關(guān)于網(wǎng)絡(luò)安全新技術(shù)研究

摘要：目前，寬帶網(wǎng)的普及，業(yè)界電子商務(wù)的開展，海量的網(wǎng)絡(luò)信息，日趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。隨著我國電子政務(wù)的進(jìn)一步發(fā)展，政府對企事業(yè)單位的管理將更多地從網(wǎng)絡(luò)上進(jìn)行，因此企業(yè)辦公將不再局限于傳統(tǒng)模式，而是將內(nèi)部辦公計算機(jī)通過局域網(wǎng)連接起來，形成信息化辦公的群體效益，而企業(yè)內(nèi)部網(wǎng)絡(luò)搭上Internet互聯(lián)網(wǎng)這個信息高速直通車后，使得信息交換傳遞更加快捷及時，現(xiàn)代辦公已經(jīng)發(fā)展到辦公信息化的時代。然而隨著信息化在我國的不斷深入與發(fā)展，網(wǎng)絡(luò)安全問題也日益成為我們關(guān)注的焦點。

關(guān)鍵詞：網(wǎng)絡(luò)隔離； 防火墻；局域網(wǎng)；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻(xiàn)標(biāo)識碼：A文章編號：1009-3044(2008)31-0857-03

A Research on the New Technology about Network Security

JIN Bao-zhuang

(Liaoning University of International Business and Economics， Dalian 116052， China)

Abstract: At present， the popularity of broadband， e-commerce industry to carry out， the mass of information networks， the increasing wealth of features makes the network， \"the network\" conditions are ripe. Along with the further development of e-government， the Government of the management of enterprises and institutions will be more from the networks， the business office will no longer be confined to the traditional model， but internal office local area network through a computer link up to form Information Office of the effectiveness of groups， and the internal network to catch a high-speed Internet information through the Internet， allows the exchange of information faster and more timely delivery， the office has been the development of modern information technology to the office of the times. However， with the information technology in China continued to deepen and development， network security issues are increasingly becoming the focus of our attention.）

Key words: network isolation; firewall; LAN; network security

1 前言

隨著Internet的飛速發(fā)展以及我國政府信息化為代表的電子政務(wù)的蓬勃發(fā)展，寬帶網(wǎng)已經(jīng)得到普及，業(yè)界電子商務(wù)的開展，海量的網(wǎng)絡(luò)信息，日趨豐富的網(wǎng)絡(luò)功能使得“網(wǎng)上辦公”條件已經(jīng)成熟。，辦公信息化帶來了辦公效率質(zhì)的飛躍，但辦公信息化的安全，特別是內(nèi)部辦公網(wǎng)絡(luò)的安全問題，也極大地引起人們的關(guān)注和思考。信息安全性要求和政府辦公效率問題一度使人們陷入兩難境地。2000年1月1日起正式實施的《計算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》中更是明確規(guī)定：“凡涉及國家秘密的計算機(jī)信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或者其他公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離”。

2 網(wǎng)絡(luò)隔離技術(shù)簡介

2.1 網(wǎng)絡(luò)隔離技術(shù)的發(fā)展歷程

最早研究網(wǎng)絡(luò)隔離技術(shù)的國家有美國、以色列和俄羅斯，我國提出物理隔離是在20世紀(jì)90年代的中后期。網(wǎng)絡(luò)隔離概念最早是國外軍方以“物理隔離”提出來的，不過直到現(xiàn)在，也沒有完整的關(guān)于網(wǎng)絡(luò)隔離技術(shù)的定義和標(biāo)準(zhǔn)，現(xiàn)在一般稱之為“GAP Technology”，意為網(wǎng)絡(luò)隔離。

網(wǎng)絡(luò)隔離技術(shù)的發(fā)展到目前為止經(jīng)歷了以下五個發(fā)展階段：

1) 完全的物理隔離。內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)為兩套網(wǎng)絡(luò)，它們之間完全的物理隔離。

2) 硬件隔離卡隔離。在客戶端增加一塊硬件卡，客戶端硬盤或其他存儲設(shè)備首先連接到該卡，然后再轉(zhuǎn)接到主板上，通過該卡能控制客戶端硬盤或其他存儲設(shè)備。

3) 數(shù)據(jù)轉(zhuǎn)移隔離。利用轉(zhuǎn)移系統(tǒng)分時復(fù)制文件的途徑來實現(xiàn)隔離。

4) 空氣開關(guān)隔離。通過使用單刀雙擲開關(guān)，使得內(nèi)外部網(wǎng)絡(luò)分時訪問臨時緩存器來完成數(shù)據(jù)交換的。

5) 安全通道隔離。通過專用通信硬件和私有不可路由協(xié)議等安全機(jī)制來實現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

2.2 網(wǎng)絡(luò)隔離技術(shù)原理

網(wǎng)絡(luò)隔離產(chǎn)品采用了網(wǎng)絡(luò)隔離技術(shù)，是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個獨立主機(jī)系統(tǒng)的信息安全設(shè)備。由于兩個獨立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲介質(zhì)只有“讀”和“寫”兩個命令。所以，網(wǎng)絡(luò)隔離產(chǎn)品從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實現(xiàn)了真正的安全。

3 防火墻的體系架構(gòu)

3.1 防火墻的體系架構(gòu)

目前的防火墻大都依賴于對數(shù)據(jù)包的信息進(jìn)行檢查，檢查的重點是網(wǎng)絡(luò)協(xié)議的信息。防火墻主要查看IP包中的IP包頭、TCP包頭、應(yīng)用層包頭以及數(shù)據(jù)加載的包頭，要了解防火墻的具體架構(gòu)，就需要分析它是檢查的那一層協(xié)議的信息。根據(jù)OSI模型，防火墻架構(gòu)包含以下幾種：包過濾防火墻，電路網(wǎng)關(guān)防火墻，應(yīng)用網(wǎng)關(guān)防火墻，狀態(tài)檢測包過濾防火墻和切換代理防火墻。

3.1.1 網(wǎng)絡(luò)隔離設(shè)備的體系架構(gòu)

防火墻是建立在內(nèi)外網(wǎng)邊界上的過濾封鎖機(jī)制，內(nèi)部網(wǎng)絡(luò)被認(rèn)為是安全和可信賴的，而外部網(wǎng)絡(luò)被認(rèn)為是不安全和不可信賴的。防火墻的作用是防止不希望的、未經(jīng)授權(quán)的通信進(jìn)出被保護(hù)的內(nèi)部網(wǎng)絡(luò)。防火墻對網(wǎng)絡(luò)安全的保護(hù)程度，很大程度上取決于防火墻的體系架構(gòu)。

3.1.2 網(wǎng)絡(luò)隔離設(shè)備的實現(xiàn)機(jī)制

網(wǎng)絡(luò)隔離設(shè)備由內(nèi)網(wǎng)處理單元、外網(wǎng)處理單元和專用隔離硬件組成。網(wǎng)絡(luò)隔離硬件包括一個獨立的固態(tài)存儲單元和一個獨立的調(diào)度和控制單元，內(nèi)網(wǎng)處理單元和外網(wǎng)處理單元在同一時刻最多只有一個同固態(tài)存儲單元建立非TCP/IP協(xié)議的數(shù)據(jù)連接，并通過私有協(xié)議進(jìn)行數(shù)據(jù)的交換。下面提到的外網(wǎng)指不可信網(wǎng)絡(luò)（如Internet），內(nèi)網(wǎng)指高安全性的內(nèi)部專用網(wǎng)。

通常情況下，網(wǎng)絡(luò)隔離系統(tǒng)的外網(wǎng)處理單元與外網(wǎng)相連，內(nèi)網(wǎng)處理單元與內(nèi)網(wǎng)相連，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的。

3.2 安全性分析比較

防火墻設(shè)備側(cè)重于網(wǎng)絡(luò)層到應(yīng)用層的策略隔離，操作系統(tǒng)、內(nèi)部系統(tǒng)的漏洞、通用協(xié)議的缺陷等都成為不安全的潛在因素。

首先由防火墻的體系架構(gòu)可知，防火墻可能會產(chǎn)生網(wǎng)絡(luò)層短路，從而導(dǎo)致偽造合法數(shù)據(jù)包帶來的危害；防火墻還難于抵御數(shù)據(jù)驅(qū)動式攻擊，即大量合法的數(shù)據(jù)包將導(dǎo)致網(wǎng)絡(luò)阻塞而使正常通信癱瘓。其次，防火墻很難阻止由通用協(xié)議本身漏洞發(fā)起的入侵。第三，防火墻系統(tǒng)本身的缺陷也是影響內(nèi)部網(wǎng)絡(luò)安全的重要因素，當(dāng)防火墻主機(jī)被控制后，內(nèi)部受保護(hù)網(wǎng)絡(luò)就會暴露無疑。第四，要使防火墻發(fā)揮有效的安全性，需要正確、合理的配置防火墻相關(guān)的安全策略，而配置的復(fù)雜程度不僅帶來煩瑣的工作量，同時也增加了配置不當(dāng)帶來的安全隱患。

3.3 各自定位的分析比較

3.3.1 解決目前防火墻存在的根本問題

1) 防火墻對操作系統(tǒng)的依賴，因為操作系統(tǒng)也有漏洞。黑客攻擊防火墻，一般先攻擊其操作系統(tǒng)，控制了操作系統(tǒng)，即控制了防火墻。而網(wǎng)絡(luò)隔離產(chǎn)品在內(nèi)、外部主機(jī)系統(tǒng)中嵌入安全加固的操作系統(tǒng)，并且內(nèi)部主機(jī)的操作系統(tǒng)對外部攻擊者是不可見的；

2) TCP/IP的協(xié)議漏洞；

3) 防火墻、內(nèi)網(wǎng)和DMZ同時直接連接；

4) 應(yīng)用協(xié)議的漏洞，因為命令和指令可能是非法的；

5) 安全策略的漏洞：在防火墻的安全策略，對于一個厲害的黑客來說是暴露的，他可通過利用錯誤配置的安全策略，侵入到您公司的內(nèi)網(wǎng)。

3.3.2 網(wǎng)絡(luò)隔離技術(shù)的指導(dǎo)思想與防火墻有很大的不同

1) 防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；

2) 網(wǎng)絡(luò)隔離技術(shù)的思路是在保證必須安全的前提下，盡可能互聯(lián)互通。

3.3.3 體系架構(gòu)不同

網(wǎng)絡(luò)隔離產(chǎn)品一般為雙機(jī)或三機(jī)系統(tǒng)，而防火墻由一臺處理機(jī)組成，為單機(jī)系統(tǒng)。而網(wǎng)絡(luò)隔離設(shè)備實現(xiàn)了OSI模型七層的斷開和應(yīng)用層內(nèi)容的檢查機(jī)制，因而不會產(chǎn)生網(wǎng)絡(luò)層短路，消除了基于網(wǎng)絡(luò)協(xié)議的攻擊。

3.3.4 設(shè)備本身的安全性不同

防火墻為單機(jī)系統(tǒng)，無法徹底消除操作系統(tǒng)的漏洞的威脅。一旦其操作系統(tǒng)被惡意攻擊，防火墻完全處于被黑客控制之中，那么受防火墻保護(hù)的另一端網(wǎng)絡(luò)就完全暴露在攻擊之下。受保護(hù)網(wǎng)絡(luò)的安全程度，很大程度上取決于防火墻自身的安全強度。而網(wǎng)絡(luò)隔離產(chǎn)品由于采用了可靠的雙機(jī)系統(tǒng)結(jié)構(gòu)，可以提供從硬件、協(xié)議到內(nèi)容的全方位安全保護(hù)。即使外部主機(jī)系統(tǒng)被曝光，也無法對內(nèi)部主機(jī)系統(tǒng)進(jìn)行攻擊，因為內(nèi)部主機(jī)系統(tǒng)和外部主機(jī)系統(tǒng)是物理隔離的。

3.3.5 安全規(guī)則配置的復(fù)雜程度不同

防火墻主要依據(jù)網(wǎng)絡(luò)管理工程師配置的規(guī)則進(jìn)行安全檢查，其安全性的高低與規(guī)則配置情況密切相關(guān)。規(guī)則配置十分復(fù)雜，規(guī)則最終所起的作用不僅與每條規(guī)則有關(guān)，而且與每條規(guī)則的先后順序、規(guī)則之間的相關(guān)性都有很大關(guān)系。網(wǎng)絡(luò)管理工程師必須仔細(xì)檢查每條規(guī)則，以保證其結(jié)果是其預(yù)期的結(jié)果。

從另一個方面講，防火墻的配置要求網(wǎng)絡(luò)管理工程師有較高的網(wǎng)絡(luò)知識和技術(shù)水平。防火墻只是一個被動的安全策略執(zhí)行設(shè)備，防火墻不能防止策略配置不當(dāng)或錯誤配置引起的安全威脅，規(guī)則配置錯誤將造成不安全通道打開。

而網(wǎng)絡(luò)隔離設(shè)備無需進(jìn)行復(fù)雜的規(guī)則配置，只需設(shè)定一些內(nèi)外網(wǎng)訪問政策。網(wǎng)絡(luò)隔離設(shè)備僅允許定制的信息進(jìn)行交換，即使出現(xiàn)錯誤，也至多是數(shù)據(jù)不再允許傳輸，而不會造成重大安全事故。

3.3.6 是否防止內(nèi)部的泄密行為

網(wǎng)絡(luò)隔離與信息交換系統(tǒng)采用內(nèi)容過濾和檢查機(jī)制來防止泄密，另外具有嚴(yán)格的身份認(rèn)證機(jī)制，因此不僅使信息網(wǎng)絡(luò)的抗攻擊能力大大增強，而且有效地防范了信息外泄事件的發(fā)生。而防火墻一般不具有這些安全機(jī)制，內(nèi)部的用戶主動泄密，防火墻是無能為力的。

3.3.7 內(nèi)部支持的協(xié)議不同

防火墻由于采用標(biāo)準(zhǔn)的TCP/IP協(xié)議，不能防止利用標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議中的缺陷進(jìn)行的攻擊。一旦防火墻準(zhǔn)許某些標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議，防火墻不能防止利用該協(xié)議中的缺陷進(jìn)行的攻擊。

而網(wǎng)絡(luò)隔離產(chǎn)品內(nèi)外網(wǎng)主機(jī)之間不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，因此最大程度上減少了由于標(biāo)準(zhǔn)協(xié)議所帶來的安全漏洞。

3.3.8 對未知網(wǎng)絡(luò)攻擊的防范能力不同

目前發(fā)現(xiàn)的攻擊，按照分類，有基于應(yīng)用協(xié)議漏洞的，有基于TCP/IP協(xié)議漏洞的，有基于命令的，有基于包的，有基于操作系統(tǒng)的。網(wǎng)絡(luò)隔離產(chǎn)品從根本上解決了這五種類型的攻擊。因此，新的攻擊，只要是基于上述五種原理的，不管是已知的，還是未知的，都可以阻止。而防火墻沒有從根本上解決基于操作系統(tǒng)、應(yīng)用協(xié)議、TCP/IP協(xié)議等漏洞造成的安全問題，從而缺乏對未知網(wǎng)絡(luò)攻擊的防范能力。

3.3.9 安全性和處理速度的矛盾

防火墻在安全性、效率和功能方面的矛盾比較突出。防火墻的技術(shù)結(jié)構(gòu)，往往是安全性高效率就低，效率高就會以安全性為代價。而網(wǎng)絡(luò)隔離產(chǎn)品私有硬件隔離交換，不存在安全性和處理速度的矛盾。

3.4 發(fā)展趨勢的分析比較

針對目前防火墻存在的安全缺陷，防火墻技術(shù)會向具有入侵防御功能的智能化方向發(fā)展，同時網(wǎng)絡(luò)架構(gòu)的不斷升級要求防火墻處理能力的不斷提高。

目前網(wǎng)絡(luò)安全市場上，以防火墻為核心的安全體系架構(gòu)實現(xiàn)的安全保障體系未能有效的防止頻頻發(fā)生的網(wǎng)絡(luò)攻擊，以及防火墻集成的IDS造成的漏報誤報，這些都要求未來的防火墻具有更高的安全性，集成IPS的防火墻將逐步取代集成IDS的防火墻。通過集成多種功能設(shè)計，例如包括VPN、AAA、PKI、IPSec等多種附加功能，提高防火墻的可管理和可控能力，不斷增強防火墻的抗DoS攻擊能力，同時利用統(tǒng)計、記憶、概率和決策的智能方法對數(shù)據(jù)進(jìn)行識別來達(dá)到訪問控制的目的。具備集中的網(wǎng)絡(luò)管理平臺，支持雙機(jī)熱備份、負(fù)載均衡和多出口路由以及IPv6等將是未來防火墻的發(fā)展重點。

網(wǎng)絡(luò)隔離技術(shù)經(jīng)過幾個階段的發(fā)展，目前正處于第五代網(wǎng)絡(luò)隔離設(shè)備的研發(fā)階段。網(wǎng)絡(luò)隔離技術(shù)正向易用性、應(yīng)用融合化等方向發(fā)展，網(wǎng)絡(luò)隔離技術(shù)在負(fù)載均衡、冗余備份、硬件密碼加速、易集成管理等方面還需要進(jìn)一步的改進(jìn)，同時更好地集成入侵防御和加密通道、數(shù)字證書等技術(shù)，將成為新一代網(wǎng)絡(luò)隔離產(chǎn)品發(fā)展的趨勢。為了更好的滿足我國提出的內(nèi)網(wǎng)、外網(wǎng)和公網(wǎng)的網(wǎng)絡(luò)體系結(jié)構(gòu)，從成本和易管理方面出發(fā)，三網(wǎng)或多網(wǎng)的網(wǎng)絡(luò)隔離設(shè)備也將成為網(wǎng)絡(luò)隔離技術(shù)的一個發(fā)展方向。

4 結(jié)束語

網(wǎng)絡(luò)隔離是一項網(wǎng)絡(luò)安全技術(shù)，網(wǎng)絡(luò)隔離可能對防泄密管理有很大的幫助，但這不意味著網(wǎng)絡(luò)隔離是一項完全的防泄密技術(shù)。將網(wǎng)絡(luò)隔離技術(shù)完全等同于防泄密技術(shù)是一種錯誤的理解。實際上即使是網(wǎng)絡(luò)隔離，也沒有解決類似于電磁輻射所導(dǎo)致的泄密，只有防電磁輻射泄密技術(shù)如TEMPEST才能解決這類問題。

網(wǎng)絡(luò)隔離是目前最好的網(wǎng)絡(luò)安全技術(shù)，它消除了基于網(wǎng)絡(luò)和基于協(xié)議的安全威脅，但網(wǎng)絡(luò)隔離技術(shù)也存在局限性，對非網(wǎng)絡(luò)的威脅如內(nèi)容安全，就無法從理論上徹底排除，就像人工拷盤一樣，交換的數(shù)據(jù)本身可能帶有病毒，即使查殺病毒也不一定可以查殺干凈。但它不是網(wǎng)絡(luò)安全問題，不存在攻擊和入侵之類的威脅。如果用戶確定交換的內(nèi)容是完全可信和可控的，那么網(wǎng)絡(luò)隔離是用戶解決網(wǎng)絡(luò)安全問題的最佳選擇。

參考文獻(xiàn)：

[1] 張千里， 陳光英. 網(wǎng)絡(luò)安全新技術(shù)[M]. 北京：人民郵電出版社， 2003.

[2] Whitman E.Mattord，J. 信息安全管理——信息安全叢書[M]. 重慶：重慶大學(xué)出版社， 2005.

[3] 凌捷，謝贊福. 信息安全概論——21世紀(jì)計算機(jī)科學(xué)與技術(shù)系列教材[M]. 廣州：華南理工大學(xué)出版社， 2005.