基于信息安全的网络隔离技术研究与应用

基于信息安全的网络隔离技术研究与应用

王庆鹏马怡璇王涛李浩升米尔阿力木江

王庆鹏马怡璇王涛李浩升米尔阿力木江

（国网新疆电力有限公司信息通信公司新疆乌鲁木齐830000）

摘要：随着国际互联网安全态势日趋严峻，互联网攻击手段越来越隐蔽、攻击技术越来越高级，甚至成为商业不正当竞争手段以及国家网络武器，已对国家、企业信息安全构成了严重威胁。在发展信息化的同时，不断加强信息安全保障工作。

关键词：网络隔离；信息安全；物理隔离

1网络隔离的技术原理

从连接特征来看，这样的结构从物理上完全分离。外网是安全性不高的因特网，内网是安全性很高的内部专用网。正常情况下，隔离设备和外网、隔离设备和内网、外网和内网是完全断开的，即保证网络之间是完全断开的，因此，隔离设备可理解为纯粹的存储介质和一个单纯的调度和控制电路。当外网有数据需要到达内网时，以电子邮件为例，外部服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有协议剥离，将原始的数据写入存储介质。根据不同的应用，可能有必要对数据进行完整性和安全性检查，例如防病毒和恶意代码等。一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后，立即进行TCP/IP的封装和应用协议的封装，并交给应用系统。此时，内网电子邮件系统就收到了外网的电子邮件系统通过隔离设备转发的电子邮件。在控制器收到完整的交换信号后，隔离设备立即切断隔离设备于内网的直接连接，恢复到完全隔离状态。如果内网有电子邮件要发出，隔离设备收到内网建立连接的请求之后，建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议，得到原始的数据。将数据写入隔离设备的存储介质。如有必要，对其进行防病毒处理和防恶意代码检查，然后中断与内网的直接连接。一旦数据完全写入隔离设备的存储介质，隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后，立即进行TCP/IP的封装和应用协议的封装，完成数据的传递。控制器收到信息处理完毕的消息后，立即中断隔离设备与外网的连接，恢复到完全隔离状态。每一次数据交换，隔离设备都经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的，因此速度上有保证，可以达到100%的总线处理能力。物理隔离的一个特征就是内网与外网不连接，内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接，其数据传输机制是存储和转发。

2网络隔离的技术分类

2.1基于代码、内容等隔离的反病毒和内容过滤技术

随着网络的迅速发展和普及，下载、浏览器、电子邮件、局域网等已成为最主要的病毒、恶意代码及文件的传播方式。防病毒和内容过滤软件可将主机或网络隔离成相对“干净”的安全区域。

2.2基于网络层隔离的防火墙技术

防火墙是网络安全防线中的第一道闸门，是目前企业网络与外部实现隔离的最重要手段。其结构包括过滤、状态检测、应用代理等。目前主流的状态检测不但可以实现基于网络层的IP包头和TCP包头的策略控制，还可以跟踪TCP会话状态，为用户提供了安全和效能的较好结合。漏洞扫描、入侵检测和管理技术并不直接“隔离”，而是通过旁路检测侦听、审计、管理等功能使安全防护作用最有效化。

2.3基于物理链路层的物理隔离技术

物理隔离的思路源于逆向思维，即首先切断可能的攻击途径，再尽力满足用户的应用。物理隔离技术经过了三个阶段：双机双网通过人工磁盘复制实现网络间隔离；单机双网等通过物理隔离卡/隔离集线器切换机制实现终端隔离；隔离服务器实现网络间文件交换复制等。这些物理隔离方式对于信息交换实效性要求不高，仅局限于少量文件交换的小规模网络中采用。切断物理通路可避免基于网络的攻击和入侵，但不能有效地阻止依靠磁盘复制传播的病毒、木马程序等流入内网。此外，采用隔离卡由于安全点分散易造成管理困难。

3网络隔离的安全要点

3.1要具有高度的自身安全性

隔离产品要保证自身具有高度的安全性，理论上至少要比防火墙高一个安全级别。从技术实现上，除了和防火墙一样对操作系统进行加固优化或采用安全操作系统外，关键在于要外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后再两套主机系统之间通过不可路由的协议进行数据交换。如此，即便黑客攻破外网系统，仍然无法控制内网系统，就达到了更高的安全级别。

3.2要保证网络之间是隔离的

保证网间隔离的关键是网络包不可路由到对方网络，无论中间采用了什么转换方法，只要最终使得一方的网络包能够进入到对方的网络中，都无法称之为隔离，即达不到隔离的效果。显然，只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是没有任何隔离效果的，此外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。

3.3要保证网间交换的只是应用数据

既然要达到网络隔离，就必须做彻底防范基于风络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取然后进行数据交换，这样就把诸如Smurf和SYNFlood等网络攻击包彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。

3.4要对网间的访问进行严格的控制和检查

作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。

3.5要在坚持隔离的前提下保证网络畅通和应用透明

隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此产品要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性；不允许出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。

3.6网络隔离的关键是在于系统对通信数据的控制

即通过不可路由的协议来完成网间的数据交换。由于通信硬件设备工作在网络七层的最下层，并不能感知到交换数据的机密性、完整性、可用性、可控性、抗抵赖等安全要素，所以这要通过访问控制、身份认证、加密签名等安全机制来实现，而这些机制都是通过软件来实现的。因此，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。

4结语

网络隔离是企业维护数据安全的重要手段。随着互联网技术的快速发展，数据安全对企业而言越来越重要。因此，企业在实施网络隔离时，一定要保证外网和内网物理上是隔离的，网络之间交换的是应用数据，对来自外网的访问要进行严格的控制和检查，要保证网络畅通和应用透明，要确保系统对通信数据的控制。唯如此，企业的数据安全才能得到保证，企业的发展才会越来越好。

参考文献：

[1]夏红伟.对基于网络安全隔离的实时数据采集系统分析[J].网络安全技术与应用，2019（04）：56-57.

[2]胡传力，李卓群.基于信息安全的网络隔离技术研究与应用[J].网络安全技术与应用，2019（03）：79-80.

[3]张如云.网络隔离在企业数据安全中的应用探究[J].办公自动化，2019，24（04）：28-30.