網(wǎng)絡(luò)隔離技術(shù)經(jīng)過了長(zhǎng)時(shí)間的發(fā)展，目前已經(jīng)發(fā)展到了第五代技術(shù)。第一代隔離技術(shù)采用完全的隔離技術(shù)，實(shí)際上是將網(wǎng)絡(luò)物理上的分開，形成信息孤島；第二代隔離技術(shù)采用硬件卡隔離技術(shù)；第三代隔離技術(shù)采用數(shù)據(jù)轉(zhuǎn)發(fā)隔離技術(shù)；第四代隔離技術(shù)采用空氣開關(guān)隔離技術(shù)；第五代隔離技術(shù)采用安全通道隔離技術(shù)。

基于安全通道的最新隔離技術(shù)通過專用通信硬件和專有安全協(xié)議等安全機(jī)制，來實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)的隔離和數(shù)據(jù)交換，不僅解決了以前隔離技術(shù)存在的問題，并有效地把內(nèi)外部網(wǎng)絡(luò)隔離開來，而且高效地實(shí)現(xiàn)了內(nèi)外網(wǎng)數(shù)據(jù)的安全交換，透明支持多種網(wǎng)絡(luò)應(yīng)用，成為當(dāng)前隔離技術(shù)的發(fā)展方向。

網(wǎng)絡(luò)隔離的指導(dǎo)思想與防火墻也有很大的不同，體現(xiàn)在防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；而網(wǎng)絡(luò)隔離的思路是在必須保證安全的前提下，盡可能支持?jǐn)?shù)據(jù)交換，如果不安全則斷開。

網(wǎng)絡(luò)隔離技術(shù)主要目標(biāo)是解決目前信息安全中的各種漏洞：操作系統(tǒng)漏洞、TCP/IP漏洞、應(yīng)用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò)隔離是目前唯一能解決上述問題的安全技術(shù)。

2、網(wǎng)絡(luò)隔離防護(hù)產(chǎn)品

基于網(wǎng)絡(luò)隔離技術(shù)的網(wǎng)絡(luò)隔離產(chǎn)品是互聯(lián)網(wǎng)時(shí)代的產(chǎn)物。最早出現(xiàn)在美國(guó)、以色列等國(guó)家的軍方，用以解決涉密網(wǎng)絡(luò)與公共網(wǎng)絡(luò)連接時(shí)的安全。在我國(guó)，最初的應(yīng)用也主要集中在政府、軍隊(duì)等領(lǐng)域，由于核心部門的信息安全關(guān)系著國(guó)家安全、社會(huì)穩(wěn)定，因此迫切需要比傳統(tǒng)產(chǎn)品更為可靠的技術(shù)防護(hù)措施。國(guó)內(nèi)的網(wǎng)絡(luò)隔離產(chǎn)品也由此應(yīng)運(yùn)而生。

由于是應(yīng)用在可能涉及國(guó)家安全的關(guān)鍵場(chǎng)合，為了統(tǒng)一規(guī)范網(wǎng)絡(luò)隔離類的技術(shù)標(biāo)準(zhǔn)，國(guó)家質(zhì)量監(jiān)督檢驗(yàn)總局及國(guó)家標(biāo)準(zhǔn)化管理委員及早制定了相應(yīng)的國(guó)家標(biāo)準(zhǔn)，目前最新國(guó)標(biāo)為GB/T 20279-2006和GB/T 20277-2006。

隨著以電力為首的工業(yè)行業(yè)對(duì)網(wǎng)絡(luò)安全提出了更高要求后，網(wǎng)絡(luò)隔離產(chǎn)品也開始在工業(yè)領(lǐng)域逐漸得到應(yīng)用。目前，已經(jīng)在工業(yè)領(lǐng)域用于控制網(wǎng)絡(luò)安全防護(hù)的網(wǎng)絡(luò)隔離產(chǎn)品主要有網(wǎng)閘、工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)等產(chǎn)品。這些產(chǎn)品大部分都是基于最新的第五代隔離技術(shù)開發(fā)出來了，其主要的技術(shù)原理是從OSI模型的七層上全面斷開網(wǎng)絡(luò)連接，同時(shí)采用“2+1”的三模塊架構(gòu)，即內(nèi)置有兩個(gè)主機(jī)系統(tǒng)，和一個(gè)用于建立安全通道可交換數(shù)據(jù)的隔離單元。這種架構(gòu)可以實(shí)現(xiàn)連接到外網(wǎng)和內(nèi)網(wǎng)的兩主機(jī)之間是完全網(wǎng)絡(luò)斷開的，從物理上進(jìn)行了網(wǎng)絡(luò)隔離，消除了數(shù)據(jù)鏈路的通信協(xié)議，剝離了TCP/IP協(xié)議，剝離了應(yīng)用協(xié)議，在安全交換后進(jìn)行了協(xié)議的恢復(fù)和重建。通過TCP/IP協(xié)議剝離和重建技術(shù)消除了TCP/IP協(xié)議的漏洞。在應(yīng)用層對(duì)應(yīng)用協(xié)議進(jìn)行剝離和重建，消除了應(yīng)用協(xié)議漏洞，并可針對(duì)應(yīng)用協(xié)議實(shí)現(xiàn)一些細(xì)粒度的訪問控制。從TCP/IP的OSI數(shù)據(jù)模型的所有七層斷開后，就可以消除目前TCP/IP存在的所有攻擊。

圖1

（1）、網(wǎng)閘

網(wǎng)閘類產(chǎn)品誕生較早。產(chǎn)品最初是用來解決涉密網(wǎng)絡(luò)與非涉密網(wǎng)絡(luò)之間的安全數(shù)據(jù)交換問題。后來，網(wǎng)閘由于其高安全性，開始被廣泛應(yīng)用于政府、軍隊(duì)、電力、鐵道、金融、銀行、證券、保險(xiǎn)、稅務(wù)、海關(guān)、民航、社保等多個(gè)行業(yè)部門。

由于網(wǎng)閘產(chǎn)品的主要定位是各行業(yè)中對(duì)安全性要求較高的涉密業(yè)務(wù)的辦公系統(tǒng)，因此它提供的應(yīng)用也以通用的互聯(lián)網(wǎng)功能為主。例如，目前大多數(shù)網(wǎng)閘都支持：文件數(shù)據(jù)交換、HTTP訪問、WWW服務(wù)、FTP訪問、收發(fā)電子郵件、關(guān)系數(shù)據(jù)庫同步以及TCP/UDP定制等。

在工業(yè)領(lǐng)域，網(wǎng)閘也開始得到應(yīng)用和推廣。但除了用于辦公系統(tǒng)外，當(dāng)用于隔離控制網(wǎng)絡(luò)時(shí)，由于網(wǎng)閘一般都不支持工業(yè)通信標(biāo)準(zhǔn)如OPC、Modbus，用戶只能使用其TCP/UDP定制功能。這種方式需要在連接網(wǎng)閘的上、下游增加接口計(jì)算機(jī)或代理服務(wù)器，并定制通信協(xié)議轉(zhuǎn)換接口軟件才能實(shí)現(xiàn)通信。

（2）、工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)

工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是近幾年新興的一種專門應(yīng)用于工業(yè)領(lǐng)域的網(wǎng)絡(luò)隔離產(chǎn)品，它同樣采用“2+1”的三模塊架構(gòu)，內(nèi)置雙主機(jī)系統(tǒng)，隔離單元通過總線技術(shù)建立安全通道以安全地實(shí)現(xiàn)快速數(shù)據(jù)交換。與網(wǎng)閘不同的是，工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)提供的應(yīng)用專門針對(duì)控制網(wǎng)絡(luò)的安全防護(hù)，因此它只提供控制網(wǎng)絡(luò)常用通信功能如OPC、Modbus等，而不提供通用互聯(lián)網(wǎng)功能。因此工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)更適合于控制網(wǎng)絡(luò)的隔離，但不適合辦公系統(tǒng)。

工業(yè)網(wǎng)絡(luò)安全防護(hù)網(wǎng)關(guān)是網(wǎng)絡(luò)隔離技術(shù)應(yīng)用于工業(yè)網(wǎng)絡(luò)安全防護(hù)的一種專業(yè)化安全產(chǎn)品。

結(jié)束語

近幾年，因網(wǎng)絡(luò)病毒引起的工業(yè)事件層出不窮，工業(yè)網(wǎng)絡(luò)安全問題已經(jīng)日益嚴(yán)峻，針對(duì)目前我國(guó)工業(yè)控制系統(tǒng)信息安全面臨的嚴(yán)峻形勢(shì)，2011年10月27日，工信部下發(fā)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，強(qiáng)調(diào)了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性，并明確了重點(diǎn)領(lǐng)域如：石油石化、電力、鋼鐵、化工等行業(yè)工業(yè)控制系統(tǒng)信息安全管理要求。石化工業(yè)是國(guó)家的基礎(chǔ)性能源支柱產(chǎn)業(yè)，信息安全在任何時(shí)期、任何國(guó)家地區(qū)都備受關(guān)注。能源系統(tǒng)的信息安全問題直接威脅到其它行業(yè)系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)、優(yōu)質(zhì)的運(yùn)行，影響著系統(tǒng)信息化的實(shí)現(xiàn)進(jìn)程。維護(hù)網(wǎng)絡(luò)安全，確保生產(chǎn)系統(tǒng)的穩(wěn)定可靠、防止來自內(nèi)部或外部攻擊，采取高安全性的防護(hù)措施都是石化信息系統(tǒng)安全不可忽視的組成部分