内外网安全隔离设备穿透技术 应用 论文

内外网安全隔离设备穿透技术的研究与应用摘要：计算机技术和网络技术的迅猛发展使电力系统越来越多地利用网络平台开展工作，与此同时，黑客、病毒以及恶意代码对电力系统尤其是生产控制系统的威胁日益严重，对电力系统网络的安全性、可靠性、实时性提出了非常严格和紧迫的要求，内外网安全隔离设备穿透技术的研究与应用将是网络安全研究上新的突破和巨大的进步。

关键词：内外网安全；隔离；穿透技术

中图分类号：tp393.08 文献标识码：a 文章编号：1006-8937（2012）29-0013-02

1 技术研究现状

潜伏在网络中的各种漏洞会带来各种安全隐患，网络信息安全问题随之受到巨大的威胁。因此，充分运用各种网络安全技术特点所形成的内外网安全隔离设备穿透技术，进一步加速了信息安全防护技术的发展。当前内外网安全隔离技术主要是通过切断内、外网间的连接，实现不同网络之间的数据交换。在实际应用中这种技术主要体现在两个方面：一是防止内网在访问外网时泄漏内部信息；二是保护内网中的服务器被外部攻击。它最大的功能是通过各种安全隔离技术，避免信息泄露，保护服务器。内外网安全隔离技术，可以有效屏蔽内部潜在的操作系统漏洞、协议漏洞以及相关bug，在保障内网的安全性的同时，还有效避免了各种外部攻击。通过对系统内核加以强化，来有效抵御外部攻击，在防止自身系统产生漏

洞的情况下，还能够进一步加强整个网络抗击dos、ddos等网络攻击的能力。这就意味着这项技术会通过低成本抵御内网操作系统被破坏或者崩溃，起到更大的安全效益。

网络攻击主要分为两类，即拒绝服务攻击和针对内部漏洞（这主要包括网络协议漏洞、操作系统漏洞、软件漏洞）所进行的攻击。通过在内、外网间实施安全隔离，提升内网的整体安全性是屏蔽内网的各种漏洞，保护其不受攻击的有效途径。网络安全隔离技术实现有以下两种方式：空间隔离和时间隔离。空间隔离主要将连接在内、外部网的两套设备，通过中间存储设备将信息传递到内、外网之间完成交换。时间隔离的核心思想是认为用户一般在不同时间使用网络不同，这样将一台计算机定义成两种状态，即内部网络（安全）状态和公共网络（安全）状态，主要为了保证用户在某一特定时间段只能处于一种特定状态。时间、空间隔离在实际应用中有一定的交互。时间、空间的隔离方法在具体实现过程相互渗透与交叉，最终促成安全隔离设备穿透技术的出现。

2 技术的理论研究

2.1 技术原理

内外网安全隔离设备穿透技术是适应网络按照安全等级进行分区的需要，对数据库进行保护的专用技术。本技术可以对信息内外网间的传输进行筛选，只允许特定的应用服务器对指定的数据库服务器进行访问，同时对访问服务器的内容和行为加以限制。

2.2 技术架构

采用隔离设备和第三方隔离中间件构成内外网的隔离技术实现。通过配置隔离设备和隔离中间件，实现日常各类文本的内外网安全交互，并且业务sql可以穿透隔离设备，保证平台数据的实时性和高效性。

集成的隔离中间件将能够提供多种通信交互方式，在保证内外网完全隔离的前提下，根据权限提供双向数据的交互，外网能够及时的把和内网相关的业务数据提交到内网，内网也能够将外网所需的数据推送到web端。具体隔离技术设计如图1所示。

3 技术的工程实践

3.1 内外网安全设备部署

①外网设备部署：当外网需要有数据到达内网时，比如说用手机通过外网来发送email，外部服务器立即对隔离的设备通过非tcp/ip协议进行连接，该设备紧接着将所有协议进行剥离，并将原始数据写入存储介质。一旦数据写入该设备的存储介质，隔离设备将中断与外网的连接，转而对内网的非tcp/ip协议的数据连接。内网在接收到推送数据后，对tcp/ip和应用协议进行封装，并交给应用系统。

②内网设备部署。当内网想要发送邮件时，隔离设备收到请求信号后，首先会建立非tcp/ip协议的数据连接，隔离设备会对所有的tcp/ip和应用协议进行剥离，从而得到原始数据，这些数据也将被写入存储介质。当数据全部写入存储介质时，隔离设备则在同一时间发起对外网的非tcp/ip协议的数据连接。外网接到该设

备的数据后，马上进行tcp/ip和应用协议的封装，并传输给系统。

3.2 sql代理装置

内外网安全隔离设备穿透技术通过sql代理装置，将内网与外网进行隔离，这就要求信息内网和信息外网间的sql通信必须依靠sql代理装置进行，同时还必须保证sql代理装置本身的安全性。sql代理装置是适应网络需求的，并且按照安全等级进行分区划分的，它是对数据库进行保护的专用装置。本装置对信息内外网间的传输进行过滤，只允许特定的应用服务器对指定的服务器进行访问，并且对客户端访问数据库服务的内容和行为加以限制。

①jdbc驱动。专用jdbc驱动就是整个系统的用户接口，应用程序通过调用专用jdbc驱动来访问底层数据库，中间的专用jdbc接口与sql代理服务器之间的交互以及sql代理服务器与真正的底层数据库之间的交互对用户是透明的。

②sql安全过滤模块。根据安全策略，对sql语句进行安全检查工作。

③odbc执行引擎。用于执行具体的数据库访问命令，并且返回执行结果。

④监控模块。负责收集sql代理主程序的运行信息，与远程客户平台进行交互，提供运行监视、实时控制等功能。

⑤管理模块。实现配置文件下发以及安全策略调整。

4 功能和特性

内外网安全隔离设备穿透技术具备以下几大功能。

4.1 基本功能

内外网安全隔离设备穿透技术具备通用防火墙的基本功能。

①防御功能：提供实时监控、审计和告警功能。

②安全管理：操作系统提供分权管理安全机制，提供给管理员和审计员分权管理机制，对产品进行安全管理；提供较为完全的审计机制；主要针对系统管理体系的分类日志（包括管理日志、通信事件日志）进行审计，日志内容主要包括事件时间、日志主体和摘要等；为日志提供较为完整的查询功能，日志查询和分级分类筛选，这为用户进行日志的审计和分析提供了方便。

③操作管理。提供灵活的本地管理方式。

4.2 增强的安全功能

①加固的安全操作系统。采用安全linux操作系统，根据最小特权原则对装置的软件，制定mac（强制访问控制）策略。

②严格的访问控制策略。本技术可以配置对源ip进行控制，最大程度让数据库服务器对非法访问者不可见，以保障数据库安全。

4.3 数据库专用防护功能

①sql语句控制。对于连接上数据库的通讯内容进行全方位分析，从其中分析出完整的sql语句，对其进行过滤。如果通过词法分析并与已知合法sql语句相匹配，则进行放过。如果不与已知的合法sql语句相匹配，这进行恶意特征检查。若包含恶意特征，本技术将立即阻止该sql语句执行或者切断其连接，将恶意sql语句及时阻挡住，使之无法在数据库服务器上执行。