余忠凱，吳金峰，吳美華，陳 戈

（塔里木油田公司信息與通訊技術(shù)中心，庫爾勒 841000）

隨著現(xiàn)代通信技術(shù)的迅猛發(fā)展和油田信息化建設(shè)的推進(jìn)，物聯(lián)網(wǎng)廣泛應(yīng)用在油田各生產(chǎn)領(lǐng)域中，但網(wǎng)絡(luò)安全問題也日益凸顯，為保障油田網(wǎng)絡(luò)和數(shù)據(jù)的安全性，必須采用技術(shù)手段將內(nèi)外網(wǎng)完全隔離，本文介紹采用網(wǎng)絡(luò)安全隔離網(wǎng)閘，對內(nèi)、外網(wǎng)進(jìn)行物理隔離，以確保內(nèi)網(wǎng)數(shù)據(jù)的安全，同時又高效實現(xiàn)與外網(wǎng)共享。

1 網(wǎng)絡(luò)安全隔離網(wǎng)閘的背景

網(wǎng)絡(luò)安全隔離網(wǎng)閘，即安全隔離與信息交換系統(tǒng)，是模擬人工在兩個隔離網(wǎng)絡(luò)之間的信息交換，20世紀(jì)90年代中期，俄羅斯人Ry Jones首先提出了“AirGap”隔離概念，簡稱“GAP”。然后，以色列成功研制出物理隔離卡，實現(xiàn)網(wǎng)絡(luò)之間的隔離。

第一代網(wǎng)閘技術(shù)利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時存取共享存儲設(shè)備來完成數(shù)據(jù)交換的，實現(xiàn)了在空氣縫隙隔離“AirGap”情況下的數(shù)據(jù)交換，安全原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全效果。

第二代網(wǎng)閘充分吸取了第一代網(wǎng)閘優(yōu)點，創(chuàng)造性地利用全新理念的專用交換通道PET技術(shù)，數(shù)據(jù)交換過程通過專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來實現(xiàn)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，并支持更多的網(wǎng)絡(luò)應(yīng)用。

2 網(wǎng)絡(luò)安全隔離網(wǎng)閘的原理

正常情況下，安全隔離網(wǎng)閘、外網(wǎng)和內(nèi)網(wǎng)是完全斷開的，當(dāng)外網(wǎng)需要向內(nèi)網(wǎng)傳輸數(shù)據(jù)時，外部的服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，對數(shù)據(jù)包進(jìn)行數(shù)據(jù)分析與病毒掃描，把經(jīng)過檢測后的安全原始數(shù)據(jù)寫入存儲介質(zhì)中，當(dāng)數(shù)據(jù)完全寫入后，隔離設(shè)備立即終端與外網(wǎng)的連接，轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隨后，數(shù)據(jù)被推向內(nèi)網(wǎng)，并交給應(yīng)用系統(tǒng)，在控制臺收到完整的交換信號后，隔離設(shè)備立即切斷與內(nèi)網(wǎng)的直接連接；當(dāng)數(shù)據(jù)需要有內(nèi)網(wǎng)向外網(wǎng)傳遞時，也遵從相似過程。

3 網(wǎng)閘在西部某油田的應(yīng)用探討

西部某油田物聯(lián)網(wǎng)建設(shè)嚴(yán)格按照集團(tuán)公司信息系統(tǒng)建設(shè)要求，從網(wǎng)閘選型上進(jìn)行了分析研究：從硬件架構(gòu)上，傳統(tǒng)網(wǎng)閘采用雙主機(jī)+隔離硬件設(shè)計思路，并使用專有隔離芯片和流處理芯片，在網(wǎng)絡(luò)通信過程中采用內(nèi)部私有協(xié)議進(jìn)行數(shù)據(jù)安全擺渡，以阻斷通用的網(wǎng)絡(luò)協(xié)議，其工作原理類似于“二極管”單向?qū)щ姷奶匦?。為方便業(yè)務(wù)訪問，傳統(tǒng)網(wǎng)閘產(chǎn)品根據(jù)安全檢測的結(jié)果，采用在內(nèi)外網(wǎng)接口上解析應(yīng)用協(xié)議的方式工作，一端將應(yīng)用協(xié)議剝離成數(shù)據(jù)，另一端又恢復(fù)成應(yīng)用協(xié)議。這種解析不僅覆蓋常見應(yīng)用協(xié)議，而且對數(shù)據(jù)庫的訪問也可代理通過，網(wǎng)閘的安全主要依賴安全檢測技術(shù)，這就為緩沖區(qū)溢出、SQL注入等攻擊提供了生存的溫床；經(jīng)過協(xié)議解析后，應(yīng)用可以通過網(wǎng)閘，攻擊也就有了載體。因此，基于應(yīng)用協(xié)議解析網(wǎng)閘實際上成為一個邏輯上的安全網(wǎng)關(guān)，滿足了數(shù)據(jù)交換的功能，但失去了網(wǎng)絡(luò)隔離的效果。

我們認(rèn)為，為保證油田生產(chǎn)安全，油氣物聯(lián)網(wǎng)的網(wǎng)閘設(shè)計目標(biāo)應(yīng)滿足：在保證業(yè)務(wù)通訊隔離的基礎(chǔ)上，實現(xiàn)數(shù)據(jù)交換，其關(guān)鍵是安全性的延續(xù)，所以網(wǎng)閘的設(shè)計重點不僅是隔離與交換的控制邏輯設(shè)計上，而且包括業(yè)務(wù)代理的實現(xiàn)模式上。通過網(wǎng)閘實現(xiàn)業(yè)務(wù)數(shù)據(jù)自動交換的原理模型見圖2。

圖1 傳統(tǒng)網(wǎng)閘的工作原理

圖2 網(wǎng)閘實現(xiàn)數(shù)據(jù)自動交換工作原理圖

基于以上認(rèn)識，我們采用市場調(diào)研、壓力測試、組網(wǎng)驗證的手段，最終選用某品牌的高端單向網(wǎng)閘，它采用安全隔離與信息交換系統(tǒng)架構(gòu)。安全隔離與信息交換系統(tǒng)架構(gòu)網(wǎng)閘主要由內(nèi)網(wǎng)主機(jī)系統(tǒng)、外網(wǎng)主機(jī)系統(tǒng)和隔離交換矩陣三部分構(gòu)成。內(nèi)/外網(wǎng)主機(jī)系統(tǒng)分別與內(nèi)/外網(wǎng)相連，負(fù)責(zé)相應(yīng)信息的獲取和協(xié)議分析，隔離交換矩陣根據(jù)安全策略完成信息的安全檢測和內(nèi)外網(wǎng)絡(luò)之間的安全交換。整個系統(tǒng)具備以下技術(shù)特性：多網(wǎng)絡(luò)隔離的體系結(jié)構(gòu)，通過專用硬件完成兩側(cè)信息的“擺渡”；被隔離網(wǎng)絡(luò)之間任何時刻不產(chǎn)生物理連接；內(nèi)/外網(wǎng)主機(jī)系統(tǒng)之間沒有網(wǎng)絡(luò)協(xié)議邏輯連接，通過隔離交換矩陣的全部是應(yīng)用層數(shù)據(jù)，也就是OSI模型的七層協(xié)議全部斷開；數(shù)據(jù)交換方式完全私有，不具備可編程性。

圖3 基于安全隔離與信息交換網(wǎng)閘的工作原理圖

最終，我們實現(xiàn)了油氣物聯(lián)網(wǎng)中ORACLE，SYBASE，DB2，MS SQLSERVER等數(shù)據(jù)庫的單向同步，解決了不同安全域之間信息交換的問題，并在此基礎(chǔ)上實現(xiàn)對信息交換底層訪問控制和應(yīng)用層內(nèi)容的實時檢查，從而確保了油氣生產(chǎn)物聯(lián)網(wǎng)安全可靠的通信。

盡管基于安全隔離與信息交換系統(tǒng)架構(gòu)的單向網(wǎng)閘有極高的安全性，但在生產(chǎn)與安保視頻子網(wǎng)中無法進(jìn)行平臺互動。因此，我們對視頻網(wǎng)與辦公網(wǎng)的隔離將采用視頻網(wǎng)閘，其工作原理為油氣物聯(lián)網(wǎng)應(yīng)用子系統(tǒng)通過協(xié)議檢查，對協(xié)議包格式和內(nèi)容檢查，分析協(xié)議內(nèi)容區(qū)分視頻數(shù)據(jù)和控制信令，只允許UDP視頻數(shù)據(jù)單向傳輸、TCP控制信令雙向傳輸方式。同時檢查數(shù)據(jù)來源，阻止非法數(shù)據(jù)接入和送出，并對傳出的信息執(zhí)行“白名單”檢查，防止非授權(quán)信息外泄。

4 結(jié)束語

要認(rèn)識到網(wǎng)閘業(yè)務(wù)協(xié)議解析帶來的新的安全挑戰(zhàn)，不是說網(wǎng)閘功能越豐富越好，要從網(wǎng)閘處于網(wǎng)絡(luò)中的位置以及實現(xiàn)的目的規(guī)劃設(shè)計安全原則。使用網(wǎng)閘的目的是為了隔離業(yè)務(wù)的，進(jìn)行安全的數(shù)據(jù)交換；從安全服務(wù)的角度講，網(wǎng)閘開通的服務(wù)種類越少，被攻擊的可能性越小，網(wǎng)閘可交換的數(shù)據(jù)類型越少，隱含攻擊的可能越小。網(wǎng)閘的安全原則應(yīng)定義為：單一服務(wù)，只完成數(shù)據(jù)文件的交換，只完成文件形式的數(shù)據(jù)交換。其他的服務(wù)一律關(guān)閉；定向交換，在數(shù)據(jù)交換時指定接收人、發(fā)送人；網(wǎng)閘不支持應(yīng)用協(xié)議解析，不透傳業(yè)務(wù)應(yīng)用，只進(jìn)行文件數(shù)據(jù)的擺渡，對于HTTP，SMTP，F(xiàn)TP等協(xié)議無法通過，數(shù)據(jù)庫的訪問就更加不能通過，網(wǎng)閘只起到數(shù)據(jù)的擺渡，不支持應(yīng)用的互通，應(yīng)用協(xié)議的終止，讓入侵、攻擊徹底失去了傳播的載體?！?/p>