網路安全新技術網路隔離

北京蓋特佳資訊保安技術公司技術總監王獻冰

面對新型網路攻擊手段的出現和高安全度網路對安全的特殊需求，全新安全防護防範理念的網路安全技術——「網路隔離技術」應運而生。

網路隔離技術的目標是確保把有害的攻擊隔離，在可信網路之外和保證可信網路內部資訊不外洩的前提下，完成網間資料的安全交換。網路隔離技術是在原有安全技術的基礎上發展起來的，它彌補了原有安全技術的不足，突出了自己的優勢。

隔離技術的發展歷程

網路隔離，英文名為***work isolation，主要是指把兩個或兩個以上可路由的網路（如：tcp/ip）通過不可路由的協議（如：ipx/spx、***beui等）進行資料交換而達到隔離目的。由於其原理主要是採用了不同的協議，所以通常也叫協議隔離（protocol isolation）。2023年，資訊保安專家mark joseph edwards在他編寫的《understanding ***work security》一書中，他就對協議隔離進行了歸類。在書中他明確地指出了協議隔離和防火牆不屬於同類產品。

隔離概念是在為了保護高安全度網路環境的情況下產生的；隔離產品的大量出現，也是經歷了五代隔離技術不斷的實踐和理論相結合後得來的。

第一代隔離技術——完全的隔離。此方法使得網路處於資訊孤島狀態，做到了完全的物理隔離，需要至少兩套網路和系統，更重要的是資訊交流的不便和成本的提高，這樣給維護和使用帶來了極大的不便。

第二代隔離技術——硬體卡隔離。在客戶端增加一塊硬體卡，客戶端硬碟或其他儲存裝置首先連線到該卡，然後再轉接到主機板上，通過該卡能控制客戶端硬碟或其他儲存裝置。而在選擇不同的硬碟時，同時選擇了該卡上不同的網路介面，連線到不同的網路。但是，這種隔離產品有的仍然需要網路佈線為雙網線結構，產品存在著較大的安全隱患。

第三代隔離技術—資料轉播隔離。利用轉播系統分時複製檔案的途徑來實現隔離，切換時間非常之久，甚至需要手工完成，不僅明顯地減緩了訪問速度，更不支援常見的網路應用，失去了網路存在的意義。

***隔離技術—空氣開關隔離。它是通過使用單刀雙擲開關，使得內外部網路分時訪問臨時快取器來完成資料交換的，但在安全和效能上存在有許多問題。

第五代隔離技術—安全通道隔離。此技術通過專用通訊硬體和專有安全協議等安全機制，來實現內外部網路的隔離和資料交換，不僅解決了以前隔離技術存在的問題，並有效地把內外部網路隔離開來，而且高效地實現了內外網資料的安全交換，透明支援多種網路應用，成為當前隔離技術的發展方向。

隔離技術需具備的安全要點

要具有高度的自身安全性隔離產品要保證自身具有高度的安全性，至少在理論和實踐上要比防火牆高乙個安全級別。從技術實現上，除了和防火牆一樣對作業系統進行加固優化或採用安全作業系統外，關鍵在於要把外網介面和內網介面從一套作業系統中分離出來。也就是說至少要由兩套主機系統組成，一套控制外網介面，另一套控制內網介面，然後在兩套主機系統之間通過不可路由的協議進行資料交換，如此，既便黑客攻破了外網系統，仍然無法控制內網系統，就達到了更高的安全級別。

要確保網路之間是隔離的保證網間隔離的關鍵是網路包不可路由到對方網路，無論中間採用了什麼轉換方法，只要最終使得一方的網路包能夠進入到對方的網路中，都無法稱之為隔離，即達不到隔離的效果。顯然，只是對網間的包進行**，並且允許建立端到端連線的防火牆，是沒有任何隔離效果的。此外，那些只是把網路包轉換為文字，交換到對方網路後，再把文字轉換為網路包的產品也是沒有做到隔離的。

要保證網間交換的只是應用資料既然要達到網路隔離，就必須做到徹底防範基於網路協議的攻擊，即不能夠讓網路層的攻擊包到達要保護的網路中，所以就必須進行協議分析，完成應用層資料的提取，然後進行資料交換，這樣就把諸如teardrop、land、**urf和syn flood等網路攻擊包，徹底地阻擋在了可信網路之外，從而明顯地增強了可信網路的安全性。

要對網間的訪問進行嚴格的控制和檢查作為一套適用於高安全度網路的安全裝置，要確保每次資料交換都是可信的和可控制的，嚴格防止非法通道的出現，以確保資訊資料的安全和訪問的可審計性。所以必須施加以一定的技術，保證每一次資料交換過程都是可信的，並且內容是可控制的，可採用基於會話的認證技術和內容分析與控制引擎等技術來實現。

要在堅持隔離的前提下保證網路暢通和應用透明隔離產品會部署在多種多樣的複雜網路環境中，並且往往是資料交換的關鍵點，因此，產品要具有很高的處理效能，不能夠成為網路交換的瓶頸，要有很好的穩定性；不能夠出現時斷時續的情況，要有很強的適應性，能夠透明接入網路，並且透明支援多種應用。

網路隔離的關鍵點

網路隔離的關鍵是在於系統對通訊資料的控制，即通過不可路由的協議來完成網間的資料交換。由於通訊硬體裝置工作在網路七層的最下層，並不能感知到交換資料的機密性、完整性、可用性、可控性、抗抵賴等安全要素，所以這要通過訪問控制、身份認證、加密簽名等安全機制來實現，而這些機制的實現都是通過軟體來實現的。

因此，隔離的關鍵點就成了要盡量提高網間資料交換的速度，並且對應用能夠透明支援，以適應複雜和高頻寬需求的網間資料交換。而由於設計原理問題使得第三代和***隔離產品在這方面很難突破，既便有所改進也必須付出巨大的成本，和「適度安全」理念相悖。

隔離技術的未來發展方向

第五代隔離技術的出現，是在對市場上網路隔離產品和高安全度網需求的詳細分析情況下產生的，它不僅很好地解決了第三代和***很難解決的速度瓶頸問題，並且先進的安全理念和設計思路，明顯地提公升了產品的安全功能，是一種創新的隔離防護手段。

隔離原理第五代隔離技術的實現原理是通過專用通訊裝置、專有安全協議和加密驗證機制及應用層資料提取和鑑別認證技術，進行不同安全級別網路之間的資料交換，徹底阻斷了網路間的直接tcp/ip連線，同時對網間通訊的雙方、內容、過程施以嚴格的身份認證、內容過濾、安全審計等多種安全防護機制，從而保證了網間資料交換的安全、可控，杜絕了由於作業系統和網路協議自身漏洞帶來的安全風險。

產品實現北京蓋特佳的研發人員從2023年就開始了對網路隔離技術的研究，並經歷了從串列埠、並口到usb的研發過程。在實踐中發現，要更安全地完成協議隔離，靠不可路由的協議雖然達到了一定的安全度，但由於像串列埠、並口和usb等都為通用裝置，ipx/spx和***beui等都為常見協議，都有規範的介面，安全強度仍然不夠高。為此，研發人員提出了用專用硬體通訊和專有安全協議的全新理念，並研發出了「網閘-動態實時網路隔離系統」，工作原理如圖。

網路安全新技術網路隔離

網路管理與網路安全技術

網路管理與網路安全技術

密碼與安全新技術

網路安全新技術 網路隔離

網路管理與網路安全技術

網路管理與網路安全技術

密碼與安全新技術

相關推薦

網路安全新技術網路隔離