網絡隔離技術經過了長時間的發展，目前已經發展到了第五代技術。第一代隔離技術采用完全的隔離技術，實際上是將網絡物理上的分開，形成信息孤島；第二代隔離技術采用硬件卡隔離技術；第三代隔離技術采用數據轉發隔離技術；第四代隔離技術采用空氣開關隔離技術；第五代隔離技術采用安全通道隔離技術。

基于安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機制，來實現內外部網絡的隔離和數據交換，不僅解決了以前隔離技術存在的問題，并有效地把內外部網絡隔離開來，而且高效地實現了內外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。

網絡隔離的指導思想與防火墻也有很大的不同，體現在防火墻的思路是在保障互聯互通的前提下，盡可能安全；而網絡隔離的思路是在必須保證安全的前提下，盡可能支持數據交換，如果不安全則斷開。

網絡隔離技術主要目標是解決目前信息安全中的各種漏洞：操作系統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等，網絡隔離是目前唯一能解決上述問題的安全技術。

2、網絡隔離防護產品

基于網絡隔離技術的網絡隔離產品是互聯網時代的產物。最早出現在美國、以色列等國家的軍方，用以解決涉密網絡與公共網絡連接時的安全。在我國，最初的應用也主要集中在政府、軍隊等領域，由于核心部門的信息安全關系著國家安全、社會穩定，因此迫切需要比傳統產品更為可靠的技術防護措施。國內的網絡隔離產品也由此應運而生。

由于是應用在可能涉及國家安全的關鍵場合，為了統一規范網絡隔離類的技術標準，國家質量監督檢驗總局及國家標準化管理委員及早制定了相應的國家標準，目前最新國標為GB/T 20279-2006和GB/T 20277-2006。

隨著以電力為首的工業行業對網絡安全提出了更高要求后，網絡隔離產品也開始在工業領域逐漸得到應用。目前，已經在工業領域用于控制網絡安全防護的網絡隔離產品主要有網閘、工業網絡安全防護網關等產品。這些產品大部分都是基于最新的第五代隔離技術開發出來了，其主要的技術原理是從OSI模型的七層上全面斷開網絡連接，同時采用“2+1”的三模塊架構，即內置有兩個主機系統，和一個用于建立安全通道可交換數據的隔離單元。這種架構可以實現連接到外網和內網的兩主機之間是完全網絡斷開的，從物理上進行了網絡隔離，消除了數據鏈路的通信協議，剝離了TCP/IP協議，剝離了應用協議，在安全交換后進行了協議的恢復和重建。通過TCP/IP協議剝離和重建技術消除了TCP/IP協議的漏洞。在應用層對應用協議進行剝離和重建，消除了應用協議漏洞，并可針對應用協議實現一些細粒度的訪問控制。從TCP/IP的OSI數據模型的所有七層斷開后，就可以消除目前TCP/IP存在的所有攻擊。

圖1

（1）、網閘

網閘類產品誕生較早。產品最初是用來解決涉密網絡與非涉密網絡之間的安全數據交換問題。后來，網閘由于其高安全性，開始被廣泛應用于政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務、海關、民航、社保等多個行業部門。

由于網閘產品的主要定位是各行業中對安全性要求較高的涉密業務的辦公系統，因此它提供的應用也以通用的互聯網功能為主。例如，目前大多數網閘都支持：文件數據交換、HTTP訪問、WWW服務、FTP訪問、收發電子郵件、關系數據庫同步以及TCP/UDP定制等。

在工業領域，網閘也開始得到應用和推廣。但除了用于辦公系統外，當用于隔離控制網絡時，由于網閘一般都不支持工業通信標準如OPC、Modbus，用戶只能使用其TCP/UDP定制功能。這種方式需要在連接網閘的上、下游增加接口計算機或代理服務器，并定制通信協議轉換接口軟件才能實現通信。

（2）、工業網絡安全防護網關

工業網絡安全防護網關是近幾年新興的一種專門應用于工業領域的網絡隔離產品，它同樣采用“2+1”的三模塊架構，內置雙主機系統，隔離單元通過總線技術建立安全通道以安全地實現快速數據交換。與網閘不同的是，工業網絡安全防護網關提供的應用專門針對控制網絡的安全防護，因此它只提供控制網絡常用通信功能如OPC、Modbus等，而不提供通用互聯網功能。因此工業網絡安全防護網關更適合于控制網絡的隔離，但不適合辦公系統。

工業網絡安全防護網關是網絡隔離技術應用于工業網絡安全防護的一種專業化安全產品。

結束語

近幾年，因網絡病毒引起的工業事件層出不窮，工業網絡安全問題已經日益嚴峻，針對目前我國工業控制系統信息安全面臨的嚴峻形勢，2011年10月27日，工信部下發《關于加強工業控制系統信息安全管理的通知》，強調了加強工業控制系統信息安全管理的重要性和緊迫性，并明確了重點領域如：石油石化、電力、鋼鐵、化工等行業工業控制系統信息安全管理要求。石化工業是國家的基礎性能源支柱產業，信息安全在任何時期、任何國家地區都備受關注。能源系統的信息安全問題直接威脅到其它行業系統的安全、穩定、經濟、優質的運行，影響著系統信息化的實現進程。維護網絡安全，確保生產系統的穩定可靠、防止來自內部或外部攻擊，采取高安全性的防護措施都是石化信息系統安全不可忽視的組成部分