????????? 物理隔離技術(shù)的出現(xiàn)是為了解決傳統(tǒng)防火墻不能解決的網(wǎng)絡(luò)安全問題。本文提出了物理隔離的一種實(shí)現(xiàn)方案，它適合于電力系統(tǒng)子網(wǎng)中保護(hù)電網(wǎng)監(jiān)控系統(tǒng)，并針對(duì)已經(jīng)存在的網(wǎng)絡(luò)攻擊技術(shù)分析了它的安全性。
關(guān)鍵詞：物理隔離、嵌入式系統(tǒng)、隔離裝置
?????????隨著計(jì)算機(jī)應(yīng)用的普及和網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)帶給人們更多便利的同時(shí)，也帶來了很多前所未有的問題，網(wǎng)絡(luò)的安全性就是其中之一。 這主要是因?yàn)門CP/IP是冷戰(zhàn)時(shí)期的產(chǎn)物，目標(biāo)是要保證通達(dá)，保證傳輸?shù)拇謺缧?。通過來回確認(rèn)來保證數(shù)據(jù)的完整性，不確認(rèn)則要重傳。而TCP/IP沒有內(nèi)在的控制機(jī)制，來支持源地址的鑒別，證實(shí)IP從哪兒來。這就是TCP/IP漏洞的根本原因。黑客利用TCP/IP的這個(gè)漏洞，致使他們能夠通過監(jiān)聽或竄改網(wǎng)絡(luò)上傳送的數(shù)據(jù)、破解密碼或者發(fā)送蓄意制造的數(shù)據(jù)來獲得機(jī)密信息或傷害他人，大多數(shù)安全問題都是這個(gè)原因[1]。
???????? 網(wǎng)絡(luò)安全的主要內(nèi)容是如何保護(hù)網(wǎng)絡(luò)數(shù)據(jù)的安全和維持系統(tǒng)的正常運(yùn)行，人們?yōu)榱吮ＷC網(wǎng)絡(luò)安全，基本上是使用防火墻。但是傳統(tǒng)的防火墻只能在一定程序上保護(hù)網(wǎng)絡(luò)安全，也很難解決內(nèi)部網(wǎng)的安全問題，而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%左右來自網(wǎng)絡(luò)內(nèi)部的攻擊[2]。另外，防火墻難于管理和配置，容易造成安全漏洞，防火墻管理員必須對(duì)網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，30%的入侵發(fā)生在有防火墻的情況下[2]。
?????????由于防火墻不能保證網(wǎng)絡(luò)安全，國(guó)家保密局2000年1月1日起頒布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》第二章保密制度第六條規(guī)定，“涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離”。于是，相關(guān)的物理隔離安全技術(shù)產(chǎn)品應(yīng)運(yùn)而生。物理隔離技術(shù)的主要特點(diǎn)是：內(nèi)網(wǎng)和外網(wǎng)（內(nèi)網(wǎng)和外網(wǎng)的概念見第2節(jié)）永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。物理隔離產(chǎn)品相對(duì)于傳統(tǒng)防火墻來說有更高的安全性，它主要用于一個(gè)子網(wǎng)中隔離數(shù)據(jù)特別機(jī)密或系統(tǒng)運(yùn)行不能被破壞的部分，例如在電力系統(tǒng)子網(wǎng)中保護(hù)電網(wǎng)監(jiān)控系統(tǒng)。為了與傳統(tǒng)的防火墻相區(qū)別，本文將我們?cè)O(shè)計(jì)完成的物理隔離產(chǎn)品叫做隔離裝置。