物理隔离和网闸的技术原理浅析

1、物理隔离和网闸的技术原理浅析王 珺 李立新 李福林（信息工程大学电子技术学院研究所，郑州 450004）摘 要：物理隔离技术是一种越来越受到重视的安全技术，它在需求高安全性的部门得到越来越广泛的应用。本文从拓扑学的观点分析了物理隔离技术在 OSI 七层协议模型中所处的角色，阐述了网络隔离的几种形式以及物理隔离在网络隔离中的地位。在物理隔离技术中，数据的转发是隔离技术关键。在分析了传统数据转发模型的缺陷的基础上，建立了物理隔离中的数据安全转发模型，对物理隔离的数据转发的安全措施进行了理论研究，并建立了内网的安全策略。关键词：物理隔离 数据交换 网闸Research on Data Exchang

2、e and Air Gap of GAP TechnoloyWang jun， Lilixin，Lifulin(Institute research lab of Electronic Technology, the PLA Information EngineeringUniversity, ZhengZhou 450004)Abstract: The technology of Physical Isolation (Air Gap)is taken increasing importance to the system and network security. Thirdly, gro

3、unded on the analysis of the role of Physical Isolation technology in OSI model, several styles of network isolation are introduced and the position of Physical Isolation technology in network isolation is expounded. As data transference is the essential part of Physical Isolation, based on the anal

4、ysis of the drawbacks of the traditional data transference model, a new security data transferrence model is established, and the measurements and strategies to ensure security data transference are discussed.Key words: air gap; data exchange; netgap一、背景近年来，随着我国信息化建设步伐的加快，“电子政务”应运而生，并以前所未有的速度发展。在我国电

5、子政务系统建设中，外部网络连接着广大民众，内部网络连接着政府公务员桌面办公系统，外网连接着各级政府的信息系统，在外网、内网、外网之间交换信息是基本要求。这些信息交换的前提是安全，互联网的安全性能对此提出了挑战。防火墙、防病毒系统等各种复杂的安全技术得到了广泛的应用。但这些基于软件的安全保护本质上是一种逻辑机制，理论上是可以被逻辑实体（黑客或内部用户）操纵的。故对于机密数据的安全不能完全寄托在基于概率判断的防护上，必须有一个绝对安全的大门。国家保密局2000年1月1日起颁布实施的计算机信息系统国际联网保密管理规定第二章保密制度的第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互

6、联网或其它公共信息网络相连接，必须实行物理隔离”。物理隔离是指内部网络不直接通过有线或无线等任何手段连接到公共网络，从而使内部网络和外部网络在物理上处于隔离状态的一种物理安全技术。二、物理隔离的本质网络隔离是指在完全断开网络物理连接的基础上，实现合法信息的共享，也就是实现信息的分级可控交换。网络隔离本质是访问控制思想的很好体现。它是在物理隔离技术上的更深层次的一个进展。隔离的本质不在于完全断开，而在于安全；同样，隔离也并不是完全地禁止，而是不同等级保密的信息之间完全隔离，特别是高密级网络中的信息绝对不能流向低密级的网络，在相同密级信息的网络之间可以按照用户要求进行授权流动。目前，在网络隔离技术

7、的概念上，有人认为网络隔离技术就是将网络完全隔开，禁止网络之间的资源共享，不允许信息流动，防止一个网络的信息泄漏到另外一个网络上去。实际上，网络隔离的目的决不是让计算机回到以前那种单机隔离的状态，而是让使用者在确保安全的前提下，充分享受互联网络所带来的一切好处。在网络隔离系统中包含对内外网络数据进行采集转发的系统，这样可以使安全的信息高速地在内外网之间进行交换，实现互联网的互连互通。另外，认为网络隔离技术就是一个简单的软件或硬件，而不是一个整体解决方案。实际上网络隔离系统包括许多方面的问题，如安全策略、安全制度、安全管理、安全技术等，应当集成其他现有的技术成果。网络隔离本身不仅仅是一项技术，也

8、是一个信息系统。信息系统的安全目标是控制和管理主体对客体的访问。这些访问由一组规则和目标来约束，这就是安全策略。安全策略反映了一个企业或系统的安全需求，可以描述为达到安全目的而采取的步骤。在涉密网和互联网相连接时它们的安全性必须满足以下要求：1） 该系统必须保证涉密网与互联网物理隔离；2） 涉密网的任何信息不能通过该系统进入互联网；3) 可限制指定格式的文件(保证文件的无害性)才能通过该系统进入涉密网；4) 在隔离系统连接互联网的一端采取访问控制技术、代理技术、认证技术、内容检测、病毒检测等安全手段，并对请求返回的数据进行类型限制和安全检查；5) 具有单向访问的能力，即禁止互联网主动向涉密网发

9、起数据访问请求，准许涉密网向互联网访问数据发起请求，并准许请求回来的数据经过安全检查后流入涉密网；6) 整个系统是完全可控的。三、基于网络隔离的数据交换原理我们知道计算机网络依据物理连接和逻辑连接来实现不同网络之间、不同主机之间、主机与终端之间的信息交换与信息共享。物理隔离网闸既然隔离、阻断了网络的所有连接，实际上就是隔离、阻断了网络的连通。网络被隔离、阻断后，两个独立主机系统之间如何进行信息交换？网络只是信息交换的一种方式，而不是信息交换方式的全部。在互联网时代以前，信息照样进行交换，如数据文件复制（拷贝）、数据摆渡、数据镜像、数据反射等，物理隔离网闸就是使用数据“摆渡”的方式实现两个网络之

10、间的信息交换。外网Internet是安全性要求不高的互联网，内网是安全性要求很高的内部专用网络。正常情况下，隔离设备和外网，隔离设备和内网，外网和内网是完全断开的。保证网络之间是完全断开的。隔离设备可以理解为纯粹的存储介质，和一个单纯的调度和控制电路。网络的外部主机系统通过物理隔离网闸与网络的内部主机系统“连接”起来，物理隔离网闸将外部主机的TCP/IP协议全部剥离，将原始数据通过存储介质，以“摆渡”的方式导入到内部主机系统，实现信息的交换。“摆渡”意味着物理隔离网闸在任意时刻只能与一个网络的主机系统建立非TCP/IP协议的数据连接，即当它与外部网络的主机系统相连接时，它与内部网络的主机系统必

11、须是断开的，反之依然。即保证内、外部网络不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储（写入）和转发（读出）的。物理隔离网闸在网络的第七层将数据还原为原始数据文件，然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP over USB、代理主机以及通过开关方式来转发信息包有本质的区别。下面以内网与外网之间的物理隔离网闸为例，说明通过物理隔离网闸的信息交换过程。当内网与外网之间无信息交换时，物理隔离网闸与内网，物理隔离网闸与外网，内网与外网之间是完全断开的，即三者

12、之间不存在物理连接和逻辑连接。当内网数据需要传输到外网时，物理隔离网闸主动向内网服务器数据交换代理发起非TCP/IP协议的数据连接请求，并发出“写”命令，将写入开关合上，并把所有的协议剥离，将原始数据写入存储介质。在写入之前，根据不同的应用，还要对数据进行必要的完整性、安全性检查，如病毒和恶意代码检查等。在此过程中，外网服务器与物理隔离网闸始终处于断开状态。如下图所示。外部主机与固态存储介质交换数据示意图一旦数据完全写入物理隔离网闸的存储介质，开关立即打开，中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接请求，当外网服务器收到请求后，发出“读”命令，将物理隔离网闸存储介质内的数据

13、导向外网服务器。外网服务器收到数据后，按TCP/IP 协议重新封装接收到的数据，交给应用系统，完成了内网到外网的信息交换。至于从外网到内网的信息交换，与上述类似，只是方向相反。固态存储介质与内部主机数据交换示意图由上不难看出，每一次数据交换，物理隔离网闸都经历了数据写入、数据读出两个过程；内网与外网（或内网与专网）永不连接；内网和外网（或内网与专网）在同一时刻最多只有一个同物理隔离网闸建立非TCP/IP协议的数据连接。四、网闸的安全机制的特点网闸主要是用以解决内外网之间的数据交换问题，因此具有以下特点：首先，它防止内部网络有意或无意地向外部网络泄漏信息，应采用内容过滤、命令过滤、基于URL的路

14、径和文件名控制、文件类型控制和文件格式深度检查等较高要求的信息保密检查技术；其次，防止外部网络向内部网络的黑客攻击和计算机病毒侵扰，其中包括对未知的攻击和病毒的防范和查杀；另外，身份认证也是网闸最重要的关键技术，强化用户的身份确认、防抵赖和具有强调的审计和取证功能。在特殊情况下，应该加强身份认证的强度，采用一次一认证，甚至是图形认证机制。最后，它能够解决外部网络和内部网络之间的大流量数据交换问题，在确保安全的前提下，尽可能提高效率，稳定运行，加强可操作性。五、网闸的技术特征首先总结下网闸的技术特征（1）网闸的架构网闸采用三模块架构。这三个模块，有两个是主机，一个是基于独立的控制电路控制的固态存

15、储介质，我们通常称之为“2+1”架构。（2）物理层断开技术网闸就是要保证网闸的外部主机和内部主机在任何时候是完全断开的。但外部主机与固态存储介质，内部主机与固态存储介质，有时候是相连的，但不能同时相连。因此，外部主机与固态存储介质之间存在一个开关电路，内部主机与固态存储介质之间存在一个开关电路。网络隔离必须保证这两个开关不会同时闭合，从而保证从OSI模型上的物理层的断开机制。（3）链路层断开技术链路层的断开，就必须消除所有的通信链路协议。任何基于通信协议的数据交换技术，都无法消除数据链路的连接，因此不是完整的网络隔离技术。安全专家们注意到，有些产品没有实现链路层的断开，而是把两个或两个以上可路

16、由的网络（如TCP/IP）通过不可路由的协议（如：IPX/SPX、NetBEUI等）进行数据交换。其原理是采用了不同的协议，所以通常也叫协议转换（Protocol Translation）或协议隔离（Protocol Isolation）。实际上针对IPX/SPX和NetBEUI协议的攻击很多，尤其是针对NetBEUI协议的攻击。因此协议转换或协议隔离不能说它不是一种安全技术，但归纳在网络隔离技术中是不恰当的。（4）TCP/IP协议剥离和重建技术为了消除TCP/IP协议（OSI的第三层和第四层）的漏洞，必须剥离TCP/IP协议。在经过网闸之后，必须再代理重建TCP/IP协议。（5）应用协议的剥

17、离和重建技术为了消除应用协议（OSI的第五层至第7层）的漏洞，必须剥离应用协议。剥离应用协议后的原始数据，在经过网闸之后，必须代理重建应用协议。我们有时候称应用协议的剥离和重建技术为单边代理技术，所谓的单边代理技术是相对双边而言的。双边代理技术，是指一台计算机有两个网卡，并且执行代理功能。数据包从一个网卡进，从另外一个网卡出。单边代理技术，只有一个网卡，这种情况下，应用协议必须还原成为原始数据，给用户查看，而不能是包，因此是一个完整的应用协议剥离和重建技术。六、总结目前内网与外网间的重要应用主要是交换政府文件、表格数据等，这些数据类型可归纳为公文文字类数据、格式类数据。这两类数据在采取一定技术

18、安全措施处理后，不会对内网造成主动性危害。因为即使破坏者、病毒在外网破坏了这两类数据，也只能是造成垃圾数据，传进内网也不会对内网系统造成灾难性危害。电子邮件、Word文件、代码程序、Web浏览等类型数据，极有可能对内网造成危害，因此必须坚决禁止交换。对于公文文字类数据，必须采用纯文本格式文件交换，不能用Word格式文件，还可以约定嵌入一些必要的关键字，以便比对和过滤等。对于格式类数据，因为有规范的固定格式，可利用字段、类型、长度等格式特征进行细颗粒的模式比对和过滤。还有数据库是非常重要和常见的应用，笔者限于专业水平的原因，对其分析把握不透，不敢妄加判定，对数据库中的数据传输会否有严重后果，对数

19、据库的操作命令传输会否有严重后果，还有待人们进一步研究。现在实施网络数据交换安全解决方案中最先进的技术和设备是安全网闸。安全网闸大都具有通道隔离控制和协议净化控制功能，但在数据安全控制方面功能还很弱。有的只能对传输数据文件的文件名进行比对和过滤；有的只能对文件中进行关键字的比对和过滤。还没有能对格式文件进行格式比对的功能。这都还有待进一步改进和完善。参考文献：1柯军 须文波 物理隔离环境下数据安全转发与实现J 微计算机信息,2006,15期2郑炜 须文波 物理隔离网闸的设计与实现 微计算机信息,2005,25期3马强 李燕军.网络安全之GAF技术研究 网络安全技术与应用.4陈睿 田忠和.物理隔离网闸数据交换技术的研究 计算机与数字工程.本文作者创新点：物理隔离技术还是一个全新的技术，随着网络安全问题