网络安全隔离技术探讨

王骞　奚正波

摘要：自从20世纪70年代发明互联网至今，网络已经成为人们日常生活、生产中不可或缺的重要组成部分。在量子计算机没有全面推广应用之前，网络安全隔离技术将是应对网络安全问题的首选方案。本文以此为出发点，选取网络安全隔离技术探讨作为研究题目，概述了网络隔离的内涵，与常用的网络安全隔离技术。并以此为基础，对网络安全隔离系统的体系结构进行了具体讨论。

关键词：网络;安全;隔离技术;探讨

近年来，随着工业4.0改革与“互联网+”改革工作的持续深化，推动了各行业从信息化管理向数据化管理的转型升级。与此同时，在数据中心建设数量增加、规模扩大，虚拟数据中心应用相对增长的情况下，网络安全风险也随之增加，应用网络安全隔离技术后，不仅可以使内网与外网之间实现有效的分享，也能够增强内网与外网数据交换的安全性。下面先对网络隔离的概念与原理做出说明。

一、网络隔离的内涵

网络隔离的本质，集中在对访问控制思想的运用。从概念界定看，主要是指在断开网络物理连接的条件下，合法、合理的实施信息交互与数据共享，进而达到对信息的分组可控交换。目前，对该技术的应用中，始终将应用目标定位在对有害攻击的隔离上。就其核心而言，以物理隔离为基本特征，旨在从根本上隔离开内网、外网，具体应用时通常在同一时间内通过1个隔离设备创建非TCP/IP协议的数据连接。应用步骤如下：1.隔离。互联网属于外网，安全性相对较低;内部专用网络作为内网，安全性相对较高。通过在外网设置隔离设备、于内网设置隔离设备，可以将二者完全断开。2.外网发送数据。由于隔离设备属于一种存储介质，当外网数据向内网进行传输的过程中，外部服务器可以通过发起对隔离设备的非TCP/IP协议的数据连接完成对协议的剥离处理，只在存储介质中写入原始数据。3.内网接收数据。写入步骤完成后，外网与隔离设备中断连接，然后利用同样的原理以逆向方式将数据发达到内网。4.从内网向外网的数据传输原理相同。外网向内网的数据传输如图1所示。

二、网络安全隔离技术分析

（一）以物理隔离技术为例

该技术属于比较基础的网络安全隔离技术，与传统的防火墙隔离、入侵检测隔离、防病毒系统隔离、漏洞扫描隔离相比，它具有深度防御的鲜明特征。因此，物理隔离技术并不是为了取代传统的常用隔离技术，而是在基础上，对其做进一步的安全策略层面的深化，进而形成更加有利于解决网络安全问题的技术。物理隔离技术以网络隔离为基本原理，主要通过安全隔离计算机技术进行具体应用。

以某公司开发的物理隔离技术为例：1.在硬件方面选择了RISC体系结构;2.在软件方面应用了高性能嵌入式计算机芯片;3.双机之间的物理连接选择高速物理传输芯片（4个），内网与外网的隔离连接，主要通过以太网接口实现（2个10M/100M以太网接口：IA1/IA2与IB1/IB2）。除此之外，还配备了内网双接口（IA3）、内外网预警接口（IA4、IB3），前者用于隔离装置的双机热备份，后者用于对信息输出的预警、并向后台主机实时上传监测信息。4.根据网络隔离的基本原理，运用专用协议栈（SysKeeper-2000系列安全隔离产品）割断穿透性TCP连接，从而使信源C1、CUP、内网相连，信源C2、CPU、外网相邻，共同构成物理隔离系统。对物理隔离技术进行应用时，需要配置二层交换机、设置配置规则，与三层交换机（路由器）、设置实际通信规则、ARP报文规则1、ARP报文规则2。具体应用中通常可以对其中的不安全外网、安全内网之间设置物理隔离。物理隔离技术应用结构见下图2：

（二）以通用网闸技术为例

通用网闸技术（GAP，也称安全隔离网闸技术），是物理隔离技术的进一步发展形成了安全隔离技术。该技术由以色列的Whale、Spearhead等企业研发设计，从1997年发明至今，已经获得了广泛应用，适用于电子政务、信息化建设、电子商务等各大领域。从基本原理看，该技术主要是通过将安全隔离网闸设置于内外、外网之间，从而达到对网络病毒、恶意代码、黑客攻击等安全风险的有效隔离、防御。所以，这是对网络隔离原理的深化应用。具体如下：首先，将要解决的问题划分为五类，分别是操作系统依赖产生的漏洞、TCP/IP协议依赖漏洞、通信攻击、链路连接漏洞、安全策略漏洞。为了有效解决多重问题，在该技术中应用了OSI七层网络模型，将不同的应用功能分布在物理层、数据链链路层、网络层、传输层、会话层、表示层、应用层，构成OSI模型应用代理，通过网卡将其与外网相连。按照同样的布置方式完成内网、网卡、SOI模型应用代理连接，从而搭建具有网络隔离功能的OSI模型。如此，可以通过各层的断开方式，消除TCP/IP网络中受到的攻击。其次，在网络隔离技术线路方面主要选择单向连接、实时交换、网络开关等技术，具体应用时一般采用动态断开技术或者固定断开技术，完成对专用隔离硬件的设置。动态断开技术方面，常用的技术包括SCSI网闸技术、总线网闸技术。在固定断开技术方面，以单向传输网闸技术为主。最后，在通过隔离网闸体系结构方面，按照通用网闸技术工作流程，分为内部处理单元与外部处理单元，并通过专用隔离硬件完成对网络隔离体系结构的搭建。具体应用通用网闸技术时，主要在不信任网络（外网）中设置协议转换、内核防护、病毒过滤，于可信任网络（内网）中增加身份验证、安全审计、协议转换、访问控制、内核防护、病毒过滤等，保障隔离效果。

例如，以某公司设计的通用网闸技术为例，按照基本的模块化设计思想进行系统结构设计：1.在USB模块中设置了ISP1581芯片（双端口，用于搭建数据通路、设置双端口存储器）;2.利用XC3S400作为控制芯片（用于写入、读出、缓存数据）;3.存储器选择了IDT70V7399S芯片（双端口）。见下图3：

在功能设置方面，内部处理单元中预设了安全策略审查、TCP/IP协议分解有专用协议封装、消息认证、身份认证。外部处理单元中，除设置TPC/IP协议分解有专用协议封装功能外，增加了专用协议分解及TCP/IP协议封闭功能与附加消息认证印戳功能。这样，就可以利用隔离硬件中的USB总线（数据线宽度设置为16位），通过嵌入式Linux操作系统内核（开关控制、存储介质），将内部、外部处理单元中的数据连接，进行切换、隔离、控制。其中的开关控制流程如下：开始——是否有写信号——是否两端都读完——启动定时器——对存储器写——是否有写完信号——定时器是否超時——切换开关——对存储器读。需要注意的是，在系统软件的基本模块中，外部数据单元中并不能设置安全模块，只能设置数据分析模块，并利用隔离硬件提供风险预防。而内部处理单元中，除了数据分析模块外，设置有安全模块，可以有效地提取消息摘要密文，降低风险。

（三）其他技术

除以上两种主要技术外，随着数据中心、虚拟数据中心技术的发展，对于网络安全隔离技术的需求越来越高，一般而言，在数据中心方面的安全隔离技术应用方面，可以选择数据库审计、数据库隔离技术。以数据库审计技术为例，主要通过数据库管理员操作进行记录，从而对数据库中的实际安全状态进行监测、分析、揭示。从技术应用路线看，是在总线技术中使用协议解析方法，从而对数据库日志全记录实施全方位、实时动态化解析。以数据库隔离技术为例，我国在该方面的技术研发尚处于初级阶段，国外的应用情况表明，主要是利用具有数据库隔离功能的技术产品，作为数据库中的中间件进行风险隔离与防范。与数据中心的安全隔离技术相比，虚拟数据中心的安全隔离需求更高，所以在实践中通常要求按照实际服务器、虚拟机、应用业务的安全需求，研发设计匹配的安全隔离方案。

三、网络安全隔离技术应用风险

（一）网线误接

无论采用哪一种类型的安全隔离技术，均需要以计算机为载体，由于在安全隔离计算机技术条件下，以内网卡（计算机网卡）、外网网线之间必须通过硬件连接，保障数据连接时应用隔离技术，因此，在这种情况下，不能排除网线误接的风险。例如，在安全隔离卡使用过程中，隔离卡接口、网卡接口连接时，没有区分内网、外网的情况下，容易出现接入错误。或者，连接了内网未连接外网（反之亦然），也会造成隔离失效。从风险发生的常见原因看，主要是在用户内部单独网线络缺失时，内网中采用了单机模式进行管理所致。再如，在安全隔离技术应用时，通常设置了双卡，当第二块网卡与外网网线发生误接时，也容易造成信息安全风险。

（二）软件切换

目前使用的物理隔离技术、通用网闸技术中，为了提高隔离效果与应用的便利性，均设置了切换功能。具全应用中对切换功能进行使用时，首要的检查对象是系统内的存储设备状况。可是，部分用命在使用过程中，进入安全模式对相关的硬件进行删除操作后，并没有断开计算机与存储设备之间的物理连接关系。在这种情况下，一旦进入切换状态，其中的存储设备也会重新进行连接。此时，信息安全风险隐患会一直存在，不利于用户的使用安全。

（三）设备风险

网络的应用中，除计算机外配置了多种附属性的办公设备，包括打印机、扫描仪、传真机，以及其他配套的办公设备等。此类办公设备中部分设备具有硬件数据缓存功能，一些设备甚至设置了存储数据、调阅数据的功能。在内网、外网进行数据连接时，虽然能够借助安全隔离技术对其中的病毒、恶意代码等进行过滤、监测、清理、防范，但是，并不能保障转换内外网状态时的数据泄漏。尤其对于一些具有知识产权的企业而言，办公设备中没有及时清除的重要信息，一旦通过数据连接传入外网，即可能造成较大损失。

四、网络安全隔离技术应用控制措施

（一）开展隔离管理

在应对网线误接方面，应该建立事前、事中、事后的全过程管理方案，进而优化隔离管理。首先，在应用安全隔离技术前，按照设计方案、实施步骤，做好连接网络方面的编号，这样在安装环节，既不容易出现错误，也能够有条不紊地完成安装操作。其次，在安装过程中应该设置过程评价方案，从而在监督机制、评价机制充分应用的条件下，保障网线安装时的有效性。第三，进入安全隔离方案运行环节，应对隔离效果进行检查与评估，预防因网线误接造成的隔离无效情况。

（二）控制网络存取

软件切换中引发的存储连接风险，重点集中在存储连接上，因而在这种情况下可以选择控制网络存取的办法有效解决此类问题。具体而言，在实體隔离方面，硬件、软件方面均有明显的规则设置，而且利用此类配置规则可以保障内外网的独立性。所以，建议从独立网络应用的角度出发，安排专人对数据交换时的网络存取环节进行管理。对于一些机密性较高的数据，可以根据实际情况通过手工方式进行数据交换。

（三）增强设备维保

目前，在各行业诸领域高质量发展阶段，数据管理的重要性越来高，数据安全风险也随之增大。因此，即使在内网、外网数据连接中使用了网络安全隔离技术的条件下，也应该增强对附属办公设备的数据管理。例如，按照办公设备的使用频率，设定固定的时间间隔清理相关设备中的缓存数据。在哪，对具有数据存储功能、调用数据功能的设置进行独立的数据管理等。

五、结束语

总之，从信息化时代转入到数据化时代后，网络安全风险相对扩大，为了有效化解此类风险，一方面应该增强对网络安全隔离技术的研发创新，另一方面需要结合实际的应用场景与需求选择适用性较强的网络安全隔离技术，提高其应用效用。通过上初步分析可以看出，网络安全隔离技术种类较多，技术优势鲜明，在实际应用中仍然存在网络误接风险、软件切换风险，以及相关的办公设备风险等。所以，建议在各行业高质量发展阶段应用安全隔离技术时，尽可能结合配套地做好实体隔离管理、做好网络存取控制等工作，保障安全隔离技术的应用效果。

作者单位：王骞    奚正波    国能大渡河大数据服务有限公司

参  考  文  献

[1]徐恪，凌思通，李琦，等.基于区块链的网络安全体系结构与关键技术研究进展[J].计算机学报，2021，44（1）：55-83.

[2]杨宏宇，曾仁韵.一种深度学习的网络安全态势评估方法[J].西安电子科技大学学报（自然科学版），2021，48（1）：183-190.

[3]袁得嵛，黄淑华，高见，等.基于扫描分析的视频监控网络安全现状及对策研究[J].科技管理研究，2021，41（4）：198-204.

[4]骆慧勇.基于云桌面实现网络安全隔离的应用[J].计算机应用与软件，2020，37（2）：15-17，38.

[5]林育凯.浅析隔离网闸与防火墙在网络安全中的综合利用[J].网络安全技术与应用，2020，19（1）：14-15.