《隔離技術(shù)介紹》PPT課件

《《隔離技術(shù)介紹》PPT課件》由會(huì)員上傳分享，免費(fèi)在線閱讀，更多相關(guān)內(nèi)容在教育資源-天天文庫。

1、第9章隔離技術(shù)本章學(xué)習(xí)目標(biāo)：了解網(wǎng)絡(luò)隔離發(fā)展歷程掌握網(wǎng)絡(luò)隔離的技術(shù)原理了解網(wǎng)絡(luò)隔離的技術(shù)分類及發(fā)展方向掌握網(wǎng)閘的基本原理9.1隔離技術(shù)概述安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密，是一個(gè)向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。9.1.1隔離的概念1、安全域電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和因特網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，因特網(wǎng)就是公共

2、服務(wù)域。9.1隔離技術(shù)概述網(wǎng)絡(luò)隔離（NetworkIsolation），主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過不可路由的協(xié)議（如IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（ProtocolIsolation）。9.1.1隔離的概念2、網(wǎng)絡(luò)隔離第一代隔離技術(shù)——完全的隔離第二代隔離技術(shù)——硬件卡隔離第三代隔離技術(shù)——數(shù)據(jù)轉(zhuǎn)播隔離第四代隔離技術(shù)——空氣開關(guān)隔離第五代隔離技術(shù)——安全通道隔離9.1隔離技術(shù)概述9.1.2網(wǎng)絡(luò)隔離的技術(shù)原理右圖表示沒有連接時(shí)內(nèi)外網(wǎng)的應(yīng)用狀況，從連接特

3、征可以看出這樣的結(jié)構(gòu)從物理上完全分離。9.1隔離技術(shù)概述9.1.2網(wǎng)絡(luò)隔離的技術(shù)原理當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵件為例，外部的服務(wù)器立即發(fā)起對隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。9.1隔離技術(shù)概述9.1.2網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。在控制臺收到完整的交換信號之后，隔離設(shè)備立即切斷隔離設(shè)備

4、于內(nèi)網(wǎng)的直接連接9.1隔離技術(shù)概述9.1.2網(wǎng)絡(luò)隔離的技術(shù)原理內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲(chǔ)介質(zhì)。9.1隔離技術(shù)概述9.1.2網(wǎng)絡(luò)隔離的技術(shù)原理一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng)9.1隔離技術(shù)概述9.1.2網(wǎng)絡(luò)隔離的技術(shù)原理每一

5、次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受、存儲(chǔ)和轉(zhuǎn)發(fā)三個(gè)過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以達(dá)到100%的總線處理能力。物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。物理隔離的好處是明顯的，即使外網(wǎng)在處在最壞的情況下，內(nèi)網(wǎng)也不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也非常容易。9.1隔離技術(shù)概述9.1.3網(wǎng)絡(luò)隔離技術(shù)分類1．基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)2．基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)3．基于物理鏈路層的物理隔離技術(shù)9.1隔離技術(shù)概述9.1.4

6、網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與發(fā)展方向1．網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點(diǎn)2．網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn)隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)要對網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明9.1隔離技術(shù)概述9.1.4網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與發(fā)展方向3．隔離技術(shù)的未來發(fā)展方向通過專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)，進(jìn)行不同安全級別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP連接，同時(shí)

7、對網(wǎng)間通信的雙方、內(nèi)容、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險(xiǎn)。9.2隔離網(wǎng)閘網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無