余忠凯，吴金峰，吴美华，陈 戈

（塔里木油田公司信息与通讯技术中心，库尔勒 841000）

随着现代通信技术的迅猛发展和油田信息化建设的推进，物联网广泛应用在油田各生产领域中，但网络安全问题也日益凸显，为保障油田网络和数据的安全性，必须采用技术手段将内外网完全隔离，本文介绍采用网络安全隔离网闸，对内、外网进行物理隔离，以确保内网数据的安全，同时又高效实现与外网共享。

1 网络安全隔离网闸的背景

网络安全隔离网闸，即安全隔离与信息交换系统，是模拟人工在两个隔离网络之间的信息交换，20世纪90年代中期，俄罗斯人Ry Jones首先提出了“AirGap”隔离概念，简称“GAP”。然后，以色列成功研制出物理隔离卡，实现网络之间的隔离。

第一代网闸技术利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的，实现了在空气缝隙隔离“AirGap”情况下的数据交换，安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果。

第二代网闸充分吸取了第一代网闸优点，创造性地利用全新理念的专用交换通道PET技术，数据交换过程通过专用硬件通信卡、私有通信协议和加密签名机制来实现，在不降低安全性的前提下能够完成内外网之间高速的数据交换，并支持更多的网络应用。

2 网络安全隔离网闸的原理

正常情况下，安全隔离网闸、外网和内网是完全断开的，当外网需要向内网传输数据时，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，对数据包进行数据分析与病毒扫描，把经过检测后的安全原始数据写入存储介质中，当数据完全写入后，隔离设备立即终端与外网的连接，转而发起对内网的非TCP/IP协议的数据连接。随后，数据被推向内网，并交给应用系统，在控制台收到完整的交换信号后，隔离设备立即切断与内网的直接连接；当数据需要有内网向外网传递时，也遵从相似过程。

3 网闸在西部某油田的应用探讨

西部某油田物联网建设严格按照集团公司信息系统建设要求，从网闸选型上进行了分析研究：从硬件架构上，传统网闸采用双主机+隔离硬件设计思路，并使用专有隔离芯片和流处理芯片，在网络通信过程中采用内部私有协议进行数据安全摆渡，以阻断通用的网络协议，其工作原理类似于“二极管”单向导电的特性。为方便业务访问，传统网闸产品根据安全检测的结果，采用在内外网接口上解析应用协议的方式工作，一端将应用协议剥离成数据，另一端又恢复成应用协议。这种解析不仅覆盖常见应用协议，而且对数据库的访问也可代理通过，网闸的安全主要依赖安全检测技术，这就为缓冲区溢出、SQL注入等攻击提供了生存的温床；经过协议解析后，应用可以通过网闸，攻击也就有了载体。因此，基于应用协议解析网闸实际上成为一个逻辑上的安全网关，满足了数据交换的功能，但失去了网络隔离的效果。

我们认为，为保证油田生产安全，油气物联网的网闸设计目标应满足：在保证业务通讯隔离的基础上，实现数据交换，其关键是安全性的延续，所以网闸的设计重点不仅是隔离与交换的控制逻辑设计上，而且包括业务代理的实现模式上。通过网闸实现业务数据自动交换的原理模型见图2。

图1 传统网闸的工作原理

图2 网闸实现数据自动交换工作原理图

基于以上认识，我们采用市场调研、压力测试、组网验证的手段，最终选用某品牌的高端单向网闸，它采用安全隔离与信息交换系统架构。安全隔离与信息交换系统架构网闸主要由内网主机系统、外网主机系统和隔离交换矩阵三部分构成。内/外网主机系统分别与内/外网相连，负责相应信息的获取和协议分析，隔离交换矩阵根据安全策略完成信息的安全检测和内外网络之间的安全交换。整个系统具备以下技术特性：多网络隔离的体系结构，通过专用硬件完成两侧信息的“摆渡”；被隔离网络之间任何时刻不产生物理连接；内/外网主机系统之间没有网络协议逻辑连接，通过隔离交换矩阵的全部是应用层数据，也就是OSI模型的七层协议全部断开；数据交换方式完全私有，不具备可编程性。

图3 基于安全隔离与信息交换网闸的工作原理图

最终，我们实现了油气物联网中ORACLE，SYBASE，DB2，MS SQLSERVER等数据库的单向同步，解决了不同安全域之间信息交换的问题，并在此基础上实现对信息交换底层访问控制和应用层内容的实时检查，从而确保了油气生产物联网安全可靠的通信。

尽管基于安全隔离与信息交换系统架构的单向网闸有极高的安全性，但在生产与安保视频子网中无法进行平台互动。因此，我们对视频网与办公网的隔离将采用视频网闸，其工作原理为油气物联网应用子系统通过协议检查，对协议包格式和内容检查，分析协议内容区分视频数据和控制信令，只允许UDP视频数据单向传输、TCP控制信令双向传输方式。同时检查数据来源，阻止非法数据接入和送出，并对传出的信息执行“白名单”检查，防止非授权信息外泄。

4 结束语

要认识到网闸业务协议解析带来的新的安全挑战，不是说网闸功能越丰富越好，要从网闸处于网络中的位置以及实现的目的规划设计安全原则。使用网闸的目的是为了隔离业务的，进行安全的数据交换；从安全服务的角度讲，网闸开通的服务种类越少，被攻击的可能性越小，网闸可交换的数据类型越少，隐含攻击的可能越小。网闸的安全原则应定义为：单一服务，只完成数据文件的交换，只完成文件形式的数据交换。其他的服务一律关闭；定向交换，在数据交换时指定接收人、发送人；网闸不支持应用协议解析，不透传业务应用，只进行文件数据的摆渡，对于HTTP，SMTP，FTP等协议无法通过，数据库的访问就更加不能通过，网闸只起到数据的摆渡，不支持应用的互通，应用协议的终止，让入侵、攻击彻底失去了传播的载体。■