安全隔離網閘在油田物聯網中的應用探討

余忠凱，吳金峰，吳美華，陳 戈

（塔里木油田公司信息與通訊技術中心，庫爾勒 841000）

隨著現代通信技術的迅猛發展和油田信息化建設的推進，物聯網廣泛應用在油田各生產領域中，但網絡安全問題也日益凸顯，為保障油田網絡和數據的安全性，必須采用技術手段將內外網完全隔離，本文介紹采用網絡安全隔離網閘，對內、外網進行物理隔離，以確保內網數據的安全，同時又高效實現與外網共享。

1 網絡安全隔離網閘的背景

網絡安全隔離網閘，即安全隔離與信息交換系統，是模擬人工在兩個隔離網絡之間的信息交換，20世紀90年代中期，俄羅斯人Ry Jones首先提出了“AirGap”隔離概念，簡稱“GAP”。然后，以色列成功研制出物理隔離卡，實現網絡之間的隔離。

第一代網閘技術利用單刀雙擲開關使得內外網的處理單元分時存取共享存儲設備來完成數據交換的，實現了在空氣縫隙隔離“AirGap”情況下的數據交換，安全原理是通過應用層數據提取與安全審查達到杜絕基于協議層的攻擊和增強應用層安全效果。

第二代網閘充分吸取了第一代網閘優點，創造性地利用全新理念的專用交換通道PET技術，數據交換過程通過專用硬件通信卡、私有通信協議和加密簽名機制來實現，在不降低安全性的前提下能夠完成內外網之間高速的數據交換，并支持更多的網絡應用。

2 網絡安全隔離網閘的原理

正常情況下，安全隔離網閘、外網和內網是完全斷開的，當外網需要向內網傳輸數據時，外部的服務器立即發起對隔離設備的非TCP/IP協議的數據連接，隔離設備將所有的協議剝離，對數據包進行數據分析與病毒掃描，把經過檢測后的安全原始數據寫入存儲介質中，當數據完全寫入后，隔離設備立即終端與外網的連接，轉而發起對內網的非TCP/IP協議的數據連接。隨后，數據被推向內網，并交給應用系統，在控制臺收到完整的交換信號后，隔離設備立即切斷與內網的直接連接；當數據需要有內網向外網傳遞時，也遵從相似過程。

3 網閘在西部某油田的應用探討

西部某油田物聯網建設嚴格按照集團公司信息系統建設要求，從網閘選型上進行了分析研究：從硬件架構上，傳統網閘采用雙主機+隔離硬件設計思路，并使用專有隔離芯片和流處理芯片，在網絡通信過程中采用內部私有協議進行數據安全擺渡，以阻斷通用的網絡協議，其工作原理類似于“二極管”單向導電的特性。為方便業務訪問，傳統網閘產品根據安全檢測的結果，采用在內外網接口上解析應用協議的方式工作，一端將應用協議剝離成數據，另一端又恢復成應用協議。這種解析不僅覆蓋常見應用協議，而且對數據庫的訪問也可代理通過，網閘的安全主要依賴安全檢測技術，這就為緩沖區溢出、SQL注入等攻擊提供了生存的溫床；經過協議解析后，應用可以通過網閘，攻擊也就有了載體。因此，基于應用協議解析網閘實際上成為一個邏輯上的安全網關，滿足了數據交換的功能，但失去了網絡隔離的效果。

我們認為，為保證油田生產安全，油氣物聯網的網閘設計目標應滿足：在保證業務通訊隔離的基礎上，實現數據交換，其關鍵是安全性的延續，所以網閘的設計重點不僅是隔離與交換的控制邏輯設計上，而且包括業務代理的實現模式上。通過網閘實現業務數據自動交換的原理模型見圖2。

圖1 傳統網閘的工作原理

圖2 網閘實現數據自動交換工作原理圖

基于以上認識，我們采用市場調研、壓力測試、組網驗證的手段，最終選用某品牌的高端單向網閘，它采用安全隔離與信息交換系統架構。安全隔離與信息交換系統架構網閘主要由內網主機系統、外網主機系統和隔離交換矩陣三部分構成。內/外網主機系統分別與內/外網相連，負責相應信息的獲取和協議分析，隔離交換矩陣根據安全策略完成信息的安全檢測和內外網絡之間的安全交換。整個系統具備以下技術特性：多網絡隔離的體系結構，通過專用硬件完成兩側信息的“擺渡”；被隔離網絡之間任何時刻不產生物理連接；內/外網主機系統之間沒有網絡協議邏輯連接，通過隔離交換矩陣的全部是應用層數據，也就是OSI模型的七層協議全部斷開；數據交換方式完全私有，不具備可編程性。

圖3 基于安全隔離與信息交換網閘的工作原理圖

最終，我們實現了油氣物聯網中ORACLE，SYBASE，DB2，MS SQLSERVER等數據庫的單向同步，解決了不同安全域之間信息交換的問題，并在此基礎上實現對信息交換底層訪問控制和應用層內容的實時檢查，從而確保了油氣生產物聯網安全可靠的通信。

盡管基于安全隔離與信息交換系統架構的單向網閘有極高的安全性，但在生產與安保視頻子網中無法進行平臺互動。因此，我們對視頻網與辦公網的隔離將采用視頻網閘，其工作原理為油氣物聯網應用子系統通過協議檢查，對協議包格式和內容檢查，分析協議內容區分視頻數據和控制信令，只允許UDP視頻數據單向傳輸、TCP控制信令雙向傳輸方式。同時檢查數據來源，阻止非法數據接入和送出，并對傳出的信息執行“白名單”檢查，防止非授權信息外泄。

4 結束語

要認識到網閘業務協議解析帶來的新的安全挑戰，不是說網閘功能越豐富越好，要從網閘處于網絡中的位置以及實現的目的規劃設計安全原則。使用網閘的目的是為了隔離業務的，進行安全的數據交換；從安全服務的角度講，網閘開通的服務種類越少，被攻擊的可能性越小，網閘可交換的數據類型越少，隱含攻擊的可能越小。網閘的安全原則應定義為：單一服務，只完成數據文件的交換，只完成文件形式的數據交換。其他的服務一律關閉；定向交換，在數據交換時指定接收人、發送人；網閘不支持應用協議解析，不透傳業務應用，只進行文件數據的擺渡，對于HTTP，SMTP，FTP等協議無法通過，數據庫的訪問就更加不能通過，網閘只起到數據的擺渡，不支持應用的互通，應用協議的終止，讓入侵、攻擊徹底失去了傳播的載體。■