网络隔离技术

出自 MBA智库百科(https://wiki.mbalib.com/)

　　网络隔离指将两个或者两个以上的可路由的网络通过不可路由的网络协议进行数据交换从而达到隔离的目的。网络隔离技术的诞生主要是为了保护网络信息安全,通过专用通信通道和专有安全协议等措施,将内外网进行隔离和数据交换。网络隔离技术是在物理隔离概念上发展起来,外网直接连接互联网,内网是相对安全的内部网络。正常情况下,内外网式是完全断开的,隔离设备作为存储介质,连接内外网。当外网需要数据上传到内部网络时,则外部服务器立即发起对隔离设备的非TCP/IP协议连接,隔离设备将所有的协议剥离,将原有的数据写入到存储介质,并对原始数据信息进行安全性检查,防止病毒木马入侵。

　　第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

　　第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

　　第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

　　第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。

　　第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

　　(1)光盘拷贝：光盘拷贝现在依然是使用最多的网络隔离方法，该方法将数据刻录到光盘中，用光盘在内网与外网之间交换数据。光盘拷贝的缺点是每张盘的容量有限且利用率非常低，非常浪费。

　　(2)数据交换网：数据交换网络是在两个隔离的网络之间建立一个网络交换区域，在这个区域进行多次入侵检测和安全检测，数据交换网在物理上依然连接，通过延长数据通讯确保安全性。其缺点是隔离区容易被穿透进而影响内网。

　　(3)网闸、隔离卡：网闸和隔离卡通过设置隔离交换单元和数据交换区，使得内外网不同时连接。这种方式物理上虽然不同时连接，但是隔离交换单元和数据交换区同样会受到攻击进而影响内网。

　　(4)协议重构逻辑隔离：协议重构逻辑隔离通过重构现有公共通信协议，形成专有协议，实现数据交换。这种方法物理上连接，只是逻辑上断开，数据交换的过程中，内网依然容易被侵入。

　　现如今的网络通信都是基于TCP/IP来实现的，大部分的网络攻击都是以TCP/IP协议为载体发起的，不存在连接就没有可利用漏洞，实现网络隔离最有效的方式就是断开TCP/IP通信模型的某一层或者几层的连接，实现数据以非TCP/IP协议进行交换。具体的断开各层连接方式如下：

　　(1)物理层的断开

　　物理层断开并不是说没有物理上的连接就是物理层的断开，而存在物理连接就是没有断开物理层。物理层的断开归根结底是保证网络不能在物理层的基础上建立数据链路层的连接。

　　(2)数据链路层的断开

　　数据链路层断开连接一是保证不能存在任何的数据链路，二是消除建立链路的控制信号，防止建立新的链路。断开数据链路层就是去除链路层的协议，虽然因此导致传输可靠性降低，但也消除了协议可能带来的威胁。

　　(3)网络层的断开

　　网络层的断开即剥离IP协议，以非IP协议的格式重新封装和重组数据包，没有IP协议攻击者就无法通过伪装IP地址的方式向涉密网络发起攻击，以此消除IP协议漏洞带来的攻击。

　　(4)传输层的断开

　　传输层的协议包括TCP协议和UDP协议，断开传输层即消除TCP协议或者UDP协议，两个协议是网络通信中最主要的协议，也是最容易被攻击者利用的。断开这两个协议，就避免了TCP协议和UDP协议带来的网络攻击。

　　(5)应用层的断开

　　应用层断开就是不使用通用的应用层协议。以安全为第一要务，尽量少或者完全杜绝使用那些存在安全隐患的应用层协议，可以提高整个网络通信的安全系数。

　　各个行业的监管部门，可能会推行统一的信息安全保护标准及规范，企业出于合规性的诉求，需要按照法律法规的要求进行网络隔离。

　　我国明确提出 “没有网络安全就没有国家安全”，从立法规范的层面重视强调网络安全工作的重要性。对于政府部门，国家保密局2000年1月1日发布实施的《计算机信息系统国际联网保密管理规定》，明确要求“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其它公共信息网络相连，必须实行物理隔离”。对于金融行业，中国银监会2006年8月7日发布实施的《银行业金融机构信息系统风险管理指引》，其中的第二十五条明确要求，“银行业金融机构应加强网络安全管理。生产网络与开发测试网络、业务网络与办公网络、内部网络与外部网络应实施隔离；加强无线网、互联网接入边界控制”。

　　在严峻的安全态势之下，企业的网络安全体系建设正从“以合规为导向”转变到“以风险为导向”，从原来的“保护安全边界”转换到“保护核心数据资产”的思路上来。

　　越来越多的企业在网络安全体系建设和日常工作中正面临一个重要问题，那就是：如何保护企业核心数据资产？所以，很多企业为了防止知识产权、商业机密数据泄露，也主动地将自身网络进行安全性隔离。绝大多数企业都在内部实施了内外网分离，互联网与内网隔离，生产网与办公网隔离，办公网与研发网隔离，以确保企业信息安全。