網絡安全物理隔離技術分析及展望*

王永建， 楊建華， 郭廣濤， 劉永濤（中國通信建設集團設計院有限公司，北京100079）

網絡安全物理隔離技術分析及展望*

王永建， 楊建華， 郭廣濤， 劉永濤
（中國通信建設集團設計院有限公司，北京100079）

網絡物理隔離是一種特殊的網絡安全技術，適用于可信網絡與不可信網絡（或者兩個不同安全級別的安全域）之間數據交換。闡述了常見網絡物理隔離技術，進行了對比分析，并指出其缺陷與問題。簡述了光閘的概念、特性及主要實現技術，并分析了日前國內外光閘研究存在的問題和不足。最后，在總結現有成果的基礎上，介紹了網絡物理隔離研究方向，為下一步的研究提出了新的問題和思路。

物理隔離；網閘；光閘；無反饋

［Abstract］Network physical isolation is a special kind of network security technology，suitable for data exchange between the trusted network and untrusted network（or two security domains different security levels）.This paper describes the principle of common network physical isolation technologies，points out their defects and problems via comparison and analysis，outlines the concept and characteristics and main implementation technologies of optical Gap，and analyzes existent problems and inadequacies in both domestic and international research.Finally，based on the summing-up of existing achievements，the future research direction of network physical isolation is discussed，and some new questions and ideas for further study also provided.

［Key words］physical isolation；Gap；optical Gap；without feedback

0 引言

隨著云計算、大數據、LTE、智能終端、物聯網等信息技術的發展，對網絡信息安全要求越來越嚴格和特殊。傳統的防火墻 （Fire Wall）、VPN（Virtual Private Network）、漏洞掃描（Vulnerability Scanning）和入侵防御 （Intrusion Prevention System）等網絡安全技術已不能滿足要求，亟需一種有效的安全防護技術。

國家保密局在 《計算機信息系統國際聯網保密管理規定》中規定：“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其他公共信息相連接，必須實行物理隔離”［1］。

中保委在《關于嚴禁用涉密計算機上國際互聯網的通知》規定：涉密計算機信息系統必須與互聯網實行物理隔離，嚴禁用處理國家秘密信息的計算機上互聯網［2］。

在這種情況下，產生了一種新的安全防護理念——網絡物理隔離（Network Physical Isolation）。

1 網絡物理隔離概述

日前業界對網絡物理隔離沒有完整的規范、標準，也沒有沒有明確的定義，本文定義為：通過一定技術方式使得多個（≥2個）不同范疇的網絡系統（含設備、線路、存儲、外設等）均相對獨立的組合。基于OSI網絡模型，即實現七層全部斷開，以非網絡方式交換數據交換的是非網絡數據（可以是文件，但不能是標準協議格式，如IP包）。

只有對OSI網絡模型的七層斷開技術特征的正確理解，才能準確的理解網絡物理隔離的含義，OSI網絡模型的七層斷開技術特征如表1所示：

對于OSI網絡模型而言，某一層的斷開降低了該層與其它層被攻破的風險，卻沒從根本上消除基于其它層的攻擊；斷開了某一層，照樣存在對其它層攻擊的風險，因此必須實施網絡物理隔離，以實現OSI網絡模型的七層斷開。如圖1所示：

表1 OSI網絡模型的七層斷開技術特征

圖1 OSI網絡模型七層斷開示意圖

2 相關技術分析

2.1 單主板安全隔離計算機技術

單主板安全隔離計算機基于雙硬盤技術，在BIOS中嵌入內/外網轉換裝置，插槽也分為安全區（可信網絡）和公共區（不可信網絡）。由于該技術是基于較低層的BIOS中進行開發的，因此，與原來計算機的兼容性較好，改造優化成本較低［3］。

在計算機主板上形成兩個獨立的“區域”，每個區域由各自獨立的網卡和硬盤負責網絡接入和信息存儲，通過BIOS實現信息發送和I/O設備的控制，并且只能在各自所屬的區域內工作，不能跨區域工作。主要功能如下。

（1）對外設限制功能：在系統引導的過程中禁止驅動器中存在移動存儲介質，禁止輸入/輸出外設（如掃描儀、打印機、投影儀等）接入；實現軟驅、光驅關閉/禁用控制功能。

（2）對雙向接口設備限制功能：對雙接口（如LPT、COM、SCSI、USB、1394、MIDI等）設備的雙向功能限制；對于BIOS通過防寫跳線防止病毒侵入、非法刷新、惡意修改等。

單主板安全隔離計算機技術的缺陷和風險：

由于打印機、一體機等外設配置數據緩存，有的還支持數據調閱，因此單主板安全隔離計算機在內/外網切換時，外設未徹底清除數據緩存或歷史記錄，將有被二次獲取的泄密隱患。

2.2 網絡安全隔離卡

網絡安全隔離卡（Net Security Sepatate Card）屬于硬件插卡，設置在計算機最低層的物理部件上，在物理上將計算機劃分為兩個獨立的部分，每一部分都有各自的“獨立”硬盤。其一邊連接IDE硬盤，另一邊通過IDE總線連接主板［4］。計算機的硬盤被分割成安全區（可信網絡）和公共區（不可信網絡）兩個物理區。如圖2所示：

圖2 網絡安全隔離卡工作原理圖

網絡安全隔離卡像一個分接開關，任何時刻計算機只能與一個數據分區以及對應的網絡連通。計算機因此被分為安全模式和公共模式，并且某一時刻只可以在一個模式下工作；兩個模式轉換時，所有的臨時數據都會被徹底刪除。

（1）安全模式：主機僅能通過安全區與可信網絡互聯，此時與不可信網絡斷開，公共區是封閉的。

（2）公共模式：主機僅能通過公共區與不可信網絡互聯，此時與可信網絡是斷開的，安全區是封閉的。

安全區與公共區之間不允許直接交換數據，但是可以通過專門設置的中間功能區進行，或通過設置的安全通道使數據由公共區向安全區轉移（不可逆向）。

網絡安全隔離卡的缺陷和風險：

（1）錯誤連接風險：網絡安全隔離卡有網卡接口、內網接口和外網接口，要求隔離卡的網卡接口連接網卡，內網接口連接內網，外網接口連接外網；實際應用中常出現連接錯誤，造成信息泄漏。

（2）網絡安全隔離卡失效：安全隔離卡中的繼電器屬于主要電路元器件，雖然具有一定的耐久性，但是安全隔離卡的工作狀態屬于長時間通電狀態，易造成元器件燒壞，從而引起安全隔離卡失效。

（3）如果安全隔離卡的控制或驅動程序設計不嚴謹，存在被第三方程序篡改的可能［5］。

2.3 網絡安全集線器

網絡安全集線器（Net Security Sepatate HUB），是一種多路開關切換設備，又稱網絡線路選擇器，基于物理層互聯設備集線器（HUB）開發。網絡安全集線器與網絡安全隔離卡聯合使用，對其發出檢測信號，識別出所連接的計算機，自動切換到對應網絡的HUB上進行互聯，從而實現計算機與可信網絡和不可信網絡之間的安全連接與自動切換。如圖3所示：

圖3 網絡安全集線器工作原理圖

2.4 網閘

網閘（GAP）是當前網絡物理隔離中最為典型的技術，網閘的原理基于安全島的理念。

2.4.1 安全島

（1）安全島理念

安全島旨在構建一個實現可信網絡與不可信網絡之間物理斷開，但邏輯相連的數據交換機制，要求可信網絡與不可信網絡之間不允許數據直接交換，并且不允許實際互聯。

安全島采用“擺渡”的方式實現數據交換。首先安全島與A網絡連接（此時與B網絡斷開），將一側網絡過來的數據“卸載”到安全島中；其次安全島與A網絡斷開（與B網絡仍保持斷開狀態），對安全島中的數據進行協議剝離、格式檢查、內容檢測、冗余數據去除等安全措施，留下“安全數據”；然后安全島與B網絡連接（此時與A網絡斷開），根據相應策略將“安全數據”轉入B網絡［6］。如圖4所示：

圖4 安全島實現原理圖

（2）安全島組成結構

安全島由兩個安全半島組成，完成兩個接口機之間的數據交換，可通過硬件控制安全半島的讀寫，從而通過硬件控制數據的單方向傳輸。

由兩個嵌入式計算機及安全島裝置實現網絡的物理隔離，并由安全半島調度引擎實現安全“擺渡”，完成數據交換。系統內置硬件Watchdog，保證系統軟件的可靠運行。如圖5所示：

圖5 安全島組成結構圖

安全策略設置在可信網絡側的主機上，禁止安全島與不可信網絡和可信網絡同時相連，切斷來自不可信網絡的任何攻擊。通過專門的硬件控制系統，控制安全島的“通”和“斷”，實現不可信網絡與可信網絡之間的數據交換，保證不被攻擊者篡改和“越獄”。

2.4.2 網閘茅統結構與原理

基于安全島的理念，網閘采用“2+1”（雙主機系統+專用隔離交換器件）的系統結構，斷開內/外網絡，確保兩個網絡之間安全隔離。內、外網主機系統之間，不存在通信的物理連接和邏輯連接，沒有任何基于的協議通信，保證了通信協議連接斷開。通過隔離交換系統進行無協議的、專有格式化的、純數據塊的“擺渡”，實現了內/外網之間數據交換［7］。如圖6所示：

圖6 網閘系統結構圖

通過網閘的數據，首先被剝離為不包含任何附加信息的純數據，經過嚴格檢查數據合法性后，按照專用協議對這些純數據進行處理和轉發。如圖7所示：

圖7 網閘數據交換流程示意圖

（1）從內網過來的數據到達內網主機后，原來的網絡協議被阻斷、會話被終結；（2）應用層信息被從層層協議中剝離為不包含任何附加信息的“純數據”，檢測用戶的合法性和數據的安全性；（3）通過專用硬件和專用協議將“純數據”發送給數據通道控制單元對“純數據”進行解析、過濾、重組等處理后發送給另一方；（4）“純數據”到達日的地后再還原為標準通信協議（如TCP/IP）。

因此，在內網和外網之間只傳遞“純數據”而不傳遞冗余數據等存在安全隱患的信息，過濾掉了基于通信協議漏洞的攻擊，保證了內/外網之間交換信息的純凈、安全和可靠。

2.4.3 網閘主流實現技術

（1）SCSI開關技術

基于SCSI的開關技術是當前主流的網閘技術。SCSI不屬于通信協議，而是一個主從的單向外設讀寫協議，外設僅僅是介質日標，自身不具備邏輯執行能力。主機僅寫入數據，自身并不判斷正確，而是采用專門的讀/寫驗證機制，將寫入的數據讀出來后驗證寫入數據的正確性，該機制保證讀/寫數據的正確性與可靠性［8］。SCSI斷開了OSI模型中的數據連接，沒有通信協議。如圖8所示：

圖8 基于SCSI的網閘技術原理圖

說明：上圖中，設K斷開為0，閉合為1；K3=K1×K2≠1。

（2）內存總線技術

基于內存總線的技術采用一種叫雙端口的靜態存儲器（Dual Port SRAM），雙端口分別通過開關連接獨立的計算機，采用獨立的CPLD控制電路實現對兩個端口的開關，確保雙端口靜態存儲器的兩個獨立開關不能同時閉合。這種結構存在較大的缺陷，必須保證應用協議的剝離，當交換的內容是文件數據時，是物理隔離；當交換的內容是IP包時，則不是物理隔離［9］。如圖9所示：

圖9 基于內存總線的網閘技術原理圖

（3）單向傳輸技術

單向傳輸是相對雙向通信而言的，沒有反向通道，采用固定斷開技術，不需要開關。單向傳輸必須保證OSI網絡模型七層的單向，其中某一層或者多層的雙向，并不屬于真正的物理隔離。利用兩個反向的單向傳輸通道，可構成支持數據交互的網閘，這種結構與傳統的通信通道有本質的不同，兩個反向的單向傳輸通道是完全無關的［10］。如圖10所示：

圖10 基于單向傳輸的網閘技術原理圖

2.4.4 網閘存在的問題與不足

（1）不能保證無反饋單向傳輸

網閘是典型的、應用廣泛的網絡物理隔離技術。但最新研究表明，網閘不能防止泄密，存在潛在反向通道，有信息被泄露的風險［11］。如ICMP和IGMP定位問題，就可能被攻擊者非法利用。雖然當前也產生了一些使用硬件或軟件的小反饋技術實現的單向網閘，但是小反饋技術的方法仍然存在潛在的返向通道。

（2）“純數據”會成為病毒或者攻擊的載體

基于數據“擺渡”的原理，“病毒或者攻擊數據”暫時藏匿于“純數據”之中，通過網閘后“復活”從而進行攻。雖然網閘定義了一系列數據安全規則，仍然不能消除病毒或者攻擊“偷渡”過網閘［9］。

（3）數據傳輸效率低

隨著信息技術的發展，語音、數據、視頻、圖片等業務對網絡帶寬要求越來越高，而基于數據“擺渡”技術的網閘延遲長、帶寬有效率低，無法滿足海量數據交互的需求。日前主流網閘的帶寬有效使用率很低，由于其數據“擺渡”的實現原理局限，數據傳輸速率很難有大的提高。

（4）產品設計本身存在安全漏洞

日前網絡安全攻擊的技術逐漸深層化，攻擊手段多樣化。基于“2+1”（雙主機系統+專用隔離交換器件）架構的網閘，其主機系統類似于代理服務器，即使采用了嵌入式系統，其自身仍存在被攻擊的漏洞。

（5）開放式“擺渡”，數據加密機制匱乏

網閘將數據“擺渡”的過程中，原來數據的封裝協議被剝離，只剩下“凈數據裸露”，數據加密機制不完善，數據依然存在被竊取或者篡改的風險。

對于網閘，國家相關單位明確指出：“GAP技術不是物理隔離，不能用于涉密網絡與非涉密網絡之間的連接”［12］。因此，需要一種新的技術替代網閘，以實現網絡物理隔離，于是產生了光閘。

2.5 光閘

2.5.1 光閘的概念與特性

光閘（optical Gap）是利用物理層光的單向傳輸技術實現無反饋單向傳輸的軟硬件組合，是近些年新興的技術。日前業界對光閘沒有統一的命名與定義，光閘的名稱也是業界通常根據原來網閘的名字稱其為“光閘”。

光閘的傳輸效率極高，延遲可控制在納秒級，相對于傳統的數據“擺渡”技術，數據交互的實時性極高；相對于網閘帶寬的瓶頸，光纖通信帶寬容量可達到Tb/s級。

2.5.2 光閘的研究情況

日前國內外關于光閘研究的文獻資料比較少，缺乏統一的標準和規范。

（1）國內的研究情況

文獻［11］中采用嵌入式技術與光耦芯片，設計了一種無反饋單向傳輸實現方法。文獻［13］中提出了一種高可靠的無連接傳輸層協議——單向數據包協議（One Way Data Protoeol），采用無連接協議方式，并定義了數據包格式和錯誤校驗方式。文獻［14］中從數據無反饋傳輸保障和安全冗余考慮，提出了一種高可靠的無連接傳輸層協議——光閘數據包協議（Optical Shutter Data Protocol），該協議采用CRC檢驗以提高校驗錯能力，協議可選項--報文摘要，用于糾錯功能，在雙機冗余備份系統情況下，可大幅提高數據傳輸的可靠性。文獻［15］中提出了一種采用旁路分光還原技術的光閘設計方案。文獻［16］和［17］是兩種光閘專利技術，提出了兩種光閘的設計方法。

（2）國外對光閘的研究

國外對光閘研究的文獻資料更少，但是在無反饋單向傳輸實現技術上卻研究深入，日前業界主流的無反饋單向傳輸技術均來自國外。

數據泵技術（Data Pump）：數據泵是無反饋單向傳輸發展初期的技術，在1993年由Myog H.Kag等提出。其實現思想是，采用反向確認機制限制數據由內網向外網流出，從而保證數據從外網向內網的單向傳輸。數據泵技術中通信控制體系是雙向的，存在反向通道，因此存在數據反向傳輸的風險［18］。

數據二極管技術（Data Diode）：與數據泵相比，數據二極管沒有反向的反饋通道，采用PUSH的數據傳輸模式，發送端主動向接收端“推”數據，接收端只被動接收數據，不向發送端反饋任何信息。發送端屬于“盲發”，不知道接收端的接收情況，接收端通過容錯控制機制保證數據的正確完整性［19］。

日前，國內外在無反饋單向傳輸領域展開的相關研究，主要以數據二極管技術為設計思路，但是其實現技術成本較高。

2.5.3 光閘存在的問題

盡管光閘有很多優點，由于其發展時間較短，仍存在一些問題和不足，亟待完善與改進，主要如下。

（1）業界缺乏明確的規范與標準，實現技術、產品性能、兼容性、可擴展性等參差不齊。

（2）單向數據傳輸實現協議，數據傳輸模型及策略不足。

（3）差錯控制技術對于單向傳輸數據的校驗不足。

3 展望分析

網絡物理隔離技術主要用于涉密系統或者高敏感系統，相對于常規網絡安全技術，要求更為嚴格，結合日前研究情況，今后研究方向和需完善之處主要如下。

（1）標準、規范。完善網絡隔離的規范、標準，避免市場上出現的多種聲稱“網絡物理隔離”的產品，實際效果卻差強人意。

（2）專用通信協議。日前沒有專門的網絡物理隔離通信協議，現有的研究主要是基于傳統通信協議（如TCP/IP）改進而來。尤其是無反饋單向傳輸，日前研究往往采用UDP協議或者廣播協議：由于這些協議設計初衷不是面向網絡物理隔離的，并不能滿足要求。

（3）差錯控制。在無反饋單向傳輸系統中，由于無反向通道，單向傳輸本身是不可靠的，必須從數據的校驗、檢查上來驗證正確、可靠性。前向糾錯技術（Forward error correction）尤為關鏈，當前的研究成果并不理想，這也是無反饋單向傳輸的技術難點。

（4）測試、驗證方法。測試網絡物理隔離，必須確保OSI網絡模型七層全部斷開，日前缺乏系統有效的測試方法。對于無反饋單向傳輸，還必須驗證不存在反向通道。

（5）數據識別分離。網絡物理隔離，既要保證“隔離”，又要保證“通過”，必須識別并分離安全數據、冗余數據、不安全數據，只允許“安全數據”交互，保證數據的“純凈”。

（6）新興技術的應用。未來網絡物理隔離不僅僅是單純的“物理隔離”，利用量子通信、光子集成、可信計算等新興技術，將會推動網絡物理隔離的迅速發展。

本文對常見的網絡物理隔離技術進行了分析，指出其存在的缺陷，闡述了今后研究方向和需要解決的難點問題，為該領域研究提供了必要的參考與借鑒。

［1］ 春增軍，鄒來龍.發電企業集團辦公網與互聯網隔離策略分析與方案研究［J］.電子技術應用，2010（1）：144-147.

［2］ 宋衛平.四川省電力公司雙網隔離環境下內外網交互平臺的設計與實現［D］.成都：電子科技大學，2013.

［3］ 曾明.AirGap機制及實現研究［D］.昆明：昆明理工大學，2003.

［4］ 張莉.網絡安全技術及解決方案探討［J］.廣東公安科技，2003（2）：47-48.

［5］ 縱健羽，洪克良，席麗萍.安全隔離計算機保密管理探討［C］//第十八屆全國信息保密學術會議.北京：金城出版社，2008：220-225.

［6］ 中國電力科學研究院.網絡安全產品技術交流［DB/OL］.http：//wenku.baidu.com/view/bdd130d53186bceb19e8bb1d.html？re=view，2011-10-08/2015-07-23.

［7］ 網御神州.安全隔離與信息交換系統技術白皮書［DB/OL］. http：//wenku.baidu.com/view/6e45e50abb68a98271fefabf.html？from=search，2010-09-25/2015-07-23.

［8］ 劉建.淺談隔離技術在不同安全域間進行信息交換方面的應用［J］.信息網絡安全，2007（3）：67-68.

［9］ 汪鳴.隔離網閘技術淺析［J］.商場現代化，2011（11）：75-76.

［10］ 萬平國.網絡隔離與網閘.北京：機械工業出版社，2004：72. ［11］ 劉永富，焦斌亮，靳國慶.網絡信息安全無反饋單向傳輸的設計與實現［J］.計算機安全，2010（11）：38-41.

［12］ 張巖.如何保障內外網之間的安全聯接［J］.信息網絡安全，2007（9）：16-18.

［13］ 王海洋，王江波，孟凡勇.一種新型的安全隔離和數據傳輸設備設計［C］//第27次全國計算機安全學術交流會.合肥：中國科學技術大學出版社，2012，（8）：118-120.

［14］ 萬月亮，朱賀軍，劉宏志.基于光閘的單向傳輸系統可靠性研究［J］.攻防技術研究，2010（12）：25-27.

［15］ 火一莽，張福奎，張春霽.光閘技術方案設計［J］.電子世界，2011（03）：26-30.

［16］ 李志鵬，王洪波.一種單向隔離光閘［P］.中國專利：CN 202385106 U，2012-08-15［2015-07-23］.http：//dbpub. cnki.net/grid2008/dbpub/detail.aspx？QueryID=6&CurRec =1&dbcode=SCPD&dbname=SCPD2012&filename= CN202385106U&urlid=&yx=.

［17］ 湯志偉，吳軼軒，梅林.一種基于單向傳輸的內外網安全隔離系統［P］.中國專利：CN 202178780 U，2012-03-28 ［2015-07-23］.http：//dbpub.cnki.net/grid2008/dbpub/detail.aspx？QueryID=3&CurRec=1&dbcode=SCPD&dbname =SCPD2012&filename=CN202178780U&urlid=&yx=.

［18］ KANG M H，Moskowitz I S.A Pump for Rapid，Reliable，Secure Communication［C］//1st.ACM Confon Computer and Communications Security.Virginia，USA：Virginia Press，1993：119-129.

［19］ Jones Douglas W，Browersox Tom C.Secure Data Export and Auditing Using Data Diodes［C］//Wallach Proceedings of the USENIX/Accurate Electronic Voting Technology Workshop. California，USA：University of California at Berkeley Press，2006：04.

Analysis and Prospect of Physical Isolation Technology for Network Security

WANG Yong-jian，YANG Jian-hua，GUO Guang-tao，LIU Yong-tao
（China International Telecommunication Construction Group Design Institute Co.Ltd，Beijing 100079，China）

TN918.91

A

1009-8054（2016）02-0117-06

2015-10-15

王永建（1981—），男，碩士，高級工程師，主要研究網絡信息安全、數據通信、多媒體通信、數據挖掘分析；

楊建華（1979—），男，本科，高級工程師，主要研究數據通信、網絡信息安全；

郭廣濤（1977—），男，本科，高級工程師，主要研究數據通信、網絡信息安全；

劉永濤（1981—），男，本科，工程師，主要研究數據通信、光通信。