網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的系統(tǒng)分析

張 慶

（重慶醫(yī)科大學(xué)附屬大學(xué)城醫(yī)院 重慶 401331）

0 引言

在信息技術(shù)飛速發(fā)展的今天，網(wǎng)絡(luò)安全問題越來越受人關(guān)注，人們對信息傳輸?shù)陌踩浴⒓皶r(shí)性、有效性要求越來越高。為了滿足信息傳輸?shù)男枰途W(wǎng)絡(luò)安全的保障等問題，催生了網(wǎng)絡(luò)安全隔離和信息交換技術(shù)。

1 目前網(wǎng)絡(luò)安全存在的威脅

在網(wǎng)絡(luò)信息的傳輸與交換中，會產(chǎn)生各式各樣自身或他人的因素對信息的安全性和保密性產(chǎn)生威脅，具體說來主要有網(wǎng)絡(luò)本身的安全缺陷和網(wǎng)絡(luò)攻擊兩大類。

1.1 網(wǎng)絡(luò)安全缺陷

一個(gè)完整的網(wǎng)絡(luò)，是由網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)應(yīng)用兩大部分構(gòu)成的，在協(xié)議的制定和應(yīng)用的設(shè)計(jì)上都有可能出現(xiàn)網(wǎng)絡(luò)安全缺陷。

1.1.1 協(xié)議設(shè)計(jì)缺陷

協(xié)議的設(shè)計(jì)往往都是以實(shí)用性為主，安全問題不被重視甚至被忽略，常借于應(yīng)用來實(shí)現(xiàn)，這容易導(dǎo)致安全缺陷的產(chǎn)生；協(xié)議設(shè)計(jì)錯(cuò)誤或?qū)υO(shè)計(jì)中發(fā)生的問題處理不當(dāng)，容易是服務(wù)受到影響，也會成為黑客的目標(biāo)；協(xié)議架構(gòu)在其他基礎(chǔ)協(xié)議之上時(shí)，若是所選協(xié)議不牢固，也會使所設(shè)計(jì)的協(xié)議功能性、穩(wěn)定性和安全性受到影響。

1.1.2 軟件編寫、操作及維護(hù)不當(dāng)

軟件編寫的方式不正確，習(xí)慣較差的情況，常常會遺留下安全漏洞，如模塊應(yīng)用錯(cuò)誤、應(yīng)用程序假設(shè)錯(cuò)誤、資料容錯(cuò)力差、對未知錯(cuò)誤的預(yù)判不夠等；操作人員未能按照手冊操作程序，或是對協(xié)議認(rèn)知度不夠，發(fā)生錯(cuò)誤操作，也會導(dǎo)致漏洞的產(chǎn)生；有的軟件的默認(rèn)值設(shè)置不當(dāng)，在方便用戶的同時(shí)，也為病毒和木馬創(chuàng)造了機(jī)會；軟件開發(fā)完成后缺乏一定頻率的維護(hù)，未能及時(shí)發(fā)現(xiàn)和修補(bǔ)系統(tǒng)的漏洞，導(dǎo)致網(wǎng)絡(luò)攻擊有機(jī)可趁。

1.2 網(wǎng)絡(luò)攻擊

現(xiàn)代的網(wǎng)絡(luò)攻擊手段較過去有了很大變化，攻擊方式和工具層出不窮且易于掌握，攻擊發(fā)起者也從個(gè)人行為到有組織有效率的團(tuán)體行為，具體說來，網(wǎng)絡(luò)攻擊主要分為以下幾種：

①病毒：計(jì)算機(jī)病毒會占用磁盤空間，引發(fā)CPU過度運(yùn)行，導(dǎo)致系統(tǒng)效率降低或崩潰，更嚴(yán)重的會破壞資料，導(dǎo)致系統(tǒng)癱瘓或重啟，甚至損壞硬件；

②木馬：木馬的說法來源于希臘神話中特洛伊之戰(zhàn)的故事，主要指將惡意程序隱藏在某些看似正常合法的軟件中，侵入用戶的系統(tǒng)。一旦進(jìn)入用戶系統(tǒng)，木馬會竊取用戶的大量隱私等重要信息，包括賬號密碼，登錄口令等，還會盜用用戶的資料，以及一些其他的非法目的。

③黑客：黑客是利用網(wǎng)絡(luò)攻擊技術(shù)，攻擊他人的系統(tǒng)以達(dá)成自己的不法目的。如網(wǎng)絡(luò)嗅探，查看網(wǎng)絡(luò)數(shù)據(jù)包并獲取其中的內(nèi)容，用來得知用戶的賬號、密碼、口令等；拒絕服務(wù)，樂意通過反復(fù)向 WEB站點(diǎn)發(fā)送請求以阻塞該站點(diǎn)的網(wǎng)絡(luò)傳輸，妨礙網(wǎng)站的正常功能；后門，在用戶系統(tǒng)中留下“后門”程序，方便下次闖入。

正因?yàn)橛腥绱硕嗟木W(wǎng)絡(luò)不安全因素，這才推動了網(wǎng)絡(luò)安全信息防護(hù)工作的發(fā)展。

2 網(wǎng)絡(luò)安全隔離與信息交換技術(shù)發(fā)展及概況

網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的發(fā)展已經(jīng)有長足的進(jìn)步，通過數(shù)個(gè)階段的摸索和測試，現(xiàn)有的網(wǎng)絡(luò)信息防護(hù)技術(shù)已經(jīng)相對成熟。筆者認(rèn)為，網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的發(fā)展主要有以下幾個(gè)階段。

2.1 最初的網(wǎng)絡(luò)安全隔離與信息交換技術(shù)

通過人工操作實(shí)現(xiàn)信息交換，是最初的網(wǎng)絡(luò)安全隔離與信息交換技術(shù)。這種方法是在兩個(gè)網(wǎng)絡(luò)間進(jìn)行物理隔斷，由人工操作實(shí)施信息交換與傳遞。雖然此方式安全性較高，但是具有太多限制，比如人工操作緩慢，仍然無法徹底解決病毒和機(jī)密信息泄漏問題，傳輸形式只限于文件，應(yīng)用范圍很有限。

2.2 網(wǎng)絡(luò)硬件隔離技術(shù)

時(shí)過境遷，以硬件隔離為代表的新一代網(wǎng)絡(luò)隔離技術(shù)問世了。此法是將客戶端和主板連接間加入一塊硬件卡，由硬件卡控制系統(tǒng)硬件設(shè)備。硬件隔離卡是網(wǎng)絡(luò)空間、時(shí)間隔離的初步形態(tài)，已經(jīng)具有了一定的功效。但是由于切換網(wǎng)絡(luò)需要重啟系統(tǒng)及網(wǎng)絡(luò)布線的局限性，該方式仍然有待改進(jìn)。

2.3 新型網(wǎng)絡(luò)隔離技術(shù)

經(jīng)過硬件和軟件技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)安全隔離技術(shù)開始了一個(gè)全新的階段。參考防火墻的防護(hù)優(yōu)點(diǎn)，并借鑒多樣化的網(wǎng)絡(luò)安全技術(shù)如訪問限制、日志審查、病毒防護(hù)等措施，建立了集眾家之所長的網(wǎng)絡(luò)安全新技術(shù)框架。這種技術(shù)框架，能在空間和時(shí)間兩個(gè)方面進(jìn)行網(wǎng)絡(luò)安全隔離和信息交換工作?？臻g上，通過中間交換儲存介質(zhì)分時(shí)連接內(nèi)外網(wǎng)絡(luò)，避免內(nèi)外網(wǎng)絡(luò)的直接聯(lián)系；時(shí)間上，保證用戶在同一時(shí)刻只能處于內(nèi)網(wǎng)或外網(wǎng)的其中一個(gè)，實(shí)現(xiàn)信息高速安全的傳輸。

3 新型網(wǎng)絡(luò)安全隔離技術(shù)的模型概述

新型網(wǎng)絡(luò)安全隔離技術(shù)就是通過在內(nèi)外網(wǎng)間建立交換儲存控制開關(guān)，對流經(jīng)的數(shù)據(jù)進(jìn)行檢查，分解，重組等操作。根據(jù)數(shù)據(jù)處理的過程，整個(gè)系統(tǒng)可以分為交換儲存介質(zhì)部分和內(nèi)外網(wǎng)代理部分。

3.1 內(nèi)外網(wǎng)代理部分的工作原理

內(nèi)外網(wǎng)代理是保護(hù)信息安全的首要屏障，它們分別通過運(yùn)行簡化的服務(wù)器端程序和客戶端程序，來處理通過它們的數(shù)據(jù)流量。該代理模塊主要由TCP/IP協(xié)議棧、協(xié)議分解、協(xié)議重構(gòu)、會話處理等部分構(gòu)成。其中TCP/IP協(xié)議棧能處理多種協(xié)議的會話，如HTTP、SMTP、FTP等，協(xié)議分解負(fù)責(zé)將TCP/IP協(xié)議頭映射為表單結(jié)構(gòu)，表單結(jié)構(gòu)含有許多重要協(xié)議參數(shù)，在映射過程中，會對協(xié)議的各項(xiàng)內(nèi)容進(jìn)行嚴(yán)格審查，并使用驗(yàn)證碼校驗(yàn)加密，防止代理部分被外部攻擊；協(xié)議重構(gòu)則將上述表單重新生成為數(shù)據(jù)。三個(gè)部分結(jié)合在一起稱為應(yīng)用代理子模塊。該模塊繼承了防火墻的優(yōu)點(diǎn)，能進(jìn)行包括IP審查，IP過濾、應(yīng)用層協(xié)議訪問控制等功能。

首先，TCP/IP協(xié)議棧會接受會話鏈接請求時(shí)，會自動終止鏈接，保證內(nèi)外網(wǎng)無直接鏈接聯(lián)系，之后協(xié)議棧根據(jù)設(shè)立好的規(guī)則對會話進(jìn)行安全檢查，當(dāng)發(fā)現(xiàn)不符合安全規(guī)則的協(xié)議，協(xié)議棧將立刻終止會話；若是通過了安全檢查，協(xié)議棧將為該會話建立會話表項(xiàng)，記錄進(jìn)程的有關(guān)參數(shù)以便處理外網(wǎng)持續(xù)傳回的信息。此后，會話請求會被傳送到協(xié)議分解部分，在此，會話內(nèi)容被分為數(shù)據(jù)內(nèi)容和應(yīng)用內(nèi)容；前者以特殊形式映射，靜態(tài)封裝，后者則附上驗(yàn)證序號，寫入中間交換儲存設(shè)備。會話處理部分則連接著外網(wǎng)的外部代理，起到了讀取表單，重新構(gòu)成協(xié)議段，并將具有同樣驗(yàn)證序號的協(xié)議段及數(shù)據(jù)再組合，構(gòu)成新會話并發(fā)送給外部服務(wù)器。

3.2 交換儲存介質(zhì)的工作原理

若是僅僅通過專用協(xié)議的邏輯隔離，并不能將數(shù)據(jù)靜態(tài)化，可能出現(xiàn)利用底層協(xié)議攻擊或避開安全規(guī)則攻擊的網(wǎng)絡(luò)安全漏洞。只有使內(nèi)外網(wǎng)真正隔離，才能有效組織網(wǎng)絡(luò)攻擊的發(fā)生，真正保護(hù)信息安全，交換儲存介質(zhì)就發(fā)揮著這樣的作用。

4 結(jié)語

經(jīng)過多年的發(fā)展與不懈的探索，網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的發(fā)展日漸成熟，已成為防范網(wǎng)絡(luò)攻擊，保護(hù)信息安全的重要手段。采用內(nèi)外網(wǎng)代理和交換儲存處理模塊組成的新型網(wǎng)絡(luò)安全隔離技術(shù)，可以真正實(shí)現(xiàn)硬件上的隔離，保護(hù)信息安全，徹底將網(wǎng)絡(luò)攻擊扼殺在萌芽中。

[1]蘇智睿 李云雪 王曉斌.網(wǎng)絡(luò)安全隔離與信息交換技術(shù)分析[J].信息安全與通信保密，2012，04

[2]蘇智睿.新型網(wǎng)絡(luò)安全防護(hù)技術(shù)——網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的研究：[學(xué)位論文].電子科技大學(xué)，2013，02

[3]王詩琦.網(wǎng)絡(luò)安全隔離與信息交換技術(shù)的系統(tǒng)分析[J].信息通信，2012，03

[4]馬瑞祥 王宇.安全隔離與信息交換技術(shù)的最新發(fā)展動向[J].中國計(jì)算機(jī)報(bào)，2011，08