基于物理隔离的安全网闸研究与系统设计论文.pdfVIP

计算机科学2004V01．31No-．9A 基于物理隔离的安全网闸研究与系统设计¨ 屈波熊前兴吴业福李玉强陶强 (武汉理工大学计算机科学与技术学院 武汉430063) ， 摘要{基于物理隔离的安全冈闸技术是一种新型安全技术，它能够防止已知或未知的针对网络层和操作系统层 的攻击，并在内网与外网物理隔断的同时，提供内外网间安全的、实时的数据交换环境。文章分析了基于物理隔离 的安全网闸技术，将其与传统网络安全技术进行了对比分析，指出了这种安全技术的优点，并根据其数据交换的基 本原理，提出了实现基于物理隔离的安全网闸的方案。』 关键词物理隔离，安全网闸，防火墙，入侵检测 of NetworkBasedon Isolation Security Gap Physics Study QUBo WUYe-FuLI Tao XiongQian-Xing Yu—QiangQiang (Schoolof Scienceand 430063) Computer Technology，WUT。Wuhan 愁器掣 贼嚣泄．|| k装．嚣嚣 戚星．鬈脚唧Ⅲ 一一一一一呦～ 眦-篁k∞“印=蚕 ．g髫b翟叫糕F ～～一一～一帆 一～一～一～一 一一一～～一一 一～一一～一一 一一一～一一一 ～一一～一～一 安全网闸，它创建一个这样的环境，内外两个网 ～一～～一一一 1 引言 络物理断开，但逻辑地相连。安全网闸在这两个网络 随着政府上网工程的不断开展，计算机及网络 之间创建了一个物理隔断，这意味着网络数据包不 泄密案件(主要指政府机密信息泄漏)逐年增加，物 能从一个网络流向另外一个网络，并且可信网络上 理隔离[1矗]这一技术应运而生，相继而来的便是基于 的计算机和不可信网络上的计算机从不会有实际的 物理隔离的安全网闸的出现。物理隔离是相对使用 连接。对于有连接的PC，黑客使用各种方法，通过网 防火墙、入侵检测等传统的网络安全技术进行逻辑 络能够建立连接来对它们进行控制，然而物理隔断 隔离而言的，是指涉密网与公共信息网彼此完全隔 却能杜绝这种情况发生。 开断绝，两个网络之间不存在数据通路。通过这种方 安全网闸除可以实现物理隔断外，还可以允许 式，涉密网的信息无法与公共信息网进行交换，从而 可信网络和不可信网络之间的数据、资源和信息的 保证了涉密网络内部的安全。然而这种安全是有代 安全交换。安全网闸带来的最大好处：物理隔断使可 价的，涉密网与公共信息网完全物理隔离，涉密网就 信网络安全同时允许在线式实时访问不可信网络。 成为一个信息孤岛，这当然不是我们信息化建设所 安全网闸在物理链路层面通过网络开关高速连 需要看到的。在提高系统安全性的同时，我们需要采 接两边网络，它物理上决定了用户不可能在两个网 用很多传统安全技术来增强系统的安全性，比如防 络之间保持一个稳定的链接。这样用户的应用仍然 火墙技术，入侵检测技术，防病毒技术等，而这些技 是透明的，但底层的传输已经完全改变。确实，黑客 术都是基于逻辑检测的，它们对未知攻击、未知病毒