物理隔離和網(wǎng)閘的技術(shù)原理淺析

物理隔離和網(wǎng)閘的技術(shù)原理淺析王珺李立新李福林(信息工程大學(xué)電子技術(shù)學(xué)院研究所，鄭州450004)摘要：物理隔離技術(shù)是一種越來越受到重視的安全技術(shù)，它在需求高安全性的部門得到越來越廣泛的應(yīng)用。本文從拓?fù)鋵W(xué)的觀點(diǎn)分析了物理隔離技術(shù)在OSI七層協(xié)議模型中所處的角色，闡述了網(wǎng)絡(luò)隔離的幾種形式以及物理隔離在網(wǎng)絡(luò)隔離中的地位。在物理隔離技術(shù)中，數(shù)據(jù)的轉(zhuǎn)發(fā)是隔離技術(shù)關(guān)鍵。在分析了傳統(tǒng)數(shù)據(jù)轉(zhuǎn)發(fā)模型的缺陷的基礎(chǔ)上，建立了物理隔離中的數(shù)據(jù)安全轉(zhuǎn)發(fā)模型，對(duì)物理隔離的數(shù)據(jù)轉(zhuǎn)發(fā)的安全措施進(jìn)行了理論研究，并建立了內(nèi)網(wǎng)的安全策略。關(guān)鍵詞：物理隔離數(shù)據(jù)交換網(wǎng)閘ResearchonDataExchangeandAirGapofGAPTechnoloyWangjun，Lilixin，Lifulin(InstituteresearchlabofElectronicTechnology,thePLAInformationEngineeringUniversity,ZhengZhou450004)Abstract:ThetechnologyofPhysicalIsolation(AirGap)istakenincreasingimportancetothesystemandnetworksecurity.Thirdly,groundedontheanalysisoftheroleofPhysicalIsolationtechnologyinOSImodel,severalstylesofnetworkisolationareintroducedandthepositionofPhysicalIsolationtechnologyinnetworkisolationisexpounded.AsdatatransferenceistheessentialpartofPhysicalIsolation,basedontheanalysisofthedrawbacksofthetraditionaldatatransferencemodel,anewsecuritydatatransferrencemodelisestablished,andthemeasurementsandstrategiestoensuresecuritydatatransferencearediscussed.Keywords:airgap;dataexchange;netgap一、背景近年來，隨著我國(guó)信息化建設(shè)步伐的加快，“電子政務(wù)”應(yīng)運(yùn)而生，并以前所未有的速度發(fā)展。在我國(guó)電子政務(wù)系統(tǒng)建設(shè)中，外部網(wǎng)絡(luò)連接著廣大民眾，內(nèi)部網(wǎng)絡(luò)連接著政府公務(wù)員桌面辦公系統(tǒng)，外網(wǎng)連接著各級(jí)政府的信息系統(tǒng)，在外網(wǎng)、內(nèi)網(wǎng)、外網(wǎng)之間交換信息是基本要求。這些信息交換的前提是安全，互聯(lián)網(wǎng)的安全性能對(duì)此提出了挑戰(zhàn)。防火墻、防病毒系統(tǒng)等各種復(fù)雜的安全技術(shù)得到了廣泛的應(yīng)用。但這些基于軟件的安全保護(hù)本質(zhì)上是一種邏輯機(jī)制，理論上是可以被邏輯實(shí)體(黑客或內(nèi)部用戶)操縱的。故對(duì)于機(jī)密數(shù)據(jù)的安全不能完全寄托在基于概率判斷的防護(hù)上，必須有一個(gè)絕對(duì)安全的大門。國(guó)家保密局2000年1月1日起頒布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度的第六條規(guī)定：“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離”。物理隔離是指內(nèi)部網(wǎng)絡(luò)不直接通過有線或無線等任何手段連接到公共網(wǎng)絡(luò)，從而使內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)在物理上處于隔離狀態(tài)的一種物理安全技術(shù)。二、物理隔離的本質(zhì)網(wǎng)絡(luò)隔離是指在完全斷開網(wǎng)絡(luò)物理連接的基礎(chǔ)上，實(shí)現(xiàn)合法信息的共享，也就是實(shí)現(xiàn)信息的分級(jí)可控交換。網(wǎng)絡(luò)隔離本質(zhì)是訪問控制思想的很好體現(xiàn)。它是在物理隔離技術(shù)上的更深層次的一個(gè)進(jìn)展。隔離的本質(zhì)不在于完全斷開，而在于安全；同樣，隔離也并不是完全地禁止，而是不同等級(jí)保密的信息之間完全隔離，特別是高密級(jí)網(wǎng)絡(luò)中的信息絕對(duì)不能流向低密級(jí)的網(wǎng)絡(luò)，在相同密級(jí)信息的網(wǎng)絡(luò)之間可以按照用戶要求進(jìn)行授權(quán)流動(dòng)。目前，在網(wǎng)絡(luò)隔離技術(shù)的概念上，有人認(rèn)為網(wǎng)絡(luò)隔離技術(shù)就是將網(wǎng)絡(luò)完全隔開，禁止網(wǎng)絡(luò)之間的資源共享，不允許信息流動(dòng)，防止一個(gè)網(wǎng)絡(luò)的信息泄漏到另外一個(gè)網(wǎng)絡(luò)上去。實(shí)際上，網(wǎng)絡(luò)隔離的目的決不是讓計(jì)算機(jī)回到以前那種單機(jī)隔離的狀態(tài)，而是讓使用者在確保安全的前提下，充分享受互聯(lián)網(wǎng)絡(luò)所帶來的一切好處。在網(wǎng)絡(luò)隔離系統(tǒng)中包含對(duì)內(nèi)外網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行采集轉(zhuǎn)發(fā)的系統(tǒng)，這樣可以使安全的信息高速地在內(nèi)外網(wǎng)之間進(jìn)行交換，實(shí)現(xiàn)互聯(lián)網(wǎng)的互連互通。另外，認(rèn)為網(wǎng)絡(luò)隔離技術(shù)就是一個(gè)簡(jiǎn)單的軟件或硬件，而不是一個(gè)整體解決方案。實(shí)際上網(wǎng)絡(luò)隔離系統(tǒng)包括許多方面的問題，如安全策略、安全制度、安全管理、安全技術(shù)等，應(yīng)當(dāng)集成其他現(xiàn)有的技術(shù)成果。網(wǎng)絡(luò)隔離本身不僅僅是一項(xiàng)技術(shù)，也是一個(gè)信息系統(tǒng)。信息系統(tǒng)的安全目標(biāo)是控制和管理主體對(duì)客體的訪問。這些訪問由一組規(guī)則和目標(biāo)來約束，這就是安全策略。安全策略反映了一個(gè)企業(yè)或系統(tǒng)的安全需求，可以描述為達(dá)到安全目的而采取的步驟。在涉密網(wǎng)和互聯(lián)網(wǎng)相連接時(shí)它們的安全性必須滿足以下要求：1）該系統(tǒng)必須保證涉密網(wǎng)與互聯(lián)網(wǎng)物理隔離；2）涉密網(wǎng)的任何信息不能通過該系統(tǒng)進(jìn)入互聯(lián)網(wǎng)；3）可限制指定格式的文件（保證文件的無害性）才能通過該系統(tǒng)進(jìn)入涉密網(wǎng)；4）在隔離系統(tǒng)連接互聯(lián)網(wǎng)的一端采取訪問控制技術(shù)、代理技術(shù)、認(rèn)證技術(shù)、內(nèi)容檢測(cè)、病毒檢測(cè)等安全手段，并對(duì)請(qǐng)求返回的數(shù)據(jù)進(jìn)行類型限制和安全檢查；5）具有單向訪問的能力，即禁止互聯(lián)網(wǎng)主動(dòng)向涉密網(wǎng)發(fā)起數(shù)據(jù)訪問請(qǐng)求，準(zhǔn)許涉密網(wǎng)向互聯(lián)網(wǎng)訪問數(shù)據(jù)發(fā)起請(qǐng)求，并準(zhǔn)許請(qǐng)求回來的數(shù)據(jù)經(jīng)過安全檢查后流入涉密網(wǎng)；6）整個(gè)系統(tǒng)是完全可控的。三、基于網(wǎng)絡(luò)隔離的數(shù)據(jù)交換原理我們知道計(jì)算機(jī)網(wǎng)絡(luò)依據(jù)物理連接和邏輯連接來實(shí)現(xiàn)不同網(wǎng)絡(luò)之間、不同主機(jī)之間、主機(jī)與終端之間的信息交換與信息共享。物理隔離網(wǎng)閘既然隔離、阻斷了網(wǎng)絡(luò)的所有連接，實(shí)際上就是隔離、阻斷了網(wǎng)絡(luò)的連通。網(wǎng)絡(luò)被隔離、阻斷后，兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間如何進(jìn)行信息交換？網(wǎng)絡(luò)只是信息交換的一種方式，而不是信息交換方式的全部。在互聯(lián)網(wǎng)時(shí)代以前，信息照樣進(jìn)行交換，如數(shù)據(jù)文件復(fù)制（拷貝）、數(shù)據(jù)擺渡、數(shù)據(jù)鏡像、數(shù)據(jù)反射等，物理隔離網(wǎng)閘就是使用數(shù)據(jù)“擺渡”的方式實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的信息交換。外網(wǎng)Internet是安全性要求不高的互聯(lián)網(wǎng)，內(nèi)網(wǎng)是安全性要求很高的內(nèi)部專用網(wǎng)絡(luò)。正常情況下，隔離設(shè)備和外網(wǎng)，隔離設(shè)備和內(nèi)網(wǎng)，外網(wǎng)和內(nèi)網(wǎng)是完全斷開的。保證網(wǎng)絡(luò)之間是完全斷開的。隔離設(shè)備可以理解為純粹的存儲(chǔ)介質(zhì)，和一個(gè)單純的調(diào)度和控制電路。網(wǎng)絡(luò)的外部主機(jī)系統(tǒng)通過物理隔離網(wǎng)閘與網(wǎng)絡(luò)的內(nèi)部主機(jī)系統(tǒng)“連接”起來，物理隔離網(wǎng)閘將外部主機(jī)的TCP/IP協(xié)議全部剝離，將原始數(shù)據(jù)通過存儲(chǔ)介質(zhì)，以“擺渡”的方式導(dǎo)入到內(nèi)部主機(jī)系統(tǒng)，實(shí)現(xiàn)信息的交換。“擺渡”意味著物理隔離網(wǎng)閘在任意時(shí)刻只能與一個(gè)網(wǎng)絡(luò)的主機(jī)系統(tǒng)建立非TCP/IP協(xié)議的數(shù)據(jù)連接，即當(dāng)它與外部網(wǎng)絡(luò)的主機(jī)系統(tǒng)相連接時(shí)，它與內(nèi)部網(wǎng)絡(luò)的主機(jī)系統(tǒng)必須是斷開的，反之依然。即保證內(nèi)、外部網(wǎng)絡(luò)不能同時(shí)連接在物理隔離網(wǎng)閘上。物理隔離網(wǎng)閘的原始數(shù)據(jù)“擺渡”機(jī)制是原始數(shù)據(jù)通過存儲(chǔ)介質(zhì)的存儲(chǔ)（寫入）和轉(zhuǎn)發(fā)（讀出）的。物理隔離網(wǎng)閘在網(wǎng)絡(luò)的第七層將數(shù)據(jù)還原為原始數(shù)據(jù)文件，然后以“擺渡文件”的形式來傳遞原始數(shù)據(jù)。任何形式的數(shù)據(jù)包、信息傳輸命令和TCP/IP協(xié)議都不可能穿透物理隔離網(wǎng)閘。這同透明橋、混雜模式、IPoverUSB、代理主機(jī)以及通過開關(guān)方式來轉(zhuǎn)發(fā)信息包有本質(zhì)的區(qū)別。下面以內(nèi)網(wǎng)與外網(wǎng)之間的物理隔離網(wǎng)閘為例，說明通過物理隔離網(wǎng)閘的信息交換過程。當(dāng)內(nèi)網(wǎng)與外網(wǎng)之間無信息交換時(shí)，物理隔離網(wǎng)閘與內(nèi)網(wǎng)，物理隔離網(wǎng)閘與外網(wǎng)，內(nèi)網(wǎng)與外網(wǎng)之間是完全斷開的，即三者之間不存在物理連接和邏輯連接。當(dāng)內(nèi)網(wǎng)數(shù)據(jù)需要傳輸?shù)酵饩W(wǎng)時(shí)，物理隔離網(wǎng)閘主動(dòng)向內(nèi)網(wǎng)服務(wù)器數(shù)據(jù)交換代理發(fā)起非TCP/IP協(xié)議的數(shù)據(jù)連接請(qǐng)求，并發(fā)出“寫”命令，將寫入開關(guān)合上，并把所有的協(xié)議剝離，將原始數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。在寫入之前，根據(jù)不同的應(yīng)用，還要對(duì)數(shù)據(jù)進(jìn)行必要的完整性、安全性檢查，如病毒和惡意代碼檢查等。在此過程中，外網(wǎng)服務(wù)器與物理隔離網(wǎng)閘始終處于斷開狀態(tài)。如下圖所示。一旦數(shù)據(jù)完全寫入物理隔離網(wǎng)閘的存儲(chǔ)介質(zhì)，開關(guān)立即打開，中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接請(qǐng)求，當(dāng)外網(wǎng)服務(wù)器收到請(qǐng)求后，發(fā)出“讀”命令，將物理隔離網(wǎng)閘存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)導(dǎo)向外網(wǎng)服務(wù)器。外網(wǎng)服務(wù)器收到數(shù)據(jù)后，按TCP/IP協(xié)議重新封裝接收到的數(shù)據(jù)，交給應(yīng)用系統(tǒng)，完成了內(nèi)網(wǎng)到外網(wǎng)的信息交換。至于從外網(wǎng)到內(nèi)網(wǎng)的信息交換，與上述類似，只是方向相反?？刂崎_關(guān)固態(tài)存儲(chǔ)介質(zhì)與內(nèi)部主機(jī)數(shù)據(jù)交換示意圖由上不難看出，每一次數(shù)據(jù)交換，物理隔離網(wǎng)閘都經(jīng)歷了數(shù)據(jù)寫入、數(shù)據(jù)讀出兩個(gè)過程；內(nèi)網(wǎng)與外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）永不連接；內(nèi)網(wǎng)和外網(wǎng)（或內(nèi)網(wǎng)與專網(wǎng)）在同一時(shí)刻最多只有一個(gè)同物理隔離網(wǎng)閘建立非TCP/IP協(xié)議的數(shù)據(jù)連接。四、網(wǎng)閘的安全機(jī)制的特點(diǎn)網(wǎng)閘主要是用以解決內(nèi)外網(wǎng)之間的數(shù)據(jù)交換問題，因此具有以下特點(diǎn)：首先，它防止內(nèi)部網(wǎng)絡(luò)有意或無意地向外部網(wǎng)絡(luò)泄漏信息，應(yīng)采用內(nèi)容過濾、命令過濾、基于URL的路徑和文件名控制、文件類型控制和文件格式深度檢查等較高要求的信息保密檢查技術(shù)；其次，防止外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)的黑客攻擊和計(jì)算機(jī)病毒侵?jǐn)_，其中包括對(duì)未知的攻擊和病毒的防范和查殺；另外，身份認(rèn)證也是網(wǎng)閘最重要的關(guān)鍵技術(shù)，強(qiáng)化用戶的身份確認(rèn)、防抵賴和具有強(qiáng)調(diào)的審計(jì)和取證功能。在特殊情況下，應(yīng)該加強(qiáng)身份認(rèn)證的強(qiáng)度，采用一次一認(rèn)證，甚至是圖形認(rèn)證機(jī)制。最后，它能夠解決外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間的大流量數(shù)據(jù)交換問題，在確保安全的前提下，盡可能提高效率，穩(wěn)定運(yùn)行，加強(qiáng)可操作性。五、網(wǎng)閘的技術(shù)特征首先總結(jié)下網(wǎng)閘的技術(shù)特征（1）網(wǎng)閘的架構(gòu)網(wǎng)閘采用三模塊架構(gòu)。這三個(gè)模塊，有兩個(gè)是主機(jī)，一個(gè)是基于獨(dú)立的控制電路控制的固態(tài)存儲(chǔ)介質(zhì)，我們通常稱之為“2+1”架構(gòu)。（2）物理層斷開技術(shù)網(wǎng)閘就是要保證網(wǎng)閘的外部主機(jī)和內(nèi)部主機(jī)在任何時(shí)候是完全斷開的。但外部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)，內(nèi)部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)，有時(shí)候是相連的，但不能同時(shí)相連。因此，外部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)之間存在一個(gè)開關(guān)電路，內(nèi)部主機(jī)與固態(tài)存儲(chǔ)介質(zhì)之間存在一個(gè)開關(guān)電路。網(wǎng)絡(luò)隔離必須保證這兩個(gè)開關(guān)不會(huì)同時(shí)閉合，從而保證從OSI模型上的物理層的斷開機(jī)制。（3）鏈路層斷開技術(shù)鏈路層的斷開，就必須消除所有的通信鏈路協(xié)議。任何基于通信協(xié)議的數(shù)據(jù)交換技術(shù)，都無法消除數(shù)據(jù)鏈路的連接，因此不是完整的網(wǎng)絡(luò)隔離技術(shù)。安全專家們注意到，有些產(chǎn)品沒有實(shí)現(xiàn)鏈路層的斷開，而是把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議（如：IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換。其原理是采用了不同的協(xié)議，所以通常也叫協(xié)議轉(zhuǎn)換（ProtocolTranslation）或協(xié)議隔離（ProtocolIsolation）。實(shí)際上針對(duì)IPX/SPX和NetBEUI協(xié)議的攻擊很多，尤其是針對(duì)NetBEUI協(xié)議的攻擊。因此協(xié)議轉(zhuǎn)換或協(xié)議隔離不能說它不是一種安全技術(shù)，但歸納在網(wǎng)絡(luò)隔離技術(shù)中是不恰當(dāng)?shù)?。?）TCP/IP協(xié)議剝離和重建技術(shù)為了消除TCP/IP協(xié)議（OSI的第三層和第四層）的漏洞，必須剝離TCP/IP協(xié)議。在經(jīng)過網(wǎng)閘之后，必須再代理重建TCP/IP協(xié)議。（5）應(yīng)用協(xié)議的剝離和重建技術(shù)為了消除應(yīng)用協(xié)議（OSI的第五層至第7層）的漏洞，必須剝離應(yīng)用協(xié)議。剝離應(yīng)用協(xié)議后的原始數(shù)據(jù)，在經(jīng)過網(wǎng)閘之后，必須代理重建應(yīng)用協(xié)議。我們有時(shí)候稱應(yīng)用協(xié)議的剝離和重建技術(shù)為單邊代理技術(shù)，所謂的單邊代理技術(shù)是相對(duì)雙邊而言的。雙邊代理技術(shù)，是指一臺(tái)計(jì)算機(jī)有兩個(gè)網(wǎng)卡，并且執(zhí)行代理功能。數(shù)據(jù)包從一個(gè)網(wǎng)卡進(jìn)，從另外一個(gè)網(wǎng)卡出。單邊代理技術(shù)，只有一個(gè)網(wǎng)卡，這種情況下，應(yīng)用協(xié)議必須還原成為原始數(shù)據(jù)，給用戶查看，而不能是包，因此是一個(gè)完整的應(yīng)用協(xié)議剝離和重建技術(shù)。六、總結(jié)目前內(nèi)網(wǎng)與外網(wǎng)間的重要應(yīng)用主要是交換政府文件、表格數(shù)據(jù)等，這些數(shù)據(jù)類型可歸納為公文文字類數(shù)據(jù)、格式類數(shù)據(jù)。這兩類數(shù)據(jù)在采取一定技術(shù)安全措施處理后，不會(huì)對(duì)內(nèi)網(wǎng)造成主動(dòng)性危害。因?yàn)榧词蛊茐恼?、病毒在外網(wǎng)破壞了這兩類數(shù)據(jù)，也只能是造成垃圾數(shù)據(jù)，傳進(jìn)內(nèi)網(wǎng)也不會(huì)對(duì)內(nèi)網(wǎng)系統(tǒng)造成災(zāi)難性危害。電子郵件、Word文件、代碼程序、Web瀏覽等類型數(shù)據(jù)，極有可能對(duì)內(nèi)網(wǎng)造成危害，因此必須堅(jiān)決禁止交換。對(duì)于公文文字類數(shù)據(jù)，必須采用純文本格式文件交換，不能用Word格式文件，還可以約定嵌入一些必要的關(guān)鍵字，以便比對(duì)和過濾等。對(duì)于格式類數(shù)據(jù)，因?yàn)橛幸?guī)范的固定格式，可利用字段、類型、長(zhǎng)度等格式特征進(jìn)行細(xì)顆粒的模式比對(duì)和過濾。還有數(shù)據(jù)庫(kù)是非常重要和常見的應(yīng)用，筆者限于專業(yè)水平的原因，對(duì)其分析把握不透，不敢妄加判定，對(duì)數(shù)據(jù)庫(kù)中的數(shù)據(jù)傳輸會(huì)否有嚴(yán)重后果，對(duì)數(shù)據(jù)庫(kù)的操作命令傳輸會(huì)否有嚴(yán)重后果，還有待人們進(jìn)一步研究?，F(xiàn)在實(shí)施網(wǎng)絡(luò)數(shù)據(jù)交換安全解決方案中最先進(jìn)的技術(shù)和設(shè)備是安全網(wǎng)閘。安全網(wǎng)閘大都具有通道隔離控制和協(xié)議凈化控制功能，但在數(shù)據(jù)安全控制方面功能還很弱。有的只能對(duì)傳輸數(shù)據(jù)文件的文件名進(jìn)行比對(duì)和過濾；有的只能對(duì)文件中進(jìn)行關(guān)鍵字的比對(duì)和過濾。還沒有能對(duì)格式文件進(jìn)行格式比對(duì)的功能。這都還有待進(jìn)一步改進(jìn)和完善。參考文獻(xiàn)：［1］柯軍須文波物理隔離環(huán)境下數(shù)據(jù)安全轉(zhuǎn)發(fā)與實(shí)現(xiàn)［J］微計(jì)算機(jī)信息,2006,15期［2］鄭煒須文波物理隔離網(wǎng)閘的設(shè)計(jì)與實(shí)現(xiàn)微計(jì)算機(jī)信息,2005,25期［3］馬強(qiáng)李燕軍.網(wǎng)絡(luò)安全之GAF技術(shù)研究網(wǎng)絡(luò)安全技術(shù)與應(yīng)用.［4］陳睿田忠和.物理隔離網(wǎng)閘數(shù)據(jù)交換技術(shù)的研究計(jì)算機(jī)與數(shù)字工程.本文作者創(chuàng)新點(diǎn)：物理隔離技術(shù)還是一個(gè)全新的技術(shù)，隨著網(wǎng)絡(luò)安全問題的日益不斷的嚴(yán)重，現(xiàn)在各國(guó)