private+tunnel手机版

网闸的由来

网闸（全称：安全隔离与信息交换系统）是从安全隔离的概念演变而来。上世纪90年代中期俄罗斯人Ry Jones提出“Air Gap”安全隔离概念，接着，以色列研制成功物理隔离卡，实现网络之间的安全隔离；后来，美国和以色列又先后推出了e-Gap和NetGap产品，利用专有硬件实现两个网络在安全隔离的情况下，进行数据安全交换。

我国的安全隔离技术的发展也经历了类似过程，从最早的完全物理隔离，到物理隔离卡，再到随着技术发展，我国对于数据安全的要求和管理也逐渐规范化和标准化，政府机关、军工等涉及数据敏感的组织，到医院、生产制造业等单位，都会涉及到机密数据的维护，网络隔离也被广泛应用到日常中；但网络隔离是出于数据安全考虑，在正常的业务开展中，不同网络之间却客观存在数据交换的需求，企业的数据传递需求并不会因为网络的隔离而消失，因此，网闸应运而生。

网闸定义

网络隔离产品一般以二主机加专用隔离部件的方式组成，即由内部处理单元、外部处理单元和专用隔离部件组成。网络隔离产品用于连接两个不同的安全域，实现两个安全域之间应用代理服务、协议转换、信息流访问控制、内容过滤和信息交换等功能。

——《GB/T 20279-2015信息安全技术 网络和终端隔离产品安全技术要求》

网闸“2+1”系统架构

网闸与防火墙的区别

网闸与防火墙对比

网闸发展历史

网闸的发展历程大致可分为以下三个阶段：

● 第一代网闸是单机隔离卡技术，借助物理隔离卡将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连，形成两个完全独立的环境；采用单机隔离卡技术，解决了单机非实时信息交换的需求，但连续实时的业务依然无法开展。

● 第二代网闸的原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换，通过应用层数据提取与安全审查达到杜绝基于协议层的攻击，既保证安全，又保障了连续实时业务的开展。

● 第三代网闸是利用全新理念的专用交换通道PET(Private Exchange Tunnel)技术，通过专用高速硬件通信卡、私有通信协议和加密签名机制来实现，采用专用高速硬件通信卡使得处理能力大大提高，而私有通信协议和加密签名机制保证了数据交换的机密性、完整性和可信性，在保证安全性的同时，提供更好的处理性能，能够适应复杂网络对隔离应用的需求。

网闸的发展历程

网闸产品分类

现如今，随着业务系统的迅速发展，各行业企业的网络规模迅速扩大，不同行业的需求、相关政策要求各不相同，网闸针对不同行业的需求和应用场景衍生出不同类别的产品，主要分为传统网闸、工业网闸、单向光闸、电力专用单向隔离装置等。

网闸产品主要类别

传统网闸

应用场景

随着信息技术的飞速发展，网络信息应用无处不在，金融、运营商、政府等行业企业内部网络与外部网络之间需要交换的信息越来越多，传统的方式很难兼顾安全隔离、信息交换两者的需求，更缺乏对信息安全的严格审查。因此，在系统的内外网络之间迫切需要一种安全设备，它既能保证重要网络与其它网络安全隔离，又能实现各网络之间有效的数据交换。

此时，网闸应运而生。网闸采用“2+1”系统架构，通过对信息进行落地、还原、扫描、过滤、防病毒、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗入，同时防止内部机密信息的泄露，实现网间安全隔离和信息交换。

典型部署

传统网闸典型部署图

核心功能

安全访问

1、安全访问：具备对网页、邮件、文件、数据库等应用进行跨区域安全访问。

2、文件同步：具备SMB、FTP、SFTP、NFS等多种文件协议，实现内网到外网、外网到内网、内外网双向的文件同步。

3、数据库同步：具备ORACLE、SQLSERVER、MYSQL、POSTGRESQL、DB2、Sybase等多种主流数据库单、双向数据同步。

工业网闸

应用场景

工业控制系统已广泛应用于我国水利、石化、交通运输以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。随着信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

此时，专门应用于工控系统的工业网闸应运而生。工业网闸在传统网闸的基础之上，加入了对OPC、Modbus/TCP等工业协议的深度解析能力，确保只有可信任的命令返回生产网络，保障生产控制系统中的数据安全有效的传递。

典型部署

工业网闸典型部署图

核心功能

1、工业协议代理：具备对OPC、Modbus/TCP、DNP3、S7等常见的工业协议进行代理和控制。

2、协议深度指令控制：具备对工业协议指令级控制，实现对功能码、线圈值、值域范围等参数的控制。

3、安全审计：实时监测和记录系统运行状态、网络流量情况、工业协议数据交换行为及用户操作记录。

单向光闸

应用场景

金融、公检法、军工、保密局等涉密等级较高的行业对内部专网的防护要求较高，一些涉密数据只能单向传输，此时，光闸应运而生，由于光闸独特的物理架构（内部采用光信号传输）和功能特性，使其在边界防护场景下的安全性高于网闸，为了在保证交互性的基础上提高安全性，这些涉密等级较高的行业已经逐步采用两台光闸替代一台网闸的方案。

典型部署

单向光闸典型部署图

核心功能

1、纯单向传输：内外网主机采用单向的光通道相连，在无数据信息反馈的情况下，能有效保证数据纯单向传输的完整性和正确性。

2、文件单向传输：具备基于FTP、SMB、NFS等协议的文件单向同步，确保文件只能从非涉密网向涉密网传输，中间不存在任何数据包反馈。

3、数据库单向同步：具备对SQLSERVER、MYSQL、POSTGRESQL等主流数据库单向同步。

电力专用单向隔离装置

应用场景

由于电力安全防护的需要，电力专网对网络区域进行安全分区。但不同分区之间仍有通信的需要，这个时候就需要部署边界设备，以确保数据的安全传输。根据电力行业相关的要求，生产大区与管理信息大区之间进行物理隔离，物理隔离边界即采用正向隔离装置与反向隔离装置两种设备，隔离装置通过白名单对数据通信进行识别和控制，使用一套独立的通信协议，在保证电力系统安全的基础上实现数据的互通。

典型部署

单向隔离装置典型部署图

核心功能

1、单bit反馈：数据单向传输，TCP返回数据为1个字节，且必须是0x00或0xFF。

2、电力专用签名认证：正向或反向隔离装置接收数据后，需进行签名验证，并对数据进行内容过滤、有效性检查等处理。

3、实时报警：当发生非法入侵、装置异常、通信中断或丢失应用数据时，可立即输出报警信息。

网闸在数据采集场景的应用

应用场景

危险化学品风险监测预警系统用于监测化工企业的危险化学品储存及生产装置实时数据及预警、可燃有毒气体数据及预警、危险化工工艺、安全参数监测预警等信息，可以有效防范化解重大安全风险，有力保护人民群众生命财产安全。《危险化学品安全生产风险监测预警系统建设技术指导书》要求物联网采集设备采用内置或外接网闸，在电路上切断网络之间的链路层连接，从而使数据的单向传输，保证企业工控系统以及生产网的安全。

如何满足数采场景要求？

为了满足相关法规要求、保障内网和数据安全、准确采集上传的需求，目前主要有两种解决方案：第一种是采用数据采集器外接网闸，第二种是采用在工业网闸上集成数据采集功能的数采网闸。

1、数据采集器+网闸典型部署：

数据采集器+网闸典型部署图

2、数采网闸典型部署：

数采网闸部署图

结语

上文简要分析了网闸的概念、发展历史、产品分类，帮助大家更加清楚地了解网闸。随着信息安全的快速发展，来自内部的安全威胁日益增多，综合防护、内部威胁防护等思想越来越受到重视，网闸作为不同安全域之间的安全隔离产品，其作用也将越来越重要，应用范围势必会快速扩展到各个行业的信息系统，网闸功能、特性也会根据不同行业需求得到进一步的发展。

1.向软件化、虚拟化方向发展。随着虚拟化技术的不断发展和普及，新一代网闸也要向虚拟化和软件化方向发展。

2.向国产化的方向发展。新一代网闸还应从芯片、操作系统、应用组件等各方面实现全国产化的自主设计和采取零信任的访问模式，保障网闸自身绝对安全、自主可控。

本文由工控安全企业威努特撰写，其在安全隔离领域有丰富的技术储备、创新能力和多年积累，产品广泛应用于电力、轨交、智能制造、政府等行业。威努特表示，未来将继续深耕安全隔离领域，从芯片、操作系统等方面对网闸产品进行全国产化的改造，实现自主可控；并且将网闸、入侵检测产品、防病毒网关、下一代防火墙等边界类产品进行功能融合，实现边界防护能力的全面提升。

屠灵熊3177JAVA中构造函数也能私人化?用PRIVATE开头??为什么??还有构造函数私人化后怎么NEW实例? -
湛威胃15783534749 ______ 构造函数也是可以私有化的,用private开头的构造函数,无法被其他类调用,从而无法被直接用来构造对象.但是可以利用重载的构造方法来调用这个私有化的构造方法.

屠灵熊3177在private下定义的一个指针变量,如何在.cpp中访问和使用? -
湛威胃15783534749 ______ private只能通过成员函数来访问,也就是要写一个访问和使用该指针变量的成员函数,例如: class A { public: A(char* s) { _name = new char [strlen(s)+1]; strcpy(_name,s); } char* name()const { return _name; } ~A() { delete _name; } protected: private: char* _name; }; 当然,在成员变量中使用指针变量,一定要记得delete,否则会造成内存泄露,程序崩溃.

屠灵熊3177java的private属性问题 -
湛威胃15783534749 ______ 你理解了一部分.还有一些迷惑的地方.私有的成员是不能被外面直接访问的.给你重点解释下“直接”一词.就拿你的testperson来说它不是person的对象所以它不能像如下调用person的成员: person p1 = new person(); p1.age = 10; //这...

屠灵熊3177public private protected和默认的区别 -
湛威胃15783534749 ______ 1、private修饰词,表示成员是私有的,只有自身可以访问; 2、protected,表示受保护权限,体现在继承,即子类可以访问父类受保护成员,同时相同包内的其他类也可以访问protected成员. 3、无修饰词(默认),表示包访问权限(friendly, java语言中是没有friendly这个修饰符的,这样称呼应该是来源于c++ ),同一个包内可以访问,访问权限是包级访问权限; 4、public修饰词,表示成员是公开的,所有其他类都可以访问;

屠灵熊3177c# 里面的private public 有什么作用? -
湛威胃15783534749 ______ private 是私有的 public 是公共的.如果你在一个class里定义一个 private int a = 0;那这个a变量只能在这个class里访问到,如果定义为public的外面的类才可能访问得到.这样做的目的就是为了程序集的安全.比如,你可以写一个外部的程序,然后去内存中访问另一个程序的一些变量,方法然后再更改就可以达到破坏程序的作用,所以加了访问修饰符,一些关键的代码,别人就访问不到了

屠灵熊3177Private Sub Button1 - Click( ),Dim Sum As Integer,For I=1 To 10,Sum= Sum+I,End Sub,Sum的值?
湛威胃15783534749 ______ 1到10的累加,答案是55 Private Sub Button1_Click()Dim Sum As IntegerFor I = 1 To 10Sum = Sum + INextDebug.Print SumEnd Sub

屠灵熊3177JAVA编程题,定义一个类A,类中有一个private的整型变量data,一个private的字符串对象 -
湛威胃15783534749 ______ public class A { private int data; private String str; public A(){ data = 0; str = ＂＂...

屠灵熊3177private是啥意思? -
湛威胃15783534749 ______ 在英语里是“私人的”意思吧.

屠灵熊3177matlab目录里的private文件夹有什么用?如何使用private文件夹? -
湛威胃15783534749 ______ private函数是matlab软件中广泛使用的一种技术,其作用是限定某一些函数(private文件夹内)只能被令一些函数(private文件夹所在文件夹中的函数)使用,其他函数不能使用,这样的话就可以避免一些问题(因为一般的matlab函数是全局可...

屠灵熊3177C++中 private和public的问题 -
湛威胃15783534749 ______ private和public的作用是让编译器帮你检查某些模块是否使用了他没权限使用的模块,也就是生成可执行代码的时候做权限检查.比如,公司里各个部门有自己私有的信息,财务部可以看所有员工工资,而销售部不可以,普通员工也不可以. 可...