朱濤

【摘 要】網(wǎng)絡(luò)安全隔離與信息交換技術(shù)是實(shí)現(xiàn)不同安全要求網(wǎng)絡(luò)間可靠安全隔離，同時(shí)保障信息可靠交換，從而提升內(nèi)部網(wǎng)絡(luò)安全級(jí)別的新型網(wǎng)絡(luò)信息安全技術(shù)。該文針對(duì)目前網(wǎng)絡(luò)安全威脅及網(wǎng)絡(luò)信息安全技術(shù)現(xiàn)狀，提出網(wǎng)絡(luò)安全隔離與信息交換技術(shù)安全功能的設(shè)計(jì)，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)與防護(hù)的發(fā)展具有重要的指導(dǎo)意義。

【關(guān)鍵詞】網(wǎng)絡(luò)安全；隔離；信息交換；攻擊

【中圖分類號(hào)】TP393 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】1672-5158（2013）03-0184-01

目前我國(guó)信息安全面臨嚴(yán)峻形勢(shì)；國(guó)外電腦硬件、軟件中隱藏著“邏輯炸彈”或惡意功能；網(wǎng)絡(luò)信息安全防護(hù)能力較弱，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)，具有極大的風(fēng)險(xiǎn)性和危險(xiǎn)性。在防護(hù)技術(shù)研究上，我國(guó)信息安全研究經(jīng)歷了通信保密、計(jì)算機(jī)數(shù)據(jù)保護(hù)的發(fā)展階段，正在進(jìn)入網(wǎng)絡(luò)信息安全體系全面建立的飛速發(fā)展階段。

一、網(wǎng)絡(luò)安全與攻擊技術(shù)分析

網(wǎng)絡(luò)中存在各種安全隱患，而網(wǎng)絡(luò)攻擊手段不斷翻新，強(qiáng)度不斷深入，廣度不斷擴(kuò)大。目前，網(wǎng)絡(luò)攻擊技術(shù)的巨大變化主要體現(xiàn)在：①網(wǎng)絡(luò)攻擊已經(jīng)由過(guò)去的個(gè)人行為，逐步演變?yōu)橛袦?zhǔn)備有組織的集團(tuán)行為。②用于進(jìn)行網(wǎng)絡(luò)攻擊的工具層出不窮，并且易于使用，即使初級(jí)水平用戶也能容易掌握和使用。而且攻擊工具的涉及朝大規(guī)模、分布式攻擊方向發(fā)展。③往往不需要其源代碼就可以發(fā)現(xiàn)系統(tǒng)和機(jī)器的脆弱性。

二、網(wǎng)絡(luò)安全隔離與信息交換技術(shù)詳細(xì)設(shè)計(jì)

（一）內(nèi)/外部代理單元細(xì)化設(shè)計(jì)及功能描述

內(nèi)/外代理單元各自作為堡壘主機(jī)，暴露于外/內(nèi)網(wǎng)上，是進(jìn)入內(nèi)/外部網(wǎng)絡(luò)的檢查點(diǎn)。以下將對(duì)通過(guò)協(xié)議棧、訪問攔截檢查機(jī)以及專用協(xié)議棧詳細(xì)分析。

1.通用協(xié)議棧設(shè)計(jì)分析

通用協(xié)議棧包含完整的TCP/IP層次，處理系統(tǒng)中所有的TCP/UDP進(jìn)程。它依賴于操作系統(tǒng)的TCP/IP棧。通用協(xié)議棧從專用協(xié)議棧（經(jīng)訪問攔截檢查機(jī)）和內(nèi)（或外）網(wǎng)絡(luò)獲取輸入數(shù)據(jù)。一條典型的網(wǎng)絡(luò)命令類似于“從Port#1234接收，關(guān)閉進(jìn)程號(hào)#12，連接到目的地址#”。這些消息會(huì)被通用協(xié)議棧解釋成相應(yīng)的網(wǎng)絡(luò)任務(wù)。通用協(xié)議棧還負(fù)責(zé)處理網(wǎng)絡(luò)數(shù)據(jù)。當(dāng)數(shù)據(jù)從網(wǎng)絡(luò)上接收以后，通用協(xié)議棧就會(huì)在邏輯上切斷連接，將得到的數(shù)據(jù)包發(fā)送給訪問攔截檢查機(jī)，并由此生成一個(gè)內(nèi)部應(yīng)用數(shù)據(jù)消息的會(huì)話表。通用協(xié)議棧還完成了網(wǎng)絡(luò)數(shù)據(jù)包的狀態(tài)檢測(cè)功能，負(fù)責(zé)對(duì)網(wǎng)絡(luò)應(yīng)用數(shù)據(jù)進(jìn)行分發(fā)，并記錄網(wǎng)絡(luò)數(shù)據(jù)包中的主要參數(shù)，以加快回應(yīng)處理速度。

2.訪問攔截檢查機(jī)設(shè)計(jì)分析

訪問攔截檢查機(jī)對(duì)協(xié)議數(shù)據(jù)進(jìn)行分析檢查。它提供語(yǔ)法檢查并以專用壓縮表達(dá)方式重新構(gòu)建相同網(wǎng)絡(luò)訪問數(shù)據(jù)，重構(gòu)的消息將被傳送到專用協(xié)議棧。訪問攔截檢查機(jī)提供多種協(xié)議分析功能，對(duì)支持的應(yīng)用協(xié)議提供一個(gè)單獨(dú)的協(xié)議分析單元。每個(gè)經(jīng)通用協(xié)議棧傳過(guò)來(lái)的數(shù)據(jù)會(huì)傳遞到相應(yīng)的協(xié)議分析單元進(jìn)行協(xié)議分析檢查。日志的內(nèi)容不僅包括源、目的IP地址，訪問端口，協(xié)議種類以及用戶標(biāo)識(shí)（內(nèi)部代理機(jī)）等信息，通過(guò)針對(duì)協(xié)議的深層檢查，日志中還記錄協(xié)議命令等重要參數(shù)，因此加強(qiáng)了協(xié)議檢查的力度和深度，對(duì)協(xié)議攻擊具有極高的防范能力。

3.專用協(xié)議棧

在代理機(jī)中，專用協(xié)議棧一方面接收訪問攔截機(jī)傳遞的網(wǎng)絡(luò)訪問及數(shù)據(jù)，并按照類似TCP/IP分層處理方式以專用協(xié)議傳輸格式重構(gòu)為特定應(yīng)用數(shù)據(jù)包。而在另一方面，專用協(xié)議棧按TCP/IP協(xié)議分層處理方式，剝除協(xié)議頭部，將專用安全協(xié)議層的數(shù)據(jù)遞交給訪問攔截機(jī)處理。專用協(xié)議棧的分層處理與TCP/IP協(xié)議棧類似，由上至下按特定協(xié)議格式生成協(xié)議頭，添加到網(wǎng)絡(luò)數(shù)據(jù)上；由下至上則剝離協(xié)議頭，取出相關(guān)參數(shù)及數(shù)據(jù)。專用協(xié)議格式稱為表單。表單結(jié)構(gòu)包含所有重要的TCP/IP協(xié)議頭參數(shù)，如源、目的IP地址，應(yīng)用協(xié)議類型等。滿足專用、靈活、內(nèi)容全面的要求。既能支持大多數(shù)的應(yīng)用協(xié)議，又能保證表單的格式不易被篡改、假冒。為保證數(shù)據(jù)的機(jī)密性和正確性，還應(yīng)對(duì)表單數(shù)據(jù)進(jìn)行加密處理。由于協(xié)議的格式特定，在重構(gòu)及分解協(xié)議的映射過(guò)程中對(duì)TCP/IP協(xié)議段各項(xiàng)內(nèi)容進(jìn)行了被動(dòng)檢查，不符合格式映射的應(yīng)用會(huì)話將被丟棄。由此，專用協(xié)議的使用及會(huì)話處理使整個(gè)系統(tǒng)對(duì)針對(duì)協(xié)議的攻擊具有一定免疫能力，這是網(wǎng)絡(luò)安全隔離與信息交換技術(shù)與防火墻類技術(shù)相比所具有的獨(dú)特優(yōu)勢(shì)。

（二）日志審計(jì)單元

作為一個(gè)網(wǎng)絡(luò)安全產(chǎn)品，必須對(duì)日志進(jìn)行審計(jì)，以在事后通過(guò)對(duì)審計(jì)的檢查監(jiān)測(cè)用戶行為，發(fā)現(xiàn)系統(tǒng)中存在的問題或缺陷，為制定相關(guān)策略，完善網(wǎng)絡(luò)安全性提供依據(jù)。日志審計(jì)功能包括對(duì)網(wǎng)絡(luò)重要通信數(shù)據(jù)、重要的網(wǎng)絡(luò)行為、用戶的操作行為、管理人員的管理行為進(jìn)行審計(jì)。從來(lái)就沒有一種技術(shù)，可以絕對(duì)的保證網(wǎng)絡(luò)安全，即使技術(shù)在理論上可以完全安全，也不可能保證執(zhí)行人員可以完整無(wú)誤的執(zhí)行，完全沒有失誤。如果管理人員出現(xiàn)失誤，實(shí)際的網(wǎng)絡(luò)安全也是無(wú)法保證的。信息安全其實(shí)是三分技術(shù)，七分管理。因此，無(wú)論技術(shù)有多先進(jìn)，審計(jì)功能都是保障網(wǎng)絡(luò)安全不可或缺的重要功能。

（三）數(shù)據(jù)交換及開關(guān)控制單元

數(shù)據(jù)交換與開關(guān)控制單元是整個(gè)技術(shù)的核心部分，也是實(shí)現(xiàn)內(nèi)、外網(wǎng)絡(luò)間安全隔離，保證數(shù)據(jù)實(shí)時(shí)交換的關(guān)鍵。在設(shè)計(jì)要滿足的三個(gè)條件是：①內(nèi)/外開關(guān)的互斥通斷，實(shí)現(xiàn)內(nèi)/外代理之間的安全隔離；②開關(guān)切換不受外界控制，數(shù)據(jù)交換采用專用格式；③數(shù)據(jù)傳輸速率高于代理單元，防止出現(xiàn)性能瓶頸。

在對(duì)比了USB、SCSI及內(nèi)存等技術(shù)可行性之后，我們將設(shè)計(jì)定型為開發(fā)專用電路板，對(duì)外利用DMA內(nèi)存映射技術(shù)與代理單元完成數(shù)據(jù)交換，對(duì)內(nèi)通過(guò)預(yù)定的指令邏輯系統(tǒng)控制開關(guān)通斷，安全隔離網(wǎng)絡(luò)，并實(shí)現(xiàn)數(shù)據(jù)快速交換。

三、結(jié)論

網(wǎng)絡(luò)安全隔離與信息交換技術(shù)保證信息交換的機(jī)密性、完整性、可用性、可控性以及抗抵賴，專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)的綜合應(yīng)用，徹底阻斷了網(wǎng)絡(luò)間的直接TCP/IP連接，同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過(guò)程都施以嚴(yán)格的身份認(rèn)證、內(nèi)容過(guò)濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，有效屏蔽操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞。隨著對(duì)網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的深入研究及其與防火墻，IDS，病毒檢測(cè)等網(wǎng)絡(luò)安全技術(shù)的有機(jī)結(jié)合，加強(qiáng)對(duì)協(xié)議數(shù)據(jù)的檢查深度和廣度，提高數(shù)據(jù)的處理速率，根據(jù)實(shí)際應(yīng)用修改完善安全功能，必定能成為網(wǎng)絡(luò)信息安全更可靠的安全屏障。

參考文獻(xiàn)：

[1]黃元飛，陳曉樺.國(guó)家標(biāo)準(zhǔn)GB/T 18336 介紹（一）[J].信息安全與通信保密，2001（6）：71-72.

[2]盧開澄，計(jì)算機(jī)密碼學(xué)——計(jì)算機(jī)網(wǎng)絡(luò)中的數(shù)據(jù)保密與安全[M].2版.北京：清華大學(xué)出版社，2006.

[3]李穎.信息的隔離與交換技術(shù)初探[J].計(jì)算機(jī)安全，2002（12）：43.

[4]孔斌，杜虹，馬朝斌.安全隔離與信息交換技術(shù)發(fā)展及應(yīng)用[J].計(jì)算機(jī)安全，2003（29）：39-42.

[5]王育民，劉建偉.通信網(wǎng)的安全——理論與技術(shù)[M].西安：西安電子科技大學(xué)出版社，2006.