新一代网络安全防护手段-.doc

新一代网络安全防护手段-------隔离网闸 四川航天通信天盛网络公司 陈华 一、前言 计算机国际互联网发展到今天取得了巨大成功。 电子商务和电子政务等网络技术的应用和普及不仅给人们的生活带来了极大方便， 而且正在创造着巨大的财富。但与此同时，互联网也给人们带来了黑客、病毒等许多危害，数据被篡改和窃取、文件被破坏，人们在享受互联网带来便利的同时也在遭受着各种各样的安全威胁， 越来越多政府部门和企业单位开始采用各种网络安全工具来保护自己的网络。但是，网络安全问题不但依然存在，而且更加严重。全球每天有几十万台服务器遭受攻击，上百万台计算机感染病毒，其中不乏采用了防火墙、入侵检测等网络安全产品的用户。 那么，有没有更高级别的安全解决方案，可以更有效的保护网络的安全？ 答案是肯定的。人们通过反复实践之后发现：网络隔离技术尤其是物理隔离技术是对付各种网络危害最为有用的办法。原因很简单，当发生威胁的时候，隔开与外界网络的连接才是最有效的自我保护手段。 因此， 国家有关部门明确规定：涉密计算机网络必须与国际互联网等公共计算机网络实行物理隔离。 目前，国内多数政府机关和军队的涉密网都在进行物理隔离，除此之外还有大量重要部门，如金融、电力、电信、医疗、交通等行业网络都对物理隔离有越多的需求。但是，内外网之间的绝对隔离使得网络之间无法进行信息交流，形成了许多相互隔离的“信息孤岛” ，给 “电子政务”的开展和行业信息化的应 用带来了很多不便。如何做到可信网络 （内网）和不可信网络 （外网）之间安全 隔离，又实现信息的可靠交换，已经成为一个亟待解决的问题。 现有的既能达到网络隔离目的又能实现信息交流的代表技术就是防火墙。 但 是，不论是包过滤、应用代理或是动态检测防火墙，由于其自身的缺陷都无法彻底阻挡网络攻击。众所周知，现有的防火墙一般都是采用开放源代码的操作系统 （例如Linux）进行编程，代码本身并不具备足够的安全性，因为其他人也能够获得相应的代码并利用其自身的漏洞对防火墙进行攻击， 这样的例子已经屡见不鲜； 另外， 由于防火墙是通过通用网络连接并且采用通用的通讯协议 （例如TCP/IP?协议） 实现信息交流， 而通用操作系统和通用通讯协议都存在着大量的安全漏洞，很容易被黑客利用进行攻击。因此，无论是理论上还是大量事实都证明：采用防火墙实现内外网隔离和信息交换是不安全的。 为了克服防火墙技术的不足，人们干脆为了安全起见，以牺牲网络的方便性和快捷性为代价，在保证内外网物理隔离的前提下采用人工方式进行信息交换。目前采取最多的方法就是用软盘、USB?盘、移动硬盘等存储介质来相互拷贝内外网数据。但是，通过介质拷贝不仅无法保证信息传递的效率，更缺乏对信息安全的严格审查，极易导致病毒的流入和重要信息的泄漏，无法自动、快捷地完成 数据交换工作，极大地束缚了网络的应有功能，严重影响了网络的正常使用，显然不是一个好的、成熟的解决方案。 二、?隔离网闸技术原理 隔离网闸在内外网之间扮演着一种类似 “信息渡船”的作用， “船闸”的控制通常是通过开关控制系统来实现的。传统的开关控制技术主要有两种：电子开关和存储介质读写控制开关。 数据从外网传到内网或由内网传到外网通常采用存储、转发机制，即首先将数据写入缓冲区，然后再由缓冲区读出传输到另外一个网络。因此，网闸的速度很大程度上取决于开关的速度。如果开关的速度低，网络的性能肯定受到影响。电子开关由于受器件本身限制存在比较大的延时，存储介质读写控制无论是IDE方式还是 SCSI方式都受到总线标准的限制，速度达不到要求，严重制约了网闸的性能发挥。物理隔离网闸克服了上述开关控制的不足，采用国际领先的?DTP?物理隔离通道控制系统，率先将网络通道开关功能在嵌入式系统内核中实现，极大地提高了网闸的速度和性能。其原理如 下：? 1、专有硬件控制设备彻底阻断网络间的任何通路。DTP物理隔离通道控制系统采用专用大规模集成电路芯片 （ASIC）对纯数据进行控制，不依赖任何网络硬件和软件，保证内网和外网之间不存在任何网络连接。 2、特有控制逻辑和专用通讯协议完全控制数据的实时交换。物理隔离网闸按照自己的控制逻辑对内外网之间的通道进行控制， 被剥离了常规协议和附加信息的纯数据 （又称裸数据）通过专用的硬件通道，根据自定义的通 讯协议重新构造成网络数据包，彻底抛弃不安全的连接控制信息。? 3、双系统结构确保工作安全可靠。?物理隔离网闸系统由内端 机和外端机两套独立的高性能处理系统构成。内端机与需要保护的内部网络相 连，外端机与外部网络相连，两套系统通过DTP物理隔离通道控制系统