隔离与屏蔽技术论文

隔离与屏蔽技术论文（精选7篇）

隔离与屏蔽技术论文 篇1

屏蔽混凝土除了满足一般工程要求之外, 在设计中还要重点考虑对1射线和中子射线的屏蔽。采用铁质骨料的屏蔽混凝土施工中极易分层, 难以保证防辐射混凝土的均质性。屏蔽混凝土配制时集料密度大、水灰比小、水泥用量较大、水化放热速率高、收缩率大, 施工时容易离析、开裂问题尤其严重, 射线可以沿着裂缝射出, 使混凝土根本起不到防护作用;同时, 干硬性混合料对于泵送也是不利的。混凝土施工包括配料、拌和、运输、浇筑、震动捣实和养护等工序。屏蔽混凝土施工技术的重点是解决屏蔽混凝土拌和物的工作性、施工过程中的离析、施工后密度的均匀性和不裂缝以及不同密度屏蔽混凝土施工技术。

1 屏蔽混凝土的技术要求

屏蔽混凝土的骨料可以是赤铁矿, 也可以是重晶石, 用赤铁矿的重混凝土表观密度应大于3450kg/m3;用重晶石的重混凝土表观密度则应大于3 300kg/m3, 比普通混凝土的表观密度2 400kg/m3高出约37.5%, 水泥用量≥300kg/m3, 混凝土圆柱体28d的抗压强度≥35MPa, 其坍落度控制在20~40mm。

2 屏蔽混凝土的拌和及施工工艺试验研究2.1拌和试验

拌和主要是将混凝土的组成材料搅拌成质量均匀的混合物, 保证混凝土拌和物能达到规定的坍落度、容重、含气量, 硬化后能达到规定的强度等指标。

1) 配料屏蔽混凝土的粗细骨料、水、水泥、掺合料和外加剂, 均应按重量配料, 其中粗细骨料的允许偏差为±2%, 水泥、水、掺合料、外加剂的允许偏差为士l%。比核行业标准规定提高了士1%。

2) 拌和选择强制式搅拌机对每种密度分别按装料率 (3/4、2/3、1/2) 和搅拌时间 (90 s、120 s、150 s) 进行搅拌;加料顺序:按照铁矿石、铁矿砂、铸铁块、水泥、水、外加剂。然后改变加料顺序, 进行交叉试验, 确定不同密度屏蔽混凝土最合理的装料率、加料顺序、搅拌时间。研究表明, 屏蔽混凝土与普通混凝土的拌和技术有如下差异:

a.装料率:屏蔽混凝土的搅拌容量应考虑搅拌机及其辅助设备的承受力, 混凝土密度越大搅拌容量越小, 搅拌机的搅拌容量≤额定容量× (普通混凝土密度/重混凝土密度) 。

b.加料顺序:普通混凝土加料顺序是材料均应成带状加入搅拌机内, 然后加入一定数量的拌和水并保持一定的速度连续加水, 同时快速一次加完干材料, 接着加水也完毕。屏蔽混凝土的加料顺序是采用二次上料法。对重晶石屏蔽混凝土宜先投入水、黄砂、水泥, 搅拌60 S左右再投入重晶石、重晶砂, 再搅拌60S, 以减少泌水, 提高混凝土的强度;对密度小于3600kg/m3屏蔽混凝土先投入细骨料、水泥、粗骨料、细粉掺合料搅拌均匀 (15S左右) , 再投入水和外加剂搅拌不小于90s;对密度超过3600kg/m3磁 (赤) 铁矿和钢丸、钢锻屏蔽混凝土宜采用先投入铁矿砂+铁矿石磁铁块再加入水泥搅拌10s左右, 加入水搅拌10 s, 加入外加剂搅拌120 s。

3) 搅拌时间:搅拌时间与搅拌机的性能、装料容量、加料顺序及所掺加的外加剂都有紧密的联系。对于重晶石屏蔽混凝土, 由于重晶石脆性大, 在搅拌的过程中, 易形成粉状, 影响混凝土拌合物的性能, 搅拌时间不易过长。如果超过120S, 外加剂中的含有少量的引气成分在混凝土中产生的气泡急剧下降, 混凝土的黏聚性增大, 坍落度损失增大, 不利于施工。搅拌时间控制在90~120S左右, 屏蔽混凝土拌合物的性能可满足要求。

3 施工工艺试验

施工工艺试验浇筑试验主要研究运输方式、分层厚度、下料高度、振捣时间、布料方式等。

1) 试验模型。选择1500 mm X1500 mm X300 mm尺寸模型, 模型内绑扎钢筋网, 钢筋间距模拟现场实际施工工况确定。在不同气候下并结合实际情况在工程实体上进行屏蔽混凝土浇筑试验;选择底板、墙体、顶板3种工况下的混凝土。

2) 运输方式。采用机动翻斗车运输、泵送和塔吊吊运等方式, 在运输过程中要避免材料的组分离析、坍落度损失应减至最小或坍落度损失不影响混凝土的浇筑和捣实。

3) 运输浇筑。常规浇筑采用翻斗车运输混凝土到浇筑地点并卸在木板上, 一边用铁锹拌合, 一边用小铁桶提料分层浇筑, 混凝土的浇注:底板每层厚度250~300 mm, 墙体浇注高度为300mm。对密度垫600kg/m3的生物屏蔽混凝土进行了泵送浇筑、浇筑层厚度控制等试验, 选择中高压混凝土泵, 输送距离分别为30m、60m、90m。泵送屏蔽混凝土出罐坍落度可控制在1 00±20 mm;当密度<3 300 kg/m3时入模坍落度控制在80±20mm为宜, 密度为3 600 kg/m3时控制在50~80 mm为宜。对泵送屏蔽混凝土浇筑运输距离应视混凝土的密度大小和混凝土与泵管之间的摩擦系数而定, 一般不宜超过100m。屏蔽混凝土下料高度控制在1000mm范围内, 采用串筒, 混凝土未出现离析现象;超过1000mm时, 由于落差太大, 骨料沉降不同, 出现微弱离析现象。屏蔽混凝土出料口应接软管或水平管, 不得接钢管。屏蔽混凝土浇筑要全面分层, 每层厚度不超过300 mm, 也不宜小于200mm;混凝土布料可采用人工布料, 分层布料时严禁通过振捣棒振动引流摊平。现场浇筑的竖向结构物, 每层浇筑厚度宜控制在250~300mm, 并采用插入式振捣器进行振捣。

4 泵送屏蔽混凝土施工技术应用

密度为2 800 kg/m3 (屏蔽γ射线) 、3 300 kg/m3重晶石混凝土 (屏蔽中子射线) 、3600kg/m3 (屏蔽γ射线和中子射线) 的屏蔽混凝土已用于核工程顶板、墙体、热室和堆芯等部位, 并采用泵送浇筑施工。

5 常规浇筑屏蔽混凝土施工技术应用

密度为2320kg/m3蛇纹石屏蔽混凝土、3000kg/m3 (屏蔽中子和γ射线) 、4600kg/m3 (屏蔽中子和γ射线) 和5200kg/m3屏蔽混凝土已用于核工程顶板、墙体、热室和堆芯等部位, 均采用常规浇筑施工方法。

参考文献

[1]丛成河, 伍崇明, 谌甫等.泵送重混凝土的研究与应用[J].混凝土, 2007.

[2]雷昌聚.岭澳核电站屏蔽混凝土的配合比设计与施工—建筑技术, 2002.

[3]谢咸颂.重晶石防辐射混凝土的质量控制—建筑技术开发, 2003.

隔离与屏蔽技术论文 篇2

开关电源辐射的屏蔽技术

发布时间：2014-10-27 09:57:43 浏览：88次

抑制开关电源产生干扰辐射的另一种方法是屏蔽，目的是切断电磁波的传播途径，用电磁屏蔽的方法解决电磁 干扰的问题不会影响电路的正常工作。用导电率良好的材料对电场进行屏蔽，用磁导率高的材料对磁场进行屏 蔽。为了防止脉冲变压器的磁场泄漏，可以利用闭合环形成磁屏蔽。另外，还要对整个的开关电源进行电场屏 蔽。屏蔽应考虑散热和通风问题，屏蔽外壳上的通风孔最好为圆形多孔，在满足通风要求的条件下，孔的数量 可以多，每个孔的尺寸要尽可能小。接缝处要焊接，以保证电磁通路的连续性，如果采用螺钉固定，注意螺钉 之间的距离要短。屏蔽外壳的引人、引出线处要采取滤波措施，否则，这些会成为干扰发射天线，严重降低屏 蔽效果。若对电场屏蔽，屏蔽外壳一定要接地，否则将起不到屏蔽效果；若对磁屏蔽，屏蔽外壳则不需要接地。对非嵌人的外置式开关电源的外壳一定要进行电场屏蔽，否则，很难通过辐射干扰测试。对于开关电源来说，主要是做好机壳屏蔽、高频变压器屏蔽，开关管和整流二极管的屏蔽，采用光电隔离技术。功率开关管和输 出二极管通常有较大的功率损耗，为了散热通常需要安装散热器或直接安装在电源底板上。器件安装时需要用 导热性良好的绝缘片进行绝缘，这就使器件与底板和散热器之间产生了分布电容，开关电源的底板是交流电源 的地线，因而通过器件与底板之间的分布电容将电磁干扰耦合到交流输人端产生共模干扰，解决这个问题的办 法是采用两层绝缘片之间加一层屏蔽片，并把屏蔽片接到直流地上，割断射频干扰向输人电网传播的途径。为 了抑制开关电源产生的辐射电磁干扰对其他电子设备的影响，可以完全按照对磁场屏蔽的方法来加工屏蔽罩，然后将整个屏蔽罩与系统的机壳和地连接成一体，就能对电磁场进行有效的屏蔽。电源某些部分与大地相连可 以起到抑制干扰的作用。例如，静电屏蔽层接地可以抑制变化电场的干扰；电磁屏蔽用的导体原则上可以不接 地，但不接地的屏蔽导体时常增强静电耦合而产生所谓“负静电屏蔽”效应，所以仍以接地为好，这样使电磁 屏蔽能同时发挥静电屏蔽的作用。电路的公共参考点与大地相连，可为信号回路提供稳定的参考电位。因此，系统中的安全保护地线、屏蔽接地线和公共参考地线各自形成接地母线后，最终都与大地相连。

隔离与屏蔽技术论文 篇3

近几年来,政府的信息化网络走过了不断发展、完善的历程,已经拥有大量技术先进、种类繁多的网络设备和系统,构成了一个配置复杂的综合性网络。与此同时,由于信息泄漏、信息遭受破坏等带来的损失也令人触目惊心,网络安全问题面临日益严峻的挑战。

目前,在政府的网络中部署有多套网络,如政务办公网(俗称内网)、互联网(外网)以及其他保密网络。为了保证政务信息的安全,防止政务办公信息在互联网上泄漏,政府一般采用内外网完全物理隔离的方法,在一台机器上配置有物理隔离卡以及内外网各一套硬盘,这样内网用户想访问互联网需要重新启动计算机进入外网的硬盘方可上互联网,反之进内网硬盘才能上政务办公网,或者采用内外网各一套机器的方法。

这样的设置直接导致了几种不安全因素的产生:一是有些政府工作人员在应用中觉得频繁重新启动机器很麻烦,便采用互相拨叉网线来实现内外网的切换,致使政务办公信息处于互联网状态下,极易造成资料通过Internet外泄。二是通过移动存储设备在内外网络中互用使信息泄密。此外,还有政府工作人员把政务办公信息通过邮件论坛等方式发布到互联网上,以及政府工作人员浏览一些非法的网站,都会有意无意地造成信息泄密。

针对这种人为造成的政务信息泄密的不安全因素,为确保党政机关信息网络安全和政令畅通,努力做到在政务人员方便高效使用网络的同时,严格掌控政务办公信息的流通安全,青岛市四方区设计开发了基于内外网隔离与监控技术的政务网络信息安全保障系统。在该系统中,通过应用网络技术(防火墙、交换机、路由器)、数据库技术、网络监听技术、数字指纹技术和信息加密手段等先进计算机技术,在基于政府现有网络系统的基础上,借助于内外网隔离技术,将政府网络中一些人为因素造成信息泄密的问题得到了有针对性的解决,实现了政府网络中信息安全保障的功能。

设计构想

这套网络信息安全保障系统的结构图如图1所示:分为客户端,服务器端,数据库设计,数据管理系统四大部分。

客户端主要负责用户登录和连接,可移动存储设备的合法性认证,设备指纹文件的写入。

验证服务器主要负责用户信息验证,用户磁盘合法性认证,客户机的IP地址和MAC地址管理,防火墙交互等功能。

监听服务器主要负责数据流分析,防止网页篡改。

数据库为服务器端的各种信息验证和信息处理提供源数据,数据库设定管理员和普通用户二级权限。数据管理系统采用B/S架构,主要实现用户管理,机器管理,设备管理以及内网IP分配。管理员对普通用户信息进行审核,同时审核磁盘存储和移动存储的合法性,普通用户可以提交移动存储合法化申请和内网IP绑定申请。

系统实现的功能

(一)防止内外网切换功能

实现效果:当客户端用户手动将内外网网线互相切换之后,网络会自动中断,有效的防止通过外网传送内网资料,如果用户通过改变客户端的系统服务配置,网络也会自动关闭,防止系统被恶意攻击。内外网终端自动检测是否连接互联网,如内网用户连接互联网,则自动到服务器端注册,同时服务器端进行报警。

实现原理:内网和外网使用的是不同的IP和不同的磁盘,因此,两者的组合可以唯一的标识一台计算机的认证信息,当IP地址和磁盘标识号的组合无法与服务器端认证信息进行匹配时,则可认定该计算机不合法,在服务器端将该计算机的网络端口进行关闭。

具体步骤:

1、用户使用客户端计算机向服务器提出联网请求,服务器端进行认证,若此程序上次登录的服务器不是本服务器,则怀疑他进行了内外网混接,不允许连接,否则为其开放网络端口;如内网用户连接互联网,则自动到服务器端注册,同时服务器端进行报警。

2、服务器在数据库中记录所有曾经正常登录过自己的客户端硬盘序列号。外网内网服务器定时进行数据互换,将在自己服务器上连接过的硬盘序列号传送给对方(通过文件导入导出进行传递),在对方的数据库中标志为禁用。如果发现客户端使用了禁用的硬盘序列号,则禁止客户端连接到外网。

3、服务器端记录用户登陆时间,并通知网关允许其进行外网连接;

4、在客户端计算机中注入系统服务,并随系统启动而开启,用来定时向服务器端报告其IP地址以及硬盘标识号,从而验证其联网的合法性;

5、服务器端对客户端的报告进行接收并与服务器上的配置数据进行匹对,对于合法的请求,继续开放其联网端口,对于不正确的配置,则将其网络端口关闭,停止联网服务;

6、若用户手动将服务关闭,则服务器会出现超时未接受数据的异常,此时认为用户恶意攻击防护系统,服务器会通知网关关闭其网络连接。

内外网切换功能示意图如图2所示。

(二)IP-MAC自动绑定与管理

实现效果:当客户端登录到服务器时,服务器自动进行判断。如果客户端是首次连接到服务器端,那么服务器会自动将IP地址与MAC地址进行绑定,并通知客户端自动对机器网络配置进行修改。

如果客户端的网络配置发现问题,配置了错误的IP地址,那么服务器会自动通知客户端其正确的IP地址并进行修改。

实现原理:服务器将所有的IP地址与MAC地址都存储在数据库中。每次登录时,都根据客户端传送的IP地址与MAC地址进行检索,得到其数据库中的注册IP地址与MAC地址。如果注册地址不存在,则一方面向数据库中进行添加,另一方面通知防火墙进行绑定。如果注册IP地址和实际IP地址不同,则要求客户端将连接配置更改为注册IP地址。如果注册MAC地址与实际MAC地址不同,则说明此客户机占用了他人的IP地址,则会通知客户端重新取得IP地址。

IP-MAC自动绑定与管理示意图如图3所示。

(三)移动存储设备的审核功能

实现效果:客户端用户使用的U盘或者移动硬盘等存储设备必须经过信息中心进行审批,否则在客户端计算机上无法正常使用。

用户将需要审核的移动设备递交信息中心,信息中心工作人员使用密钥生成程序为用户的移动存储设备加载密钥文件;相关内容自动提交到服务器端进行记录。

用户使用未审核的移动存储设备时,客户端系统会因检测不到密钥文件而拒绝该移动存储设备的加载和使用,会提示用户将该存储设备进行提交审核。由于密钥文件与移动存储设备一一对应,因此密钥文件具备不可复制性,每一个移动存储设备必须有符合自己的密钥文件,更换设备会导致无效,从而彻底杜绝来历不明的移动存储设备。

如果用户使用了未经审核的移动存储设备时,客户端会自动的将此U盘禁用,并向服务器报告使用未经审核移动存储设备的时间、IP地址与MAC地址。

实现原理:每一个移动存储设备都具有唯一标识信息,包括VID,PID,Serial Numbers等,认证时使用程序读出所需信息,然后使用指纹生成算法,生成一个唯一标识指纹,并存储在密钥文件中。当用户使用移动存储设备时,客户端程序能够读出该设备的VID,PID,Serial Numbers等信息,生成指纹,与存储在移动存储设备上的密钥文件中的指纹进行匹对,如果符合说明该移动存储设备是经过认证的,否则认为该设备并不合法,用户将无法使用。

(四)防止网页被恶意篡改功能

实现效果。当服务器网站的网页遭遇被恶意篡改等黑客攻击时,服务器防护系统可检测到网页的非正常改动,并向管理员报警,以保证网页的正确性,稳定性与可靠性。

实现原理。服务器中预置关键的网页地址列表,分别对每个网址的内容进行分析,区分相对固定的特征内容和经常动态更新的内容,对这些关键网页的固定部分进行散列存档并可以自动或手动更新。

定期对网页进行再次获取,进行散列并与之前的存档做比对,如果发现其固定部分的特征值发生改变,则表明页面被篡改,此时会发送短信到信息中心工作人员手机进行报警,并将改变内容迅速发送给工作人员,由工作人员手动进行判断分析,如果确实为恶意篡改则恢复原网页;如果是正常改动则需要手动更新散列值,从而确保再次比对时不会发生错误判断。

防止网页被恶意篡改功能示意图如图4所示。

(五)数据流监控功能

实现效果:用户使用客户端计算机发送数据时,服务器端会对发送的数据进行监控。监控程序能够分析数据流内容,判断是否有敏感涉密词汇,实现内容监控,防止重要资料外流。如果监控程序发现数据流中具有敏感涉密词汇,则将其以短消息的形式发送到政府电子政务管理工作人员手机上,以便手动判别其是否属于重要的禁止外流数据。

实现原理:本功能实现原理使用的是旁路监控方式。该方式并不直接截获数据包,而是将数据流原封复制到服务器存储介质上,然后使用程序读取该数据进行分析。该方式的优点是不会造成网络拥堵,即在任何情况下网络都能够保证畅通,缺点是实时性差,在数据流量较大的情况下,不能够及时的对流量数据进行分析处理,因此可能会有延时。

对于数据流的分析,系统采用正则表达式匹配等算法的结合,能够做到数据流中“有危险就报告”,彻底杜绝重要信息数据外流的安全隐患。

数据流监控功能示意图如图5所示。

(六)关键网站的敏感词监控功能

实现效果:当客户端用户浏览外网网页时,应该对这些网页进行分析,查找其网页是否具有涉密或者敏感词汇,如果分析出敏感涉密词汇,则将其进行筛选和记录。

实现原理:在服务器上预置重点监控的网址列表,定期获取网页,进行关键词分析,查找有无涉密敏感词汇,将其进行筛选并且进行登记。

如果用户请求的是在服务器上登记的网站地址,则提示该网页存在问题,建议用户浏览其他类似网站查阅相关资料。对于进行登记的网站,应该对其定期检查,如果该网站并不含有敏感词汇,则应将其从列表中手动删除,对于确实存在敏感词汇的网站,则会重点防范,表现在更多的获取其相关网页进行分析,对于含有敏感词汇的网页均添加到筛选列表中。

作为一种现代管理手段,基于内外网隔离与监控技术的政务网络信息安全保障系统的开发建设和应用实施,进一步增强了政府工作人员的政务信息保密意识;进一步完善了政府工作人员工作运行机制,规范了政府工作人员工作流程,降低了政府行政成本,提高了政府机关执行力,得到了区委、区政府领导的充分肯定和兄弟区市的一致好评。

隔离与屏蔽技术论文 篇4

2001年1月1日, 国家保密局颁布实施《计算机信息系统国际联网保密管理规定》中明确规定:“电子政务网络由政务内网和政务外网构成, 两网之间物理隔离, 政务外网与互联网之间逻辑隔离。”由此可见, 网络信息的安全已经得到国家和民众越多越多的关注, 国家信息和个人信息安全面临着严重的安全隐患。

计算机信息的网络安全, 从狭义的角度来看, 就是指保护计算机及其信息资源和网络系统资源不会受到任何自然或人为因素的影响而遭受到破坏与丢失, 就是要保护计算机硬件、软件中的信息和网络系统中的数据, 不会遭受非法恶意侵入导致计算机数据被泄露、篡改、破坏等, 保证计算机系统能够持续有效地正常运行, 确保网络服务不中断。从广义的保护角度来说, 只要是涉及到计算机网络信息的真实性、保密性、可用性、完整性及可控性的有关理论和技术, 都属于计算机网络安全的研究范围。广义的保护还包括要保护计算机本身设备的物理安全性, 换句话说, 就是要确保计算机系统上所有信息的安全。现在计算机所遭受的威胁, 通常来自以下几方面:

(一) 物理安全风险

整个网络系统的安全是以网络物理安全为基本前提的, 必须确保计算机设备的物理安全, 而目前网络物理安全存在的隐患主要有:地震、火灾、水灾等不可抗力事故造成的网络系统毁灭;电源故障引致设备断电, 从而引起操作系统失败, 导致数据库信息的丢失;电脑设备被盗、被毁而造成的数据丢失或个人信息泄露。

(二) 链路传输存在的风险

网络入侵者不仅可以通过网络到企业、政府机构内部网上进行窃取、攻击或是进行其他破坏, 还能把窃听装置安装在传输线路上, 切取网上传输的一些重要数据, 再通过特殊技术读取数据信息, 从而造成内部信息外泄, 或是篡改数据来破坏数据的完整性, 给企业或政府机构造成不必要的损失。

(三) 网络结构存在的安全风险

网络结构这部分主要承受来自两方面的威胁:

1、来自互联网的安全威胁:公网互联网与系统内部局域网络之间一定要采取有效的安全保护措施, 否则, 内部局域网络就容易遭受来自外部侵入者的攻击。比如说:入侵者会通过Sniffer等嗅探程序来寻找内部网络和操作系统存在的安全漏洞, 窃取应用操作系统类型、系统保存用户名、网络IP地址、口令和开放哪些TCP端口号等安全信息, 并通过这些系统漏洞进行非法攻击。入侵者还会通过网络监听来窃取内部用户的个人信息, 冒充内部人员进行非法登录操作, 从而达到窃取内部重要信息的目的。

2、来自内部局域网的安全威胁:根据调查, 网络安全攻击事件中有70%都是由于内部网络的安全隐患。比如说, 内部人员故意泄露局域网的网络结构, 安全管理员故意透露用户名及口令, 还有内部一些员工将能够破坏内部局域网的程序故意在内部网上传播, 从系统内部破坏局域网平衡, 影响整个系统的正常工作与操作。

(四) 系统安全存在的风险

这个世界上根本就不存在完全无漏洞的完美的操作系统, 任何系统都会有其缺陷性、不稳定性和漏洞。入侵者可通过系统的安全漏洞来攻击系统, 从而达到控制系统的目的。成功控制系统后, 入侵者会从一个不可信的主机转为一个可信的主机, 从而开始下一步的进攻。

(五) 应用安全存在的风险

应用安全主要是指电脑主机系统上所有应用软件的安全, 如数据库的安全和Web服务器的问题等。由于应用系统是不断变化的, 具有动态性, 所以应用安全性也应该具有动态性的特点。这就需要我们经常检查系统漏洞, 及时采取相应措施, 降低应用软件的安全风险。

应用软件的安全风险又包括共享资源、电子邮件、病毒侵入三个部分。

(六) 管理安全存在的风险

如果内部工作人员将内部网络的相关安全信息泄露给外人, 这就使得入侵者有机可趁, 利用现成信息对内部网络进行攻击, 盗取公司的重要信息, 给公司造成一定的经济损失。还有些熟悉内部网络运作程序的部门员工心存不满, 可能会利用系统漏洞, 对网络的正常运行进行影响或是直接进行破坏。

二、隔离技术

(一) 物理隔离技术

所谓“物理隔离”技术, 就是指从物理层面上, 将外部网和内部网完全隔离, 断开外部网和内部网的连接, 使内部网无法通过任何方式 (通过代理服务器或防火墙等) 与外部网相连接。物理隔离是最简单有效阻止网络攻击 (包括黑客入侵和拒绝服务等) 的方式。国家保密局在《计算机信息系统国际联网保密管理规定》中就明确指出:“涉及国家秘密的计算机信息系统, 不得直接或间接地与国际互联网或其他公共信息网络相连接, 必须实行物理隔离。”尤其对那些涉及国家高度机密的政府部门, 为了保证国家信息的安全, 避免外部和内部攻击, 都必须采用物理隔离技术。实现物理隔离需达到以下三点:

1、在物理传导上断绝内外联系, 完全确保外网不能通过网络连接而进入内部系统, 内网信息也无法通过网络传输到外网。

2、在物理辐射上隔离内外网络, 确保内部信息不能通过耦合方式或电磁辐射的方式而泄露到外网。

3、在物理储存上隔断内外网, 将断电后会丢失信息的暂存部件 (CPU、处理器等) 在网络转换时进行清除处理, 预防残留信息泄露到外网。而对于断电后不会遗失信息的设备 (磁带机、硬盘等) , 要将内外网的信息分开存储, 互不影响。

(二) 协议隔离技术

“协议隔离”技术是在内网与外网的连接端点处, 配置协议隔离器———PSD, 即Protocol Separate Device, 通过这个隔离器来阻隔外网与内网的连接。协议隔离器通过两台不同主机上的通用网络接口来连接内网与外网, 而这两台设备要使用专用密码通道协议的专用接口卡来实现互联。正常情况下, 内网与外网是完全断开的, 只有在信息交换的时候, 内外网才能通过协议隔离器相连, 并在内网和外网之间构建其专属的“黑色通道”, 这通道只能允许专用协议通过, 绝对不允许黑客侵入, 黑客也无法在技术或安全漏洞上侵入通道。

PSD在工作过程中, 有电脑主机A机和B机通过专用协议形成协议自动机。一开始, 内外网独立, 自动机停止工作, A机和B机之间无连接, 处于相互隔断的状态。当其中一方有传输要求时, 经过密码算法, 访问PSD的实体并进行认证。通过认证后, 主机就可向另一方发出启动协议自动机的信号, 此时, 协议总动机开始工作, 将内外网连接起来。完成信息传输后, 启动方关闭协议自动机, 内外网就断开联系, 重新回到相互独立的状态。协议自动机的开关可采用人工或自动的方式, 人工方式需要在远程管理程序的人员帮助下才能完成。PSD技术采用密码技术, 大大提高了连接的安全性, 而且增加了操作的灵活性、方便性。

协议隔离是在有密码技术支持的前提下, 利用专用的安全通信协议隔离技术来实现的。在外行人眼中, 协议隔离器可“通”可“断”, 就像一个安全的银行保险箱, 采用了特殊的保护措施, 对于外部攻击设置了无法逾越的障碍, 有效保护内部信息的安全, 使得侵入者想从外部进入盗取、破坏内部信息的想法成为虚幻。

三、网络安全防范措施

(一) 加强企业安全管理

企业应该加强资格认证、教育培训和人事考核等方面的鉴定, 规范内部工作制度, 严格工作程序, 杜绝集团内部员工把信息外泄的事件。建立和完善网络安全管理制度, 防止黑客等侵入者地非法入侵, 一旦有类似事件发生, 应当积极采取相应的措施, 将企业的损失降至最低。保护计算机系统, 加强内外网连接通信链路的保护, 并定期对电脑的硬件方面进行检查、维修, 从硬件、软件两方面确保内部信息的安全。大力提高防电磁泄露的能力, 既能给计算机系统提供一个良好的工作环境, 还能防止外部侵入力量的破坏。

(二) 严格控制访问

1、建立网络访问权限的控制系统, 将来访客户分为:一般用户 (系统管理员可根据他们的实际需要来分配相应操作权限) 、特殊用户 (也就是系统管理员) 和审计用户 (主要负责对网络安全的控制和资源使用情况的审计) 。操作权限控制, 可有效将非法侵入者阻挡在内网之外, 保护内部信息。

2、建立属性安全的服务模块, 通过属性安全控制, 将网络服务器的目录、文件及网络设备和给定的属性联系起来。属性安全建立在权限安全的基础上, 进一步保护系统的安全性。通过网络属性控制以下方面的操作权限:拷贝某个文件、删除文件或目录、向某个文件写入数据或查看文件的系统属性等, 防止非法入侵者对重要文件的删除、修改等, 保护系统信息的安全。

3、建立网络服务器的安全设置模块, 设置服务器登录时间的限制、口令锁定服务器控制台、对非法访问者进行检测、安装检测非法访问的设备等。安装防火墙是防止非法访问的有效方法, 通过设立一个可以用来阻止网络非法用户访问某网络的屏障, 控制进出两个方向的通信阀门。目前通用的防火墙类型有被屏蔽主机体系结构的防火墙和双重宿主主机体系结构的防火墙两种形式。

(三) 确保信息网络安全

1、将重要数据进行备份。将主机中的重要数据、文件都进行备份, 并将备份文件拷贝到其他的地方 (如移动硬盘、U盘等) 进行储存。这样即使有非法侵入者对电脑数据进行攻击、破坏, 也不需担心, 只要将备份的原始文件拷贝回去就可以了。做好重要数据的备份是防止数据丢失、破坏的最有效的一种保护措施。

2、设置物理隔离网闸, 利用具有多种控制功能的固态开关读写介质来连接两个独立主机系统。由于通过物理隔离网连接的两个独立主机系统之间不存在通信的逻辑连接、物理连接、信息传输协议、信息传输命令, 也不存在将依据协议的信息包转发, 只有数据文件的无协议“摆渡”, 对固态存储介质只具有“读”、“写“两个命令而已。因此, 设立了物理隔离网闸, 可有效抵御互联网上攻击, 例如对操作系统漏洞进行入侵、特洛伊木马、基于隧道的攻击和基于TCP/IP漏洞的攻击等。

3、建立有效的防火墙系统, 对信任度不同的网络之间的通信进行有效控制, 强制实施统一的安全策略, 限制内部网络与外界用户之间的互相访问。防火墙会对经过它的网络通信进行监测扫描, 过滤掉一些网络攻击, 以免攻击程序在目标计算机上被执行。防火墙可将不适用的端口关闭, 禁止特定端口的信息流出, 有效封锁特洛伊木马。此外, 防火墙可以禁止某些来自特殊站点的访问, 防止不明访问者的所有通信, 在相当大的程度保护网络和计算机系统的安全。

四、结语

隔离与屏蔽技术论文 篇5

在信息技术飞速发展的今天, 网络安全问题越来越受人关注, 人们对信息传输的安全性、及时性、有效性要求越来越高。为了满足信息传输的需要和网络安全的保障等问题, 催生了网络安全隔离和信息交换技术。

1 目前网络安全存在的威胁

在网络信息的传输与交换中, 会产生各式各样自身或他人的因素对信息的安全性和保密性产生威胁, 具体说来主要有网络本身的安全缺陷和网络攻击两大类。

1.1 网络安全缺陷

一个完整的网络, 是由网络协议和网络应用两大部分构成的, 在协议的制定和应用的设计上都有可能出现网络安全缺陷。

1.1.1 协议设计缺陷

协议的设计往往都是以实用性为主, 安全问题不被重视甚至被忽略, 常借于应用来实现, 这容易导致安全缺陷的产生; 协议设计错误或对设计中发生的问题处理不当, 容易是服务受到影响, 也会成为黑客的目标;协议架构在其他基础协议之上时, 若是所选协议不牢固, 也会使所设计的协议功能性、稳定性和安全性受到影响。

1.1.2 软件编写、操作及维护不当

软件编写的方式不正确, 习惯较差的情况, 常常会遗留下安全漏洞, 如模块应用错误、应用程序假设错误、资料容错力差、对未知错误的预判不够等;操作人员未能按照手册操作程序, 或是对协议认知度不够, 发生错误操作, 也会导致漏洞的产生;有的软件的默认值设置不当, 在方便用户的同时, 也为病毒和木马创造了机会;软件开发完成后缺乏一定频率的维护, 未能及时发现和修补系统的漏洞, 导致网络攻击有机可趁。

1.2 网络攻击

现代的网络攻击手段较过去有了很大变化, 攻击方式和工具层出不穷且易于掌握, 攻击发起者也从个人行为到有组织有效率的团体行为, 具体说来, 网络攻击主要分为以下几种:

①病毒:计算机病毒会占用磁盘空间, 引发CPU过度运行, 导致系统效率降低或崩溃, 更严重的会破坏资料, 导致系统瘫痪或重启, 甚至损坏硬件;

②木马:木马的说法来源于希腊神话中特洛伊之战的故事, 主要指将恶意程序隐藏在某些看似正常合法的软件中, 侵入用户的系统。一旦进入用户系统, 木马会窃取用户的大量隐私等重要信息, 包括账号密码, 登录口令等, 还会盗用用户的资料, 以及一些其他的非法目的。

③黑客:黑客是利用网络攻击技术, 攻击他人的系统以达成自己的不法目的。如网络嗅探, 查看网络数据包并获取其中的内容, 用来得知用户的账号、密码、口令等;拒绝服务, 乐意通过反复向WEB站点发送请求以阻塞该站点的网络传输, 妨碍网站的正常功能;后门, 在用户系统中留下“后门”程序, 方便下次闯入。

正因为有如此多的网络不安全因素, 这才推动了网络安全信息防护工作的发展。

2 网络安全隔离与信息交换技术发展及概况

网络安全隔离与信息交换技术的发展已经有长足的进步, 通过数个阶段的摸索和测试, 现有的网络信息防护技术已经相对成熟。笔者认为, 网络安全隔离与信息交换技术的发展主要有以下几个阶段。

2.1 最初的网络安全隔离与信息交换技术

通过人工操作实现信息交换, 是最初的网络安全隔离与信息交换技术。这种方法是在两个网络间进行物理隔断, 由人工操作实施信息交换与传递。虽然此方式安全性较高, 但是具有太多限制, 比如人工操作缓慢, 仍然无法彻底解决病毒和机密信息泄漏问题, 传输形式只限于文件, 应用范围很有限。

2.2 网络硬件隔离技术

时过境迁, 以硬件隔离为代表的新一代网络隔离技术问世了。此法是将客户端和主板连接间加入一块硬件卡, 由硬件卡控制系统硬件设备。硬件隔离卡是网络空间、时间隔离的初步形态, 已经具有了一定的功效。但是由于切换网络需要重启系统及网络布线的局限性, 该方式仍然有待改进。

2.3 新型网络隔离技术

经过硬件和软件技术的飞速发展, 网络安全隔离技术开始了一个全新的阶段。参考防火墙的防护优点, 并借鉴多样化的网络安全技术如访问限制、日志审查、病毒防护等措施, 建立了集众家之所长的网络安全新技术框架。这种技术框架, 能在空间和时间两个方面进行网络安全隔离和信息交换工作。空间上, 通过中间交换储存介质分时连接内外网络, 避免内外网络的直接联系;时间上, 保证用户在同一时刻只能处于内网或外网的其中一个, 实现信息高速安全的传输。

3 新型网络安全隔离技术的模型概述

新型网络安全隔离技术就是通过在内外网间建立交换储存控制开关, 对流经的数据进行检查, 分解, 重组等操作。根据数据处理的过程, 整个系统可以分为交换储存介质部分和内外网代理部分。

3.1 内外网代理部分的工作原理

内外网代理是保护信息安全的首要屏障, 它们分别通过运行简化的服务器端程序和客户端程序, 来处理通过它们的数据流量。该代理模块主要由TCP/IP协议栈、协议分解、协议重构、会话处理等部分构成。其中TCP/IP协议栈能处理多种协议的会话, 如HTTP、SMTP、FTP等, 协议分解负责将TCP/IP协议头映射为表单结构, 表单结构含有许多重要协议参数, 在映射过程中, 会对协议的各项内容进行严格审查, 并使用验证码校验加密, 防止代理部分被外部攻击;协议重构则将上述表单重新生成为数据。三个部分结合在一起称为应用代理子模块。该模块继承了防火墙的优点, 能进行包括IP审查, IP过滤、应用层协议访问控制等功能。

首先, TCP/IP协议栈会接受会话链接请求时, 会自动终止链接, 保证内外网无直接链接联系, 之后协议栈根据设立好的规则对会话进行安全检查, 当发现不符合安全规则的协议, 协议栈将立刻终止会话;若是通过了安全检查, 协议栈将为该会话建立会话表项, 记录进程的有关参数以便处理外网持续传回的信息。此后, 会话请求会被传送到协议分解部分, 在此, 会话内容被分为数据内容和应用内容;前者以特殊形式映射, 静态封装, 后者则附上验证序号, 写入中间交换储存设备。会话处理部分则连接着外网的外部代理, 起到了读取表单, 重新构成协议段, 并将具有同样验证序号的协议段及数据再组合, 构成新会话并发送给外部服务器。

3.2交换储存介质的工作原理

若是仅仅通过专用协议的逻辑隔离, 并不能将数据静态化, 可能出现利用底层协议攻击或避开安全规则攻击的网络安全漏洞。只有使内外网真正隔离, 才能有效组织网络攻击的发生, 真正保护信息安全, 交换储存介质就发挥着这样的作用。

4 结语

经过多年的发展与不懈的探索, 网络安全隔离与信息交换技术的发展日渐成熟, 已成为防范网络攻击, 保护信息安全的重要手段。采用内外网代理和交换储存处理模块组成的新型网络安全隔离技术, 可以真正实现硬件上的隔离, 保护信息安全, 彻底将网络攻击扼杀在萌芽中。

摘要：网络安全隔离与信息交换技术是目前网络安全发展的新趋势, 由于社会各界都加强了网络安全的防范性, 使得该技术的应用愈加广泛。随着时代的发展, 网络安全隔离技术从最初的人工操作实现信息交换模式, 到现在的隔离卡物理隔离模式, 有了长足的进步。本文介绍了目前网络上潜在的威胁及网络安全隔离与信息交换技术的发展概况, 并对新型的网络安全隔离技术进行了简单介绍。

关键词：信息安全,安全隔离与信息交换,信息交换技术

参考文献

[1]苏智睿李云雪王晓斌.网络安全隔离与信息交换技术分析[J].信息安全与通信保密, 2012, 04

[2]苏智睿.新型网络安全防护技术——网络安全隔离与信息交换技术的研究:[学位论文].电子科技大学, 2013, 02

[3]王诗琦.网络安全隔离与信息交换技术的系统分析[J].信息通信, 2012, 03

隔离与屏蔽技术论文 篇6

1 网络安全隔离与信息信息交换技术的重要性

1.1 网络安全隔离与信息交换技术的发展

随着当前网络技术的不断发展, 信息安全问题变的十分突出。在网络环境中, 要想更好地防止内部网络漏洞, 保护内部网络的安全性, 最好的办法就是实现外网和内网的安全隔离, 因此, 网络安全隔离与信息交换技术也随之产生。通常情况下, 网络隔离防护技术主要包括“隔离”和“交换”两个方面。隔离指的就是把不安全的外部网络和安全的内部网络隔离起来;交换指的是利用第三方系统, 为外部网络和内部网络提供数据交换的能力。

随着网络技术的发展, 网络安全隔离与信息交换技术主要经历了三个重要的发展阶段:首先, 人工数据交换阶段。人工数据交换是网络安全隔离与信息技术的起源, 主要是在两个网络彻底断开的情况下进行数据交换;其次, 网络硬件隔离, 这是网络安全隔离与信息交换技术发展的第二个阶段;再次, 新型的网络隔离交换技术。随着软硬件技术的发展, 在引入防火墙等网络安全技术后, 网络安全隔离交换技术进入了一个全新的技术阶段 (如图1所示) 。采用了这种结构模型, 一方面通过屏蔽机遇TCP/IP的一些协议攻击, 维护了网络内部安全, 另一方面通过中间交换存储器, 实现快速安全的网络信息交换。

1.2 网络安全隔离与信息交换技术的优越性

首先, 网络安全隔离与信息交换技术能够防止外网的攻击。第一, 在网络通信过程中, 网络安全隔离交换技术通过对IP层和应用层内容的相应防护和检查, 从而对内网中的漏洞进行屏蔽;第二, 网络安全隔离交换技术通过对内在漏洞的屏蔽主要包括协议漏洞、操作系统漏洞以及BUG, 从而全面提高内部网络的整体安全性, 保证内部网络的通畅运行;第三, 网络安全隔离交换技术能够强化系统内部防御, 一方面能够排除内部操作系统中的漏洞, 另一方面还能够防止外网的攻击。

其次, 网络安全隔离与信息交换技术能够防止数据泄露。第一, 在网络通信运行的过程中, 如果受到外部网络的攻击, 内外网之间的通话就会被切断, 协议会自动分解, 从而保证外部网络不能够借助已经建立的连接进行攻击。第二, 网络安全隔离交换技术中的控制规则, 能够独立运行, 这样就在一定程度上保证了数据通信规则的有效性和完整性, 防止数据被篡改, 通过安全规则检查阻止内部攻击, 保证机密信息的安全性。第三, 在网络安全隔离与交换技术的保护下, 协议分解与重构过程中协议数据格式被明确进行划分, 这样一来, 一些不符合格式要求的非法回话就会受到阻止, 所以说, 黑客及恶意代码无法控制内网中主机。通过多种安全措施保证基于TCP/IP的已知和未知攻击无法同时穿透内、外代理机单元。从而防止非法连接无法旁路安全规则和特定数据传输格式, 向外泄漏机密信息, 保证数据的安全性。

2 网络安全隔离与信息交换的技术分析

2.1 包过滤技术

包过滤技术是网络安全隔离交换技术的重要方面, 根据包过滤技术的特点, 参照安全隔离与信息交换通过体系结构可以分为:简单包过滤技术和状态监测技术两个方面。首先, 简单包过滤技术主要是指隔离交换系统收到数据包之后, 对包头进行数据扫描, 通过对数据的分析了解包头中的目的IP地址、端口以及源IP地址等。简单包过滤技术的操作非常简单, 但是安全性能不是很强大, 不能够检测动态运行的非法数据包;其次, 状态检测技术。在包过滤技术中, 为了弥补简单包过滤技术的缺陷, 状态检测随之产生。状态检测技术也可以称之为动态包过滤技术, 它能够对动态数据就行分析和识别。

2.2 代理技术

在网络安全隔离与信息教育技术中, 代理技术的安全能力不断提高, 按照代理的层次不同, 代理技术一般包括传输层代理和应用代理两种。应用代理技术一般情况下应用于网络的应用层, 能够为网络应用提供各种各样的代理服务, 在网络隔离交换技术中, 应用代理技术的隔离系统处于外部网络和内部网络之间, 在应用代理技术下, 不同网络之间的服务器和客户端不能够进行相应的沟通, 职能和代理进行通话;传输层代理技术和应用代理技术的原理基本相同, 它主要是为TCP提供相应的代理服务, 而不是给各种网络提供服务。它主要是通过与应用数据的连接, 对数据进行比对和分析, 然后决定是拒绝还是允许, 进行应用数据的转发。

2.3 流过滤技术分析

在计算机通信中, TCP/IP协议只能适用于网络主机之间的互相通信, 缺乏相应的安全防护, 存在一定的安全隐患。前文我们提到的包过滤技术知识对传输层和网络层的保护, 还不能够对应用层进行相应防护。流过滤技术不同于以往的包过滤技术。它一方面能够对单一包中的IP地址进行检查, 另一方面还能对单个报文中的相关数据进行比对、分析和检查, 防止病毒的侵入, 对应用层进行全面的保护。

3 网络安全隔离与信息交换技术的模式分析

3.1 网络安全隔离与信息交换技术的理论模型

网络安全隔离与信息交换技术是一种最新的安全隔离技术, 网络安全隔离与信息交换设备在网络拓扑结构上具有和防火墙相一致的位置, 但是, 在实际运行情况下, 网络安全隔离交换设备所具有的安全能力要比防火墙强很多。所以说, 在网络通信过程中, 面对不同的网络威胁, 借鉴并融合各种网络安全技术的优点, 将安全隔离、细粒度访问控制及各种防护手段有机融合起来才能实现真正意义上的安全防护。从理论层面上来看, 网络安全隔离交换技术主要是通过把内部网络和外部网络的直接联系切断, 从而实现不同网络之间的数据分析与数据交换。在实际应用过程中, 网络安全隔离与信息交换技术主要通过两种方式进行实际应用:一种是用于保护内部网络的服务器免受病毒的侵袭;一种是避免内部网络访问外部网络是出现信息的泄露。

3.2 网络安全隔离与信息交换技术的系统模型分析

首先, 内外代理机模块构造及技术流程。在网络安全隔离与信息交换技术中, 内外代理模块和堡垒主机的功能相似, 能够运行简单化的客户端程序和服务器程序。一般情况下, 代理机模块包括ICP/IP协议栈、协议分解、协议重构以及回话处理模块等几个重要的方面。在数据通信过程中, TCP/IP协议栈包含http、FIP等组件实现网络应用协议通信;协议分解部分通过对TCP/IP协议栈中的参数进行映射, 然后对表单进行重构和封装;表单结构包含所有重要的TCP/IP协议头参数, 如源、目的IP地址、应用协议类型等。通过映射过程中对TCP/IP协议段中不同内容和数据进行严格的检查, 并添加校验序列号进行校验和加密, 从而防止网络数据被篡改, 实现网络通信的安全性。

其次, 交换存储和开关控制单元。在网络安全隔离和信息交换技术运行中, 如果回话数据不能够实现静态化, 这样一些病毒就会绕过安全规则的检查, 对内部网络发起攻击, 进而把相应的数据进行泄露。因此, 只有在外部网络和内部网络之间实现安全隔离, 才能够防止数据信息泄露, 保证网络访问控制规则的有效执行, 防止不同形式漏洞的攻击。在这种情况下, 交换存储和开关控制模块应用而生。它能够实现外部网络和内部网络之间的有效隔离, 是提高内部网络有效性和安全性的重要方面。交换存储和开关控制模块一般情况是通过硬件实现的, 从而能够实现网络运行的安全、稳定和高速。在数据通信中, 由分时开关控制中间交换存储设备与内、外代理机分时通断, 这样能够保证交换设备在规定时间段内只能与外部和内部网络相互沟通, 从而把外部网络和内部网络直接对话切断, 防止数据的泄露。同时, 中间交换设备存储设备不存在其它通信接口, 而只接受会话处理模块的控制命令。数据读写通过最底层的I/O操作实现, 不断地满足互斥要求, 这样就实现了从硬件机制上实现隔离机制。一定的残余信息保护机制在从中间交换设备中读取数据后, 可以做到防止数据重用或泄漏。

4 结语

信息交换技术与网络安全隔离技术可以方便有效地防止针对TCP/IP协议的攻击, 可以防止各种已知和未知的攻击, 为网络安全带来了全新的理念是屏蔽OS及内部网络系统缺陷。尽管这种技术在性能及安全性上还存在一定的缺陷, 但相信随着对该技术的深入广泛研究, 以及实现该项技术与防火墙、IDS、病毒检测等技术的有机结合, 一定可以为现代信息安全提供更可靠的安全保障。

参考文献

[1]中华人民共和国国家技术监督局.GB/T8336.1-2001, 信息技术安全技术信息技术安全性评估准则第1部分:简介和一般模型

[2]中华人民共和国国家技术监督局.GB/T8336.1-2001, 信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求

[3]Thomas H.ptacek, Timothy N Newsham, Insertion, Evasion, and Denial of Service:Eluding Network Intrusion Detection

[4]董守吉, 孙德刚.安全隔离与信息交换技术产品的安全保密性分析研究[C].中国计算机学会信息保密专业委员会论文集, 2003

[5]卢开澄, 计算机密码学——计算机网络中的数据保密与安全 (第2版) [M].北京:清华大学出版社, 1998

隔离与屏蔽技术论文 篇7

•在连接外网 (一般是公共网) 的计算机上接收从总编室、广告部等部门发送来的素材或是已经制作好的字幕文件, 并将这些素材复制到一个专用的U盘上;

•在专用的杀毒计算机上对该U盘进行病毒查杀;

•将经过杀毒的U盘里的素材复制到字幕机里进行字幕制作并播出。

这种“U盘+杀毒专用计算机”的工作模式局限性是比较大的, 特别是由于无强制措施, 一旦工作人员出现麻痹侥幸心理, 直接将未经病毒查杀的U盘接入字幕机进行读写操作, 将会产生极大的风险;而且目前大多数字幕机也构成一个字幕网络系统并从属于播出网络, 这样更会对播出网络安全造成极大的威胁。

因此出于安全方面的考虑, 目前急需一款基于网络隔离技术的安全产品来对字幕系统内外网进行有效的安全防护, 甚至可以用于全台网背景下各子网之间的安全隔离, 特别是播出子网与媒资子网或制作子网之间的安全隔离。

一网络隔离技术的基本原理及技术发展

网络隔离, 英文名为Network Isolation, 主要是指把两个或两个以上可路由的网络 (如:TCP/IP) 通过不可路由的协议 (如:IPX/SPX、Net BEUI等) 进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议, 所以通常也叫协议隔离 (Protocol Isolation) 。它是面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求应运而生的, 主要目标是确保隔离有害的攻击, 在可信网络之外和保证可信网络内部信息不外泄的前提下, 完成网间数据的安全交换。从字面上看网络隔离和防火墙属于近似产品, 但网络隔离与防火墙却是属于不同类产品, 防火墙是指设置在不同网络 (如可信任的内部网和不可信的公共网) 或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口, 通过监测、限制、更改跨越防火墙的数据流, 尽可能地对外部屏蔽网络内部的信息、结构和运行状况, 有选择地接受外部访问, 对内部强化设备监管、控制对服务器与外部网络的访问, 在被保护网络和外部网络之间架起一道屏障, 以防止发生不可预测的、潜在的破坏性侵入。形象地说防火墙就像是在不同网络或网络安全域之间的一扇门, 按照预先制定的规则有选择性地让某些内容可以跨过这扇门, 其他的则被阻挡在外。

从指导思想上来说网络隔离与防火墙有着很大的不同, 防火墙的思路是在保障互联互通的前提下, 尽可能的安全;而网络隔离的思路是在必须保证安全的前提下, 尽可能互联互通, 如果不安全则断开。保证网间隔离效果的关键是网络包不可路由到对方网络, 无论中间采用了什么转换方法, 只要最终使得一方的网络包能够进入到对方的网络中, 都无法称之为隔离, 即达不到隔离的效果。显然, 只是对网间的包进行转发, 并且允许建立端到端连接的防火墙, 是没有任何隔离效果的。此外, 那些只是把网络包转换为文本, 交换到对方网络后, 再把文本转换为网络包的产品也是没有做到隔离的。从理论和实践上来说, 网络隔离要比防火墙高出一个安全级别。网络隔离能够解决目前网络安全存在的最根本问题, 不仅包括对操作系统的依赖性, 因为操作系统有漏洞;也包括对TCP/IP协议的依赖, 而TCP/IP协议同样有漏洞。在技术上实现网络隔离就是要把外网接口和内网接口从一套操作系统中分离出来, 也就是说至少要由两套主机系统组成, 一套控制外网接口, 另一套控制内网接口, 然后在两套主机系统之间通过不可路由的协议进行数据交换。

网络隔离技术经历了五代的技术发展。

第一代隔离技术——完全的隔离。此方法使得网络处于信息孤岛状态, 做到了完全的物理隔离, 需要至少两套网络和系统, 更重要的是信息交流的不便和成本的提高, 这样给维护和使用带来了极大的不便。

第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡, 客户端硬盘或其他存储设备首先连接到该卡, 然后再转接到主板上, 通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时, 同时选择了该卡上不同的网络接口, 连接到不同的网络。但是, 这种隔离产品有的仍然需要网络布线为双网线结构, 产品仍存在着较大的安全隐患。

第三代隔离技术——数据转播隔离。利用转播系统分时复制文件的途径来实现隔离, 切换时间非常之久, 甚至需要手工完成, 不仅明显地减缓了访问速度, 更不支持常见的网络应用, 失去了网络存在的意义。

第四代隔离技术——空气开关隔离。它是通过使用单刀双掷开关, 使得内外部网络分时访问临时缓存器来完成数据交换的, 但在安全和性能上存在有许多问题。

第五代隔离技术——安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制, 来实现内外部网络的隔离和数据交换, 不仅解决了以前隔离技术存在的问题, 并有效地把内外部网络隔离开来, 而且高效地实现了内外网数据的安全交换, 透明支持多种网络应用, 成为当前隔离技术的发展方向。

二早期网络隔离产品的应用分析与不足

目前, 在本行业, 有厂商推出了针对全台网安全的网络安全产品, 笔者参与了对于其中的三款典型产品针对播出安全方面的安全性测试 (具体测试内容请参见参考文献1) 。从测试的结果来看, 这三款产品都在长时间稳定工作、发热量、传输软件界面友好性上都有不错的表现, 而且文件的选择、传输等操作的执行都很方便。有些网络隔离器还内置了图形化的设置界面, 使得网络隔离器的设置更加方便快捷。而且, 三款产品从原理上讲都可能支持长时间不间断工作, 其中有的产品采用双电源技术, 而有的产品称支持双机热备技术, 从专业应用角度来讲, 只有支持连续不间断的工作, 才不会造成传输通路的中断。

具体检测结果见表1。

从测试结果可以看出早期的网络隔离器从安全的角度来说, 都有着不小的缺陷:所有的被测网络隔离器都无法隔离本身带毒的文件。只要该文件格式合法, 就可以通过网络隔离器的检验而被完整传输到内网, 这样对内网计算机的安全形成了不小的隐患。有的产品网络隔离器对于被传输文件的检验不够严密, 只对文件扩展名进行检验无法满足播出系统对安全性的要求;传输软件在设置和运行的过程中多次出现自动关闭的现象, 软件稳定性、兼容性较差。有的网络隔离器产品还不支持文件类型的手工添加扩展, 而默认支持的文件格式较少, 只有少量的文本文件和图片文件可以正常传输, 而大部分字幕机文件格式都无法通过该网络隔离器, 这样在使用上会略显不便。但这三款产品都存在一个共同的缺陷, 那就是这三款产品都是利用网线作为传输介质, 在设置过程中接收端与发送端都需要设置IP地址, 这就说明这些产品对文件的传输都无法摆脱对TCP/IP协议的依赖。因此, 从原理上分析可以看出这三款产品都是基于防火墙或是早期网络隔离技术的安全产品, 在技术上并没有实现真正意义上对TCP/IP协议的剥离, 所以这些产品在连接外网的时候, 都存在着被针对通信和应用协议漏洞的攻击而被攻破的风险。因此, 这些产品无法满足播出系统对安全的需求。

三基于USB2.0的网络隔离系统

1. USB技术规范

USB, 全称Universal Serial BUS (通用串行总线) , 中文简称为“通用串线”, 是一个外部总线标准, 用于规范电脑与外部设备的连接和通讯, 是应用在PC领域的接口技术。USB接口支持设备的即插即用和热插拔功能。USB是在1994年底由英特尔、康柏、IBM、Microsoft等多家公司联合提出的。USB版本经历了多年的发展, 到现在已经发展为3.0版本, 成为目前电脑中的标准扩展接口。USB用一个4针 (USB3.0标准为9针) 插头作为标准插头, 采用菊花链形式可以把所有的外设连接起来, 最多可以连接127个外部设备, 并且不会损失带宽。USB需要主机硬件、操作系统和外设三个方面的支持才能工作。USB具有传输速度快 (USB1.1是12Mbps、USB2.0是480Mbps、USB3.0是5Gbps) , 使用方便, 支持热插拔, 连接灵活, 独立供电等优点, 可以连接鼠标、键盘、打印机、扫描仪、摄像头、闪存盘、MP3、手机、数码相机、移动硬盘、外置光软驱、USB网卡、ADSL Modem、Cable Modem等几乎所有的外部设备。USB OTG是USB On-The-Go的缩写, 是近年发展起来的技术, 2001年12月18日由USB Implementers Forum公布, 主要应用于各种不同的设备或移动设备间的连接, 进行数据交换。特别是PDA、移动电话、消费类设备。改变如数码照相机、摄像机、打印机等设备间多种不同制式连接器, 多达7种制式的存储卡间数据交换的不便。传统的USB技术, 虽然使得PC和周边设备的数据交换变得简单和方便, 但它一旦离开了PC设备, 就无法实现数据交换, 因为没有一台设备能够充当PC一样的主机。OTG技术就是实现在没有Host的情况下, 实现从设备间的数据传送。利用USB-OTG针脚定义, 可以使厂商根据需要将各种数据设备定义为Host、Slave或具有双重身份的角色, 来完成两个设备之间的数据交互。

2. 基于USB2.0的网络隔离系统的实现方式

基于USB2.0的网络隔离系统是以文件传输服务、病毒监控服务、远程接收服务以及数据库应用服务等软件为核心, 以高性能的服务器硬件、高速USB接口卡以及高速USB线缆为基础, 来完成安全网络与非安全网络之间的文件交换。能隔离所有来自于非安全网络的黑客攻击及已知病毒和恶意软件。通过设置相关策略, 保护安全网络 (内网) 中的数据不被非法泄露, 方便网络管理员对安全网络与非安全网络进行规范管理。

基于USB2.0的网络隔离系统是由两个拥有操作系统的独立主机系统 (内网服务器和外网服务器) 和连接硬件组成。连接硬件是与以太网异构的介质 (高速USB线缆) 以及高速USB接口卡。如图1所示。

当使用USB线连接内网服务器与外网服务器时, 利用USB-OTG设备规范中的“多角色”特性, 将与两台服务器配置的USB高速接口卡同时作为Host角色和Slave角色, 由于USB支持双通道进出同步传输, 解决了传输过程中的双向问题, 实现两台主机间直接通过USB端口相互通信。同时, 服务器上基于标准USB规范的程序和高速USB接口卡上独立的芯片来对两个网络中需要交换的信息数据进行封包、摆渡、解包。通过这种方式, 就可以实现在这两台设备上任意的OTG传输。这样, 信息数据在传输的过程便完全抛弃了网线与TCP/IP协议, 实现真正意义上的网络隔离。

3. 基于USB2.0的网络隔离系统的优势

与之前的网络安全产品相比, 基于USB2.0的网络隔离系统有着以下优势:

(1) 传输过程不再依赖于网线与TCP/IP协议

基于USB2.0的网络隔离系统在信息数据传输过程中完全抛弃了传统的TCP/IP协议, 实现了安全隔离的作用。对于之前测试的网络安全产品而言, 连接内外网两端在逻辑上是同一台主机, 虽然在隔离设备上采用自己的私有协议, 但是仍然是基于TCP/IP协议的。这样, 在隔离策略设置不当, 或者没有及时更新策略时, 完全可能产生内网主机被入侵者逐步蚕食的情况。而USB通信协议是完全基于数据分块和方向制定的, 可以确保外来数据能够在完全不到达内网主机的情况下, 通过数据的定向同步映射到内网。这样, 即使入侵者能够成功控制外网的代理机, 在理论上, 依靠目前的TCP/IP是无法构造能够同时兼容两层完全不同的传输介质和传输协议的数据通信, 因此无法将恶意软件通过USB传送到内网的主机中。

由于USB同步协议为私有协议而不是公开协议, 而且传输介质为USB通信端口, 入侵者在没有专用的硬件设备的前提下绝对无法对传输协议进行分析, 因此即使能够完全控制外网主机, 也无法建立正常的传输将非法数据或者病毒文件传入内网之中。

(2) 高速的传输速率与智能的传输控制

网络隔离系统所使用的传输协议为USB2.0, 而USB2.0的理论数据传输带宽可以达到480Mbps (60MB/s) , 实际测试速度能达到30MB/s (与服务器硬件平台性能相关) , 并支持双通道进出同步传输, 支持最多4条USB2.0线缆并发传输, 最高并发传输带宽可达到120MB/s;而普通千兆网线受信号衰弱等因素的影响, 实际传输速度仅为30MB/s左右。这样的传输速度完全能够满足字幕系统要求, 甚至可以满足媒资子网与播出子网之间素材传输的带宽要求。由于采用多条线缆并行传输, 也提高了冗余性, 保证传输稳定进行。此外, 文件传输程序能够自动检测任务并控制传输, 采用MD5文件完整性校验, 保证传输到内网的所有文件的完整性。自动检测现有文件, 并根据设定规则进行重命名。可根据文件类型自动分类保存, 方便在内网进行文件的检索。

(3) 高效的病毒查杀

采用双独立系统异种杀毒软件, 并采用国外著名的杀毒软件 (卡巴斯基、NOD32、小红伞等) , 使用内嵌式后台杀毒模式, 快速高效地扫描所有传输的文件, 几乎可以清除掉所有的病毒威胁, 从根本上解决病毒木马等问题。

(4) 严格的文件类型检查

用户可自定义文件传输类型, 自由配置允许传输和拒绝传输的文件类型, 可根据配置检测待传文件内部格式是否是相应的文件类型, 防止某些恶意文件对文件类型进行修改欺骗, 在传输文件的类型上再一次进行过滤, 确保进入内网服务器的文件没有被病毒感染的可能。

(5) 简单易用的操作方式

可以根据实际使用环境配置多种文件传输方式。可以采用CIFS (文件共享式) 、WEB网页上传、C/S客户端等多种方式对文件进行上传, 操作简单方便。可以按用户权限设定用户可传输的文件类型, 支持在局部网或公众网进行远程传输。

四小结

从上述的论述中可以看出, 基于USB2.0的网络隔离系统与之前的网络安全产品相比, 有着许多优势, 如安全性好、传输速率高、简单易用等等。因此, 可以说, 基于USB2.0的网络隔离系统能很好地满足字幕网络系统对传输安全和传输速率要求并符合播出系统的使用需求。

参考文献