新郑卷烟厂工业控制网网络安全解决方案

新郑卷烟厂的控制系统现状及安全分析

1.  生产控制网络现状

新郑烟草集团管理信息系统作为公司统一的数据应用平台和数据库，已经可以做到物流、信息流、价值流的互通和集成，实现了业务运作流程的高度集成与简化，实现集成、高效、精细的企业管理。针对整个工业集团当前的管理层次和业务需要可将整个信息系统划分为工厂生产自动控制层、生产指挥调度层、工厂经营管理层、工业集团公司经营管理层，通过相应的信息系统实现其信息化管理，各层信息系统的目标、功能以及定位明确、清晰，同时各层信息系统之间高度集成。

其中，各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统（SCADA）、可编程逻辑控制器（PLC）、远程终端（RTU）、人机操作界面（HMI），以及确保各组件通信的接口技术。

生产工业控制网络系统分为三层，底层是工业控制层网络，主要由工业以太网和现场总线组成，工业以太网采用星型结构将上位机（操作员站）、PLC  等组成工业现场的一个小型局域网；中间层采用环形网络将各个工业现场的小型工业局域网连接起来，与中控室相连； 上层采用星型结构的工业以太网由采集服务器、IH 服务器、关系数据库服务器、操作员站、 网络发布服务器等组成小型局域网，由 WEB 发布服务器与外界网络相连。

2.  控制系统安全分析

目前，安全问题已经在关系民计民生的基础设施行业得到重视，如工业、能源、交通、水利以及市政等领域等。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010 年 10 月，一种名为“震网”（Stuxnet）的蠕虫病毒导致全球有超过 4.5 万个网络受 到感染，伊朗、印尼、印度、美国等均有发生，其中伊朗布什尔核电站因此而推迟发电。据 称，该病毒是当前首例专门针对工业控制系统编写的破坏性程序，也被称为“超级工厂病毒”， 目前监测发现该病毒已开始在我国互联网上传播。经国家网络与信息安全信息通报中心组织国家计算机病毒应急处理中心及瑞星、江民、360、安天等国内防病毒厂商研判，目前该病毒仅针对西门子公司的工业控制系统进行破坏，对互联网用户尚未构成实质威胁。

在烟草工业系统中，随着西门子公司的工业控制网络在卷烟生产企业的广泛应用，其安全问题成为影响卷烟企业正常生产的关键因素。新郑卷烟厂制丝车间工业控制网络运行四年期间共发生通讯中断、网络阻塞、实时数据库数据采集丢失、控制失灵等网络安全事件二十 余起，曾造成整条制丝生产线无法启动和中断等严重影响生产事件。

与传统的信息系统安全需求不同，工业网络系统设计需要兼顾应用场景与控制管理等多方面因素，以优先确保系统的高可用性和业务连续性。在这种设计理念的影响下，缺乏有效的工业安全防御和数据通信保密措施是很多工业控制系统所面临的通病。

据权威工业安全事件信息库RISI（Repository of Security Incidents）统计，截止2011 年10 月，全球已发生200余起针对工业控制系统的攻击事件。2001 年后，通用开发标准与互联网技术的广泛使用，使得针对ICS系统的攻击行为出现大幅度增长，ICS 系统对于信息安全管理的需求变得更加迫切。

图3：1982-2009工业系统攻击事件

参考工信部协[2011]451号《关于加强工业控制系统信息安全管理的通知》，综合工业控制网络特点以及工业环境业务类型、组织职能、位置、资产、技术等客观因素，必须对工业 控制系统构建信息安全管理体系，才能确保工业控制系统高效稳定的运行。

需求分析

新郑卷烟厂工业控制网目前是一个相对独立的网络，仅有一条线与新郑卷烟厂的企业信息网相连，以便于车间领导上报数据、卷烟厂领导查阅生产数据。企业信息网是和互联网相连的。在工业控制网中，通过 PLC 收集生产系统的数据，并通过光纤环网上传至数据采集服务器，整个网络结构大致如下图所示：

据统计，新郑卷烟厂工业控制网网络在运行四年期间共发生通信中断、网络阻塞、实时 数据库采集丢失、控制失灵等网络安全事件二十余起，曾造成整体制丝生产线无法启动和中断等严重影响生产的安全事件。经过事后的分析，发生上述安全事件的原因是因为工业控制 网络系统感染了计算机病毒，感染了病毒的计算机大量发布数据包造成了网络阻塞、通信中断等安全事件。

1.  控制网络的安全漏洞

根据国家反计算机病毒中心的最新统计截止到 2011 年“震网”病毒(Worm/Stuxnet.x)已经悄无声息的侵入我国，已经导致了部分企业用户遭受其侵害，承受了一定的经济损失。 “震网”病毒(Stuxnet 蠕虫病毒)能够利用对 windows 系统和西门子 SIMATIC WinCC 系统的 7 个漏洞进行攻击。特别是针对西门子公司的 SIMATIC WinCC 监控与数据采集 (SCADA)  系统进行攻击。 开放性为用户带来的好处毋庸置疑，但由此引发的各种安全漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统，产生安全漏洞的因素是多方面的。

网络通信协议安全漏洞

随着 TCP(UDP)/IP 协议被控制网络普遍采用，网络通信协议漏洞问题变得越来越突出。TCP/IP 协议簇最初设计的应用环境是美国国防系统的内部网络，这一网络是互相信任的，因此它原本只考虑互通互联和资源共享的问题，并未考虑也无法兼容解决来自网络中和网际间的大量安全问题。当其推广到社会的应用环境后，安全问题发生了。所以说，TCP/IP 在先天上就存在着致命的安全漏洞。

TCP/IP 协议簇规定了 TCP/UDP 是基于 IP 协议上的传输协议，TCP 分段和 UDP 数据包是封装在 IP 包在网上传输的，除了可能面临 IP 层所遇到的安全威胁外，还存在 TCP/UDP 实现中的安全隐患。例如，TCP 建立连接时在客户机/服务器模式的“三次握手”中，假如客 户的 IP 地址是假的，是不可达的，那么 TCP 无法完成该次连接并处于“半开”状态，攻击者利用这个弱点就可以实施如 SYN Flooding 的拒绝服务攻击；TCP 提供可靠连接是通过初始序列号和鉴别机制来实现的。一个合法的 TCP 连接都有一个客户机/服务器双方共享的唯一 序列号作为标识和鉴别。初始序列号一般由随机数发生器产生，但问题出在很多操作系统在 实现 TCP 连接初始序列号的方法中，它所产生的序列号并不是真正的随机，而是一个具有一定规律、可猜测或计算的数字。对攻击者来说，猜出了初始序列号并掌握了 IP 地址后， 就可以对目标实施 IP Spoofing 攻击，而且极难检测，危害巨大；而 UDP 是一个无连接的控制协议，极易受 IP 源路由和拒绝服务型攻击。

操作系统安全漏洞

PC+Windows 的技术架构现已成为控制系统上位机/操作站的主流。而在控制网络中， 上位机/操作站是实现与 SCADA 通信的主要网络结点，因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。

应用软件安全漏洞

处于应用层的应用软件产生的漏洞是最直接、最致命的。一方面这是因为应用软件形式多样，很难形成统一的防护规范以应对安全问题；另一方面最严重的是，当应用软件面向网络应用时，就必须开放其应用端口。例如，要想实现与操作站 OPC 服务器软件的网络通信， 控制网络就必须完全开放 135 端口，这时防火墙等安全设备已经无能为力了。而实际上， 不同应用软件的安全漏洞还不止于此。

目前黑客攻击应用软件漏洞常用的方法是“缓冲区溢出”，它通过向控制终端发送恶意数据包来获取控制权。一旦获取控制权，攻击者就可以如在本地一样去操控远程操作站上的监控软件，修改控制参数。

2.  控制网络安全隐患

控制网络的安全漏洞暴露了整个控制系统安全的脆弱性。由于网络通信协议、操作系统、应用软件、安全策略甚至硬件上存在的安全缺陷，从而使得攻击者能够在未授权的情况下访问和操控控制网络系统，形成了巨大的安全隐患。控制网络系统的安全性同样符合“木桶原 则”，其整体安全性不在于其最强处，而取决于系统最薄弱之处，即安全漏洞所决定。只要这个漏洞被发现，系统就有可能成为网络攻击的牺牲品。

安全漏洞对控制网络的隐患体现在恶意攻击行为对系统的威胁。随着越来越多的控制网络系统通过信息网络连接到互联上，这种威胁就越来越大。目前互联网上已有几万个黑客站点，黑客技术不断创新，基本的攻击手法已达上千种。这些攻击技术一旦被不法之徒掌握， 将产生不良的后果。

对于控制网络系统，由于安全漏洞可能带来的直接安全隐患有以下几种。

入侵

系统被入侵是系统常见的一种安全隐患。黑客侵入计算机和网络可以非法使用计算机和 网络资源，甚至是完全掌控计算机和网络。控制网络的计算机终端和网络往往可以控制诸如大型化工装置、公用工程设备，甚至核电站安全系统等大型工程化设备。黑客一旦控制该系统，对系统造成一些参数的修改，就可 能导致生产运行的瘫痪，就意味着可能利用被感染的控制中心系统破坏生产过程、切断整个 城市的供电系统、恶意污染饮用水甚至是破坏核电站的正常运行。随着近些年来越来越多的 控制网络接入到互联网当中，这种可能就越来越大。

拒绝服务攻击

受到拒绝服务攻击是一种危害很大的安全隐患。常见的流量型攻击如 Ping Flooding、 UDP Flooding 等，以及常见的连接型攻击如 SYN Flooding、ACK Flooding 等，通过消耗 系统的资源，如网络带宽、连接数、CPU 处理能力等使得正常的服务功能无法进行。拒绝 服务攻击难以防范的原因是它的攻击对象非常普遍，从服务器到各种网络设备如路由器、交 换机、防火墙等都可以被拒绝服务攻击。

控制网络一旦遭受严重的拒绝服务攻击就会导致操作站的服务瘫痪，与控制系统的通信完全中断等。可以想像，受到拒绝服务攻击后的控制网络可能导致网络中所有操作站和监控终端无法进行实时监控，其后果是非常严重的。而传统的安全技术对拒绝服务攻击几乎不可避免，缺乏有效的手段来解决。

病毒与恶意代码

病毒的泛滥是大家有目共睹的。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。除了传统意义上的具有自我复制能力但必须寄生在其它实用程序中的病毒外，各种新型的恶意代码也层出不穷，如陷阱门、逻辑炸弹、特洛伊木马、蠕虫、Zombie 等。新型的恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。传统病毒的自我复制过程需要人工干预，无论运行感染病毒的实用程序，或者是打开包含宏病毒的邮件等，没有人工干预病毒无法自我完成复制、传播。但蠕虫却可以自我独立完成以下过程：

● 查找远程系统：能够通过检索已被攻陷的系统的网络邻居列表或其它远程系统地址列表找出下一个攻击对象。

● 建立连接：能够通过端口扫描等操作过程自动和被攻击对象建立连接，如 Telnet连接等。

● 实施攻击：能够自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。一旦计算机和网络染上了恶意代码，安全问题就不可避免。

3.  系统高可用性

对于新郑卷烟厂工业控制网来说，直接影响到卷烟厂的生产效率和生产成绩，仅仅对病毒防治是远远不够的。我们从新郑卷烟厂网络拓扑图上，可以看到，目前数据采集服务器存在单点故障的可能， 而控制网络又采用环形光纤网络，各子系统之间互相影响的风险极大。若服务器的数据库或操作系统或服务器硬件发生故障，更会严重影响整个工业控制生产网的正常运转。所以，应该考虑构建一个高可靠性、独立性网络，来保障新郑卷烟厂工业控制系统的可持续运行。

方案设计

1.  建设目标

通过上述对新郑卷烟厂工业生产网的分析，我们进行归纳总结，可以发现，若要实现新郑卷烟厂工业生产网的可持续性运行，需要从技术和管理两个方面同时来进行完善和加强， 构建一套新郑卷烟厂工业生产网的信息安全体系。

2.  系统设计方案

分布式管理规划

目前新郑卷烟厂工业生产网，没有明确的进行分域分级管理，整个网络区域边界不明确， 缺乏必要的网络隔离手段，我们首先应将网络进行网络边界的划分，以明确保护对象，进行访问控制，构建网络基本防线。

我们建议在每个不同的区域之间物理隔离，实现不同区域之间最基本的网络安全防御， 可以有效避免单个区域感染病毒，其它子系统受到攻击。如下图所示：

划分为4个安全区域，在各个安全区域之间放置进行物理隔离和数据过滤。

最上层为企业信息网，在企业信息网和工控网之间放置隔离网关，在两个不同安全区域之间进行物理隔离。对企业信息网的合法用户对车间工控网的访问进行严格的访问控制， 并防止非法用户对车间工控网的访问。

控制网又分为3个层次，集中监控层，数据采集层和过程控制层。在集中监控管理层和数据采集子系统之间放置工业网络安全隔离网关。

安全隔离网关主要起到控制层与信息层安全隔离作用，安全隔离网关采用物理隔离和安全通道隔离，将以太网进行物理级安全隔离，安全通道隔离即通过专用通信硬件和私有不可路由协议等安全机制来实现内外部网络的隔离和数据交换，有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换。

系统提供多种工业通信协议驱动接口可供选择，同时可提供对国内外主流平台软件如： WINCC、ForceControl、Intouch、iFix、PI、eDNA、iHistorian、PHD 等产品的底层快速通 信接口。

信息网与控制网安全隔离

硬件系统“2+1”架构：系统硬件平台由内网主机系统、外网主机系统、隔离交换系统 三部分组成。内网/外网主机系统分别具有独立的运算单元和存储单元，隔离交换系统要求基于 PSL 技术及相应的隔离加密电路，不受主机系统控制，独立完成应用数据的封包、摆 渡、拆包，从而实现内外网之间的数据隔离交换。保证数据交换延迟时间低于 1ms，从而满足用户对高性能安全隔离的需求。

网络化集中管理

智能管理平台“PSL-Config”： PSL-Config 对网关提供 2 种管理方式：远程管理方式和控制台管理方式。远程管理是通过网络接口实现对网关的管理，包括：联机及用户登录、查询网关 状态、上传或下载工程、修改密码、升级软件等功能。另一种方式为控制台管理方式，通过网关的控制台端口（RS232）实现对网关的管理。2 种方式的操作方式完全相同。无论采用哪种方式，pSafetyLink 均提供了严格的身份认证来管理连接权限。

● 远程管理和维护：配置软件 PSL-Config 工具是专为 pSafetyLink 系列产品设计的通用智能化配置、管理与调试工具。它基于 Windows NT/2000/XP  平台，提供基于 XP风格的表格化交互式人机界面，采用基于向导的操作模式，操作十分简便。

● 模板化测点管理：PSL-Config 对测点除了提供单点配置功能外，还提供了非常适用的模板功能。模板功能可以大大提供用户工程组态的效率，减少组态的差错率。对 于 OPC 服务器，PSL-Config 可自动遍历服务器所有测点并生成模板。用户也可以手工编辑模板然后导入到工程中。

● 断线缓存：系统支持自动网络通信负荷平衡功能和断线数据缓冲功能。

● 在线升级：实现在大量使用网关的时候，能够对其进行统一的管理，升级和必要的运行状态的查看。

● 在线监视工具：功能包括：查询网关状态、查询运行状态、在线监视测点数据、在线监视通信报文信息、查询授权状态、查询程序版本信息、查询调试信息、查询日志信息等。

● 通道状态报警：系统诊断子系统实时检测系统内各进程、线程的运行状态，同时对关键的硬件模块进行诊断，当发现异常时自动产生报警信息，并在符合条件的情况下启动自动恢复逻辑。

身份安全认证

对工业安全防护网关装置进行各种操作（如：修改网关工程、升级程序、查询日志等）时，要求安全网关提供严格的身份认证来管理连接权限。工业安全防护网关具备两种连接方式：网络方式（以太网接口）和控制台方式（RS232  接口）。两种连接方式采用统一的连接权限管理，均需要使用系统管理员帐号登入。要求工业安全网关采用基于数字签名技术的高安全性认证机制，保证系统的机密性、完整性和不可否认性。

数据测点访问管理

防护网关内部实现通信协议的接口服务，可以实现针对测点一级的访问控制。例如：对 于 Modbus/TCP 标准可以控制到具体某个寄存器，对于 OPC 标准可以控制到 Item（项）一 级。

对测点的访问，工业安全防护网关可以指定在控制端允许接入哪些测点，哪些不允许接 入；另一方面，如果信息端存在多个服务，可以指定哪些测点允许暴露给哪个服务，同时对哪些测点进行屏蔽（信息端无法访问）。

应急恢复处理机制

工业安全防护网关内嵌高性能工业通信软件提供完善的系统在线自诊断、故障自动恢 复、看门狗管理等系统功能。

系统诊断子系统实时检测系统内各进程、线程的运行状态，同时对关键的硬件模块进行诊断，当发现异常时自动产生报警信息，并在符合条件的情况下启动自动恢复逻辑。

I/O 通信子系统具备完善的故障自动恢复功能。当发生网络通信中断的情况时，I/O 通 信子系统会立刻报告通信状态位的变化，同时启动通信重连机制，当网络通信恢复后，能迅速重新建立网络连接，恢复数据通信。

工业安全网关内置软件看门狗和硬件看门狗，时刻监视系统状态，保证装置的稳定、可靠运行，确保万无一失并且反应迅速。要求双侧主机均有独立的看门狗，保障每侧主机的稳定运行。

可行性评估

通过上述对新郑卷烟厂工业生产网从技术和管理两个角度的分析和规划，构建了一套完整的信息安全体系，可以最大化的减少因病毒、漏洞等引起的工业生产网网络故障，保障新郑卷烟厂工业生产网的持续性运行，实现信息安全建设目标。

1.  系统的安全性

控制系统的安全

通过安全通讯网关将信息采集层和过程控制层隔离开，所有从信息层下发的数据都要经过安全通讯网关的过滤，确保安全以后才会提交给 PLC 处 理，防止了网络风暴对 PLC 不停的访问和攻击和由病毒引起的误发指令，保证了控制系统的安全。

数据采集的安全

新的网络结构中将数据采集和处理的任务交给了各个子系统的安全通讯网关，因为通讯是安全通讯网关的强项，所以能够保证数据采集和处理的快速稳定的运行。一个子系统的通讯出现问题也不会影响到其他的系统。

数据存储的安全

由于实时数据库 IH 服务器的数据通讯不再需要从监控服务器中转，而是直接与各个子系统的安全网关通讯，监控系统异常时，实时数据库系统仍然能够正常运行，保存生产数据信息，起到黑匣子的作用。

2.  隔离网关对网络通信速度的影响：

设备采用双对称的4个10/100/1000M自适应以太网口，信息端和控制端的数据延迟 时间小于10ms。

● 单机额定容量：10,000～40,000点；

● 额定数据吞吐量：10,000 TPS；

● 峰值数据吞吐量：20,000 TPS；

● 单机额定连接数：控制端512个，信息端512个；

● 系统MTBF > 30000小时

3.  设备管理维护的便捷性：

系统采用远程在线管理，可通过远程管理方式对网关进行监视和配置，提供严格的身份认证来管理连接权限。中心管理平台软件提供的监视功能包括：查询网关状态、查询运行状 态、在线监视测点数据、在线监视通信报文信息、查询授权状态、查询程序版本信息、查询 调试信息、查询日志信息等。

配置功能按照工程方式进行配置管理，可以对不同网关设备的不同现场应用案例分别按照不同的工程进行管理。每个工程包含了一种特定型号网关针对一个特定工程应用的全部配 置文件，包括：内嵌数据库配置、I/O通信配置、网络配置、系统参数配置等。每个工程的配置文件都存放在不同的目录下。

4.  网络隔离技术与通用防火墙技术的区别和优势

从数据安全角度来看，商用网络往往对数据的私密性要求很高，要防止信息的泄露，而 控制网络强调的是数据的可靠性。另外，商用网络的应用数据类型极其复杂，传输的通信标 准多样化，如 HTTP、SMTP、FTP、SOAP 等；而控制网络的应用数据类型相对单一，以 过程数据为主，传输的通信标准以工业通信标准为主，如 OPC、Modbus 等。

通过比较商用网络与控制网络的差异可以发现，常规的 IT 网络安全技术都不是专门针对控制网络需求设计的，用在控制网络上就会存在很多局限性。 比如防火墙产品，目前基本是以包过滤技术为基础的，它最大的局限性在于不能保证准许放行的数据的安全性。防火墙通过拒绝放行并丢弃数据包来实现自己的安全机制。但防火墙无法保证准许放行数据的安全性。从实际应用来看，防火墙较为明显的局限性包括以下几方面：

● 防火墙不能阻止感染病毒的程序和文件的传输。就是防火墙只能做网络四层以下 的控制，对于应用层内的病毒、蠕虫都没有办法。

● 防火墙不能防范全新的威胁，更不能防止可接触的人为或自然的破坏。

● 防火墙不能防止由自身安全漏洞引起的威胁。

● 防火墙对用户不完全透明，非专业用户难于管理和配置，易造成安全漏洞。

● 防火墙很难为用户在防火墙内外提供一致的安全策略，不能防止利用标准网络协议中的缺陷进行的攻击，也不能防止利用服务器系统漏洞所进行的攻击。

● 由于防火墙设置在内网与外网通信的信道上，并执行规定的安全策略，所以防火墙在提供安全防护的同时，也变成了网络通信的瓶颈，增加了网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。

● 防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。

另一方面，防火墙由于其自身机理的原因，还存在很多先天不足，主要包括：

● 由于防火墙本身是基于 TCP/IP 协议体系实现的，所以它无法解决 TCP/IP 协议体系中存在的漏洞。

● 防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。

● 防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。

● 防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对 CPU 和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。

● 防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。 防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近 50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而，以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。

其它安全技术如 IDS、VPN、防病毒产品等与产品与防火墙一样，也都有很强的针对性， 只能管辖属于自己管辖的事情，出了这个边界就不再能发挥作用。IDS 作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个可以依赖的安全工具，而是一个参考工具。漏报等于没有报，误报则是报错了，这两个特点几乎破坏了入侵检测的可用性。VPN 作为一 种加密类技术，不管哪种 VPN 技术，在设计之初都是为了保证传输安全问题而设计的，而 没有动态、实时的检测接入的 VPN 主机的安全性，同时对其作“准入控制”。这样有可能因 为一个 VPN 主机的不安全，导致其整个网络不安全。防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。 网络隔离技术：

在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网络隔离技术应运而生。

网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之 后，市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题，对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。

网络隔离技术经过了长时间的发展，目前已经发展到了第五代技术。第一代隔离技术采 用完全的隔离技术，实际上是将网络物理上的分开，形成信息孤岛；第二代隔离技术采用硬件卡隔离技术；第三代隔离技术采用数据转发隔离技术；第四代隔离技术采用空气开关隔离 技术；第五代隔离技术采用安全通道隔离技术。

基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

网络隔离的指导思想与防火墙也有很大的不同，体现在防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。

网络隔离技术主要目标是解决目前信息安全中的各种漏洞：操作系统漏洞、TCP/IP 漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等，网络隔离是目前唯一能解决上述问题的安全技术。