石化工业控制网络安全分析与防护

了网络传输延时，如果防火墙出现问题，那么内部网络就会受到严重威胁。

7）、防火墙仅提供粗粒度的访问控制能力。它不能防止数据驱动式的攻击。

另一方面，防火墙由于其自身机理的原因，还存在很多先天不足，主要包括：

1）、由于防火墙本身是基于TCP/IP协议体系实现的，所以它无法解决TCP/IP协议体系中存在的漏洞。

2）、防火墙只是一个策略执行机构，它并不区分所执行政策的对错，更无法判别出一条合法政策是否真是管理员的本意。从这点上看，防火墙一旦被攻击者控制，由它保护的整个网络就无安全可言了。

3）、防火墙无法从流量上判别哪些是正常的，哪些是异常的，因此容易受到流量攻击。

4）、防火墙的安全性与其速度和多功能成反比。防火墙的安全性要求越高，需要对数据包检查的项目（即防火墙的功能）就越多越细，对CPU和内存的消耗也就越大，从而导致防火墙的性能下降，处理速度减慢。

5）、防火墙准许某项服务，却不能保证该服务的安全性，它需要由应用安全来解决。

防火墙正是由于这些缺陷与不足，导致目前被攻破的几率已经接近50%。虽然目前最流行的安全架构是以防火墙为核心的安全体系架构。通过防火墙来实现网络的安全保障体系。然而，以防火墙为核心的安全防御体系未能有效地防止目前频频发生网络攻击。仅有防火墙的安全架构是远远不够的。

其它安全技术如IDS、VPN、防病毒产品等与产品与防火墙一样，也都有很强的针对性，只能管辖属于自己管辖的事情，出了这个边界就不再能发挥作用。IDS作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个可以依赖的安全工具，而是一个参考工具。漏报等于没有报，误报则是报错了，这两个特点几乎破坏了入侵检测的可用性。VPN作为一种加密类技术，不管哪种VPN技术，在设计之初都是为了保证传输安全问题而设计的，而没有动态、实时的检测接入的VPN主机的安全性，同时对其作“准入控制”。这样有可能因为一个VPN主机的不安全，导致其整个网络不安全。防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。

网络隔离技术及防护产品

1、网络隔离技术

在防火墙的发展过程中，人们最终意识到防火墙在安全方面的局限性。高性能、高安全性、易用性方面的矛盾没有很好地解决。防火墙体系架构在高安全性方面的缺陷，驱使人们追求更高安全性的解决方案，人们期望更安全的技术手段，网络隔离技术应运而生。

网络隔离技术是安全市场上的一个分支。在经过漫长的市场概念澄清和技术演变进步之后，市场最终接受了网络隔离具有最高的安全性。目前存在的安全问题，对网络隔离技术而言在理论上都不存在。这就是各国政府和军方都大力推行网络隔离技术的主要原因。

网络隔离技术经过了长时间的发展，目前已经发展到了第五代技术。第一代隔离技术采用完全的隔离技术，实际上是将网络物理上的分开，形成信息孤岛；第二代隔离技术采用硬件卡隔离技术；第三代隔离技术采用数据转发隔离技术；第四代隔离技术采用空气开关隔离技术；第五代隔离技术采用安全通道隔离技术。

基于安全通道的最新隔离技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

网络隔离的指导思想与防火墙也有很大的不同，体现在防火墙的思路是在保障互联互通的前提下，尽可能安全；而网络隔离的思路是在必须保证安全的前提下，尽可能支持数据交换，如果不安全则断开。

网络隔离技术主要目标是解决目前信息安全中的各种漏洞：操作系统漏洞、TCP/IP漏洞、应用协议漏洞、链路连接漏洞、安全策略漏洞等，网络隔离是目前唯一能解决上述问题的安全技术。

2、网络隔离防护产品

基于网络隔离技术的网络隔离产品是互联网时代的产物。最早出现在美国、以色列等国家的军方，用以解决涉密网络与公共网络连接时的安全。在我国，最初的应用也主要集中在政府、军队等领域，由于核心部门的信息安全关系着国家安全、社会稳定，因此迫切需要比传统产品更为可靠的技术防护措施。国内的网络隔离产品也由此应运而生。

由于是应用在可能涉及国家安全的关键场合，为了统一规范网络隔离类的技术标准，国家质量监督检验总局及国家标准化管理委员及早制定了相应的国家标准，目前最新国标为GB/T 20279-2006和GB/T 20277-2006。

随