什么是网闸？漫谈网闸的前世今生

网闸的由来

网闸（全称：安全隔离与信息交换系统）是从安全隔离的概念演变而来。上世纪90年代中期俄罗斯人Ry Jones提出“Air Gap”安全隔离概念，接着，以色列研制成功物理隔离卡，实现网络之间的安全隔离；后来，美国和以色列又先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在安全隔离的情况下，进行数据安全交换。

我国的安全隔离技术的发展也经历了类似过程，从最早的完全物理隔离，到物理隔离卡，再到随着技术发展，我国对于数据安全的要求和管理也逐渐规范化和标准化，政府机关、军工等涉及数据敏感的组织，到医院、生产制造业等单位，都会涉及到机密数据的维护，网络隔离也被广泛应用到日常中；但网络隔离是出于数据安全考虑，在正常的业务开展中，不同网络之间却客观存在数据交换的需求，企业的数据传递需求并不会因为网络的隔离而消失，因此，网闸应运而生。

网闸定义

网络隔离产品一般以二主机加专用隔离部件的方式组成，即由内部处理单元、外部处理单元和专用隔离部件组成。网络隔离产品用于连接两个不同的安全域，实现两个安全域之间应用代理服务、协议转换、信息流访问控制、内容过滤和信息交换等功能。

——《GA/T 20279-2015信息安全技术 网络和终端隔离产品安全技术要求》

网闸“2+1”系统架构

网闸与防火墙的区别

网闸与防火墙对比

网闸发展历史

网闸的发展历程大致可分为以下三个阶段：

第一代网闸是单机隔离卡技术，借助物理隔离卡将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连，形成两个完全独立的环境；采用单机隔离卡技术，解决了单机非实时信息交换的需求，但连续实时的业务依然无法开展。

第二代网闸的原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换，通过应用层数据提取与安全审查达到杜绝基于协议层的攻击，既保证安全，又保障了连续实时业务的开展。

第三代网闸是利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，通过专用高速硬件通信卡、私有通信协议和加密签名机制来实现，采用专用高速硬件通信卡使得处理能力大大提高，而私有通信协议和加密签名机制保证了数据交换的机密性、完整性和可信性，在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

网闸的发展历程

网闸产品分类

现如今，随着业务系统的迅速发展，各行业企业的网络规模迅速扩大，不同行业的需求、相关政策要求各不相同，网闸针对不同行业的需求和应用场景衍生出不同类别的产品，主要分为传统网闸、工业网闸、单向光闸、电力专用单向隔离装置等。

网闸产品主要类别

传统网闸

应用场景

随着信息技术的飞速发展，网络信息应用无处不在，金融、运营商、政府等行业企业内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离、信息交换两者的需求，更缺乏对信息安全的严格审查。因此，在系统的内外网络之间迫切需要一种安全设备，它既能保证重要网络与其它网络安全隔离，又能实现各网络之间有效的数据交换。

此时，网闸应运而生。网闸采用“2+1”系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。

传统网闸典型部署图

安全访问

‍‍‍

1、安全访问：具备对网页、邮件、文件、数据库等应用进行跨区域安全访问。

2、文件同步：具备SMB、FTP、SFTP、NFS等多种文件协议，实现内网到外网、外网到内网、内外网双向的文件同步。

3、数据库同步：具备ORACLE、SQLSERVER、MYSQL、POSTGRESQL、DB2、Sybase等多种主流数据库单、双向数据同步。

工业网闸

应用场景

工业控制系统已广泛应用于我国水利、石化、交通运输以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。随着信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

此时，专门应用于工控系统的工业网闸应运而生。工业网闸在传统网闸的基础之上，加入了对OPC、Modbus/TCP等工业协议的深度解析能力，确保只有可信任的命令返回生产网络，保障生产控制系统中的数据安全有效的传递。

工业网闸典型部署图

1、工业协议代理：具备对OPC、Modbus/TCP、DNP3、S7等常见的工业协议进行代理和控制。

2、协议深度指令控制：具备对工业协议指令级控制，实现对功能码、线圈值、值域范围等参数的控制。

3、安全审计：实时监测和记录系统运行状态、网络流量情况、工业协议数据交换行为及用户操作记录。

单向光闸

金融、公检法、军工、保密局等涉密等级较高的行业对内部专网的防护要求较高，一些涉密数据只能单向传输，此时，光闸应运而生，由于光闸独特的物理架构（内部采用光信号传输）和功能特性，使其在边界防护场景下的安全性高于网闸，为了在保证交互性的基础上提高安全性，这些涉密等级较高的行业已经逐步采用两台光闸替代一台网闸的方案。

单向光闸典型部署图

1、纯单向传输：内外网主机采用单向的光通道相连，在无数据信息反馈的情况下，能有效保证数据纯单向传输的完整性和正确性。

2、文件单向传输：具备基于FTP、SMB、NFS等协议的文件单向同步，确保文件只能从非涉密网向涉密网传输，中间不存在任何数据包反馈。

3、数据库单向同步：具备对SQLSERVER、MYSQL、POSTGRESQL等主流数据库单向同步。

电力专用单向隔离装置

由于电力安全防护的需要，电力专网对网络区域进行安全分区。但不同分区之间仍有通信的需要，这个时候就需要部署边界设备，以确保数据的安全传输。根据电力行业相关的要求，生产大区与管理信息大区之间进行物理隔离，物理隔离边界即采用正向隔离装置与反向隔离装置两种设备，隔离装置通过白名单对数据通信进行识别和控制，使用一套独立的通信协议，在保证电力系统安全的基础上实现数据的互通。

单向隔离装置典型部署图

1、单bit反馈：数据单向传输，TCP返回数据为1个字节，且必须是0x00或0xFF。

2、电力专用签名认证：正向或反向隔离装置接收数据后，需进行签名验证，并对数据进行内容过滤、有效性检查等处理。

3、实时报警：当发生非法入侵、装置异常、通信中断或丢失应用数据时，可立即输出报警信息。

网闸在数据采集场景的应用

应用场景

危险化学品风险监测预警系统用于监测化工企业的危险化学品储存及生产装置实时数据及预警、可燃有毒气体数据及预警、危险化工工艺、安全参数监测预警等信息，可以有效防范化解重大安全风险，有力保护人民群众生命财产安全。《危险化学品安全生产风险监测预警系统建设技术指导书》要求物联网采集设备采用内置或外接网闸，在电路上切断网络之间的链路层连接，从而使数据的单向传输，保证企业工控系统以及生产网的安全。

如何满足数采场景要求？

为了满足相关法规要求、保障内网和数据安全、准确采集上传的需求，目前主要有两种解决方案：第一种是采用数据采集器外接网闸，第二种是采用在工业网闸上集成数据采集功能的数采网闸。

1、数据采集器+网闸典型部署：

数据采集器+网闸典型部署图

2、数采网闸典型部署：

数采网闸部署图

结语

上文简要分析了网闸的概念、发展历史、产品分类，帮助大家更加清楚地了解网闸。随着信息安全的快速发展，来自内部的安全威胁日益增多，综合防护、内部威胁防护等思想越来越受到重视，网闸作为不同安全域之间的安全隔离产品，其作用也将越来越重要，应用范围势必会快速扩展到各个行业的信息系统，网闸功能、特性也会根据不同行业需求得到进一步的发展。

1.向软件化、虚拟化方向发展。随着虚拟化技术的不断发展和普及，新一代网闸也要向虚拟化和软件化方向发展。

2.向国产化的方向发展。新一代网闸还应从芯片、操作系统、应用组件等各方面实现全国产化的自主设计和采取零信任的访问模式，保障网闸自身绝对安全、自主可控。

威努特目前在安全隔离领域有多年积累，具备卓越的创新能力和丰富的技术储备，产品广泛应用于电力、轨交、智能制造、政府等行业。未来，威努特将继续深耕安全隔离领域，从芯片、操作系统等方面对网闸产品进行全国产化的改造，实现自主可控；并且将网闸、入侵检测产品、防病毒网关、下一代防火墙等边界类产品进行功能融合，实现边界防护能力的全面提升。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：什么是“网闸”？漫谈网闸的前世今生