层层过滤实现安全隔离

　　Internet世界是精彩的，因为它有丰富的信息；Internet世界是可怕的，因为它充斥着各种病毒、蠕虫、垃圾……如何能够享受Internet精彩的同时，又尽量不受到那些不良信息和行为的干扰呢？安全隔离产品就是这样一种得力的工具。 　　

　　网络的安全威胁和风险主要存在于三个方面：物理层、协议层和应用层。网络线路被恶意切断或过高电压导致通信中断，属于物理层的威胁；网络地址伪装、Teardrop碎片攻击、SYNFlood等则属于协议层的威胁；非法URL提交、网页恶意代码、邮件病毒等均属于应用层的攻击。从安全风险来看，基于物理层的攻击较少，基于网络层的攻击较多，而基于应用层的攻击最多，并且复杂多样，难以防范。 　　

　　安全隔离技术把攻击挡在网外 　　

　　面对新型网络攻击手段的不断出现和高安全网络的特殊需求，全新安全防护理念——“安全隔离技术”应运而生。它的目标是，在确保把有害攻击隔离在可信网络之外，并保证可信网络内部信息不外泄的前提下，完成网间信息的安全交换。 　

　　图1 网杰安全隔离与信息交换系统　　

　　安全隔离技术出现前，防火墙是解决网络边界安全的主要技术和产品。但是，由于防火墙自身存在着安全性不够高、无法根治网络协议层的攻击、应用层防护能力弱和不能有效防范信息外泄等问题，无法满足高安全度网络对安全的特殊需要。因此，产生了安全隔离技术，但由于隔离技术属于信息安全新技术，人们对它认识不够深刻，导致产品的成熟度不够，存在稳定性差、通信性能低下和应用范围窄等诸多问题。 　　

　　目前，安全隔离技术已经发展到了第五代。第一代安全隔离技术虽然做到了物理上的完全隔离，但是，它需要多套网络和系统，使得建设和维护成本较高。第五代隔离技术采用安全通道隔离技术，此技术通过专用通信硬件和专有交换协议等安全机制，来实现网络间的隔离和数据交换，在网络隔离的同时，高效地实现内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。 　　

　　安全通道隔离技术以“专”提高隔离效率 　　

　　8月14日，国家保密局保密信息系统安全保密测评中心签发了国内第一家以第五代隔离技术安全通道隔离技术为主业的公司——北京盖特佳信息安全技术有限公司自主研发的“网杰安全隔离与信息交换系统（网杰2.0）”，这标志着我国新一代安全通道式网络安全隔离产品诞生了。该产品是在广泛吸取了国内外隔离产品经验的基础上，成功设计出的新一代专用通道式企业级隔离产品。 　　

　　它采用了“专用安全通道PST（Private Secure Tunnel）”技术，克服了前代隔离产品存在的实时性差、通信延迟大、支持带宽窄和硬件故障率高等缺点；并采用了“应用数据交换ADE（Application Data Exchange）”技术，杜绝了网络协议层的攻击，防范了基于协议的漏洞和弱点攻击；它完全独立地被布置在中间隔离带（DMZ）的“安全审查单元SAU（Security Audit Unit）”处，把可能的网络攻击消灭在了到达目标网络之前。 　　

　　网杰安全隔离与信息交换系统通过专用通信硬件、专有交换协议和加密签名机制及应用层数据提取技术，实现了在不同安全级别的网络之间完成风险可控的数据交换，它可以阻断网络间的直接TCP/IP连接，而且，对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全可控，杜绝了由于操作系统和网络协议自身的漏洞带来的安全风险，能够有效地防范已知和未知的攻击行为。 　　

　　网杰不仅仅是一种产品，它更力争成为一个安全防护平台，在此平台基础上可完成多种安全防护措施和手段，最大限度地保护网络免受攻击并防范重要信息的有意或无意泄漏。其主要技术特点包括：具有多套安全单元、专有安全通道，网间无TCP/IP连接，采用全透明的工作模式、动态实时数据交换方式、应用层数据提取技术，具有严格的安全访问控制功能，并采用基于数字证书的身份鉴别技术，采用多层的安全审查处理和应用级防火墙技术。 　　

　　第五代安全隔离技术在网杰中的具体实现过程是这样的：如图1所示，外网数据包通过透明模式或路由模式到达外网处理单元后，状态包过滤引擎会直接过滤掉非法的和不符合规则的网络包，然后，外网处理单元解析提取出网络包中的应用层数据并通过专用安全通道发送到安全审计单元，在安全审计单元完成对应用层数据的安全审查后，再通过专用安全通道发送到内网处理单元，内网处理单元把应用层数据重新构造成标准的网络数据包发送到内网，从而完成外网到内网的安全数据交换，反之亦然。 　　

　　图2 安全隔离与信息交换技术的典型应用环境　　

　　如图2所示，在整个网间的数据交换过程中有三个主要的安全处理过程：一，通过应用层数据提取，彻底杜绝了基于协议的攻击；二，对通过的应用层数据做多层次的安全审查处理，确保具有更高的可信度；三，整个交换过程是通过控制、认证和审计三个过程完成的，保证了交换过程的安全可控。其中安全隔离核心模块包括：专用安全通道PST、应用数据交换ADE、安全审查单元SAU。 　　

　　安全隔离与信息交换技术的典型应用环境 　　

　　该技术可以在以下环境中加以应用：涉密网应用，包括不同的涉密网络之间、同一涉密网络的不同安全域之间、与互联网络物理隔离的网络和秘密级涉密网络之间、未与涉密网络相连接的网络和互联网络之间。企业网应用，包括隔离内部网和互联网、隔离业务网和工作网、隔离内部网和关联网、隔离保护主机服务器、隔离保护数据库服务器。 　　

　　安全隔离产品发展经历了五代 　　

　　隔离概念的出现，是为了保护高安全度网络环境，隔离产品发展至今共经历了五代。　　

　　第一代隔离技术，完全的隔离。采用完全独立的设备、存储和线路来访问不同的网络，做到了完全的物理隔离，但需要多套网络和系统，建设和维护成本较高。 　　

　　第二代隔离技术，硬件卡隔离。通过硬件卡控制独立存储和分时共享设备与线路来实现对不同网络的访问，它仍然存在使用不便、可用性差等问题，有的设计上还存在较大的安全隐患。 　　

　　第三代隔离技术，数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间较长，甚至需要手工完成，不仅大大降低了访问速度，更不支持常见的网络应用，只能完成特定的基于文件的数据交换。 　　

　　第四代隔离技术，空气开关隔离。该技术是通过使用单刀双掷开关，通过内外部网络分时访问临时缓存器来完成数据交换的，但存在支持网络应用少、传输速度慢和硬件故障率高等问题，往往成为网络的瓶颈。 　　

　　第五代隔离技术，安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制，来实现网络间的隔离和数据交换，不仅解决了以往隔离技术存在的问题，并且在网络隔离的同时实现高效的内外网数据的安全交换，它透明地支持多种网络应用，成为当前隔离技术的发展方向。