内外网安全隔离设备穿透技术探究及应用.docVIP

内外网安全隔离设备穿透技术探究及应用摘 要：计算机技术和网络技术的迅猛发展使电力系统越来越多地利用网络平台开展工作，与此同时，黑客、病毒以及恶意代码对电力系统尤其是生产控制系统的威胁日益严重，对电力系统网络的安全性、可靠性、实时性提出了非常严格和紧迫的要求，内外网安全隔离设备穿透技术的研究与应用将是网络安全研究上新的突破和巨大的进步。 关键词：内外网安全；隔离；穿透技术 中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2012）29-0013-02 1 技术研究现状 潜伏在网络中的各种漏洞会带来各种安全隐患，网络信息安全问题随之受到巨大的威胁。因此，充分运用各种网络安全技术特点所形成的内外网安全隔离设备穿透技术，进一步加速了信息安全防护技术的发展。当前内外网安全隔离技术主要是通过切断内、外网间的连接，实现不同网络之间的数据交换。在实际应用中这种技术主要体现在两个方面：一是防止内网在访问外网时泄漏内部信息；二是保护内网中的服务器被外部攻击。它最大的功能是通过各种安全隔离技术，避免信息泄露，保护服务器。内外网安全隔离技术，可以有效屏蔽内部潜在的操作系统漏洞、协议漏洞以及相关BUG，在保障内网的安全性的同时，还有效避免了各种外部攻击。通过对系统内核加以强化，来有效抵御外部攻击，在防止自身系统产生漏洞的情况下，还能够进一步加强整个网络抗击Dos、DDos等网络攻击的能力。这就意味着这项技术会通过低成本抵御内网操作系统被破坏或者崩溃，起到更大的安全效益。 网络攻击主要分为两类，即拒绝服务攻击和针对内部漏洞（这主要包括网络协议漏洞、操作系统漏洞、软件漏洞）所进行的攻击。通过在内、外网间实施安全隔离，提升内网的整体安全性是屏蔽内网的各种漏洞，保护其不受攻击的有效途径。网络安全隔离技术实现有以下两种方式：空间隔离和时间隔离。空间隔离主要将连接在内、外部网的两套设备，通过中间存储设备将信息传递到内、外网之间完成交换。时间隔离的核心思想是认为用户一般在不同时间使用网络不同，这样将一台计算机定义成两种状态，即内部网络（安全）状态和公共网络（安全）状态，主要为了保证用户在某一特定时间段只能处于一种特定状态。时间、空间隔离在实际应用中有一定的交互。时间、空间的隔离方法在具体实现过程相互渗透与交叉，最终促成安全隔离设备穿透技术的出现。 2 技术的理论研究 2.1 技术原理 内外网安全隔离设备穿透技术是适应网络按照安全等级进行分区的需要，对数据库进行保护的专用技术。本技术可以对信息内外网间的传输进行筛选，只允许特定的应用服务器对指定的数据库服务器进行访问，同时对访问服务器的内容和行为加以限制。 2.2 技术架构 采用隔离设备和第三方隔离中间件构成内外网的隔离技术实现。通过配置隔离设备和隔离中间件，实现日常各类文本的内外网安全交互，并且业务SQL可以穿透隔离设备，保证平台数据的实时性和高效性。 集成的隔离中间件将能够提供多种通信交互方式，在保证内外网完全隔离的前提下，根据权限提供双向数据的交互，外网能够及时的把和内网相关的业务数据提交到内网，内网也能够将外网所需的数据推送到web端。具体隔离技术设计如图1所示。 3 技术的工程实践 3.1 内外网安全设备部署 ①外网设备部署：当外网需要有数据到达内网时，比如说用手机通过外网来发送Email，外部服务器立即对隔离的设备通过非TCP/IP协议进行连接，该设备紧接着将所有协议进行剥离，并将原始数据写入存储介质。一旦数据写入该设备的存储介质，隔离设备将中断与外网的连接，转而对内网的非TCP/IP协议的数据连接。内网在接收到推送数据后，对TCP/IP和应用协议进行封装，并交给应用系统。 ②内网设备部署。当内网想要发送邮件时，隔离设备收到请求信号后，首先会建立非TCP/IP协议的数据连接，隔离设备会对所有的TCP/IP和应用协议进行剥离，从而得到原始数据，这些数据也将被写入存储介质。当数据全部写入存储介质时，隔离设备则在同一时间发起对外网的非TCP/IP协议的数据连接。外网接到该设备的数据后，马上进行TCP/IP和应用协议的封装，并传输给系统。 3.2 SQL代理装置 内外网安全隔离设备穿透技术通过SQL代理装置，将内网与外网进行隔离，这就要求信息内网和信息外网间的SQL通信必须依靠SQL代理装置进行，同时还必须保证SQL代理装置本身的安全性。SQL代理装置是适应网络需求的，并且按照安全等级进行分区划分的，它是对数据库进行保护的专用装置。本装置对信息内外网间的传输进行过滤，只允许特定的应用服务器对指定的服务器进行访问，并且对客户端访问数据库服务的内容和行为加以限制。 ①JDBC驱动。专用