華建祥

（福建林業(yè)職業(yè)技術(shù)學(xué)院，福建 南平 353000）

企業(yè)網(wǎng)絡(luò)安全隔離技術(shù)分析研究

華建祥

（福建林業(yè)職業(yè)技術(shù)學(xué)院，福建 南平 353000）

本文分析了企業(yè)網(wǎng)絡(luò)面臨的安全威脅及網(wǎng)絡(luò)安全隔離技術(shù)對網(wǎng)絡(luò)安全威脅的防范作用，并在分析研究了幾種常用的網(wǎng)絡(luò)安全隔離技術(shù)之后，結(jié)合企業(yè)網(wǎng)絡(luò)的具體應(yīng)用需求，提出了3種企業(yè)網(wǎng)絡(luò)應(yīng)用環(huán)境下的網(wǎng)絡(luò)安全隔離方案。

網(wǎng)絡(luò)安全；網(wǎng)絡(luò)隔離；物理隔離

引言

隨著計算機(jī)網(wǎng)絡(luò)技術(shù)和信息技術(shù)的飛速發(fā)展，現(xiàn)代企業(yè)信息化程度也越來越高，企業(yè)信息化的基礎(chǔ)是企業(yè)網(wǎng)絡(luò)，企業(yè)網(wǎng)絡(luò)的應(yīng)用為企業(yè)全面推進(jìn)信息化提供了可靠保障，但同時，由于計算機(jī)網(wǎng)絡(luò)的開放性、通信協(xié)議（TCP/IP）缺乏安全保障機(jī)制、黑客攻擊泛濫網(wǎng)絡(luò)等因素也給企業(yè)信息資源安全帶來了威脅。根據(jù)美國FBI的調(diào)查，美國每年因為網(wǎng)絡(luò)安全造成的經(jīng)濟(jì)損失超過1.7億美元，75%的公司報告財政損失是由計算機(jī)系統(tǒng)的安全問題造成的[1]。計算機(jī)是構(gòu)成企業(yè)網(wǎng)絡(luò)的基本單元，為了保證企業(yè)網(wǎng)絡(luò)中計算機(jī)系統(tǒng)的安全，一些企業(yè)禁止企業(yè)內(nèi)網(wǎng)與Internet互聯(lián)，以此求得企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。但是企業(yè)網(wǎng)絡(luò)建設(shè)的目的就是為了互通，為了信息的共享和交換，要實現(xiàn)安全互聯(lián)，網(wǎng)絡(luò)隔離技術(shù)[2]就顯得格外重要了，充分了解網(wǎng)絡(luò)隔離技術(shù)的特點，針對企業(yè)網(wǎng)絡(luò)不同應(yīng)用需求，制定不同網(wǎng)絡(luò)隔離方案，將有助于企業(yè)保證信息資源的安全，規(guī)避互聯(lián)網(wǎng)帶來的風(fēng)險，同時又能充分地利用互聯(lián)網(wǎng)的資源。

1 網(wǎng)絡(luò)面臨的安全威脅和風(fēng)險

根據(jù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和受攻擊情況，企業(yè)網(wǎng)絡(luò)安全威脅可分為來自外部公共網(wǎng)的安全威脅、來自企業(yè)網(wǎng)內(nèi)部的安全威脅、網(wǎng)絡(luò)互聯(lián)設(shè)備的安全風(fēng)險、病毒感染和高級持續(xù)威脅。

1.1 來自外部公共網(wǎng)的安全威脅

企業(yè)網(wǎng)絡(luò)與公共網(wǎng)互連，由于公共網(wǎng)絡(luò)覆蓋范圍廣，用戶連接復(fù)雜，攻擊者每天都在嘗試侵入內(nèi)部網(wǎng)絡(luò)節(jié)點，獲取企業(yè)涉密信息。假如內(nèi)部網(wǎng)絡(luò)的關(guān)鍵結(jié)點一旦被攻陷，攻擊者很有可能獲取企業(yè)大量機(jī)密信息，并可以這一結(jié)點為平臺擴(kuò)展此次攻擊范圍，造成更大范圍的企業(yè)損失。因此，如果企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)間不采取一定的安全隔離措施，內(nèi)部網(wǎng)絡(luò)將很容易受到外部網(wǎng)絡(luò)的入侵攻擊。

1.2 來自企業(yè)網(wǎng)內(nèi)部的安全威脅

據(jù)調(diào)查大概70%的網(wǎng)絡(luò)安全攻擊事件來自于企業(yè)的內(nèi)部網(wǎng)絡(luò)[1]，這些威脅包括：內(nèi)部工作人員有意或無意泄漏機(jī)密信息、關(guān)鍵數(shù)據(jù)；關(guān)鍵存儲區(qū)域隨意使用移動存儲設(shè)備；內(nèi)網(wǎng)桌面機(jī)使用P2P軟件、即時通信軟件和下載工具等。

1.3 網(wǎng)絡(luò)互聯(lián)設(shè)備的安全隱患

在整個數(shù)據(jù)通信鏈路上包括很多網(wǎng)絡(luò)互聯(lián)設(shè)備如交換機(jī)、路由器、防火墻、入侵檢測系統(tǒng)、上網(wǎng)行為檢測系統(tǒng)等，它們有些設(shè)置相對比較復(fù)雜，可能由于管理人員的配置不到位，這些設(shè)備能用但安全防范功能卻不佳。

1.4 病毒感染

據(jù)統(tǒng)計，目前計算機(jī)病毒、木馬和蠕蟲等仍是互聯(lián)網(wǎng)上計算機(jī)受感染的主要方式。用戶計算機(jī)一旦感染這些惡意代碼，輕則造成網(wǎng)絡(luò)擁塞，重則重要數(shù)據(jù)受到破壞或泄露，嚴(yán)重影響機(jī)密數(shù)據(jù)的安全存儲和應(yīng)用程序的正常執(zhí)行。

1.5 高級持續(xù)威脅（APT）

高級持續(xù)威脅（APT）是指針對特定部門獲取特定數(shù)據(jù)的網(wǎng)絡(luò)攻擊，其危害性巨大，一旦突破防火墻，將在內(nèi)網(wǎng)中到處收集關(guān)鍵系統(tǒng)的機(jī)密信息，繼而利用這些信息來訪問關(guān)鍵信息，竊取敏感數(shù)據(jù)，而且其隱蔽性很強(qiáng)，企業(yè)可能會在很長時候后才發(fā)現(xiàn)自己受到了攻擊。

2 網(wǎng)絡(luò)隔離技術(shù)對網(wǎng)絡(luò)安全威脅的防范作用

網(wǎng)絡(luò)之所以不安全，是因為其基礎(chǔ)協(xié)議（TCP/IP）缺乏安全保障機(jī)制?；ヂ?lián)網(wǎng)通信的基礎(chǔ)是TCP/IP協(xié)議，幾乎所有的網(wǎng)絡(luò)攻擊都可歸結(jié)為對TCP/IP某一層或某幾層的攻擊，而網(wǎng)絡(luò)隔離技術(shù)可以有效阻斷網(wǎng)絡(luò)間直接TCP/IP連接，使直接基于TCP/IP的網(wǎng)絡(luò)攻擊無法到達(dá)內(nèi)網(wǎng)，對內(nèi)網(wǎng)起到了有效的隔離保護(hù)作用[2]。

3 網(wǎng)絡(luò)隔離技術(shù)

網(wǎng)絡(luò)隔離（Network Isolation）技術(shù)的目標(biāo)[6]是隔離有害網(wǎng)絡(luò)攻擊，在保障內(nèi)部信息不外泄的前提下，在可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間完成數(shù)據(jù)的安全交換。有多種形式的網(wǎng)絡(luò)隔離，如邏輯隔離、物理隔離、協(xié)議隔離等，不論采用何種形式的隔離，其實質(zhì)都是數(shù)據(jù)或信息的隔離。

3.1 邏輯隔離

邏輯隔離[5]是指外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)在物理上是連通的，但通過技術(shù)手段保證它們在邏輯上是隔離的，包括防火墻、多重安全網(wǎng)關(guān)、分布式防火墻、交換網(wǎng)絡(luò)等技術(shù)。

3.1.1 防火墻

防火墻是目前企業(yè)網(wǎng)與外網(wǎng)隔離常用的一種網(wǎng)間邏輯隔離器，從技術(shù)上來下定義，防火墻是一個以隔離為目的的安全網(wǎng)關(guān)設(shè)備，是可信區(qū)域與不可信區(qū)域之間信息的唯一出入口，能根據(jù)內(nèi)網(wǎng)的安全策略對出入網(wǎng)絡(luò)的信息流施加控制，且本身具有較強(qiáng)的抗攻擊能力，是實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

根據(jù)功能和應(yīng)用層次的不同，可將防火墻分為包過濾型防火墻、狀態(tài)檢測防火墻和代理服務(wù)型防火墻三種類型。前兩種有一個共同的特征就是依靠特定的邏輯判定來決定數(shù)據(jù)包是否通過，預(yù)先設(shè)定的規(guī)則一旦滿足，防火墻內(nèi)外的計算機(jī)系統(tǒng)就會直接建立聯(lián)系，外部用戶便有可能直接進(jìn)入防火墻內(nèi)部，有利于非法訪問和攻擊的實施。

代理服務(wù)型防火墻能將跨過它的網(wǎng)絡(luò)通信鏈路分為兩段，兩段之間的計算機(jī)系統(tǒng)不能直接建立通信，要完成通信過程都要通過代理服務(wù)型防火墻的中轉(zhuǎn)連接。外部計算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)型防火墻，進(jìn)不了內(nèi)網(wǎng)，從而達(dá)到了隔離內(nèi)外計算機(jī)系統(tǒng)的目的，但速度相對較慢是代理服務(wù)型防火墻最大的缺點，尤其是在用戶內(nèi)外部網(wǎng)絡(luò)通信量較大時，代理服務(wù)型防火墻很容易在內(nèi)外通信鏈路上形成瓶頸。

3.1.2 多重安全網(wǎng)關(guān)

多重安全網(wǎng)關(guān)比防火墻提供了更完全的安全保護(hù)，這種技術(shù)對OSI七層模型中描述的所有層次內(nèi)容進(jìn)行處理，其性能超過了深度包檢測技術(shù)和狀態(tài)檢測技術(shù)，在千兆網(wǎng)絡(luò)環(huán)境下能實時將網(wǎng)絡(luò)層數(shù)據(jù)負(fù)載重組為應(yīng)用層對象，而且重組之后的應(yīng)用層對象可以通過動態(tài)更新病毒和蠕蟲特征來進(jìn)行掃描和分析。多重安全網(wǎng)關(guān)還可探測各種威脅，包括不良WEB內(nèi)容、垃圾郵件、間諜軟件和網(wǎng)絡(luò)釣魚欺騙等，為企業(yè)信息提供了良好的安全防護(hù)。

3.1.3 分布式防火墻技術(shù)

分布式防火墻[3]由網(wǎng)絡(luò)防火墻、主機(jī)防火墻和中心管理系統(tǒng)三部分構(gòu)成，可以解決傳統(tǒng)邊界防火墻的不足，能將防火墻的安全防護(hù)系統(tǒng)拓展到網(wǎng)絡(luò)中的各臺主機(jī)和終端桌面機(jī)。分布式防火墻以駐留主機(jī)為信任單位，主機(jī)以外全部不信任，因此可以針對主機(jī)應(yīng)用設(shè)定針對性極強(qiáng)的安全策略，使得安全策略不僅僅停留在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間，而是推廣延伸到網(wǎng)絡(luò)末端。另外，主機(jī)防火墻的安全監(jiān)測核心引擎是嵌入操作系統(tǒng)內(nèi)核的，它能直接掌控網(wǎng)卡，對所有數(shù)據(jù)包進(jìn)行檢查后才提交操作系統(tǒng)使用，而且主機(jī)防火墻的安全策略由系統(tǒng)管理員統(tǒng)一配置，這不但能有效保護(hù)桌面機(jī)，而且也能對桌面機(jī)的對外訪問加以限制，并且這種安全機(jī)制對桌面機(jī)的使用者來說是透明的。

實際應(yīng)用中，并不要求對網(wǎng)絡(luò)中每臺主機(jī)都要安裝主機(jī)防火墻這樣的系統(tǒng)，這樣會嚴(yán)重影響網(wǎng)絡(luò)的通信性能。它一般用于保護(hù)企業(yè)內(nèi)網(wǎng)中的關(guān)鍵主機(jī)和關(guān)鍵數(shù)據(jù)存儲區(qū)域。

3.1.4 交換網(wǎng)絡(luò)

交換網(wǎng)絡(luò)[4]是在兩個需要隔離的網(wǎng)絡(luò)之間建立起來的一個網(wǎng)絡(luò)交換區(qū)域，負(fù)責(zé)可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的數(shù)據(jù)交換。在交換網(wǎng)絡(luò)與內(nèi)外網(wǎng)接入處即可以采用多重安全網(wǎng)關(guān)，也可以采用網(wǎng)閘，在交換網(wǎng)絡(luò)內(nèi)部可以采用監(jiān)控、審計等安全技術(shù)，從而在整體上形成一個立體的安全防護(hù)體系。

在交換網(wǎng)絡(luò)的設(shè)計模型[6]中，可以把交換網(wǎng)分成接入緩沖區(qū)和業(yè)務(wù)緩沖區(qū)兩個區(qū)域。外網(wǎng)與交換網(wǎng)絡(luò)接入處采用多重安全網(wǎng)關(guān)，主要針對黑客攻擊、病毒入侵等，接入緩沖區(qū)中采用IDS對網(wǎng)絡(luò)入侵行為和異常流量進(jìn)行監(jiān)控，業(yè)務(wù)緩沖區(qū)采用IDS和網(wǎng)絡(luò)審計系統(tǒng)，業(yè)務(wù)緩沖區(qū)與內(nèi)網(wǎng)連接處采用網(wǎng)閘，利用網(wǎng)閘的擺渡特性來隔離網(wǎng)絡(luò)，若內(nèi)網(wǎng)業(yè)務(wù)對實時性有一定的要求，此處也可采用多重安全網(wǎng)關(guān)。

交換網(wǎng)絡(luò)從網(wǎng)絡(luò)安全、業(yè)務(wù)安全的角度審視與非安全網(wǎng)絡(luò)的互聯(lián)，其安全性大大加強(qiáng)，是一種比較安全的網(wǎng)絡(luò)隔離技術(shù)。

3.2 物理隔離

網(wǎng)絡(luò)隔離的重點是物理隔離。物理隔離的特點就是外網(wǎng)和內(nèi)網(wǎng)之間不直接相連接，內(nèi)網(wǎng)和外網(wǎng)之間要交換數(shù)據(jù)，必須經(jīng)過中間的隔離設(shè)備，要交換數(shù)據(jù)的一方先與隔離設(shè)備建立非TCP/IP連接，完成后再斷開，由隔離設(shè)備再與交換數(shù)據(jù)的另一方建立非TCP/IP連接，最終在相互隔離的內(nèi)外網(wǎng)之間完成數(shù)據(jù)的安全交換。

物理隔離的基本原理是利用中間隔離設(shè)備來交換數(shù)據(jù)，數(shù)據(jù)的每一次交換，都需要經(jīng)過寫入數(shù)據(jù)和讀出數(shù)據(jù)兩個步驟，它的物理實現(xiàn)是通過單刀雙擲開關(guān)，在內(nèi)外處理單元之間進(jìn)行分時存取，通過共享存儲設(shè)備完成數(shù)據(jù)交換。從軟件層面來講是通過對應(yīng)用層數(shù)據(jù)的提取與安全審查，以達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。

在所有隔離技術(shù)中，物理隔離對信息資源的保護(hù)最有效，一般用來保護(hù)用戶的核心數(shù)據(jù)和資源，物理隔離技術(shù)的指導(dǎo)思想與邏輯隔離有顯著的不同，邏輯隔離是在保障網(wǎng)絡(luò)互通的前提下盡可能實現(xiàn)數(shù)據(jù)的安全交換，而物理隔離是在保證數(shù)據(jù)安全的前提下，盡可能實現(xiàn)網(wǎng)絡(luò)的互聯(lián)互通。

由物理隔離的原理可知其數(shù)據(jù)傳輸機(jī)制是存儲和轉(zhuǎn)發(fā)，因此其在數(shù)據(jù)的傳輸過程中不可避免地會產(chǎn)生延遲，故不適合于對實時性要求較高的網(wǎng)絡(luò)應(yīng)用。

4 企業(yè)網(wǎng)絡(luò)應(yīng)用對網(wǎng)絡(luò)隔離技術(shù)的需求

4.1 企業(yè)機(jī)密數(shù)據(jù)的安全存儲需求

網(wǎng)絡(luò)安全的實質(zhì)就是數(shù)據(jù)安全，企業(yè)機(jī)密數(shù)據(jù)的安全性對于企業(yè)來說是至關(guān)重要的，因此存儲有企業(yè)機(jī)密數(shù)據(jù)的計算機(jī)和網(wǎng)絡(luò)應(yīng)該采用物理隔離方案，同時應(yīng)該制定嚴(yán)格的管理制度，并安排專人按照管理制度進(jìn)行嚴(yán)格管理，以保證其安全性。

4.2 企業(yè)對外服務(wù)器的安全保證需求

企業(yè)為了滿足業(yè)務(wù)發(fā)展的需求，一般都會架構(gòu)對外提供服務(wù)的服務(wù)器，如WEB服務(wù)器、DNS服務(wù)器、FTP服務(wù)器、數(shù)據(jù)庫服務(wù)器等等，由于這類服務(wù)器的工作依賴于Internet，并且對實時性有一定的要求，因此在實際應(yīng)用中對此類服務(wù)器一般不采用物理隔離方式，而采用邏輯隔離，根據(jù)企業(yè)對安全的要求等級和投入的成本從高到低依次可采用交換網(wǎng)絡(luò)技術(shù)、多重網(wǎng)關(guān)和防火墻技術(shù)。

4.3 企業(yè)對內(nèi)部辦公網(wǎng)絡(luò)和桌面機(jī)的安全需求

企業(yè)內(nèi)部網(wǎng)絡(luò)和桌面機(jī)的安全保證一直是企業(yè)很關(guān)心的一個問題，在現(xiàn)有的網(wǎng)絡(luò)隔離技術(shù)中，要保證內(nèi)部網(wǎng)絡(luò)和桌面機(jī)的安全可以采用邏輯隔離的分布式防火墻技術(shù)，分布式防火墻體系結(jié)構(gòu)中的網(wǎng)絡(luò)防火墻可以用于內(nèi)部網(wǎng)與外部網(wǎng)之間和內(nèi)部網(wǎng)各子網(wǎng)間的防護(hù)，主機(jī)防火墻可以對網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)。

5 結(jié)語

由于網(wǎng)絡(luò)安全是企業(yè)網(wǎng)絡(luò)正常運行的前提，而企業(yè)網(wǎng)絡(luò)的建設(shè)是實現(xiàn)企業(yè)信息化的基礎(chǔ)和保證，沒有安全的防范技術(shù)，企業(yè)網(wǎng)絡(luò)的安全將無從談起。而網(wǎng)絡(luò)安全隔離技術(shù)分別從邏輯上和物理上對網(wǎng)絡(luò)實行了隔離，實現(xiàn)了對網(wǎng)絡(luò)的安全保護(hù)，企業(yè)網(wǎng)絡(luò)是為企業(yè)應(yīng)用服務(wù)的，企業(yè)網(wǎng)絡(luò)隔離方案的制訂應(yīng)該根據(jù)企業(yè)實際的應(yīng)用需求來確定，當(dāng)然企業(yè)網(wǎng)絡(luò)的安全并不單單靠安全隔離技術(shù)就能實現(xiàn)的，同時還應(yīng)輔助以嚴(yán)格的安全管理制度。

[1]韓慧蓮,徐力,龔清勇等.基于企業(yè)的計算機(jī)網(wǎng)絡(luò)安全方案的設(shè)計與實現(xiàn)[J].華北工學(xué)院學(xué)報,2005，26（3）：187-192.

[2]廖永松.企業(yè)網(wǎng)絡(luò)隔離方案探討[J].武鋼技術(shù)，2006，44（6）：32-35.

[3]趙兵，孫梅.分布線防火墻技術(shù)的分析與研究[J].軟件導(dǎo)刊，2010，9（3）：126-127.

[4]翟勝軍.數(shù)據(jù)交換網(wǎng)：全方位保障業(yè)務(wù)安全性[J].中國電信業(yè)，2008：68-69.

[5]黃傳河，杜瑞穎.網(wǎng)絡(luò)安全[M].武漢：武漢大學(xué)出版社，2004.

[6]胡道元，閡京華.網(wǎng)絡(luò)安全[M].北京：清華大學(xué)出版社，2004.

Research on Network Isolation Technology of Intranet

HUA Jianxiang

(Fujian Forestry Vocational&Technical College,Nanping,Fujian 353000)

The thesis analyzes security threats in enterprise network and the preventative effects of network isolation technology on the network risk.It also studies on several major isolation technologies,combines with enterprise network requirements and puts forward three security isolation applications.

Network Security;Network Isolation;Physical Isolation

TP393.08

A

1674－2109(2011)05－0025－04

2010-09-01

華建祥（1982-），男，漢族，工程師，碩士，主要研究方向：計算機(jī)網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)安全。