网络隔离技术的原理应用

（1）网间不同层次的主要安全威胁网间的安全威胁主要来自来以下三个层次：
■  物理层。电气攻击、线路侦听、线路破坏等。
■  网络层。拒绝服务攻击、地址欺骗、碎片攻击等。
■  应用层。恶意代码、垃圾邮件等。

（2）网络隔离技术要求无论采取哪种网络隔离方案，在具体应用中至少要在安全和控制中满足如下需求：■  具有高度的自身安全性。
■  确保网络之间是隔离的。
■  保证网间交换的只是应用数据。
■  对网间的访问进行严格的控制和检查。
■  在坚持隔离的前提下保证网络畅通和应用透明。

（3）网络隔离的原理和分类

尽管正在广泛地使用各种复杂的软件技术，如防火墙、代理服务器、侵袭探测器、通道控制机制，但是由于这些技术都是基于软件的保护，是一种逻辑机制，这对于逻辑实体（黑客或内部用户）而言是可能被操纵的，即由于其极端复杂性与有限性，这些在线分析技术无法满足某些组织（如军队、jungong、政府、金融、研究院、电信等）提出的高度数据安全要求。物理隔离技术就能较好地解决这些问题

物理隔离主要应用在以下行业：各级zhengfujiguan和涉密单位；金融、证券、税务、海关等行业部门。

物理隔离技术的指导思想与防火墙有很大的不同：防火墙的思路是在保障互连互通的前提下尽可能安全，而物理隔离的思路是在保证必须安全的前提下尽可能互连互通。虽然物理隔离技术存在多种方式，但是它们的原理却基本相同。物理隔离产品常见的有物理隔离卡、 物理隔离集线器和物理隔离网闸三大类。

1）物理隔离卡（也称为“网络安全隔离卡”）是物理隔离的低级实现形式，是以物理方式将一台计算机虚拟为两个，实现工作站的双重状态。物理隔离卡构成如图1所示。

图1.物理隔离卡构成

2）物理隔离集线器（也称为“网络线路选择器”、“网络安全集线器”等）是一种多路开关切换设备，它与物理隔离卡配合使用。

3）物理隔离网闸（也称为“网络安全隔离网闸”）是利用双主机形式从物理上隔离潜在攻击的连接方式。其中包括一系列的阻断特征，如没有通信连接、没有命令、没有协议、没有 TCP/IP连接、没有应用连接、没有包转发、只有文件“摆渡”，以及对固态介质只有读和写两个命令。物理隔离网闸原理图如图 2所示。

图2.物理隔离网闸原理图
（4）网络隔离的应用根据具体的网络环境和所使用的网络隔离设备可以有如下几种应用方案。

1） 主机隔离解决方案。该方案属于终端隔离解决方案，所采用的隔离产品是物理隔离卡。

2） 信道隔离方案。该方案所采用的安全隔离产品是物理隔离集线器，当然物理隔离卡也是必不可少的。

3） 主机-信道双网隔离解决方案。该方案属于混合隔离模式，所采用的隔离设备也有物理隔离卡和物理隔离集线器。

4） 主机-信道多网隔离解决方案。该方案与上一方案其实相差不多，只不过此处隔离的不只是两个网络。所采用的设备有物理隔离卡、物理隔离集线器和网闸三类。

4

工业控制系统隔离技术应用

在工业控制系统网络和企业网络之间部署网络隔离设备/系统，可以很好地实现两者之间的安全隔离和两者之间数据的安全交换，既能满足企业的业务需求，又能杜绝因企业网络的接入导致工业控制系统感染病毒和木马的可能，还能避免工业控制系统网络信息的泄露，消除了安全隐患。

具体实现中，工业控制系统网络隔离设备可以采用总线级方式，构建非网络模式的数据交互控制，与目标网络不产生网络连接，并釆用非标准协议构成安全隧道，保障数据传输的安全性。

工业控制系统网络隔离设备包括内网主机模块、外网主机模块和隔离交换模块。内网主机模块负责与内网相连，并终止内网用户的网络连接，对数据进行安全处理。外网主机模块同理，但处理的是外网连接。内、外网主机模块分别具有独立的运算单元和存储单元，釆用专用、加固的操作系统。隔离交换模块由两个模块组成，即内、外网隔离交换模块。两个模块间采用数据排线互联。隔离交换模块通过双向数据摆渡控制，完成内、外网隔离交换模块数据的安全交换。