以安全網閘技術實現計算機網絡安全

摘要：文章從當前我國互聯網絡信息安全的嚴峻安全形勢入手，概要地分析了當前應對的相關安全防護措施，最后著重討論了利用安全隔離網閘的物理隔離技術實現涉密網絡的信息安全，以及具體的實現物理隔離的配置方案。

關鍵詞：信息化 網絡信息安全 物理隔離 安全網閘

一、當前我國互聯網絡的安全形勢

我國信息化水平和信息產業建設盡管已取得了長足的進步，但另一方面，信息安全問題所引發的事件層出不窮，信息安全已成為信息產業所關注的核心問題之一。

今年年初，金山軟件公司發布了《2007年中國計算機病毒疫情及互聯網安全報告》，內容顯示：2007年，計算機病毒／木馬仍處于一種高速“出新”的狀態。2007年，金山毒霸共截獲新病毒／木馬283084個，較2006年相比增長了17.88％，病毒／木馬增長速度仍處于大幅增長狀態，據金山毒霸全球反病毒監測中心統計數據，全國共有49，652，557臺計算機感染病毒，與去年同期相比增長了18.15％，互聯網用戶遭受過病毒攻擊的比例占到90.56％。廣東、江蘇、山東三省首當其沖。

據不完全統計，我國60％以上的計算機受到過病毒感染，98％以上的網站遭遇過黑客攻擊，在利益等相關因素驅使下，有組織、有目標、有計劃的網絡安全犯罪事件時有發生，經濟案件尤為突出，黑客地下產業鏈以基本形成，直接威脅企業甚至國家安全。例如，2004年10月25日江蘇省靖江市委員會政府網站、2004年10月24日湖南省通信管理局網站、2006年2月25日湖南湘西自治州政府網站相繼被黑，直接威脅到我國的信息安全。與此同時病毒的“工業化”入侵以及“流程化”攻擊等特點越發明顯，以熊貓燒香、灰鴿子、AV終結者為代表的惡性病毒頻繁出現，廣大用戶對互聯網安全問題的關注日益增強。

二、針對目前嚴峻的安全形式所采取的措施

目前，對于黑客和病毒的安全威脅主要來自互聯網絡，針對OSI／RM七層網絡模型理論，網絡威脅主要來自三個層次：

針對物理層主要是電氣攻擊、線路偵聽、線路破壞等，針對網絡層主要是拒絕式服務攻擊(DOS)、ARP地址欺騙，IP碎片攻擊等等；而針對應用層主要是惡意代碼，垃圾郵件、電子炸彈攻擊等。

正因為網絡信息安全問題的嚴峻形勢，已嚴重影響到了關系國家安全的層面，各個國家已采取相關措施來應對挑戰。無論在法律上、技術上還是管理上都有不斷的新策略、新技術出臺。例如，我國已將信息安全列入國家重點基礎研究發展規劃項目，成為國家“十一五”計劃，“863”計劃和國家自然科學基金重點支持發展的領域。而針對攻擊，目前的防范技術主要包括訪問控制技術，安全網關技術，防火墻技術，安全路由技術，安全交換機技術，入侵檢測技術，掃描與評估技術，病毒防治技術以及隔離技術等等。

三、以物理隔離技術實現真正的網絡信息安全

盡管防護技術品種多樣并且日趨成熟，但是攻擊技術也是日新月異不斷發展，從攻擊自動化程度和攻擊速度的提高、攻擊工具越來越復雜、發現漏洞越來越快，到黑客病毒軟件越來越高的防火墻滲透率，防護技術可以說是防不勝防，攻擊從過去的單臺主機到單臺主機的攻擊已經發展到數臺主機利用多個平臺或控制的多臺“肉機”發動的“DDos分布式拒絕攻擊”，真是不可同日而語。反主動防御或穿透主動防卸的新技術將出現以及網絡欺詐愈演愈烈的情況給信息安全防范帶來了巨大的挑戰。

在這樣的安全形勢下，怎樣保障網絡信息安全的有效性呢?特別是政府部門、金融系統、科研機構、軍隊的內網、專網或者專有涉密信息系統的用戶，怎樣在充分享受網絡帶來的便利、享受網絡共享優勢的前提下，盡可能地把一些不允許訪問的用戶排除在外呢?或許目前最有效的方法只有一個：實現隔離。因此，隔離技術應運而生。

隔離技術的實現有兩種形式：邏輯隔離和物理隔離。

根據公安部制定的《GA370－2001端設備隔離部件安全技術要求》的定義，物理隔離的含義是公共網絡和專網在網絡物理連線上是完全隔離的，且沒有任何公用的存儲信息。邏輯隔離的含義是公共網絡和專網在物理上是有連線的，通過技術手段保證在邏輯上是隔離的。

物理隔離是指線路、設備、存儲之間的隔離。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問(至少應包括硬盤、軟盤和光盤)，計算機數據不能被重用(至少應包括內存)。

而針對這兩種隔離方式產生了四種解決方案：設置軟件、硬件防火墻，根據子網掩碼或者交換機的VLAN技術劃分子網，專門將敏感部門和關鍵用戶劃分到單獨的子網或網段中；還可以采用網絡隔離系統對這些敏感部門和關鍵用戶進行網絡隔離。

但通過子網掩碼的子網劃分和VLAN網段劃分的應用并不局限于網絡安全領域，其安全性根本不能完全保證。對于防火墻技術，其自身還存在先天的缺陷：首先，防火墻依賴于計算機操作系統和網絡通信協議，但二者自身就存在著漏洞，例如，黑客可以利用TCP／IP協議三次握手規則中的全連接、半連接缺陷發動對服務器主機的攻擊；同時，防火情、內網和非軍事區DMZ同時直接相連，這樣在傳輸文件時，應用層程序文件中很有可能帶有病毒和惡意代碼，而防火墻無法檢測；此外防火墻還有一些其他缺陷，比如其不能防范不通過防火墻的無線連接，不能享受所有網絡服務，無法深度檢測，以及受人為設置影響、防外不放內的缺點等等。

就黑客來說，無論采用什么連網方式下的防護手段，他們追求的理念是：世界上任何信息都是免費的。那么最安全的手段只有一個了：實現物理隔離。就像Michael Bobbin(《計算機安全雜志》主編)所說的：“保證一個系統真正安全的途徑只有一個：斷開網絡，這也許正在成為一個真正的解決方案”。事實上，美國宇航局對付網絡攻擊所采取的方法就是拔掉網線。2000年1月1日，國家保密局發布實施《計算機信息、系統國際聯網保密管理規定》明確要求“涉及國家秘密的計算機信息系統，不得直接或間接地與國際互聯網或其它公共信息網絡相連，必須實行物理隔離”。該規定在互聯網發展初期具有前瞻性的提出政府上網必須“物理隔離”，及時的把政府網絡安全提到一個重要的高度，具有重大意義。

基于這樣的需求，以安全隔離計算機、物理安全隔離卡、隔離集線器、交換機、物理安全隔離網閘為產品的物理隔離技術產生了，成為安全防護的生力軍。

這里介紹一下早期的利用物理安全隔離卡實現安全隔離的方法以及詳細討論目前比較直接并且效果也比較好的利用物理隔離網閘技術實現物理隔離的方法。

四、以物理隔離卡技術實現物理隔離

利用物理安全隔離卡實現安全隔離是起步較早的方案和技術之一。隔離卡是物理隔離的低級實現形式，一個隔離卡只能管一臺個人計算機，甚至只能在Windows環境下工作，每次切換都需要開關機一次。隔離卡的功能即是以物理方式將一臺PC虛擬為兩臺電腦，實現工作站的雙重狀態，既可在安全狀態，又可在公共狀態，兩個狀態是完全隔離的，通過手動開關或者電氣開關切換網絡布線狀態，使一臺工作站可在完全安全狀態下連接內、外網。

通過隔離卡，PC機硬盤被物理分隔成為公共區和安全區兩個區域，裝有獨立的操作系統和應用軟件。在任何時候，數據只能通往一個分區。

在安全狀態時，主機只能使用硬盤的安全區與內部網連接，而此時外部網(如Internet)連接是斷開的，且硬盤的公共區的通道是封閉的。在公共狀態時，主機只能使用硬盤的公共區，可以與外部網連接，而此時與內部網是斷開的，且硬盤安全區也是被封閉的。當兩種狀態轉換時，需要通過操作系統切換，即進入一個熱啟動過程。切換時，系統通過硬件重啟信號重新啟動，這樣PC內存中的所有數據被清除。兩個狀態分別有獨立的操作系統并獨立導入，而且兩個硬盤分區不會同時激活。

五、以物理隔離網閘技術實現物理隔離

1、安全隔離網閘技術的產生

安全隔離網閘技術“Air Gap”，最早出現在美國、以色列等國家的軍方中，用以解決涉密網絡與公共網絡連接時的安全問題。我國第一臺物理隔離網閘產品是由一位中國科學院院士從以色列購買的。

近年來，我國信息化建設迅猛發展，電子商務、電子政務應運而生。特別是電子政務，它與國家和個人的利益密切相關，在我國的電子政務系統建設中，外部網絡連接著廣大民眾，內部網絡連接著政府公務員桌面辦公系統，專網連接著各級政府的信息系統，在外網、內網、專網之間交換信息是基本要求。如何在保證內網和專網資源安全的前提下，實現從民眾到政府的網絡暢通、資源共享是電子政務系統建設中必須解決的技術問題。而傳統物理安全隔離卡技術雖然確保了網絡的安全性，卻因缺乏信息交換機制的局限性，對網絡連通性的支持率較低，往往會形成流通不暢的“孤島”，而限制了應用的發展。因此，隔離網閘技術成為物理隔離技術的發展趨勢。

2、安全隔離網閘技術的基本原理

安全隔離網閘是一種帶有多種控制的專用硬件，在電路上切斷網絡之間的鏈路及協議連接，并能夠在網絡間進行安全適度的應用數據交換的網絡安全設備。

由于物理隔離卡技術的切換開關頻率一般通過外設時鐘設定，網絡開關速度低，網絡傳輸性能受到制約，即使開關切換速率高，隔離卡也受到主機性能的影響。而安全隔離網閘采用CPU時鐘作為開關，將開關功能在系統內核中實現。從而成功地達到物理隔離的最佳性能。

該技術是使用帶有多種控制功能的固態開關讀寫介質來連接兩個獨立主機系統的信息安全設備。由于在安全隔離網閘所連接的兩個獨立主機系統之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協議，不存在依據協議的信息包轉發，只有數據文件的無協議“擺渡”，且對中間固態存儲介質只有“讀”和“寫”兩個命令，所以，安全隔離網閘從物理上阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現了真正的安全保護。

3、安全隔離網閘技術的組成與信息交換原理

安全隔離網閘包括三個組成部分；內外網處理單元和專用隔離交換單元。內、外處理單元各擁有一個網絡接口及相應的IP地址，分別對應連接內網(涉密網)和外網(互聯網)，專有隔離交換單元受硬件電路控制，在任意瞬間僅連接內網處理單元或外網處理單元。安全隔離網閘切斷網絡之間的TCP／IP連接，分解重組TCP／IP數據包，進行安全隔離審查，包括網絡協議檢查、入侵檢測、病毒審查、惡意代碼模式匹配和內容確認等等，在同一時刻只與一邊的網絡連接進行數據交換。

信息交換方式：物理隔離閘就是使用數據“擺渡”(擺渡：當機動車行駛到沒有橋梁的河岸時通過船舶“擺渡”到對岸。)的方式實現兩個網絡之間的信息交換。安全隔離網閘在任意時刻只能與一個網絡的主機系統建立非TCP／IP協議的數據連接，任何形式的數據包、信息傳輸命令和TCP／IP協議都不可能穿透安全隔離網閘，當它與外部網絡的主機系統相連接時，它與內部網絡的主機系統必須是斷開的，反之亦然，即保證內、外網不能同時連接在安全隔離網閘上。

下圖以內網與專網之間的安全隔離網閘為例，說明通過安全隔離網閘實現的信息交換過程。

(1)當外網與內網或專網之間無信息交換時，安全隔離網閘與內網與外網之間是完全斷開的，即三者之間不存在物理連接和邏輯連接。

(2)當外網數據需要傳輸到內網時，安全隔離網閘主動向外網服務器數據交換代理發出非TCP／IP協議的數據連接請求，并發出“寫”命令，將寫入開關合上，然后把所有的協議剝離，將原始數據寫入物理網閘存儲介質中。在寫入之前，根據不同的應用，還要對數據進行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。在此過程中，內網服務器與安全隔離網閘始終處于斷開狀態。

(3)一旦數據完全寫入安全隔離網閘存儲介質中，開關立即打開，中斷與外網的連接。這時安全隔離網閘轉而發起對內網的非TCP／IP協議的數據連接請求，當內網服務器收到請求后，發出“讀”命令，將安全隔離網閘存儲介質內的數據導向內網服務器。內網服務器收到數據后，按TCP／IP協議重新封裝接收到的數據，交給應用系統，完成外網到內網的信息交換。

至于從內網到外網的信息交換過程，與上述過程類似，只是方向相反。

4、安全隔離網閘的特點

(1)真正的物理隔離

安全隔離網閘中斷了兩個網絡之間的直接連接，所有的數據交換必須通過安全隔離網閘，網閘從網絡的第七層將數據還原為原始數據(文件)，然后傳遞數據，沒有數據包、命令和TCP／IP協議可以穿透安全隔離網閘，在這種情況下，內、外網之間無法直接建立通暢的協議會話，從而阻斷以共同協議為載體的風險傳遞。

(2)抗攻擊內核

安全隔離網閘除了采用專用的安全操作系統，還需要對內核進行安全加固和最小化服務，保證安全隔離網閘本身具有最高的抗攻擊特性。

(3)完全支持所有的互聯網標準(RFC)

根據不同的應用，需要遵循相關的互聯網標準RFC。

(4)支持身份認證

安全隔離網閘要保護高安全性要求的網絡免受來自不可信網絡的攻擊，決定了高安全性要求的網絡必須支持身份認證。為了保證網閘配置的可信和可靠，要求從可信方發起配置請求，而且必須進行身份認證。為了防止泄漏情況的發生，可信網絡的使用者也必須進行身份認證，對一些具體的應用，也可以要求進行身份認證。

(5)網絡訪問控制功能

安全隔離網閘具有訪問控制力，管理員可通過訂制訪問策略，精細地控制誰(網絡對象)在什么情況下(場景)能夠(允許或禁止)以何種方式訪問(應用)誰(被訪問對象)。控制中心以人性化的人機接口協助管理員輕松實現管理目標。

(6)日志和審計功能

支持標準的日志文件格式，完整記錄并保存系統設定、通信控制等各類日志，具有日志的導出功能。審計模塊可使管理員以多種方式進行查詢、審計，并生成各式報表。

(7)報警、通知和數據備份功能

提供對本地日志信息的瀏覽、查詢、排序、下載等多種審計手段，支持對指定事件的多種報警方式，包括：界面報警、郵件報警、手機短信報警等等。對數據參數和運行參數以及日志內容的備份功能，為系統管理和安全管理提供了有力的支持。

六、物理隔離的配置方案

根據具體的網絡環境，網絡設備廠商開發了各種各樣的物理隔離設備，如物理安全隔離卡、隔離集線器和網閘。這里主要還是討論利用物理安全隔離卡實現安全隔離的方法以及利用物理隔離網閘技術實現物理隔離的配置方案。

1、機隔離解決方案

該方案屬于終端隔離解決方案，所采用的隔離產品是物理安全隔離卡。該方案適用于內、外網均直接布線到桌面信息點的雙網布線環境，用戶需要訪問Internet之類的外網同時要確保內部網的絕對安全。該方案適用于安全級別高的客戶端電腦，可廣泛應用于電子政務，電子商務中涉密網絡的安全保護。

2、主機－信道多網隔離解決方案

該方案與上一方案其實差不多，只不過此處隔離的不僅是兩個網絡，而可能還有第三、第四個網絡。所采用的設備同樣是物理安全隔離卡、網絡線路選擇器和網閘三種。該方案適用于涉密網絡的絕對安全的要求，可用于已經建有多個網絡的部門。

七、總結

物理隔離技術是保障網絡信息安全的一種策略和方法，但它并不是要替代防火墻、入侵檢測、安全路由器防病毒系統等傳統安全防護策略，相反它是計算機用戶“深度防御”安全策略的另一塊堅石，它與其他防護策略一起構筑了組織安全的防護屏障，它只是對涉密關鍵網絡或者信息系統起到了核心保護功能，比如，防火墻技術的思路是在保障網絡互聯互通的前提下，盡可能安全；而物理隔離技術的思路是在必須保障安全的前提下盡可能互聯互通，如果不安全，那么立刻徹底斷開網絡。

就一個技術而言，物理隔離同樣需要不斷地完善和發展，未來的物理隔離技術應該具有一些更完善的功能，包括：內網客戶端防下載功能，具有網絡安全狀態自動檢測和核心用戶強訪問控制和身份認證功能，以及用戶進出內網外網時進行完善日志記錄和強審計功能等等。最后要聲明的是“三分技術、七分管理。”真正要保證信息的機密性、完整性和可靠性，更需要完善的管理措施和相關的安全策略，因為實踐表明：真正網絡安全事件以及涉密信息泄露，80％是來自內網人員。