的差異，各業務系統間在信息訪問上有著不同的需求和安全策略，例如平臺自動化系統需要實時獲取通信自動化系統的設備狀態來完成全艦平臺的狀態報警監控。平臺自動化系統需要獲取辦公自動化系統的實時視頻會議信息等。艦載環境下面對不同業務系統、操作系統平臺間的信息訪問、安全隔離等業務應用需求，如何安全、可靠、實時、統一地進行互連、互通、互操作將是網絡隔離技術在艦載領域應用的關鍵點。

3.2 艦載網絡設備特性要求

由于艦載網絡產品的應用場合和使用對象的不同，要求艦載網絡隔離應用產品具有較強的環境適應性，具體說來有低溫、高溫、濕熱、振動、沖擊、電磁兼容等物理要求，以及具有安全性、可維護性、可靠性、互換性、實時性、可管理性、可測試性、可擴展性等性能要求。

4 艦載網絡隔離應用設計

4.1 隔離與交換模型

目前艦船中涉及到兩種類型的網絡，信息網絡和控制網絡，信息網絡應用于作戰和通信等業務系統，其為常見的局域網和廣域網，其互聯技術已十分成熟；控制網絡是指完成設備狀態監控和自動化控制的網絡，如CANBUS、FF、ProFIBUS等，主要用于艦船平臺設備級（傳感器、執行器、控制模塊等）的數據傳輸。

實現信息網絡和控制網絡跨網間信息的安全交換，需要解決兩個層次的問題：第一層次問題是首先實現底層控制網絡的互聯，將底層控制網絡通過各自的專用協議進行自身互連；第二層次問題是在底層控制網絡互連的基礎上，基于標準通信協議實現信息網絡層的分布式應用集成，艦船內存在多個專業控制子系統，如損管子系統、三防子系統、動力子系統、電站子系統、輔機子系統、空調與冷熱源子系統等，這些子系統設備來自不同的制造商，遵從不同的通信標準，它們獨立構成專用控制系統，需開發特定的應用軟件才可對外通信，不具有通用性和擴展性；因此控制網與信息網絡的互聯，傳統的做法是采用專用網關，但不具有通用性和擴展性，通過采用OPC、Web技術可實現艦艇控制網絡與信息網絡間統一信息交換和安全隔離［4］。

圖1 艦載網絡隔離與交換示意圖

OPC接口技術提供從數據源獲得數據的一種標準方式。通過各現場設備、應用軟件所具備的標準的OPC軟接口，可方便地訪問不同數據源的數據，使運行在不同平臺上、用不同語言編寫的各種應用軟件順利集成，將數據傳送給客戶應用程序。只要自控設備生產商開發一套遵循OPC規范的服務器，由服務器充當數據源向外發布數據的代理，客戶應用程序就能以標準的方式通過服務器完成數據交換，實現數據交換的標準化和開放性，為艦載網絡的隔離與數據交換提供有效的工具，信息網絡層采用基于Web的訪問方式具有簡單易用、開放、靈活等特點，無需開發專用客戶端軟件使系統易于維護和升級。

對于艦載網絡上具有容量大、高實時性、可靠傳輸等要求的各類視頻數據，用純粹的軟件隔離與交換方式不能滿足使用要求。尤其在多路多類型視頻源并發交換時單純軟件交換的方式對機器配置要求高，CPU處理負載大，處理延時大，很難達到視頻信息的實時可靠傳輸與安全交換。通過專用的視頻交換板卡和視頻流路由軟件的組合使用可解決大容量并發實時視頻流數據的。

對于跨網的郵件、文件傳輸、Web訪問等網絡應用服務的安全交換與隔離在訪問控制的模型和策略設計上有多層的訪問模型和具體策略，共性訪問模型是通過用戶身份驗證、物理連接綁定與過濾、事件記錄等方式進行安全可控的反問；具體來說對FTP服務通過專用服務端口、限制非法IP訪問、限制重連等策略達到安全訪問；對郵件服務器進行垃圾郵件過濾、動態中繼阻斷等策略來控制服務攻擊；其它安全控制策略的針對加載的業務應用有著不同設置這里不作詳細描述。

4.2 隔離與交換系統結構與模塊設計

考慮艦用條件和使命任務，這一系統采用較高的軟硬件配置，構成一體化的綜合安全隔離與交換設備，軟件上由多個模塊化的業務組件構成，支持用戶定義和組件擴展；硬件上采用內網主機模塊、外網主機模塊和隔離交換模塊以及視頻模塊等專用板卡組成，并在端口、電源、整機等方面進行了冗余可靠設計。軟件模塊由FTP訪問模塊、郵件訪問模塊、文件交換模塊、視頻流路由模塊、協議轉換模塊、Web服務模塊、安全域處理模塊、系統維護模塊等組成。軟硬件結構圖如圖2、3所示。

圖2 艦載網絡隔離與交換設備硬件示意圖

圖3 艦載網絡隔離與交換設備軟件模塊示意圖

FTP訪問模塊提供內、外網用戶間雙向FTP訪問，即內網用戶可通過安全隔離與交換系統訪問外網FTP服務器，外網用戶可通過本系統訪問內網FTP服務器，并同時可進行雙向的FTP訪問；郵件訪問模塊可使內網或者外網用戶通過本系統訪問另一側網絡的郵件服務器進行收發郵件；文件交換模塊在保證物理隔離的前提下，通過XML文件形式實現不同安全域文件服務器單向、雙向的文件自動同步；視頻模塊完成多路視頻流的實時傳輸和路由轉發；協議轉換模塊缺省為OPC協議轉換，也可根據用戶自定義的協議格式進行轉換；Web服務模塊提供內網客戶端通過本系統與外網進行基于HTTP協議的Web雙向瀏覽，還可以對訪問網頁的內容進行相應的過濾，并支持基于Web的設備管理服務；安全域處理模塊是對內外網的接收信息進行預檢測和文件查殺以及各應用模塊的訪問控制策略管理；系統維護模塊提供日志管理和設備外部遠程管理的MIB維護等。

5 結語

網絡隔離交換技術通過不可路由協議將兩個或兩個以上的路由網絡進行數據交換而達到隔離目的，具有比防火墻更高的安全級別。在艦載網絡應用領域，由于其網絡環境較互聯網而言相對簡單而且安全管理和應用入網安全測試較為嚴格，故在隔離交換應用中解決快速、可靠的互連、互通并適度的安全防護顯得更為重要，本文通過分析網絡隔離技術的特點，結合艦載網絡環境，提出一套艦載網絡隔離與交換應用系統的設計思路及業務架構，并在實際裝備中有所應用與實現，隨著艦載網絡應用多元化和安全防護要求的不斷提高，艦載網絡隔離與交互技術還需不斷的提高與發展。

［1］劉勇燕，劉勇鵬，張小紅.GAP技術實現政府內外網隔離的應用研究［J］.計算機與數字工程，2009，37（9）.

［2］孔濱.安全隔離與信息交換系統檢測與應用［J］.計算機安全－物理隔離網閘專輯，2004，7.

［3］李勇群.下一代艦艇平臺集成監控系統［J］.國外艦船工程，2001（7）.

［4］劉沿陽，邵昱.艦船綜合自動化系統的現狀與發展趨勢［J］.船舶工程，2006，2.

［5］彭珺，高珺.計算機網絡信息安全及防護策略研究［J］.計算機與數字工程，2011，39（1）.

［6］OPC Data Access Custom Interface Specification 2.05.http：／／www.opcfoundation.org.