[摘要]電子商務內(nèi)部網(wǎng)絡涉及大量的企業(yè)機密信息，因而安全問題成了電子商務的關鍵問題。網(wǎng)絡物理隔離作為一種更徹底、更安全的網(wǎng)絡安全技術，在電子商務中得到了較廣泛的應用。本文介紹了網(wǎng)絡隔離技術的原理，并提出了3種電子商務中網(wǎng)絡隔離解決方案。
　　[關鍵詞]電子商務；網(wǎng)絡隔離；網(wǎng)絡安全
　　[中圖分類號]F252　[文獻標識碼]A　[文章縮號]1005-6432(2008)49-0099-02
　　
　　1　引言
　　
　　隨著電子商務、電子政務等一系列網(wǎng)絡應用的蓬勃發(fā)展，Internet在逐漸融入到社會的各個方面。一方面，網(wǎng)絡用戶成分越來越多樣化，出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁，另一方面，網(wǎng)絡應用越來越深地滲透到企業(yè)、金融、商務、國防等關鍵要害領域。
　　
　　2　網(wǎng)絡隔離技術
　　
　　網(wǎng)絡隔離技術是指通過專用硬件使兩個或兩個以上的網(wǎng)絡在不連通的情況下進行網(wǎng)絡之間的安全數(shù)據(jù)傳輸和資源共享的技術。其基本原理是：切斷網(wǎng)絡之間的通用協(xié)議連接；將數(shù)據(jù)包進行分解或重組為靜態(tài)數(shù)據(jù)；對靜態(tài)數(shù)據(jù)進行安全審查，包括網(wǎng)絡協(xié)議檢查和代碼掃描等；確認后的安全數(shù)據(jù)流入內(nèi)部單元；內(nèi)部用戶通過嚴格的身份認證機制獲取所需數(shù)據(jù)。
　　
　　3　網(wǎng)絡隔離技術需具備的安全要點
　　
　　(1)要選擇具有高度自身安全性隔離產(chǎn)品。要保證自身具有高度的安全性，至少在理論和實踐上要比防火墻高一個安全級別。從技術實現(xiàn)上，除了和防火墻一樣對操作系統(tǒng)進行加固優(yōu)化或采用安全操作系統(tǒng)外，關鍵在于要把外網(wǎng)接口和內(nèi)網(wǎng)接口從一套操作系統(tǒng)中分離出來。
　　(2)保證網(wǎng)間隔離的關鍵是網(wǎng)絡包不可路由到對方網(wǎng)絡。無論中間采用了什么轉(zhuǎn)換方法，只要最終使得一方的網(wǎng)絡包能夠進入到對方的網(wǎng)絡中，都無法稱之為隔離，即達不到隔離的效果。顯然只是對網(wǎng)間的包進行轉(zhuǎn)發(fā)，并且允許建立端到端連接的防火墻，是沒有任何隔離效果的。此外，那些只是把網(wǎng)絡包轉(zhuǎn)換為文本，交換到對方網(wǎng)絡后，再把文本轉(zhuǎn)換為網(wǎng)絡包的產(chǎn)品也是沒有做到隔離的。
　　(3)要保證網(wǎng)間交換的只是應用數(shù)據(jù)。既然要達到網(wǎng)絡隔離，就必須做到徹底防范基于網(wǎng)絡協(xié)議的攻擊，使網(wǎng)絡層的攻擊包無法到達要保護的網(wǎng)絡中，所以就必須進行協(xié)議分析，完成應用層數(shù)據(jù)的提取，然后進行數(shù)據(jù)交換，從而明顯地增強了可信網(wǎng)絡的安全性。
　　
　　4　電子商務中網(wǎng)絡隔離解決方案
　　
　　4.1　單內(nèi)網(wǎng)解決方案
　　這種方案適合小型的單網(wǎng)結構的局域網(wǎng)。在一些小規(guī)模的政府部門中(如只有5～15臺計算機組成的網(wǎng)絡)，由于功能比較單一，沒有必要劃分幾個網(wǎng)絡，同時為節(jié)約成本，只有部分工作站節(jié)點機需要單獨通過Modem等撥號設備接入Internet網(wǎng)。這樣可以在需要接入Internet的工作站節(jié)點計算機上安裝物理隔離產(chǎn)品，讓其能夠在與網(wǎng)絡隔離的狀態(tài)下?lián)芴柹暇W(wǎng)，確保內(nèi)部網(wǎng)絡的安全。
　　
　　4.2　單布線連接雙網(wǎng)方案
　　倘若單位當前網(wǎng)絡環(huán)境僅為每一個客戶端配置了一條網(wǎng)線，而又不愿為搭建雙布線網(wǎng)絡環(huán)境再額外支付網(wǎng)絡布線成本，可采用每臺客戶端配置網(wǎng)絡隔離卡，配合使用物理隔離集線器，即可使終端用戶方便、安全地分別連接兩個網(wǎng)絡。
　　
　　4.3　雙布線雙網(wǎng)解決方案
　　這種方案適合大中型機構的局域網(wǎng)布局。在大中型政府機構內(nèi)的網(wǎng)絡一般分為內(nèi)部涉密網(wǎng)和公共網(wǎng)，其中公共網(wǎng)通過集中出口鏈接Internet(視需要也要安裝防火墻、入侵檢測及防病毒等措施)，部分用戶終端需要能夠接入兩個網(wǎng)絡，但同時又要保證內(nèi)外網(wǎng)的完全物理隔離。在這些終端上安裝雙網(wǎng)物理隔離卡，方便安全地分別連接兩個網(wǎng)絡。
　　
　　5　解決方案中采用的物理隔離產(chǎn)品
　　
　　5.1　網(wǎng)絡安全隔離卡
　　網(wǎng)絡安全隔離卡通過卡上的硬件邏輯控制器實現(xiàn)在物理層的訪問控制，其安全防護完全符合物理隔離的要求。同時采用了硬件鑰匙來保證隔離卡本身的安全不被攻破。因此，在工作狀態(tài)下，不論是遠端的黑客還是坐在本機旁的其他人員都無法破解安全計算機的防護。
　　
　　5.2　網(wǎng)絡安全隔離集線器
　　網(wǎng)絡安全隔離集線器是一種多路開關切換設備，它與網(wǎng)絡安全隔離卡配合使用。它的入口與網(wǎng)絡安全隔離卡相連，出口分別與內(nèi)外網(wǎng)絡的集線器(HUB)相連。其內(nèi)部有一套開關控制線路，該線路首先接收從輸出端發(fā)送來的內(nèi)外網(wǎng)選擇信號，然后再根據(jù)該信號選擇是與內(nèi)網(wǎng)還是與外網(wǎng)接通。輸出端的信號由鏈接在終端接口的網(wǎng)絡安全隔離卡發(fā)出，它根據(jù)終端當前工作的內(nèi)外網(wǎng)狀態(tài)發(fā)出不同信號來決定網(wǎng)絡線路選擇器，傳送到相應的內(nèi)或外網(wǎng)。實現(xiàn)多臺獨立的安全計算機與內(nèi)外兩個網(wǎng)絡的安全鏈接以及自動切換，進一步提高了系統(tǒng)的安全性。并且解決了多網(wǎng)布線問題，可以讓鏈接兩個網(wǎng)絡的安全計算機只通過一條網(wǎng)絡線即可與多網(wǎng)切換鏈接。對現(xiàn)存網(wǎng)絡改進有較大幫助。
　　
　　6　結束語
　　
　　物理隔離交換技術在我國電子商務建設中將起到核心的安全作用，它與防火墻、入侵檢鍘系統(tǒng)、虛擬專用網(wǎng)、病毒檢測等其他網(wǎng)絡安全技術的有機結合，這樣才能構筑相對完善的安全屏障。
　　電子商務網(wǎng)絡安全是國家網(wǎng)絡安全的基石，也是針對未來的信息戰(zhàn)來加強國防建設的重要基礎。制定適當完備的網(wǎng)絡安全策略是實現(xiàn)網(wǎng)絡安全的前提，高水平的網(wǎng)絡安全技術隊伍是保證，嚴格的管理與落實是關