華建祥

（福建林業(yè)職業(yè)技術(shù)學(xué)院，福建 南平 353000）

企業(yè)網(wǎng)絡(luò)安全隔離技術(shù)分析研究

華建祥

（福建林業(yè)職業(yè)技術(shù)學(xué)院，福建 南平 353000）

本文分析了企業(yè)網(wǎng)絡(luò)面臨的安全威脅及網(wǎng)絡(luò)安全隔離技術(shù)對(duì)網(wǎng)絡(luò)安全威脅的防范作用，并在分析研究了幾種常用的網(wǎng)絡(luò)安全隔離技術(shù)之后，結(jié)合企業(yè)網(wǎng)絡(luò)的具體應(yīng)用需求，提出了3種企業(yè)網(wǎng)絡(luò)應(yīng)用環(huán)境下的網(wǎng)絡(luò)安全隔離方案。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)隔離；物理隔離

引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，現(xiàn)代企業(yè)信息化程度也越來越高，企業(yè)信息化的基礎(chǔ)是企業(yè)網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)的應(yīng)用為企業(yè)全面推進(jìn)信息化提供了可靠保障，但同時(shí)，由于計(jì)算機(jī)網(wǎng)絡(luò)的開放性、通信協(xié)議（TCP/IP）缺乏安全保障機(jī)制、黑客攻擊泛濫網(wǎng)絡(luò)等因素也給企業(yè)信息資源安全帶來了威脅。根據(jù)美國(guó)FBI的調(diào)查，美國(guó)每年因?yàn)榫W(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1.7億美元，75%的公司報(bào)告財(cái)政損失是由計(jì)算機(jī)系統(tǒng)的安全問題造成的[1]。計(jì)算機(jī)是構(gòu)成企業(yè)網(wǎng)絡(luò)的基本單元，為了保證企業(yè)網(wǎng)絡(luò)中計(jì)算機(jī)系統(tǒng)的安全，一些企業(yè)禁止企業(yè)內(nèi)網(wǎng)與Internet互聯(lián)，以此求得企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。但是企業(yè)網(wǎng)絡(luò)建設(shè)的目的就是為了互通，為了信息的共享和交換，要實(shí)現(xiàn)安全互聯(lián)，網(wǎng)絡(luò)隔離技術(shù)[2]就顯得格外重要了，充分了解網(wǎng)絡(luò)隔離技術(shù)的特點(diǎn)，針對(duì)企業(yè)網(wǎng)絡(luò)不同應(yīng)用需求，制定不同網(wǎng)絡(luò)隔離方案，將有助于企業(yè)保證信息資源的安全，規(guī)避互聯(lián)網(wǎng)帶來的風(fēng)險(xiǎn)，同時(shí)又能充分地利用互聯(lián)網(wǎng)的資源。

1 網(wǎng)絡(luò)面臨的安全威脅和風(fēng)險(xiǎn)

根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和受攻擊情況，企業(yè)網(wǎng)絡(luò)安全威脅可分為來自外部公共網(wǎng)的安全威脅、來自企業(yè)網(wǎng)內(nèi)部的安全威脅、網(wǎng)絡(luò)互聯(lián)設(shè)備的安全風(fēng)險(xiǎn)、病毒感染和高級(jí)持續(xù)威脅。

1.1 來自外部公共網(wǎng)的安全威脅

企業(yè)網(wǎng)絡(luò)與公共網(wǎng)互連，由于公共網(wǎng)絡(luò)覆蓋范圍廣，用戶連接復(fù)雜，攻擊者每天都在嘗試侵入內(nèi)部網(wǎng)絡(luò)節(jié)點(diǎn)，獲取企業(yè)涉密信息。假如內(nèi)部網(wǎng)絡(luò)的關(guān)鍵結(jié)點(diǎn)一旦被攻陷，攻擊者很有可能獲取企業(yè)大量機(jī)密信息，并可以這一結(jié)點(diǎn)為平臺(tái)擴(kuò)展此次攻擊范圍，造成更大范圍的企業(yè)損失。因此，如果企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間不采取一定的安全隔離措施，內(nèi)部網(wǎng)絡(luò)將很容易受到外部網(wǎng)絡(luò)的入侵攻擊。

1.2 來自企業(yè)網(wǎng)內(nèi)部的安全威脅

據(jù)調(diào)查大概70%的網(wǎng)絡(luò)安全攻擊事件來自于企業(yè)的內(nèi)部網(wǎng)絡(luò)[1]，這些威脅包括：內(nèi)部工作人員有意或無意泄漏機(jī)密信息、關(guān)鍵數(shù)據(jù)；關(guān)鍵存儲(chǔ)區(qū)域隨意使用移動(dòng)存儲(chǔ)設(shè)備；內(nèi)網(wǎng)桌面機(jī)使用P2P軟件、即時(shí)通信軟件和下載工具等。

1.3 網(wǎng)絡(luò)互聯(lián)設(shè)備的安全隱患

在整個(gè)數(shù)據(jù)通信鏈路上包括很多網(wǎng)絡(luò)互聯(lián)設(shè)備如交換機(jī)、路由器、防火墻、入侵檢測(cè)系統(tǒng)、上網(wǎng)行為檢測(cè)系統(tǒng)等，它們有些設(shè)置相對(duì)比較復(fù)雜，可能由于管理人員的配置不到位，這些設(shè)備能用但安全防范功能卻不佳。

1.4 病毒感染

據(jù)統(tǒng)計(jì)，目前計(jì)算機(jī)病毒、木馬和蠕蟲等仍是互聯(lián)網(wǎng)上計(jì)算機(jī)受感染的主要方式。用戶計(jì)算機(jī)一旦感染這些惡意代碼，輕則造成網(wǎng)絡(luò)擁塞，重則重要數(shù)據(jù)受到破壞或泄露，嚴(yán)重影響機(jī)密數(shù)據(jù)的安全存儲(chǔ)和應(yīng)用程序的正常執(zhí)行。

1.5 高級(jí)持續(xù)威脅（APT）

高級(jí)持續(xù)威脅（APT）是指針對(duì)特定部門獲取特定數(shù)據(jù)的網(wǎng)絡(luò)攻擊，其危害性巨大，一旦突破防火墻，將在內(nèi)網(wǎng)中到處收集關(guān)鍵系統(tǒng)的機(jī)密信息，繼而利用這些信息來訪問關(guān)鍵信息，竊取敏感數(shù)據(jù)，而且其隱蔽性很強(qiáng)，企業(yè)可能會(huì)在很長(zhǎng)時(shí)候后才發(fā)現(xiàn)自己受到了攻擊。

2 網(wǎng)絡(luò)隔離技術(shù)對(duì)網(wǎng)絡(luò)安全威脅的防范作用

網(wǎng)絡(luò)之所以不安全，是因?yàn)槠浠A(chǔ)協(xié)議（TCP/IP）缺乏安全保障機(jī)制?；ヂ?lián)網(wǎng)通信的基礎(chǔ)是TCP/IP協(xié)議，幾乎所有的網(wǎng)絡(luò)攻擊都可歸結(jié)為對(duì)TCP/IP某一層或某幾層的攻擊，而網(wǎng)絡(luò)隔離技術(shù)可以有效阻斷網(wǎng)絡(luò)間直接TCP/IP連接，使直接基于TCP/IP的網(wǎng)絡(luò)攻擊無法到達(dá)內(nèi)網(wǎng)，對(duì)內(nèi)網(wǎng)起到了有效的隔離保護(hù)作用[2]。

3 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離（Network Isolation）技術(shù)的目標(biāo)[6]是隔離有害網(wǎng)絡(luò)攻擊，在保障內(nèi)部信息不外泄的前提下，在可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間完成數(shù)據(jù)的安全交換。有多種形式的網(wǎng)絡(luò)隔離，如邏輯隔離、物理隔離、協(xié)議隔離等，不論采用何種形式的隔離，其實(shí)質(zhì)都是數(shù)據(jù)或信息的隔離。

3.1 邏輯隔離

邏輯隔離[5]是指外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)在物理上是連通的，但通過技術(shù)手段保證它們?cè)谶壿嬌鲜歉綦x的，包括防火墻、多重安全網(wǎng)關(guān)、分布式防火墻、交換網(wǎng)絡(luò)等技術(shù)。

3.1.1 防火墻

防火墻是目前企業(yè)網(wǎng)與外網(wǎng)隔離常用的一種網(wǎng)間邏輯隔離器，從技術(shù)上來下定義，防火墻是一個(gè)以隔離為目的的安全網(wǎng)關(guān)設(shè)備，是可信區(qū)域與不可信區(qū)域之間信息的唯一出入口，能根據(jù)內(nèi)網(wǎng)的安全策略對(duì)出入網(wǎng)絡(luò)的信息流施加控制，且本身具有較強(qiáng)的抗攻擊能力，是實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

根據(jù)功能和應(yīng)用層次的不同，可將防火墻分為包過濾型防火墻、狀態(tài)檢測(cè)防火墻和代理服務(wù)型防火墻三種類型。前兩種有一個(gè)共同的特征就是依靠特定的邏輯判定來決定數(shù)據(jù)包是否通過，預(yù)先設(shè)定的規(guī)則一旦滿足，防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)就會(huì)直接建立聯(lián)系，外部用戶便有可能直接進(jìn)入防火墻內(nèi)部，有利于非法訪問和攻擊的實(shí)施。

代理服務(wù)型防火墻能將跨過它的網(wǎng)絡(luò)通信鏈路分為兩段，兩段之間的計(jì)算機(jī)系統(tǒng)不能直接建立通信，要完成通信過程都要通過代理服務(wù)型防火墻的中轉(zhuǎn)連接。外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)型防火墻，進(jìn)不了內(nèi)網(wǎng)，從而達(dá)到了隔離內(nèi)外計(jì)算機(jī)系統(tǒng)的目的，但速度相對(duì)較慢是代理服務(wù)型防火墻最大的缺點(diǎn)，尤其是在用戶內(nèi)外部網(wǎng)絡(luò)通信量較大時(shí)，代理服務(wù)型防火墻很容易在內(nèi)外通信鏈路上形成瓶頸。

3.1.2 多重安全網(wǎng)關(guān)

多重安全網(wǎng)關(guān)比防火墻提供了更完全的安全保護(hù)，這種技術(shù)對(duì)OSI七層模型中描述的所有層次內(nèi)容進(jìn)行處理，其性能超過了深度包檢測(cè)技術(shù)和狀態(tài)檢測(cè)技術(shù)，在千兆網(wǎng)絡(luò)環(huán)境下能實(shí)時(shí)將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對(duì)象，而且重組之后的應(yīng)用層對(duì)象可以通過動(dòng)態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。多重安全網(wǎng)關(guān)還可探測(cè)各種威脅，包括不良WEB內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等，為企業(yè)信息提供了良好的安全防護(hù)。

3.1.3 分布式防火墻技術(shù)

分布式防火墻[3]由網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理系統(tǒng)三部分構(gòu)成，可以解決傳統(tǒng)邊界防火墻的不足，能將防火墻的安全防護(hù)系統(tǒng)拓展到網(wǎng)絡(luò)中的各臺(tái)主機(jī)和終端桌面機(jī)。分布式防火墻以駐留主機(jī)為信任單位，主機(jī)以外全部不信任，因此可以針對(duì)主機(jī)應(yīng)用設(shè)定針對(duì)性極強(qiáng)的安全策略，使得安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是推廣延伸到網(wǎng)絡(luò)末端。另外，主機(jī)防火墻的安全監(jiān)測(cè)核心引擎是嵌入操作系統(tǒng)內(nèi)核的，它能直接掌控網(wǎng)卡，對(duì)所有數(shù)據(jù)包進(jìn)行檢查后才提交操作系統(tǒng)使用，而且主機(jī)防火墻的安全策略由系統(tǒng)管理員統(tǒng)一配置，這不但能有效保護(hù)桌面機(jī)，而且也能對(duì)桌面機(jī)的對(duì)外訪問加以限制，并且這種安全機(jī)制對(duì)桌面機(jī)的使用者來說是透明的。

實(shí)際應(yīng)用中，并不要求對(duì)網(wǎng)絡(luò)中每臺(tái)主機(jī)都要安裝主機(jī)防火墻這樣的系統(tǒng)，這樣會(huì)嚴(yán)重影響網(wǎng)絡(luò)的通信性能。它一般用于保護(hù)企業(yè)內(nèi)網(wǎng)中的關(guān)鍵主機(jī)和關(guān)鍵數(shù)據(jù)存儲(chǔ)區(qū)域。

3.1.4 交換網(wǎng)絡(luò)

交換網(wǎng)絡(luò)[4]是在兩個(gè)需要隔離的網(wǎng)絡(luò)之間建立起來的一個(gè)網(wǎng)絡(luò)交換區(qū)域，負(fù)責(zé)可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的數(shù)據(jù)交換。在交換網(wǎng)絡(luò)與內(nèi)外網(wǎng)接入處即可以采用多重安全網(wǎng)關(guān)，也可以采用網(wǎng)閘，在交換網(wǎng)絡(luò)內(nèi)部可以采用監(jiān)控、審計(jì)等安全技術(shù)，從而在整體上形成一個(gè)立體的安全防護(hù)體系。

在交換網(wǎng)絡(luò)的設(shè)計(jì)模型[6]中，可以把交換網(wǎng)分成接入緩沖區(qū)和業(yè)務(wù)緩沖區(qū)兩個(gè)區(qū)域。外網(wǎng)與交換網(wǎng)絡(luò)接入處采用多重安全網(wǎng)關(guān)，主要針對(duì)黑客攻擊、病毒入侵等，接入緩沖區(qū)中采用IDS對(duì)網(wǎng)絡(luò)入侵行為和異常流量進(jìn)行監(jiān)控，業(yè)務(wù)緩沖區(qū)采用IDS和網(wǎng)絡(luò)審計(jì)系統(tǒng)，業(yè)務(wù)緩沖區(qū)與內(nèi)網(wǎng)連接處采用網(wǎng)閘，利用網(wǎng)閘的擺渡特性來隔離網(wǎng)絡(luò)，若內(nèi)網(wǎng)業(yè)務(wù)對(duì)實(shí)時(shí)性有一定的要求，此處也可采用多重安全網(wǎng)關(guān)。

交換網(wǎng)絡(luò)從網(wǎng)絡(luò)安全、業(yè)務(wù)安全的角度審視與非安全網(wǎng)絡(luò)的互聯(lián)，其安全性大大加強(qiáng)，是一種比較安全的網(wǎng)絡(luò)隔離技術(shù)。

3.2 物理隔離

網(wǎng)絡(luò)隔離的重點(diǎn)是物理隔離。物理隔離的特點(diǎn)就是外網(wǎng)和內(nèi)網(wǎng)之間不直接相連接，內(nèi)網(wǎng)和外網(wǎng)之間要交換數(shù)據(jù)，必須經(jīng)過中間的隔離設(shè)備，要交換數(shù)據(jù)的一方先與隔離設(shè)備建立非TCP/IP連接，完成后再斷開，由隔離設(shè)備再與交換數(shù)據(jù)的另一方建立非TCP/IP連接，最終在相互隔離的內(nèi)外網(wǎng)之間完成數(shù)據(jù)的安全交換。

物理隔離的基本原理是利用中間隔離設(shè)備來交換數(shù)據(jù)，數(shù)據(jù)的每一次交換，都需要經(jīng)過寫入數(shù)據(jù)和讀出數(shù)據(jù)兩個(gè)步驟，它的物理實(shí)現(xiàn)是通過單刀雙擲開關(guān)，在內(nèi)外處理單元之間進(jìn)行分時(shí)存取，通過共享存儲(chǔ)設(shè)備完成數(shù)據(jù)交換。從軟件層面來講是通過對(duì)應(yīng)用層數(shù)據(jù)的提取與安全審查，以達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。

在所有隔離技術(shù)中，物理隔離對(duì)信息資源的保護(hù)最有效，一般用來保護(hù)用戶的核心數(shù)據(jù)和資源，物理隔離技術(shù)的指導(dǎo)思想與邏輯隔離有顯著的不同，邏輯隔離是在保障網(wǎng)絡(luò)互通的前提下盡可能實(shí)現(xiàn)數(shù)據(jù)的安全交換，而物理隔離是在保證數(shù)據(jù)安全的前提下，盡可能實(shí)現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通。

由物理隔離的原理可知其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)，因此其在數(shù)據(jù)的傳輸過程中不可避免地會(huì)產(chǎn)生延遲，故不適合于對(duì)實(shí)時(shí)性要求較高的網(wǎng)絡(luò)應(yīng)用。

4 企業(yè)網(wǎng)絡(luò)應(yīng)用對(duì)網(wǎng)絡(luò)隔離技術(shù)的需求

4.1 企業(yè)機(jī)密數(shù)據(jù)的安全存儲(chǔ)需求

網(wǎng)絡(luò)安全的實(shí)質(zhì)就是數(shù)據(jù)安全，企業(yè)機(jī)密數(shù)據(jù)的安全性對(duì)于企業(yè)來說是至關(guān)重要的，因此存儲(chǔ)有企業(yè)機(jī)密數(shù)據(jù)的計(jì)算機(jī)和網(wǎng)絡(luò)應(yīng)該采用物理隔離方案，同時(shí)應(yīng)該制定嚴(yán)格的管理制度，并安排專人按照管理制度進(jìn)行嚴(yán)格管理，以保證其安全性。

4.2 企業(yè)對(duì)外服務(wù)器的安全保證需求

企業(yè)為了滿足業(yè)務(wù)發(fā)展的需求，一般都會(huì)架構(gòu)對(duì)外提供服務(wù)的服務(wù)器，如WEB服務(wù)器、DNS服務(wù)器、FTP服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等等，由于這類服務(wù)器的工作依賴于Internet，并且對(duì)實(shí)時(shí)性有一定的要求，因此在實(shí)際應(yīng)用中對(duì)此類服務(wù)器一般不采用物理隔離方式，而采用邏輯隔離，根據(jù)企業(yè)對(duì)安全的要求等級(jí)和投入的成本從高到低依次可采用交換網(wǎng)絡(luò)技術(shù)、多重網(wǎng)關(guān)和防火墻技術(shù)。

4.3 企業(yè)對(duì)內(nèi)部辦公網(wǎng)絡(luò)和桌面機(jī)的安全需求

企業(yè)內(nèi)部網(wǎng)絡(luò)和桌面機(jī)的安全保證一直是企業(yè)很關(guān)心的一個(gè)問題，在現(xiàn)有的網(wǎng)絡(luò)隔離技術(shù)中，要保證內(nèi)部網(wǎng)絡(luò)和桌面機(jī)的安全可以采用邏輯隔離的分布式防火墻技術(shù)，分布式防火墻體系結(jié)構(gòu)中的網(wǎng)絡(luò)防火墻可以用于內(nèi)部網(wǎng)與外部網(wǎng)之間和內(nèi)部網(wǎng)各子網(wǎng)間的防護(hù)，主機(jī)防火墻可以對(duì)網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。

5 結(jié)語(yǔ)

由于網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)正常運(yùn)行的前提，而企業(yè)網(wǎng)絡(luò)的建設(shè)是實(shí)現(xiàn)企業(yè)信息化的基礎(chǔ)和保證，沒有安全的防范技術(shù)，企業(yè)網(wǎng)絡(luò)的安全將無從談起。而網(wǎng)絡(luò)安全隔離技術(shù)分別從邏輯上和物理上對(duì)網(wǎng)絡(luò)實(shí)行了隔離，實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)的安全保護(hù)，企業(yè)網(wǎng)絡(luò)是為企業(yè)應(yīng)用服務(wù)的，企業(yè)網(wǎng)絡(luò)隔離方案的制訂應(yīng)該根據(jù)企業(yè)實(shí)際的應(yīng)用需求來確定，當(dāng)然企業(yè)網(wǎng)絡(luò)的安全并不單單靠安全隔離技術(shù)就能實(shí)現(xiàn)的，同時(shí)還應(yīng)輔助以嚴(yán)格的安全管理制度。

[1]韓慧蓮,徐力,龔清勇等.基于企業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計(jì)與實(shí)現(xiàn)[J].華北工學(xué)院學(xué)報(bào),2005，26（3）：187-192.

[2]廖永松.企業(yè)網(wǎng)絡(luò)隔離方案探討[J].武鋼技術(shù)，2006，44（6）：32-35.

[3]趙兵，孫梅.分布線防火墻技術(shù)的分析與研究[J].軟件導(dǎo)刊，2010，9（3）：126-127.

[4]翟勝軍.數(shù)據(jù)交換網(wǎng)：全方位保障業(yè)務(wù)安全性[J].中國(guó)電信業(yè)，2008：68-69.

[5]黃傳河，杜瑞穎.網(wǎng)絡(luò)安全[M].武漢：武漢大學(xué)出版社，2004.

[6]胡道元，閡京華.網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

Research on Network Isolation Technology of Intranet

HUA Jianxiang

(Fujian Forestry Vocational&Technical College,Nanping,Fujian 353000)

The thesis analyzes security threats in enterprise network and the preventative effects of network isolation technology on the network risk.It also studies on several major isolation technologies,combines with enterprise network requirements and puts forward three security isolation applications.

Network Security;Network Isolation;Physical Isolation

TP393.08

A

1674－2109(2011)05－0025－04

2010-09-01

華建祥（1982-），男，漢族，工程師，碩士，主要研究方向：計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全。