王永建， 楊建華， 郭廣濤， 劉永濤（中國(guó)通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司，北京100079）

網(wǎng)絡(luò)安全物理隔離技術(shù)分析及展望*

王永建， 楊建華， 郭廣濤， 劉永濤
（中國(guó)通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司，北京100079）

網(wǎng)絡(luò)物理隔離是一種特殊的網(wǎng)絡(luò)安全技術(shù)，適用于可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)（或者兩個(gè)不同安全級(jí)別的安全域）之間數(shù)據(jù)交換。闡述了常見網(wǎng)絡(luò)物理隔離技術(shù)，進(jìn)行了對(duì)比分析，并指出其缺陷與問題。簡(jiǎn)述了光閘的概念、特性及主要實(shí)現(xiàn)技術(shù)，并分析了日前國(guó)內(nèi)外光閘研究存在的問題和不足。最后，在總結(jié)現(xiàn)有成果的基礎(chǔ)上，介紹了網(wǎng)絡(luò)物理隔離研究方向，為下一步的研究提出了新的問題和思路。

物理隔離；網(wǎng)閘；光閘；無反饋

［Abstract］Network physical isolation is a special kind of network security technology，suitable for data exchange between the trusted network and untrusted network（or two security domains different security levels）.This paper describes the principle of common network physical isolation technologies，points out their defects and problems via comparison and analysis，outlines the concept and characteristics and main implementation technologies of optical Gap，and analyzes existent problems and inadequacies in both domestic and international research.Finally，based on the summing-up of existing achievements，the future research direction of network physical isolation is discussed，and some new questions and ideas for further study also provided.

［Key words］physical isolation；Gap；optical Gap；without feedback

0 引言

隨著云計(jì)算、大數(shù)據(jù)、LTE、智能終端、物聯(lián)網(wǎng)等信息技術(shù)的發(fā)展，對(duì)網(wǎng)絡(luò)信息安全要求越來越嚴(yán)格和特殊。傳統(tǒng)的防火墻 （Fire Wall）、VPN（Virtual Private Network）、漏洞掃描（Vulnerability Scanning）和入侵防御 （Intrusion Prevention System）等網(wǎng)絡(luò)安全技術(shù)已不能滿足要求，亟需一種有效的安全防護(hù)技術(shù)。

國(guó)家保密局在 《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》中規(guī)定：“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息相連接，必須實(shí)行物理隔離”［1］。

中保委在《關(guān)于嚴(yán)禁用涉密計(jì)算機(jī)上國(guó)際互聯(lián)網(wǎng)的通知》規(guī)定：涉密計(jì)算機(jī)信息系統(tǒng)必須與互聯(lián)網(wǎng)實(shí)行物理隔離，嚴(yán)禁用處理國(guó)家秘密信息的計(jì)算機(jī)上互聯(lián)網(wǎng)［2］。

在這種情況下，產(chǎn)生了一種新的安全防護(hù)理念——網(wǎng)絡(luò)物理隔離（Network Physical Isolation）。

1 網(wǎng)絡(luò)物理隔離概述

日前業(yè)界對(duì)網(wǎng)絡(luò)物理隔離沒有完整的規(guī)范、標(biāo)準(zhǔn)，也沒有沒有明確的定義，本文定義為：通過一定技術(shù)方式使得多個(gè)（≥2個(gè)）不同范疇的網(wǎng)絡(luò)系統(tǒng)（含設(shè)備、線路、存儲(chǔ)、外設(shè)等）均相對(duì)獨(dú)立的組合?；贠SI網(wǎng)絡(luò)模型，即實(shí)現(xiàn)七層全部斷開，以非網(wǎng)絡(luò)方式交換數(shù)據(jù)交換的是非網(wǎng)絡(luò)數(shù)據(jù)（可以是文件，但不能是標(biāo)準(zhǔn)協(xié)議格式，如IP包）。

只有對(duì)OSI網(wǎng)絡(luò)模型的七層斷開技術(shù)特征的正確理解，才能準(zhǔn)確的理解網(wǎng)絡(luò)物理隔離的含義，OSI網(wǎng)絡(luò)模型的七層斷開技術(shù)特征如表1所示：

對(duì)于OSI網(wǎng)絡(luò)模型而言，某一層的斷開降低了該層與其它層被攻破的風(fēng)險(xiǎn)，卻沒從根本上消除基于其它層的攻擊；斷開了某一層，照樣存在對(duì)其它層攻擊的風(fēng)險(xiǎn)，因此必須實(shí)施網(wǎng)絡(luò)物理隔離，以實(shí)現(xiàn)OSI網(wǎng)絡(luò)模型的七層斷開。如圖1所示：

表1 OSI網(wǎng)絡(luò)模型的七層斷開技術(shù)特征

圖1 OSI網(wǎng)絡(luò)模型七層斷開示意圖

2 相關(guān)技術(shù)分析

2.1 單主板安全隔離計(jì)算機(jī)技術(shù)

單主板安全隔離計(jì)算機(jī)基于雙硬盤技術(shù)，在BIOS中嵌入內(nèi)/外網(wǎng)轉(zhuǎn)換裝置，插槽也分為安全區(qū)（可信網(wǎng)絡(luò)）和公共區(qū)（不可信網(wǎng)絡(luò)）。由于該技術(shù)是基于較低層的BIOS中進(jìn)行開發(fā)的，因此，與原來計(jì)算機(jī)的兼容性較好，改造優(yōu)化成本較低［3］。

在計(jì)算機(jī)主板上形成兩個(gè)獨(dú)立的“區(qū)域”，每個(gè)區(qū)域由各自獨(dú)立的網(wǎng)卡和硬盤負(fù)責(zé)網(wǎng)絡(luò)接入和信息存儲(chǔ)，通過BIOS實(shí)現(xiàn)信息發(fā)送和I/O設(shè)備的控制，并且只能在各自所屬的區(qū)域內(nèi)工作，不能跨區(qū)域工作。主要功能如下。

（1）對(duì)外設(shè)限制功能：在系統(tǒng)引導(dǎo)的過程中禁止驅(qū)動(dòng)器中存在移動(dòng)存儲(chǔ)介質(zhì)，禁止輸入/輸出外設(shè)（如掃描儀、打印機(jī)、投影儀等）接入；實(shí)現(xiàn)軟驅(qū)、光驅(qū)關(guān)閉/禁用控制功能。

（2）對(duì)雙向接口設(shè)備限制功能：對(duì)雙接口（如LPT、COM、SCSI、USB、1394、MIDI等）設(shè)備的雙向功能限制；對(duì)于BIOS通過防寫跳線防止病毒侵入、非法刷新、惡意修改等。

單主板安全隔離計(jì)算機(jī)技術(shù)的缺陷和風(fēng)險(xiǎn)：

由于打印機(jī)、一體機(jī)等外設(shè)配置數(shù)據(jù)緩存，有的還支持?jǐn)?shù)據(jù)調(diào)閱，因此單主板安全隔離計(jì)算機(jī)在內(nèi)/外網(wǎng)切換時(shí)，外設(shè)未徹底清除數(shù)據(jù)緩存或歷史記錄，將有被二次獲取的泄密隱患。

2.2 網(wǎng)絡(luò)安全隔離卡

網(wǎng)絡(luò)安全隔離卡（Net Security Sepatate Card）屬于硬件插卡，設(shè)置在計(jì)算機(jī)最低層的物理部件上，在物理上將計(jì)算機(jī)劃分為兩個(gè)獨(dú)立的部分，每一部分都有各自的“獨(dú)立”硬盤。其一邊連接IDE硬盤，另一邊通過IDE總線連接主板［4］。計(jì)算機(jī)的硬盤被分割成安全區(qū)（可信網(wǎng)絡(luò)）和公共區(qū)（不可信網(wǎng)絡(luò)）兩個(gè)物理區(qū)。如圖2所示：

圖2 網(wǎng)絡(luò)安全隔離卡工作原理圖

網(wǎng)絡(luò)安全隔離卡像一個(gè)分接開關(guān)，任何時(shí)刻計(jì)算機(jī)只能與一個(gè)數(shù)據(jù)分區(qū)以及對(duì)應(yīng)的網(wǎng)絡(luò)連通。計(jì)算機(jī)因此被分為安全模式和公共模式，并且某一時(shí)刻只可以在一個(gè)模式下工作；兩個(gè)模式轉(zhuǎn)換時(shí)，所有的臨時(shí)數(shù)據(jù)都會(huì)被徹底刪除。

（1）安全模式：主機(jī)僅能通過安全區(qū)與可信網(wǎng)絡(luò)互聯(lián)，此時(shí)與不可信網(wǎng)絡(luò)斷開，公共區(qū)是封閉的。

（2）公共模式：主機(jī)僅能通過公共區(qū)與不可信網(wǎng)絡(luò)互聯(lián)，此時(shí)與可信網(wǎng)絡(luò)是斷開的，安全區(qū)是封閉的。

安全區(qū)與公共區(qū)之間不允許直接交換數(shù)據(jù)，但是可以通過專門設(shè)置的中間功能區(qū)進(jìn)行，或通過設(shè)置的安全通道使數(shù)據(jù)由公共區(qū)向安全區(qū)轉(zhuǎn)移（不可逆向）。

網(wǎng)絡(luò)安全隔離卡的缺陷和風(fēng)險(xiǎn)：

（1）錯(cuò)誤連接風(fēng)險(xiǎn)：網(wǎng)絡(luò)安全隔離卡有網(wǎng)卡接口、內(nèi)網(wǎng)接口和外網(wǎng)接口，要求隔離卡的網(wǎng)卡接口連接網(wǎng)卡，內(nèi)網(wǎng)接口連接內(nèi)網(wǎng)，外網(wǎng)接口連接外網(wǎng)；實(shí)際應(yīng)用中常出現(xiàn)連接錯(cuò)誤，造成信息泄漏。

（2）網(wǎng)絡(luò)安全隔離卡失效：安全隔離卡中的繼電器屬于主要電路元器件，雖然具有一定的耐久性，但是安全隔離卡的工作狀態(tài)屬于長(zhǎng)時(shí)間通電狀態(tài)，易造成元器件燒壞，從而引起安全隔離卡失效。

（3）如果安全隔離卡的控制或驅(qū)動(dòng)程序設(shè)計(jì)不嚴(yán)謹(jǐn)，存在被第三方程序篡改的可能［5］。

2.3 網(wǎng)絡(luò)安全集線器

網(wǎng)絡(luò)安全集線器（Net Security Sepatate HUB），是一種多路開關(guān)切換設(shè)備，又稱網(wǎng)絡(luò)線路選擇器，基于物理層互聯(lián)設(shè)備集線器（HUB）開發(fā)。網(wǎng)絡(luò)安全集線器與網(wǎng)絡(luò)安全隔離卡聯(lián)合使用，對(duì)其發(fā)出檢測(cè)信號(hào)，識(shí)別出所連接的計(jì)算機(jī)，自動(dòng)切換到對(duì)應(yīng)網(wǎng)絡(luò)的HUB上進(jìn)行互聯(lián)，從而實(shí)現(xiàn)計(jì)算機(jī)與可信網(wǎng)絡(luò)和不可信網(wǎng)絡(luò)之間的安全連接與自動(dòng)切換。如圖3所示：

圖3 網(wǎng)絡(luò)安全集線器工作原理圖

2.4 網(wǎng)閘

網(wǎng)閘（GAP）是當(dāng)前網(wǎng)絡(luò)物理隔離中最為典型的技術(shù)，網(wǎng)閘的原理基于安全島的理念。

2.4.1 安全島

（1）安全島理念

安全島旨在構(gòu)建一個(gè)實(shí)現(xiàn)可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間物理斷開，但邏輯相連的數(shù)據(jù)交換機(jī)制，要求可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間不允許數(shù)據(jù)直接交換，并且不允許實(shí)際互聯(lián)。

安全島采用“擺渡”的方式實(shí)現(xiàn)數(shù)據(jù)交換。首先安全島與A網(wǎng)絡(luò)連接（此時(shí)與B網(wǎng)絡(luò)斷開），將一側(cè)網(wǎng)絡(luò)過來的數(shù)據(jù)“卸載”到安全島中；其次安全島與A網(wǎng)絡(luò)斷開（與B網(wǎng)絡(luò)仍保持?jǐn)嚅_狀態(tài)），對(duì)安全島中的數(shù)據(jù)進(jìn)行協(xié)議剝離、格式檢查、內(nèi)容檢測(cè)、冗余數(shù)據(jù)去除等安全措施，留下“安全數(shù)據(jù)”；然后安全島與B網(wǎng)絡(luò)連接（此時(shí)與A網(wǎng)絡(luò)斷開），根據(jù)相應(yīng)策略將“安全數(shù)據(jù)”轉(zhuǎn)入B網(wǎng)絡(luò)［6］。如圖4所示：

圖4 安全島實(shí)現(xiàn)原理圖

（2）安全島組成結(jié)構(gòu)

安全島由兩個(gè)安全半島組成，完成兩個(gè)接口機(jī)之間的數(shù)據(jù)交換，可通過硬件控制安全半島的讀寫，從而通過硬件控制數(shù)據(jù)的單方向傳輸。

由兩個(gè)嵌入式計(jì)算機(jī)及安全島裝置實(shí)現(xiàn)網(wǎng)絡(luò)的物理隔離，并由安全半島調(diào)度引擎實(shí)現(xiàn)安全“擺渡”，完成數(shù)據(jù)交換。系統(tǒng)內(nèi)置硬件Watchdog，保證系統(tǒng)軟件的可靠運(yùn)行。如圖5所示：

圖5 安全島組成結(jié)構(gòu)圖

安全策略設(shè)置在可信網(wǎng)絡(luò)側(cè)的主機(jī)上，禁止安全島與不可信網(wǎng)絡(luò)和可信網(wǎng)絡(luò)同時(shí)相連，切斷來自不可信網(wǎng)絡(luò)的任何攻擊。通過專門的硬件控制系統(tǒng)，控制安全島的“通”和“斷”，實(shí)現(xiàn)不可信網(wǎng)絡(luò)與可信網(wǎng)絡(luò)之間的數(shù)據(jù)交換，保證不被攻擊者篡改和“越獄”。

2.4.2 網(wǎng)閘茅統(tǒng)結(jié)構(gòu)與原理

基于安全島的理念，網(wǎng)閘采用“2+1”（雙主機(jī)系統(tǒng)+專用隔離交換器件）的系統(tǒng)結(jié)構(gòu)，斷開內(nèi)/外網(wǎng)絡(luò)，確保兩個(gè)網(wǎng)絡(luò)之間安全隔離。內(nèi)、外網(wǎng)主機(jī)系統(tǒng)之間，不存在通信的物理連接和邏輯連接，沒有任何基于的協(xié)議通信，保證了通信協(xié)議連接斷開。通過隔離交換系統(tǒng)進(jìn)行無協(xié)議的、專有格式化的、純數(shù)據(jù)塊的“擺渡”，實(shí)現(xiàn)了內(nèi)/外網(wǎng)之間數(shù)據(jù)交換［7］。如圖6所示：

圖6 網(wǎng)閘系統(tǒng)結(jié)構(gòu)圖

通過網(wǎng)閘的數(shù)據(jù)，首先被剝離為不包含任何附加信息的純數(shù)據(jù)，經(jīng)過嚴(yán)格檢查數(shù)據(jù)合法性后，按照專用協(xié)議對(duì)這些純數(shù)據(jù)進(jìn)行處理和轉(zhuǎn)發(fā)。如圖7所示：

圖7 網(wǎng)閘數(shù)據(jù)交換流程示意圖

（1）從內(nèi)網(wǎng)過來的數(shù)據(jù)到達(dá)內(nèi)網(wǎng)主機(jī)后，原來的網(wǎng)絡(luò)協(xié)議被阻斷、會(huì)話被終結(jié)；（2）應(yīng)用層信息被從層層協(xié)議中剝離為不包含任何附加信息的“純數(shù)據(jù)”，檢測(cè)用戶的合法性和數(shù)據(jù)的安全性；（3）通過專用硬件和專用協(xié)議將“純數(shù)據(jù)”發(fā)送給數(shù)據(jù)通道控制單元對(duì)“純數(shù)據(jù)”進(jìn)行解析、過濾、重組等處理后發(fā)送給另一方；（4）“純數(shù)據(jù)”到達(dá)日的地后再還原為標(biāo)準(zhǔn)通信協(xié)議（如TCP/IP）。

因此，在內(nèi)網(wǎng)和外網(wǎng)之間只傳遞“純數(shù)據(jù)”而不傳遞冗余數(shù)據(jù)等存在安全隱患的信息，過濾掉了基于通信協(xié)議漏洞的攻擊，保證了內(nèi)/外網(wǎng)之間交換信息的純凈、安全和可靠。

2.4.3 網(wǎng)閘主流實(shí)現(xiàn)技術(shù)

（1）SCSI開關(guān)技術(shù)

基于SCSI的開關(guān)技術(shù)是當(dāng)前主流的網(wǎng)閘技術(shù)。SCSI不屬于通信協(xié)議，而是一個(gè)主從的單向外設(shè)讀寫協(xié)議，外設(shè)僅僅是介質(zhì)日標(biāo)，自身不具備邏輯執(zhí)行能力。主機(jī)僅寫入數(shù)據(jù)，自身并不判斷正確，而是采用專門的讀/寫驗(yàn)證機(jī)制，將寫入的數(shù)據(jù)讀出來后驗(yàn)證寫入數(shù)據(jù)的正確性，該機(jī)制保證讀/寫數(shù)據(jù)的正確性與可靠性［8］。SCSI斷開了OSI模型中的數(shù)據(jù)連接，沒有通信協(xié)議。如圖8所示：

圖8 基于SCSI的網(wǎng)閘技術(shù)原理圖

說明：上圖中，設(shè)K斷開為0，閉合為1；K3=K1×K2≠1。

（2）內(nèi)存總線技術(shù)

基于內(nèi)存總線的技術(shù)采用一種叫雙端口的靜態(tài)存儲(chǔ)器（Dual Port SRAM），雙端口分別通過開關(guān)連接獨(dú)立的計(jì)算機(jī)，采用獨(dú)立的CPLD控制電路實(shí)現(xiàn)對(duì)兩個(gè)端口的開關(guān)，確保雙端口靜態(tài)存儲(chǔ)器的兩個(gè)獨(dú)立開關(guān)不能同時(shí)閉合。這種結(jié)構(gòu)存在較大的缺陷，必須保證應(yīng)用協(xié)議的剝離，當(dāng)交換的內(nèi)容是文件數(shù)據(jù)時(shí)，是物理隔離；當(dāng)交換的內(nèi)容是IP包時(shí)，則不是物理隔離［9］。如圖9所示：

圖9 基于內(nèi)存總線的網(wǎng)閘技術(shù)原理圖

（3）單向傳輸技術(shù)

單向傳輸是相對(duì)雙向通信而言的，沒有反向通道，采用固定斷開技術(shù)，不需要開關(guān)。單向傳輸必須保證OSI網(wǎng)絡(luò)模型七層的單向，其中某一層或者多層的雙向，并不屬于真正的物理隔離。利用兩個(gè)反向的單向傳輸通道，可構(gòu)成支持?jǐn)?shù)據(jù)交互的網(wǎng)閘，這種結(jié)構(gòu)與傳統(tǒng)的通信通道有本質(zhì)的不同，兩個(gè)反向的單向傳輸通道是完全無關(guān)的［10］。如圖10所示：

圖10 基于單向傳輸?shù)木W(wǎng)閘技術(shù)原理圖

2.4.4 網(wǎng)閘存在的問題與不足

（1）不能保證無反饋單向傳輸

網(wǎng)閘是典型的、應(yīng)用廣泛的網(wǎng)絡(luò)物理隔離技術(shù)。但最新研究表明，網(wǎng)閘不能防止泄密，存在潛在反向通道，有信息被泄露的風(fēng)險(xiǎn)［11］。如ICMP和IGMP定位問題，就可能被攻擊者非法利用。雖然當(dāng)前也產(chǎn)生了一些使用硬件或軟件的小反饋技術(shù)實(shí)現(xiàn)的單向網(wǎng)閘，但是小反饋技術(shù)的方法仍然存在潛在的返向通道。

（2）“純數(shù)據(jù)”會(huì)成為病毒或者攻擊的載體

基于數(shù)據(jù)“擺渡”的原理，“病毒或者攻擊數(shù)據(jù)”暫時(shí)藏匿于“純數(shù)據(jù)”之中，通過網(wǎng)閘后“復(fù)活”從而進(jìn)行攻。雖然網(wǎng)閘定義了一系列數(shù)據(jù)安全規(guī)則，仍然不能消除病毒或者攻擊“偷渡”過網(wǎng)閘［9］。

（3）數(shù)據(jù)傳輸效率低

隨著信息技術(shù)的發(fā)展，語(yǔ)音、數(shù)據(jù)、視頻、圖片等業(yè)務(wù)對(duì)網(wǎng)絡(luò)帶寬要求越來越高，而基于數(shù)據(jù)“擺渡”技術(shù)的網(wǎng)閘延遲長(zhǎng)、帶寬有效率低，無法滿足海量數(shù)據(jù)交互的需求。日前主流網(wǎng)閘的帶寬有效使用率很低，由于其數(shù)據(jù)“擺渡”的實(shí)現(xiàn)原理局限，數(shù)據(jù)傳輸速率很難有大的提高。

（4）產(chǎn)品設(shè)計(jì)本身存在安全漏洞

日前網(wǎng)絡(luò)安全攻擊的技術(shù)逐漸深層化，攻擊手段多樣化?；凇?+1”（雙主機(jī)系統(tǒng)+專用隔離交換器件）架構(gòu)的網(wǎng)閘，其主機(jī)系統(tǒng)類似于代理服務(wù)器，即使采用了嵌入式系統(tǒng)，其自身仍存在被攻擊的漏洞。

（5）開放式“擺渡”，數(shù)據(jù)加密機(jī)制匱乏

網(wǎng)閘將數(shù)據(jù)“擺渡”的過程中，原來數(shù)據(jù)的封裝協(xié)議被剝離，只剩下“凈數(shù)據(jù)裸露”，數(shù)據(jù)加密機(jī)制不完善，數(shù)據(jù)依然存在被竊取或者篡改的風(fēng)險(xiǎn)。

對(duì)于網(wǎng)閘，國(guó)家相關(guān)單位明確指出：“GAP技術(shù)不是物理隔離，不能用于涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)之間的連接”［12］。因此，需要一種新的技術(shù)替代網(wǎng)閘，以實(shí)現(xiàn)網(wǎng)絡(luò)物理隔離，于是產(chǎn)生了光閘。

2.5 光閘

2.5.1 光閘的概念與特性

光閘（optical Gap）是利用物理層光的單向傳輸技術(shù)實(shí)現(xiàn)無反饋單向傳輸?shù)能浻布M合，是近些年新興的技術(shù)。日前業(yè)界對(duì)光閘沒有統(tǒng)一的命名與定義，光閘的名稱也是業(yè)界通常根據(jù)原來網(wǎng)閘的名字稱其為“光閘”。

光閘的傳輸效率極高，延遲可控制在納秒級(jí)，相對(duì)于傳統(tǒng)的數(shù)據(jù)“擺渡”技術(shù)，數(shù)據(jù)交互的實(shí)時(shí)性極高；相對(duì)于網(wǎng)閘帶寬的瓶頸，光纖通信帶寬容量可達(dá)到Tb/s級(jí)。

2.5.2 光閘的研究情況

日前國(guó)內(nèi)外關(guān)于光閘研究的文獻(xiàn)資料比較少，缺乏統(tǒng)一的標(biāo)準(zhǔn)和規(guī)范。

（1）國(guó)內(nèi)的研究情況

文獻(xiàn)［11］中采用嵌入式技術(shù)與光耦芯片，設(shè)計(jì)了一種無反饋單向傳輸實(shí)現(xiàn)方法。文獻(xiàn)［13］中提出了一種高可靠的無連接傳輸層協(xié)議——單向數(shù)據(jù)包協(xié)議（One Way Data Protoeol），采用無連接協(xié)議方式，并定義了數(shù)據(jù)包格式和錯(cuò)誤校驗(yàn)方式。文獻(xiàn)［14］中從數(shù)據(jù)無反饋傳輸保障和安全冗余考慮，提出了一種高可靠的無連接傳輸層協(xié)議——光閘數(shù)據(jù)包協(xié)議（Optical Shutter Data Protocol），該協(xié)議采用CRC檢驗(yàn)以提高校驗(yàn)錯(cuò)能力，協(xié)議可選項(xiàng)--報(bào)文摘要，用于糾錯(cuò)功能，在雙機(jī)冗余備份系統(tǒng)情況下，可大幅提高數(shù)據(jù)傳輸?shù)目煽啃?。文獻(xiàn)［15］中提出了一種采用旁路分光還原技術(shù)的光閘設(shè)計(jì)方案。文獻(xiàn)［16］和［17］是兩種光閘專利技術(shù)，提出了兩種光閘的設(shè)計(jì)方法。

（2）國(guó)外對(duì)光閘的研究

國(guó)外對(duì)光閘研究的文獻(xiàn)資料更少，但是在無反饋單向傳輸實(shí)現(xiàn)技術(shù)上卻研究深入，日前業(yè)界主流的無反饋單向傳輸技術(shù)均來自國(guó)外。

數(shù)據(jù)泵技術(shù)（Data Pump）：數(shù)據(jù)泵是無反饋單向傳輸發(fā)展初期的技術(shù)，在1993年由Myog H.Kag等提出。其實(shí)現(xiàn)思想是，采用反向確認(rèn)機(jī)制限制數(shù)據(jù)由內(nèi)網(wǎng)向外網(wǎng)流出，從而保證數(shù)據(jù)從外網(wǎng)向內(nèi)網(wǎng)的單向傳輸。數(shù)據(jù)泵技術(shù)中通信控制體系是雙向的，存在反向通道，因此存在數(shù)據(jù)反向傳輸?shù)娘L(fēng)險(xiǎn)［18］。

數(shù)據(jù)二極管技術(shù)（Data Diode）：與數(shù)據(jù)泵相比，數(shù)據(jù)二極管沒有反向的反饋通道，采用PUSH的數(shù)據(jù)傳輸模式，發(fā)送端主動(dòng)向接收端“推”數(shù)據(jù)，接收端只被動(dòng)接收數(shù)據(jù)，不向發(fā)送端反饋任何信息。發(fā)送端屬于“盲發(fā)”，不知道接收端的接收情況，接收端通過容錯(cuò)控制機(jī)制保證數(shù)據(jù)的正確完整性［19］。

日前，國(guó)內(nèi)外在無反饋單向傳輸領(lǐng)域展開的相關(guān)研究，主要以數(shù)據(jù)二極管技術(shù)為設(shè)計(jì)思路，但是其實(shí)現(xiàn)技術(shù)成本較高。

2.5.3 光閘存在的問題

盡管光閘有很多優(yōu)點(diǎn)，由于其發(fā)展時(shí)間較短，仍存在一些問題和不足，亟待完善與改進(jìn)，主要如下。

（1）業(yè)界缺乏明確的規(guī)范與標(biāo)準(zhǔn)，實(shí)現(xiàn)技術(shù)、產(chǎn)品性能、兼容性、可擴(kuò)展性等參差不齊。

（2）單向數(shù)據(jù)傳輸實(shí)現(xiàn)協(xié)議，數(shù)據(jù)傳輸模型及策略不足。

（3）差錯(cuò)控制技術(shù)對(duì)于單向傳輸數(shù)據(jù)的校驗(yàn)不足。

3 展望分析

網(wǎng)絡(luò)物理隔離技術(shù)主要用于涉密系統(tǒng)或者高敏感系統(tǒng)，相對(duì)于常規(guī)網(wǎng)絡(luò)安全技術(shù)，要求更為嚴(yán)格，結(jié)合日前研究情況，今后研究方向和需完善之處主要如下。

（1）標(biāo)準(zhǔn)、規(guī)范。完善網(wǎng)絡(luò)隔離的規(guī)范、標(biāo)準(zhǔn)，避免市場(chǎng)上出現(xiàn)的多種聲稱“網(wǎng)絡(luò)物理隔離”的產(chǎn)品，實(shí)際效果卻差強(qiáng)人意。

（2）專用通信協(xié)議。日前沒有專門的網(wǎng)絡(luò)物理隔離通信協(xié)議，現(xiàn)有的研究主要是基于傳統(tǒng)通信協(xié)議（如TCP/IP）改進(jìn)而來。尤其是無反饋單向傳輸，日前研究往往采用UDP協(xié)議或者廣播協(xié)議：由于這些協(xié)議設(shè)計(jì)初衷不是面向網(wǎng)絡(luò)物理隔離的，并不能滿足要求。

（3）差錯(cuò)控制。在無反饋單向傳輸系統(tǒng)中，由于無反向通道，單向傳輸本身是不可靠的，必須從數(shù)據(jù)的校驗(yàn)、檢查上來驗(yàn)證正確、可靠性。前向糾錯(cuò)技術(shù)（Forward error correction）尤為關(guān)鏈，當(dāng)前的研究成果并不理想，這也是無反饋單向傳輸?shù)募夹g(shù)難點(diǎn)。

（4）測(cè)試、驗(yàn)證方法。測(cè)試網(wǎng)絡(luò)物理隔離，必須確保OSI網(wǎng)絡(luò)模型七層全部斷開，日前缺乏系統(tǒng)有效的測(cè)試方法。對(duì)于無反饋單向傳輸，還必須驗(yàn)證不存在反向通道。

（5）數(shù)據(jù)識(shí)別分離。網(wǎng)絡(luò)物理隔離，既要保證“隔離”，又要保證“通過”，必須識(shí)別并分離安全數(shù)據(jù)、冗余數(shù)據(jù)、不安全數(shù)據(jù)，只允許“安全數(shù)據(jù)”交互，保證數(shù)據(jù)的“純凈”。

（6）新興技術(shù)的應(yīng)用。未來網(wǎng)絡(luò)物理隔離不僅僅是單純的“物理隔離”，利用量子通信、光子集成、可信計(jì)算等新興技術(shù)，將會(huì)推動(dòng)網(wǎng)絡(luò)物理隔離的迅速發(fā)展。

本文對(duì)常見的網(wǎng)絡(luò)物理隔離技術(shù)進(jìn)行了分析，指出其存在的缺陷，闡述了今后研究方向和需要解決的難點(diǎn)問題，為該領(lǐng)域研究提供了必要的參考與借鑒。

［1］ 春增軍，鄒來龍.發(fā)電企業(yè)集團(tuán)辦公網(wǎng)與互聯(lián)網(wǎng)隔離策略分析與方案研究［J］.電子技術(shù)應(yīng)用，2010（1）：144-147.

［2］ 宋衛(wèi)平.四川省電力公司雙網(wǎng)隔離環(huán)境下內(nèi)外網(wǎng)交互平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)［D］.成都：電子科技大學(xué)，2013.

［3］ 曾明.AirGap機(jī)制及實(shí)現(xiàn)研究［D］.昆明：昆明理工大學(xué)，2003.

［4］ 張莉.網(wǎng)絡(luò)安全技術(shù)及解決方案探討［J］.廣東公安科技，2003（2）：47-48.

［5］ 縱健羽，洪克良，席麗萍.安全隔離計(jì)算機(jī)保密管理探討［C］//第十八屆全國(guó)信息保密學(xué)術(shù)會(huì)議.北京：金城出版社，2008：220-225.

［6］ 中國(guó)電力科學(xué)研究院.網(wǎng)絡(luò)安全產(chǎn)品技術(shù)交流［DB/OL］.http：//wenku.baidu.com/view/bdd130d53186bceb19e8bb1d.html？re=view，2011-10-08/2015-07-23.

［7］ 網(wǎng)御神州.安全隔離與信息交換系統(tǒng)技術(shù)白皮書［DB/OL］. http：//wenku.baidu.com/view/6e45e50abb68a98271fefabf.html？from=search，2010-09-25/2015-07-23.

［8］ 劉建.淺談隔離技術(shù)在不同安全域間進(jìn)行信息交換方面的應(yīng)用［J］.信息網(wǎng)絡(luò)安全，2007（3）：67-68.

［9］ 汪鳴.隔離網(wǎng)閘技術(shù)淺析［J］.商場(chǎng)現(xiàn)代化，2011（11）：75-76.

［10］ 萬(wàn)平國(guó).網(wǎng)絡(luò)隔離與網(wǎng)閘.北京：機(jī)械工業(yè)出版社，2004：72. ［11］ 劉永富，焦斌亮，靳國(guó)慶.網(wǎng)絡(luò)信息安全無反饋單向傳輸?shù)脑O(shè)計(jì)與實(shí)現(xiàn)［J］.計(jì)算機(jī)安全，2010（11）：38-41.

［12］ 張巖.如何保障內(nèi)外網(wǎng)之間的安全聯(lián)接［J］.信息網(wǎng)絡(luò)安全，2007（9）：16-18.

［13］ 王海洋，王江波，孟凡勇.一種新型的安全隔離和數(shù)據(jù)傳輸設(shè)備設(shè)計(jì)［C］//第27次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì).合肥：中國(guó)科學(xué)技術(shù)大學(xué)出版社，2012，（8）：118-120.

［14］ 萬(wàn)月亮，朱賀軍，劉宏志.基于光閘的單向傳輸系統(tǒng)可靠性研究［J］.攻防技術(shù)研究，2010（12）：25-27.

［15］ 火一莽，張?？?，張春霽.光閘技術(shù)方案設(shè)計(jì)［J］.電子世界，2011（03）：26-30.

［16］ 李志鵬，王洪波.一種單向隔離光閘［P］.中國(guó)專利：CN 202385106 U，2012-08-15［2015-07-23］.http：//dbpub. cnki.net/grid2008/dbpub/detail.aspx？QueryID=6&CurRec =1&dbcode=SCPD&dbname=SCPD2012&filename= CN202385106U&urlid=&yx=.

［17］ 湯志偉，吳軼軒，梅林.一種基于單向傳輸?shù)膬?nèi)外網(wǎng)安全隔離系統(tǒng)［P］.中國(guó)專利：CN 202178780 U，2012-03-28 ［2015-07-23］.http：//dbpub.cnki.net/grid2008/dbpub/detail.aspx？QueryID=3&CurRec=1&dbcode=SCPD&dbname =SCPD2012&filename=CN202178780U&urlid=&yx=.

［18］ KANG M H，Moskowitz I S.A Pump for Rapid，Reliable，Secure Communication［C］//1st.ACM Confon Computer and Communications Security.Virginia，USA：Virginia Press，1993：119-129.

［19］ Jones Douglas W，Browersox Tom C.Secure Data Export and Auditing Using Data Diodes［C］//Wallach Proceedings of the USENIX/Accurate Electronic Voting Technology Workshop. California，USA：University of California at Berkeley Press，2006：04.

Analysis and Prospect of Physical Isolation Technology for Network Security

WANG Yong-jian，YANG Jian-hua，GUO Guang-tao，LIU Yong-tao
（China International Telecommunication Construction Group Design Institute Co.Ltd，Beijing 100079，China）

TN918.91

A

1009-8054（2016）02-0117-06

2015-10-15

王永建（1981—），男，碩士，高級(jí)工程師，主要研究網(wǎng)絡(luò)信息安全、數(shù)據(jù)通信、多媒體通信、數(shù)據(jù)挖掘分析；

楊建華（1979—），男，本科，高級(jí)工程師，主要研究數(shù)據(jù)通信、網(wǎng)絡(luò)信息安全；

郭廣濤（1977—），男，本科，高級(jí)工程師，主要研究數(shù)據(jù)通信、網(wǎng)絡(luò)信息安全；

劉永濤（1981—），男，本科，工程師，主要研究數(shù)據(jù)通信、光通信。