第 9 章 隔离技术 本章学习目标: 了解网络隔离发展历程 掌握网络隔离的技术原理 了解网络隔离的技术分类及发展方向 掌握网闸的基本原理.

Slides:



Advertisements
Similar presentations
淡水潮鯛 ( 吳郭魚 ) 海水馴化場 水產養殖顧問 賴玨光 中華民國九十五年十一月二十二日. 內容摘要  一、台灣鯛產業的過去、現在與未來  二、淡水台灣鯛海水馴化場基地遴選原則  三、淡水台灣鯛來源建立  四、產能規劃、土地面積需求及如何取得  五、循環水設備利用  六、財務估算 
Advertisements

《建设社会主义生态文明:厦门的实践与经验》承担单位 中共厦门市委 中共中央编译局 《生态文明指标体系研究》承担单位 厦门市环境保护局
隔离病人住院的护理.
涉外礼仪 烟台市外事侨务办公室.
蔬菜類-葉菜類與花菜類 組員 張靖民 鄭旭紘 許晉睿 陳重源 王浩倫 學 長.
第 章 商业银行资产负债管理 10.
網路程式設計 (Network Programming)
中药材GAP实用技术 生物工程系 孔青.
计算机应用基础 宁夏医学院计算机教研室
计算机网络基础 主讲:华蓓 实验室:电一楼(安徽省计算与通讯软件重点实验室) Tel:
网络设备 (交换机与路由器配置) 主讲教师:陆宜梅(副教授).
公司保密工作要求及 院商秘保护工作安排 2014年9月12日.
人民币汇率制度概述 ——上海思博职业技术学院 国商院 杨奕 2007年11-12月.
第二框 信用工具和外汇.
山东大学信息系统平台建设探索 山东大学网络与信息中心 陈琳.
第二章 中药总论 ----中兽药的基本知识.
國立中山大學 總務處 採購業務簡介 袁世禮.
学校心理危机干预 ___学校心理危机的干预系统、 干预过程、干预技巧 浙江省学校心理健康教育指导中心 周红五
2012年阳康品牌全面升级 张祝英 2012/5/
第五节 隔离技术. 第五节 隔离技术 学习目标 熟悉:隔离区域的设置和隔离消毒的原则。 掌握:隔离的概念,隔离的种类及措施,隔离技术基本操作方法。
電子病歷交換釋疑 EEC=E.M.R(電子病歷) Exchange Center
歷史知識與歷史考題 報告者 高師大 王文裕.
管理: 浸大中醫藥研究所有限公司 實驗室: 中藥材標準實驗室, 中醫藥學院 ISO實驗室, 研究及開發部, 中醫藥學院
第2章 计算机网络的协议与体系结构 2.1 计算机网络体系结构的形成 2.2 协议与划分层次 2.3 计算机网络的原理体系结构
计算机系统与网络技术 第14讲 局域网构建技术 讲课教师:常姗
ole超市,The cook厨 GAP HM 俏江南 小南国
认股证.
项目6.1:计算机网络基础 项目描述 能力目标 应用网络可以工作、学习,网络影响着我们的生活,了解网络知识、培养信息技术的水平和能力是工作和生活的需要。 通过对概念的理解,培养信息分析、辨别能力, 学会使用信息技术工作、学习。
绪 论 《电路原理》 课程的地位和性质 课程的特点
学年研究生示范党支部创建工作终期评审 ——石工研12级3班党支部.
金釵石斛規範化種植(GAP)基地建設及產品深加工項目推介書
多变的天气 高区一中 王永波
宝岛台湾现代农业考察汇报.
目录 组织保障机制 业务规则学习 账户规范报送 技术平台建设 上线后续工作.
第3章 计算机网络体系结构.
计算机网络技术基础 Computer network technology 精品资源共享课程建设组.
科學科 污染 空氣 成因 的 : 題目 及 減少空氣污染的方法 陳玉玲 (4) 姓名 : 去到目錄.
SIEMENS自动化控制系统于VPN网络技术的完美结合
1.1 電腦網路的簡介 1.2 電腦網路的重要性 1.3 電腦網路的現況
金融人員職業道德 兆豐金融控股公司 林瑞雲
通过外网访问邮件系统的说明 信息中心.
通訊協定 OSI分層模式 與 TCP/IP協定
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
Exchange Server 2003 系統管理.
真理大學財經法律系助理教授楊智傑 台大法律系學士(2001) 中央大學產業經濟所碩士(2003) 台灣大學國家發展所博士(2006)
TCP/IP Protocol Suite TCP/IP協定 第二組 投影片製作by簡嘉宏 綦凱宏 林睿敏 滕孟哲.
远程诊断技术及设备 ---今日坐拥明日之选.
计算机网络管理技术 主讲:刘方明 副教授 华中科技大学计算机学院
主要内容: 用户和组的基本知识 本地用户的配置与管理 本地组的配置与管理 以管理员身份启动程序
局域网技术 第一章计算机局域网概论.
認識網際網路 網際網路(Internet)簡介 WWW簡介 臺灣地區網路資源 網路禮儀與規範 收發電子郵件 相關程式與服務
简约居家 灵动生活 最适合您的数字家居解决方案
傳輸控制協議 /互聯網協議 TCP/IP.
第一章 網際網路基礎.
第六章 外汇风险管理 第一节、外汇风险概述 第二节、交易风险管理 第三节、经济风险管理 第四节、折算风险管理.
第1章 外匯與匯率.
大学计算机基础 5-2 计算机网络模型与协议.
網路概論 第3章 協定與模型.
指導教授:梁明章 A 許之青 國立高雄大學 2010/06/25
大直高中107年度大學多元入學家長宣導說明會.
架构师成长感悟 吴隆烽
青少年父母的迷惘:除了say no我們還可以教孩子什麼?
凌群電腦新一代   交易所TCP/IP Gateway
P2P&IPv6 指導老師:吳坤熹 張伯瑜 陳意樵.
第十二章 Visual FoxPro开发Web数据库
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
網際網路原理 網際網路源起與發展歷史 1968 ARPANET 1973 TCP/IP協定 1976 乙太網路,促成LAN的發展 … DNS
網路基本概念及IE應用 趙涵捷.
大學科系介紹.
Presentation transcript:

第 9 章 隔离技术 本章学习目标: 了解网络隔离发展历程 掌握网络隔离的技术原理 了解网络隔离的技术分类及发展方向 掌握网闸的基本原理

9.1 隔离技术概述 9.1.1 隔离的概念 1、安全域 安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密,但是涉及本单位,本部门或者本系统的工作秘密的网络空间。公共服务域是指既不涉及国家秘密也不涉及工作秘密,是一个向因特网络完全开放的公共信息交换空间。 电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离,按照安全域的划分,政府的内网就是涉密域,政府的外网就是非涉密域,因特网就是公共服务域。

9.1 隔离技术概述 9.1.1 隔离的概念 2、网络隔离 网络隔离(Network Isolation),主要是指把两个或两个以上可路由的网络(如TCP/IP)通过不可路由的协议(如IPX/SPX、NetBEUI等)进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议,所以通常也叫协议隔离(Protocol Isolation)。 第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离

9.1 隔离技术概述 9.1.2 网络隔离的技术原理 右图表示没有连接时内外网的应用状况,从连接特征可以看出这样的结构从物理上完全分离。

9.1 隔离技术概述 9.1.2 网络隔离的技术原理 当外网需要有数据到达内网的时候,以电子邮件为例,外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接,隔离设备将所有的协议剥离,将原始的数据写入存储介质。

9.1 隔离技术概述 9.1.2 网络隔离的技术原理 在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与外网的连接。转而发起对内网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向内网。内网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给应用系统。 在控制台收到完整的交换信号之后,隔离设备立即切断隔离设备于内网的直接连接

9.1 隔离技术概述 9.1.2 网络隔离的技术原理 内网有电子邮件要发出,隔离设备收到内网建立连接的请求之后,建立与内网之间的非TCP/IP协议的数据连接。隔离设备剥离所有的TCP/IP协议和应用协议,得到原始的数据,将数据写入隔离设备的存储介质。

9.1 隔离技术概述 9.1.2 网络隔离的技术原理 一旦数据完全写入隔离设备的存储介质,隔离设备立即中断与内网的连接。转而发起对外网的非TCP/IP协议的数据连接。隔离设备将存储介质内的数据推向外网。外网收到数据后,立即进行TCP/IP的封装和应用协议的封装,并交给系统

9.1 隔离技术概述 9.1.2 网络隔离的技术原理 每一次数据交换,隔离设备经历了数据的接受、存储和转发三个过程。由于这些规则都是在内存和内核中完成的,因此速度上有保证,可以达到100%的总线处理能力。物理隔离的一个特征,就是内网与外网永不连接,内网和外网在同一时间最多只有一个同隔离设备建立非TCP/IP协议的数据连接。其数据传输机制是存储和转发。物理隔离的好处是明显的,即使外网在处在最坏的情况下,内网也不会有任何破坏,修复外网系统也非常容易。

9.1 隔离技术概述 9.1.3 网络隔离技术分类 1.基于代码、内容等隔离的反病毒和内容过滤技术 2.基于网络层隔离的防火墙技术 9.1 隔离技术概述 9.1.3 网络隔离技术分类 1.基于代码、内容等隔离的反病毒和内容过滤技术 2.基于网络层隔离的防火墙技术 3.基于物理链路层的物理隔离技术

9.1 隔离技术概述 9.1.4 网络隔离技术要点与发展方向 1.网络隔离技术需要具有的安全要点 2.网络隔离的关键点 9.1 隔离技术概述 9.1.4 网络隔离技术要点与发展方向 1.网络隔离技术需要具有的安全要点 要具有高度的自身安全性 要确保网络之间是隔离的 要保证网间交换的只是应用数据 要对网间的访问进行严格的控制和检查 要在坚持隔离的前提下保证网络畅通和应用透明 2.网络隔离的关键点 隔离的关键点就成了要尽量提高网间数据交换的速度,并且对应用能够透明支持,以适应复杂和高带宽需求的网间数据交换。

9.1 隔离技术概述 9.1.4 网络隔离技术要点与发展方向 3.隔离技术的未来发展方向 9.1 隔离技术概述 9.1.4 网络隔离技术要点与发展方向 3.隔离技术的未来发展方向 通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术,进行不同安全级别网络之间的数据交换,彻底阻断网络间的直接TCP/IP连接,同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、安全审计等多种安全防护机制,从而保证了网间数据交换的安全、可控,杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。

9.2 隔离网闸 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。 9.2 隔离网闸 网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。 物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

9.2 隔离网闸 9.2.1 网闸的发展阶段 网闸,又称安全隔离与信息交换系统,是新一代高安全度的企业级信息安全防护设备,它依托安全隔离技术为信息网络提供了更高层次的安全防护能力,不仅使得信息网络的抗攻击能力大大增强,而且有效地防范了信息外泄事件的发生。 第一代网闸的技术原理是利用单刀双掷开关使得内外网的处理单元分时存取共享存储设备来完成数据交换的。安全原理是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全的效果。 第二代网闸正是在吸取了第一代网闸优点的基础上,利用专用交换通道PET(Private Exchange Tunnel)技术,在不降低安全性的前提下能够完成内外网之间高速的数据交换,有效地克服了第一代网闸的弊端。第二代网闸的安全数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。

9.2 隔离网闸 9.2.2 网闸工作原理 隔离网闸(安全隔离与信息交换,GAP),是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。

9.2 隔离网闸 9.2.3 隔离网闸要点 1)专用硬件设计保证了物理隔离下的信息交流。GAP均采用专用隔离硬件的设计完成隔离功能,硬件设计保证在任意时刻网络间的链路层断开,阻断TCP/IP协议以及其他网络协议;同时该硬件不提供编程软接口,不受系统控制,仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。 2)集合多种安全技术消除数据交换中的安全隐患。在专用硬件基础上,紧密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块。这些模块可以与隔离硬件结合形成整体的防御体系。 3)网闸以安全隔离为基础,并集成多种防护技术,其软硬一体设计形成整体多层面的安全防护。 4)灵活高效数据交换形式确保应用需求。GAP产品都提供了多种数据交换方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全隔离网闸(Topwalk-GAP)提供了文件交换、邮件交换、数据库交换和提供API应用接口的消息模块,同时具有较高的传输速率和低延迟性。

9.3 典型产品介绍 天御6000网络物理隔离系统

9.3 典型产品介绍 9.3.1 产品概况 天御6000系列网络物理隔离系统是由北京和信网安科技有限公司与中国科学院中力机电新技术有限公司联合开发的网络安全产品。在保证内外网物理隔离的情况下,实现安全高效的数据交换,为解决内网的安全问题提供了全新的解决方案。在保证必须安全的前提下,尽可能互联互通。 9.3.2 安全策略 外网服务器的TCP/IP协议栈关闭,内外网服务器之间采用纯数据进行传输 内网和外网之间采用专有的通讯协议,有效防止黑客从外网攻入内网 内网向外发起的连接需经过内网服务器的身份认证 外网主动发起的连接无法建立,只有内网请求的回应数据可以进入内网

9.3 典型产品介绍 产品的安装部署

本章小结 本章主要介绍了隔离技术的发展、现状及工作原理,重点应掌握安全隔离网闸(GAP)的工作原理:协议控制、数据转换、安全审查、身份认证等。同时应将安全隔离网闸与传统防火墙对比地学习,理解它们间的异同,特别是在安全机制、硬件设计、网络协议处理、遭攻击后果等方面的区别。

作 业 P 202 1、2、3