1、網絡隔離技術
網絡隔離(Network Isolation)技術是網絡安全技術的一個大類,是把兩個或者兩個以上可路由的網絡(如TCP/IP)通過不可路由的協議(如IPX/SPX、 NetBEUI等) 進行數據交換而達到隔離目的。其主要原理是使用不同的協議,故也叫協議隔離。
網絡隔離的主要目的:將有害的網絡安全威脅隔離開,以保障數據信息在可信網絡內進行安全交互。
一般的網絡隔離技術都是以訪問控制思想為策略,物理隔離為基礎,并定義相關約束和規則來保障網絡的安全強度,用于實現不同安全級別網絡之間的安全隔離,并提供適度可控的數據交換的技術。有時也形象地稱為網閘,或數據擺渡。
隨著近幾年的飛速發展,目前的隔離技術已經比較完善,涵蓋了幾乎所有級別用戶的網絡隔離需求。網絡中的“隔離”一詞與現實生活中的“隔離”存在某種認識上的區別,從傳統意義來理解,“隔離”使兩個網絡真正分開,但這樣來談網絡安全是沒有任何意義的。事實上,網絡安全中“隔離”后的兩個網絡并非完全沒有聯系,還是需要有正常的應用層數據交換的。
目前可以采用的隔離方法主要有以下三類:
①物理隔離。通過一定軟、硬件方法使得訪問內、外網的設備、線路、存儲均相對獨立。
②網絡隔離。利用協議轉換進行網間的數據交換。
③安全隔離。利用專用設備實現僅在應用層進行數據交換。
2、網絡隔離技術的發展歷程
到目前為止,整個網絡隔離技術的發展經歷了以下五代:
第一代隔離技術—完全的隔離;
第二代隔離技術—硬件卡隔離;
第三代隔離技術—網絡協議隔離;
第四代隔離技術—空氣開關網閘隔離;
第五代隔離技術—安全網閘隔離。
3、網絡隔離技術的原理應用
①網間不同層次的主要安全威脅
網間的安全威脅主要來自來以下三個層次:
◆物理層。電氣攻擊、線路偵聽、線路破壞等。
◆網絡層。拒絕服務攻擊、地址欺騙、碎片攻擊等。
◆應用層。惡意代碼、垃圾郵件等。
②網絡隔離技術要求
無論采取哪種網絡隔離方案,在具體應用中至少要在安全和控制中滿足如下需求:
◆具有高度的自身安全性。
◆確保網絡之間是隔離的。
◆保證網間交換的只是應用數據。
◆對網間的訪問進行嚴格的控制和檢查。
◆在堅持隔離的前提下保證網絡暢通和應用透明。
③網絡隔離的原理和分類
盡管正在廣泛地使用各種復雜的軟件技術,如防火墻、代理服務器、侵襲探測器、通道控制機制,但是由于這些技術都是基于軟件的保護,是一種邏輯機制,這對于邏輯實體(黑客或內部用戶)而言是可能被操縱的,即由于其極端復雜性與有限性,這些在線分析技術無法滿足某些組織(如軍隊、軍工、政府、金融、研究院、電信等)提出的高度數據安全要求。物理隔離技術就能較好地解決這些問題。
物理隔離主要應用在以下行業:各級政府機關和涉密單位;金融、證券、稅務、海關等行業部門。
物理隔離技術的指導思想與防火墻有很大的不同:防火墻的思路是在保障互連互通的前提下盡可能安全,而物理隔離的思路是在保證必須安全的前提下盡可能互連互通。雖然物理隔離技術存在多種方式,但是它們的原理卻基本相同。物理隔離產品常見的有物理隔離卡、 物理隔離集線器和物理隔離網閘三大類。
a、物理隔離卡(也稱為“網絡安全隔離卡”)是物理隔離的低級實現形式,是以物理方式將一臺計算機虛擬為兩個,實現工作站的雙重狀態。物理隔離卡構成如圖1所示。
物理隔離卡構成
b、物理隔離集線器(也稱為“網絡線路選擇器”、“網絡安全集線器”等)是一種多路開關切換設備,它與物理隔離卡配合使用。
c、物理隔離網閘(也稱為“網絡安全隔離網閘”)是利用雙主機形式從物理上隔離潛在攻擊的連接方式。其中包括一系列的阻斷特征,如沒有通信連接、沒有命令、沒有協議、沒有 TCP/IP連接、沒有應用連接、沒有包轉發、只有文件“擺渡”,以及對固態介質只有讀和寫兩個命令。物理隔離網閘原理圖如下圖所示。
物理隔離網閘原理圖
④網絡隔離的應用
根據具體的網絡環境和所使用的網絡隔離設備可以有如下幾種應用方案。
a、主機隔離解決方案。該方案屬于終端隔離解決方案,所采用的隔離產品是物理隔離卡。
b、信道隔離方案。該方案所采用的安全隔離產品是物理隔離集線器,當然物理隔離卡也是必不可少的。
c、主機-信道雙網隔離解決方案。該方案屬于混合隔離模式,所采用的隔離設備也有物理隔離卡和物理隔離集線器。
d、主機-信道多網隔離解決方案。該方案與上一方案其實相差不多,只不過此處隔離的不只是兩個網絡。所采用的設備有物理隔離卡、物理隔離集線器和網閘三類。
4、工業控制系統隔離技術應用
在工業控制系統網絡和企業網絡之間部署網絡隔離設備/系統,可以很好地實現兩者之間的安全隔離和兩者之間數據的安全交換,既能滿足企業的業務需求,又能杜絕因企業網絡的接入導致工業控制系統感染病毒和木馬的可能,還能避免工業控制系統網絡信息的泄露,消除了安全隱患。
具體實現中,工業控制系統網絡隔離設備可以采用總線級方式,構建非網絡模式的數據交互控制,與目標網絡不產生網絡連接,并釆用非標準協議構成安全隧道,保障數據傳輸的安全性。
工業控制系統網絡隔離設備包括內網主機模塊、外網主機模塊和隔離交換模塊。內網主機模塊負責與內網相連,并終止內網用戶的網絡連接,對數據進行安全處理。外網主機模塊同理,但處理的是外網連接。內、外網主機模塊分別具有獨立的運算單元和存儲單元,釆用專用、加固的操作系統。隔離交換模塊由兩個模塊組成,即內、外網隔離交換模塊。兩個模塊間采用數據排線互聯。隔離交換模塊通過雙向數據擺渡控制,完成內、外網隔離交換模塊數據的安全交換。
作者:安成飛、周玉剛
相關閱讀
工業互聯網TSN知識問答
工控人如何抵御針對PLC、上位機和交換機的網絡攻擊
