網絡安全隔離技術探討

王騫　奚正波

摘要：自從20世紀70年代發明互聯網至今，網絡已經成為人們日常生活、生產中不可或缺的重要組成部分。在量子計算機沒有全面推廣應用之前，網絡安全隔離技術將是應對網絡安全問題的首選方案。本文以此為出發點，選取網絡安全隔離技術探討作為研究題目，概述了網絡隔離的內涵，與常用的網絡安全隔離技術。并以此為基礎，對網絡安全隔離系統的體系結構進行了具體討論。

關鍵詞：網絡;安全;隔離技術;探討

近年來，隨著工業4.0改革與“互聯網+”改革工作的持續深化，推動了各行業從信息化管理向數據化管理的轉型升級。與此同時，在數據中心建設數量增加、規模擴大，虛擬數據中心應用相對增長的情況下，網絡安全風險也隨之增加，應用網絡安全隔離技術后，不僅可以使內網與外網之間實現有效的分享，也能夠增強內網與外網數據交換的安全性。下面先對網絡隔離的概念與原理做出說明。

一、網絡隔離的內涵

網絡隔離的本質，集中在對訪問控制思想的運用。從概念界定看，主要是指在斷開網絡物理連接的條件下，合法、合理的實施信息交互與數據共享，進而達到對信息的分組可控交換。目前，對該技術的應用中，始終將應用目標定位在對有害攻擊的隔離上。就其核心而言，以物理隔離為基本特征，旨在從根本上隔離開內網、外網，具體應用時通常在同一時間內通過1個隔離設備創建非TCP/IP協議的數據連接。應用步驟如下：1.隔離。互聯網屬于外網，安全性相對較低;內部專用網絡作為內網，安全性相對較高。通過在外網設置隔離設備、于內網設置隔離設備，可以將二者完全斷開。2.外網發送數據。由于隔離設備屬于一種存儲介質，當外網數據向內網進行傳輸的過程中，外部服務器可以通過發起對隔離設備的非TCP/IP協議的數據連接完成對協議的剝離處理，只在存儲介質中寫入原始數據。3.內網接收數據。寫入步驟完成后，外網與隔離設備中斷連接，然后利用同樣的原理以逆向方式將數據發達到內網。4.從內網向外網的數據傳輸原理相同。外網向內網的數據傳輸如圖1所示。

二、網絡安全隔離技術分析

（一）以物理隔離技術為例

該技術屬于比較基礎的網絡安全隔離技術，與傳統的防火墻隔離、入侵檢測隔離、防病毒系統隔離、漏洞掃描隔離相比，它具有深度防御的鮮明特征。因此，物理隔離技術并不是為了取代傳統的常用隔離技術，而是在基礎上，對其做進一步的安全策略層面的深化，進而形成更加有利于解決網絡安全問題的技術。物理隔離技術以網絡隔離為基本原理，主要通過安全隔離計算機技術進行具體應用。

以某公司開發的物理隔離技術為例：1.在硬件方面選擇了RISC體系結構;2.在軟件方面應用了高性能嵌入式計算機芯片;3.雙機之間的物理連接選擇高速物理傳輸芯片（4個），內網與外網的隔離連接，主要通過以太網接口實現（2個10M/100M以太網接口：IA1/IA2與IB1/IB2）。除此之外，還配備了內網雙接口（IA3）、內外網預警接口（IA4、IB3），前者用于隔離裝置的雙機熱備份，后者用于對信息輸出的預警、并向后臺主機實時上傳監測信息。4.根據網絡隔離的基本原理，運用專用協議棧（SysKeeper-2000系列安全隔離產品）割斷穿透性TCP連接，從而使信源C1、CUP、內網相連，信源C2、CPU、外網相鄰，共同構成物理隔離系統。對物理隔離技術進行應用時，需要配置二層交換機、設置配置規則，與三層交換機（路由器）、設置實際通信規則、ARP報文規則1、ARP報文規則2。具體應用中通常可以對其中的不安全外網、安全內網之間設置物理隔離。物理隔離技術應用結構見下圖2：

（二）以通用網閘技術為例

通用網閘技術（GAP，也稱安全隔離網閘技術），是物理隔離技術的進一步發展形成了安全隔離技術。該技術由以色列的Whale、Spearhead等企業研發設計，從1997年發明至今，已經獲得了廣泛應用，適用于電子政務、信息化建設、電子商務等各大領域。從基本原理看，該技術主要是通過將安全隔離網閘設置于內外、外網之間，從而達到對網絡病毒、惡意代碼、黑客攻擊等安全風險的有效隔離、防御。所以，這是對網絡隔離原理的深化應用。具體如下：首先，將要解決的問題劃分為五類，分別是操作系統依賴產生的漏洞、TCP/IP協議依賴漏洞、通信攻擊、鏈路連接漏洞、安全策略漏洞。為了有效解決多重問題，在該技術中應用了OSI七層網絡模型，將不同的應用功能分布在物理層、數據鏈鏈路層、網絡層、傳輸層、會話層、表示層、應用層，構成OSI模型應用代理，通過網卡將其與外網相連。按照同樣的布置方式完成內網、網卡、SOI模型應用代理連接，從而搭建具有網絡隔離功能的OSI模型。如此，可以通過各層的斷開方式，消除TCP/IP網絡中受到的攻擊。其次，在網絡隔離技術線路方面主要選擇單向連接、實時交換、網絡開關等技術，具體應用時一般采用動態斷開技術或者固定斷開技術，完成對專用隔離硬件的設置。動態斷開技術方面，常用的技術包括SCSI網閘技術、總線網閘技術。在固定斷開技術方面，以單向傳輸網閘技術為主。最后，在通過隔離網閘體系結構方面，按照通用網閘技術工作流程，分為內部處理單元與外部處理單元，并通過專用隔離硬件完成對網絡隔離體系結構的搭建。具體應用通用網閘技術時，主要在不信任網絡（外網）中設置協議轉換、內核防護、病毒過濾，于可信任網絡（內網）中增加身份驗證、安全審計、協議轉換、訪問控制、內核防護、病毒過濾等，保障隔離效果。

例如，以某公司設計的通用網閘技術為例，按照基本的模塊化設計思想進行系統結構設計：1.在USB模塊中設置了ISP1581芯片（雙端口，用于搭建數據通路、設置雙端口存儲器）;2.利用XC3S400作為控制芯片（用于寫入、讀出、緩存數據）;3.存儲器選擇了IDT70V7399S芯片（雙端口）。見下圖3：

在功能設置方面，內部處理單元中預設了安全策略審查、TCP/IP協議分解有專用協議封裝、消息認證、身份認證。外部處理單元中，除設置TPC/IP協議分解有專用協議封裝功能外，增加了專用協議分解及TCP/IP協議封閉功能與附加消息認證印戳功能。這樣，就可以利用隔離硬件中的USB總線（數據線寬度設置為16位），通過嵌入式Linux操作系統內核（開關控制、存儲介質），將內部、外部處理單元中的數據連接，進行切換、隔離、控制。其中的開關控制流程如下：開始——是否有寫信號——是否兩端都讀完——啟動定時器——對存儲器寫——是否有寫完信號——定時器是否超時——切換開關——對存儲器讀。需要注意的是，在系統軟件的基本模塊中，外部數據單元中并不能設置安全模塊，只能設置數據分析模塊，并利用隔離硬件提供風險預防。而內部處理單元中，除了數據分析模塊外，設置有安全模塊，可以有效地提取消息摘要密文，降低風險。

（三）其他技術

除以上兩種主要技術外，隨著數據中心、虛擬數據中心技術的發展，對于網絡安全隔離技術的需求越來越高，一般而言，在數據中心方面的安全隔離技術應用方面，可以選擇數據庫審計、數據庫隔離技術。以數據庫審計技術為例，主要通過數據庫管理員操作進行記錄，從而對數據庫中的實際安全狀態進行監測、分析、揭示。從技術應用路線看，是在總線技術中使用協議解析方法，從而對數據庫日志全記錄實施全方位、實時動態化解析。以數據庫隔離技術為例，我國在該方面的技術研發尚處于初級階段，國外的應用情況表明，主要是利用具有數據庫隔離功能的技術產品，作為數據庫中的中間件進行風險隔離與防范。與數據中心的安全隔離技術相比，虛擬數據中心的安全隔離需求更高，所以在實踐中通常要求按照實際服務器、虛擬機、應用業務的安全需求，研發設計匹配的安全隔離方案。

三、網絡安全隔離技術應用風險

（一）網線誤接

無論采用哪一種類型的安全隔離技術，均需要以計算機為載體，由于在安全隔離計算機技術條件下，以內網卡（計算機網卡）、外網網線之間必須通過硬件連接，保障數據連接時應用隔離技術，因此，在這種情況下，不能排除網線誤接的風險。例如，在安全隔離卡使用過程中，隔離卡接口、網卡接口連接時，沒有區分內網、外網的情況下，容易出現接入錯誤。或者，連接了內網未連接外網（反之亦然），也會造成隔離失效。從風險發生的常見原因看，主要是在用戶內部單獨網線絡缺失時，內網中采用了單機模式進行管理所致。再如，在安全隔離技術應用時，通常設置了雙卡，當第二塊網卡與外網網線發生誤接時，也容易造成信息安全風險。

（二）軟件切換

目前使用的物理隔離技術、通用網閘技術中，為了提高隔離效果與應用的便利性，均設置了切換功能。具全應用中對切換功能進行使用時，首要的檢查對象是系統內的存儲設備狀況。可是，部分用命在使用過程中，進入安全模式對相關的硬件進行刪除操作后，并沒有斷開計算機與存儲設備之間的物理連接關系。在這種情況下，一旦進入切換狀態，其中的存儲設備也會重新進行連接。此時，信息安全風險隱患會一直存在，不利于用戶的使用安全。

（三）設備風險

網絡的應用中，除計算機外配置了多種附屬性的辦公設備，包括打印機、掃描儀、傳真機，以及其他配套的辦公設備等。此類辦公設備中部分設備具有硬件數據緩存功能，一些設備甚至設置了存儲數據、調閱數據的功能。在內網、外網進行數據連接時，雖然能夠借助安全隔離技術對其中的病毒、惡意代碼等進行過濾、監測、清理、防范，但是，并不能保障轉換內外網狀態時的數據泄漏。尤其對于一些具有知識產權的企業而言，辦公設備中沒有及時清除的重要信息，一旦通過數據連接傳入外網，即可能造成較大損失。

四、網絡安全隔離技術應用控制措施

（一）開展隔離管理

在應對網線誤接方面，應該建立事前、事中、事后的全過程管理方案，進而優化隔離管理。首先，在應用安全隔離技術前，按照設計方案、實施步驟，做好連接網絡方面的編號，這樣在安裝環節，既不容易出現錯誤，也能夠有條不紊地完成安裝操作。其次，在安裝過程中應該設置過程評價方案，從而在監督機制、評價機制充分應用的條件下，保障網線安裝時的有效性。第三，進入安全隔離方案運行環節，應對隔離效果進行檢查與評估，預防因網線誤接造成的隔離無效情況。

（二）控制網絡存取

軟件切換中引發的存儲連接風險，重點集中在存儲連接上，因而在這種情況下可以選擇控制網絡存取的辦法有效解決此類問題。具體而言，在實體隔離方面，硬件、軟件方面均有明顯的規則設置，而且利用此類配置規則可以保障內外網的獨立性。所以，建議從獨立網絡應用的角度出發，安排專人對數據交換時的網絡存取環節進行管理。對于一些機密性較高的數據，可以根據實際情況通過手工方式進行數據交換。

（三）增強設備維保

目前，在各行業諸領域高質量發展階段，數據管理的重要性越來高，數據安全風險也隨之增大。因此，即使在內網、外網數據連接中使用了網絡安全隔離技術的條件下，也應該增強對附屬辦公設備的數據管理。例如，按照辦公設備的使用頻率，設定固定的時間間隔清理相關設備中的緩存數據。在哪，對具有數據存儲功能、調用數據功能的設置進行獨立的數據管理等。

五、結束語

總之，從信息化時代轉入到數據化時代后，網絡安全風險相對擴大，為了有效化解此類風險，一方面應該增強對網絡安全隔離技術的研發創新，另一方面需要結合實際的應用場景與需求選擇適用性較強的網絡安全隔離技術，提高其應用效用。通過上初步分析可以看出，網絡安全隔離技術種類較多，技術優勢鮮明，在實際應用中仍然存在網絡誤接風險、軟件切換風險，以及相關的辦公設備風險等。所以，建議在各行業高質量發展階段應用安全隔離技術時，盡可能結合配套地做好實體隔離管理、做好網絡存取控制等工作，保障安全隔離技術的應用效果。

作者單位：王騫? ? 奚正波? ? 國能大渡河大數據服務有限公司

參? 考? 文? 獻

[1]徐恪，凌思通，李琦，等.基于區塊鏈的網絡安全體系結構與關鍵技術研究進展[J].計算機學報，2021，44（1）：55-83.

[2]楊宏宇，曾仁韻.一種深度學習的網絡安全態勢評估方法[J].西安電子科技大學學報（自然科學版），2021，48（1）：183-190.

[3]袁得崳，黃淑華，高見，等.基于掃描分析的視頻監控網絡安全現狀及對策研究[J].科技管理研究，2021，41（4）：198-204.

[4]駱慧勇.基于云桌面實現網絡安全隔離的應用[J].計算機應用與軟件，2020，37（2）：15-17，38.

[5]林育凱.淺析隔離網閘與防火墻在網絡安全中的綜合利用[J].網絡安全技術與應用，2020，19（1）：14-15.