《計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)》電子課件 CH13物理安全和系統(tǒng)隔離技術(shù)

1、計(jì)算機(jī)網(wǎng)絡(luò)與信息安全技術(shù)教學(xué)課件 V08.081物理安全和系統(tǒng)隔離技術(shù)物理安全和系統(tǒng)隔離技術(shù)第第 13 章章2基本內(nèi)容u網(wǎng)絡(luò)和信息安全離不開設(shè)備安全，只有確保實(shí)體的安全才能談得上使用安全。本章介紹物理實(shí)體安全與隔離技術(shù)相關(guān)知識(shí)。313.1 物理安全技術(shù)13.1 概述 物理安全又叫實(shí)體安全（物理安全又叫實(shí)體安全（Physical Security），是保護(hù)），是保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）免遭地震、水災(zāi)、計(jì)算機(jī)設(shè)備、設(shè)施（網(wǎng)絡(luò)及通信線路）免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的火災(zāi)、有害氣體和其他環(huán)境事故（如電磁污染等）破壞的措施和過程。措施和過程。 實(shí)體安全

2、技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、實(shí)體安全技術(shù)主要是指對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)的環(huán)境、場地、設(shè)備和通信線路等采取的安全技術(shù)措施。場地、設(shè)備和通信線路等采取的安全技術(shù)措施。 物理安全技術(shù)實(shí)施的目的是保護(hù)計(jì)算機(jī)及通信線路免物理安全技術(shù)實(shí)施的目的是保護(hù)計(jì)算機(jī)及通信線路免遭水、火、有害氣體和其他不利因素遭水、火、有害氣體和其他不利因素( (人為失誤、犯罪行人為失誤、犯罪行為為 ) )的損壞。的損壞。 4 影響計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全的主要因素如下：影響計(jì)算機(jī)網(wǎng)絡(luò)實(shí)體安全的主要因素如下： 1 1）計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。）計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)自身存在的脆弱性因素。 2 2）各種自然災(zāi)害導(dǎo)致的安全問

3、題。）各種自然災(zāi)害導(dǎo)致的安全問題。 3 3）由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的）由于人為的錯(cuò)誤操作及各種計(jì)算機(jī)犯罪導(dǎo)致的安全問題。安全問題。 13.1.2 影響物理安全的因素影響物理安全的因素 物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備物理安全包括：環(huán)境安全、電源系統(tǒng)安全、設(shè)備安全和通信線路安全。安全和通信線路安全。 13.1 物理安全技術(shù)513.1.3 物理安全的內(nèi)容物理安全的內(nèi)容 1) 1)環(huán)境安全：應(yīng)具備消防報(bào)警、安全照明、不間斷供環(huán)境安全：應(yīng)具備消防報(bào)警、安全照明、不間斷供電、溫濕度控制系統(tǒng)和防盜報(bào)警。電、溫濕度控制系統(tǒng)和防盜報(bào)警。 2)2)電源系統(tǒng)安全：電源安全主要包括電力能源

4、供應(yīng)、電源系統(tǒng)安全：電源安全主要包括電力能源供應(yīng)、輸電線路安全、保持電源的穩(wěn)定性等。輸電線路安全、保持電源的穩(wěn)定性等。 3)3)設(shè)備安全：要保證硬件設(shè)備隨時(shí)處于良好的工作狀設(shè)備安全：要保證硬件設(shè)備隨時(shí)處于良好的工作狀態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。同態(tài)，建立健全使用管理規(guī)章制度，建立設(shè)備運(yùn)行日志。同時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)時(shí)要注意保護(hù)存儲(chǔ)媒體的安全性，包括存儲(chǔ)媒體自身和數(shù)據(jù)的安全。據(jù)的安全。 4)4)通信線路安全：包括防止電磁信息的泄漏、線路截通信線路安全：包括防止電磁信息的泄漏、線路截獲，以及抗電磁干擾。獲，以及抗電磁干擾。 13.1 物理安全技術(shù)6

5、 物理安全包括以下主要內(nèi)容物理安全包括以下主要內(nèi)容: 1 1）計(jì)算機(jī)機(jī)房的場地、環(huán)境及各種因素對(duì)計(jì)算機(jī)設(shè)）計(jì)算機(jī)機(jī)房的場地、環(huán)境及各種因素對(duì)計(jì)算機(jī)設(shè)備的影響。備的影響。 2 2）計(jì)算機(jī)機(jī)房的安全技術(shù)要求。）計(jì)算機(jī)機(jī)房的安全技術(shù)要求。 3 3）計(jì)算機(jī)的實(shí)體訪問控制。）計(jì)算機(jī)的實(shí)體訪問控制。 4 4）計(jì)算機(jī)設(shè)備及場地的防火與防水。）計(jì)算機(jī)設(shè)備及場地的防火與防水。 5 5）計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。）計(jì)算機(jī)系統(tǒng)的靜電防護(hù)。 6 6）計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。）計(jì)算機(jī)設(shè)備及軟件、數(shù)據(jù)的防盜防破壞措施。 7 7）計(jì)算機(jī)中重要信息的磁介質(zhì)的處理、存儲(chǔ)和處理）計(jì)算機(jī)中重要信息的磁介質(zhì)的處理、存儲(chǔ)和

6、處理手續(xù)的有關(guān)問題。手續(xù)的有關(guān)問題。 13.1.3 物理安全的內(nèi)容物理安全的內(nèi)容( (續(xù)續(xù)) ) 13.1 物理安全技術(shù)713.1.4 13.1.4 物理安全涉及的主要技術(shù)標(biāo)準(zhǔn)物理安全涉及的主要技術(shù)標(biāo)準(zhǔn) （1 1）GB/T 2887-2000GB/T 2887-2000 電子計(jì)算機(jī)場地通用規(guī)范電子計(jì)算機(jī)場地通用規(guī)范 （2 2）GB/T 9361-1988GB/T 9361-1988 計(jì)算站場地安全要求計(jì)算站場地安全要求 （3 3）GB/T 14715-1993GB/T 14715-1993 信息技術(shù)設(shè)備用信息技術(shù)設(shè)備用UPSUPS通用技術(shù)條件通用技術(shù)條件 （4 4）GB 50174-GB 50

7、174-19199393 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 計(jì)算機(jī)機(jī)房建設(shè)至少應(yīng)遵循國標(biāo)計(jì)算機(jī)機(jī)房建設(shè)至少應(yīng)遵循國標(biāo)GB/T 2887-2000GB/T 2887-2000和和GB/T GB/T 9361-19889361-1988，滿足防火、防磁、防水、防盜、防電擊、防蟲害，滿足防火、防磁、防水、防盜、防電擊、防蟲害等要求，并配備相應(yīng)的設(shè)備。等要求，并配備相應(yīng)的設(shè)備。 13.1 物理安全技術(shù)813.2 電磁防護(hù)與通信線路安全13.2.1 電磁兼容和電磁輻射的防護(hù) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備，在工作時(shí)都計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的各種設(shè)備都屬于電子設(shè)備，在工作時(shí)都不可避免地會(huì)向外輻

8、射電磁波，同時(shí)也會(huì)受到其他電子設(shè)備的不可避免地會(huì)向外輻射電磁波，同時(shí)也會(huì)受到其他電子設(shè)備的電磁波干擾，當(dāng)電磁干擾達(dá)到一定的程度就會(huì)影響設(shè)備的正常電磁波干擾，當(dāng)電磁干擾達(dá)到一定的程度就會(huì)影響設(shè)備的正常工作。工作。 電磁輻射泄密的危險(xiǎn)電磁輻射泄密的危險(xiǎn)。913.2 電磁防護(hù)與通信線路安全13.2.1 電磁兼容和電磁輻射的防護(hù) 電磁輻射防護(hù)的措施電磁輻射防護(hù)的措施： (1)(1)一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)一類是對(duì)傳導(dǎo)發(fā)射的防護(hù)，主要采取對(duì)電源線和信號(hào)線加裝性能，主要采取對(duì)電源線和信號(hào)線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合；良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合； (2)(2)對(duì)輻射

9、的防護(hù)對(duì)輻射的防護(hù)可分為可分為： 1)1)采用各種電磁屏蔽措施采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離；同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬門窗進(jìn)行屏蔽和隔離； 2)2)干擾的防護(hù)措施干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。頻率和信息特征。 1013.2 電磁防護(hù)與通信線路安全13.2.1

10、 電磁兼容和電磁輻射的防護(hù) 抗干擾措施抗干擾措施： （1 1）屏蔽屏蔽 （2 2）濾波）濾波 （3 3）隔離）隔離 （4 4）接地）接地11 用一種簡單（但很昂貴）的高技術(shù)加壓電纜，可以獲用一種簡單（但很昂貴）的高技術(shù)加壓電纜，可以獲得通信線路上的物理安全。得通信線路上的物理安全。 通信電纜密封在塑料套管中，并在線纜的兩端充氣加通信電纜密封在塑料套管中，并在線纜的兩端充氣加壓。線上連接了帶有報(bào)警器的監(jiān)示器，用來測量壓力。如壓。線上連接了帶有報(bào)警器的監(jiān)示器，用來測量壓力。如果壓力下降，則意味電纜可能被破壞了，技術(shù)人員還可以果壓力下降，則意味電纜可能被破壞了，技術(shù)人員還可以進(jìn)一步檢測出破壞點(diǎn)的位置

11、，以便及時(shí)進(jìn)行修復(fù)。進(jìn)一步檢測出破壞點(diǎn)的位置，以便及時(shí)進(jìn)行修復(fù)。 距離大于最大長度限制的系統(tǒng)之間，不采用光纖線通距離大于最大長度限制的系統(tǒng)之間，不采用光纖線通信；或加強(qiáng)復(fù)制器的安全，如用加壓電纜、警報(bào)系統(tǒng)和加信；或加強(qiáng)復(fù)制器的安全，如用加壓電纜、警報(bào)系統(tǒng)和加強(qiáng)警衛(wèi)等措施。強(qiáng)警衛(wèi)等措施。 Modem Modem的安全性。的安全性。13.2 電磁防護(hù)與通信線路安全13.2.2 通信線路安全技術(shù) 1213.3 系統(tǒng)隔離技術(shù)13.3.1 隔離的概念 安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域涉密域就是就是涉及國家秘密的網(wǎng)絡(luò)空間。涉及國家秘密的網(wǎng)絡(luò)空間。非涉密域非涉

12、密域就是不涉及國家的秘密，就是不涉及國家的秘密，但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域公共服務(wù)域是指既不涉及國家秘密也不涉及工作秘密，是一是指既不涉及國家秘密也不涉及工作秘密，是一個(gè)向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。個(gè)向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。 1 1、安全域、安全域 電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。政務(wù)的外電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和因特網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)和因特網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就

13、是非涉密域，因特網(wǎng)就是公共服網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，因特網(wǎng)就是公共服務(wù)域。務(wù)域。 13 網(wǎng)絡(luò)隔離（網(wǎng)絡(luò)隔離（Network IsolationNetwork Isolation），主要是指把兩個(gè)或），主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IPTCP/IP）通過不可路由的協(xié)議）通過不可路由的協(xié)議（如（如IPX/SPXIPX/SPX、NetBEUINetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（離（Protocol

14、 IsolationProtocol Isolation）。）。 2 2、網(wǎng)絡(luò)隔離網(wǎng)絡(luò)隔離 第一代隔離技術(shù)第一代隔離技術(shù)完全的隔離完全的隔離第二代隔離技術(shù)第二代隔離技術(shù)硬件卡隔離硬件卡隔離 第三代隔離技術(shù)第三代隔離技術(shù)數(shù)據(jù)轉(zhuǎn)播隔離數(shù)據(jù)轉(zhuǎn)播隔離 第四代隔離技術(shù)第四代隔離技術(shù)空氣開關(guān)隔離空氣開關(guān)隔離 第五代隔離技術(shù)第五代隔離技術(shù)安全通道隔離安全通道隔離 13.3 系統(tǒng)隔離技術(shù)13.3.1 隔離的概念14 右圖右圖表示沒有連接時(shí)表示沒有連接時(shí)內(nèi)外網(wǎng)的應(yīng)用狀況，從連內(nèi)外網(wǎng)的應(yīng)用狀況，從連接特征可以看出這樣的結(jié)接特征可以看出這樣的結(jié)構(gòu)從物理上完全分離。構(gòu)從物理上完全分離。 13.3 系統(tǒng)隔離技術(shù)13.3

15、.2 網(wǎng)絡(luò)隔離的原理15 當(dāng)外網(wǎng)需要有數(shù)據(jù)到當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵，以電子郵件為例，外部的服務(wù)器立件為例，外部的服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非即發(fā)起對(duì)隔離設(shè)備的非TCP/IPTCP/IP協(xié)議的數(shù)據(jù)連接，協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)儲(chǔ)介質(zhì)。13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理16 一旦數(shù)據(jù)完全寫入隔一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IPTCP/IP協(xié)議

16、的數(shù)據(jù)連接。協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行數(shù)據(jù)后，立即進(jìn)行TCP/IPTCP/IP的封裝和應(yīng)用協(xié)議的封裝，的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。并交給應(yīng)用系統(tǒng)。 在控制臺(tái)收到完整的交換信號(hào)之后，隔離設(shè)備立即切斷在控制臺(tái)收到完整的交換信號(hào)之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接隔離設(shè)備于內(nèi)網(wǎng)的直接連接 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理17 內(nèi)網(wǎng)有電子郵件要發(fā)內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請(qǐng)求之后，建立立連接的請(qǐng)求之后，建立與內(nèi)網(wǎng)之間的非與內(nèi)網(wǎng)

17、之間的非TCP/IPTCP/IP協(xié)協(xié)議的數(shù)據(jù)連接。隔離設(shè)備議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的剝離所有的TCP/IPTCP/IP協(xié)議和協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲(chǔ)介質(zhì)。的存儲(chǔ)介質(zhì)。 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理18 一旦數(shù)據(jù)完全寫入隔一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非TCP/IPTCP/IP協(xié)議的數(shù)據(jù)連接。協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)

18、推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行數(shù)據(jù)后，立即進(jìn)行TCP/IPTCP/IP的封裝和應(yīng)用協(xié)議的封裝，的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng)并交給系統(tǒng) 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理19 每一次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的每一次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受接受、存儲(chǔ)存儲(chǔ)和和轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)三個(gè)過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度三個(gè)過程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以達(dá)到上有保證，可以達(dá)到100%100%的總線處理能力。的總線處理能力。物理隔離的一個(gè)特征，物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)就是內(nèi)

19、網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非同隔離設(shè)備建立非TCP/IPTCP/IP協(xié)議的數(shù)據(jù)連接。協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機(jī)制是存其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。物理隔離的好處是明顯的，即使外網(wǎng)在處在最壞的情儲(chǔ)和轉(zhuǎn)發(fā)。物理隔離的好處是明顯的，即使外網(wǎng)在處在最壞的情況下，內(nèi)網(wǎng)也不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也非常容易。況下，內(nèi)網(wǎng)也不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也非常容易。13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離的原理20 1 1基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù)基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過濾技術(shù) 2 2基于網(wǎng)絡(luò)層隔離的防火墻技術(shù)基于網(wǎng)絡(luò)層隔離的防火墻技術(shù) 3

20、 3基于物理鏈路層的物理隔離技術(shù)基于物理鏈路層的物理隔離技術(shù) 13.3 系統(tǒng)隔離技術(shù)13.3.2 網(wǎng)絡(luò)隔離技術(shù)分類211 1網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點(diǎn)網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點(diǎn)2 2網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn)網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn) 隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對(duì)應(yīng)用能隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對(duì)應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換。 要具有高度的自身安全性要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的要確保網(wǎng)絡(luò)之間是隔離的 要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù)要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù) 要對(duì)網(wǎng)

21、間的訪問進(jìn)行嚴(yán)格的控制和檢查要對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查 要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明 13.3 系統(tǒng)隔離技術(shù)13.3.4 網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與發(fā)展方向223 3隔離技術(shù)的未來發(fā)展方向隔離技術(shù)的未來發(fā)展方向 通過專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)通過專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)，進(jìn)行不同安全級(jí)別網(wǎng)絡(luò)之間用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)，進(jìn)行不同安全級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷網(wǎng)絡(luò)間的直接的數(shù)據(jù)交換，徹底阻斷網(wǎng)絡(luò)間的直接TCP/IPTCP/IP連接，同時(shí)對(duì)網(wǎng)連接，同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)

22、容、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾、間通信的雙方、內(nèi)容、過程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來安全、可控，杜絕了由于操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來的安全風(fēng)險(xiǎn)。的安全風(fēng)險(xiǎn)。13.3 系統(tǒng)隔離技術(shù)13.3.4 網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與發(fā)展方向23 網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。 物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在

23、通物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺擺渡渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀讀”和和“寫寫”兩個(gè)命令。所兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使的一切連接，使“黑客黑客”無法入侵、無法攻擊、無法破壞，無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。實(shí)現(xiàn)了真正的安全。 13.4

24、 隔離網(wǎng)閘2413.4.1 13.4.1 網(wǎng)閘的發(fā)展網(wǎng)閘的發(fā)展 網(wǎng)閘，又稱安全隔離與信息交換系統(tǒng)，是新一代高安全度的企網(wǎng)閘，又稱安全隔離與信息交換系統(tǒng)，是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。而且有效地防范了信息外泄事件的發(fā)生。 第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分

25、時(shí)分時(shí)存取存取共享存儲(chǔ)設(shè)備來完成數(shù)據(jù)交換的。安全原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)共享存儲(chǔ)設(shè)備來完成數(shù)據(jù)交換的。安全原理是通過應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。 第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，利用專用交換通道第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，利用專用交換通道PETPET（Private Exchange TunnelPrivate Exchange Tunnel）技術(shù)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)）技術(shù)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交換，有效地克服了第

26、一代網(wǎng)閘的弊端。第二代網(wǎng)閘的安全數(shù)據(jù)之間高速的數(shù)據(jù)交換，有效地克服了第一代網(wǎng)閘的弊端。第二代網(wǎng)閘的安全數(shù)據(jù)交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)。交換過程是通過專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來實(shí)現(xiàn)。13.4 隔離網(wǎng)閘2513.4.2 13.4.2 網(wǎng)閘的工作原理網(wǎng)閘的工作原理 隔離網(wǎng)閘（安全隔離與信息交換隔離網(wǎng)閘（安全隔離與信息交換, ,GAPGAP），是在保證兩個(gè)網(wǎng)絡(luò)安），是在保證兩個(gè)網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享的技術(shù)。全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享的技術(shù)。13.4 隔離網(wǎng)閘2613.4.3 13.4.3 隔離網(wǎng)閘的特點(diǎn)隔離網(wǎng)閘

27、的特點(diǎn) 1 1）專用硬件設(shè)計(jì)保證了物理隔離下的信息交流。）專用硬件設(shè)計(jì)保證了物理隔離下的信息交流。GAPGAP均采用專用隔離硬件均采用專用隔離硬件的設(shè)計(jì)完成隔離功能，硬件設(shè)計(jì)保證在任意時(shí)刻網(wǎng)絡(luò)間的鏈路層斷開，阻斷的設(shè)計(jì)完成隔離功能，硬件設(shè)計(jì)保證在任意時(shí)刻網(wǎng)絡(luò)間的鏈路層斷開，阻斷TCP/IPTCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議；同時(shí)該硬件不提供編程軟接口，不受系統(tǒng)控制，協(xié)議以及其他網(wǎng)絡(luò)協(xié)議；同時(shí)該硬件不提供編程軟接口，不受系統(tǒng)控制，僅提供物理上的控制開關(guān)。這樣黑客無法從遠(yuǎn)程獲得硬件的控制權(quán)。僅提供物理上的控制開關(guān)。這樣黑客無法從遠(yuǎn)程獲得硬件的控制權(quán)。 2 2）集合多種安全技術(shù)消除數(shù)據(jù)交換中的安全隱患

28、。在專用硬件基礎(chǔ)上，緊）集合多種安全技術(shù)消除數(shù)據(jù)交換中的安全隱患。在專用硬件基礎(chǔ)上，緊密集成了內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)化、病毒查殺、身份驗(yàn)證、訪問控制、安全審計(jì)等模密集成了內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)化、病毒查殺、身份驗(yàn)證、訪問控制、安全審計(jì)等模塊。這些模塊可以與隔離硬件結(jié)合形成整體的防御體系。塊。這些模塊可以與隔離硬件結(jié)合形成整體的防御體系。 3 3）網(wǎng)閘以安全隔離為基礎(chǔ)，并集成多種防護(hù)技術(shù)，其軟硬一體設(shè)計(jì)形成整）網(wǎng)閘以安全隔離為基礎(chǔ)，并集成多種防護(hù)技術(shù)，其軟硬一體設(shè)計(jì)形成整體多層面的安全防護(hù)。體多層面的安全防護(hù)。 4 4）靈活高效數(shù)據(jù)交換形式確保應(yīng)用需求。）靈活高效數(shù)據(jù)交換形式確保應(yīng)用需求。GAPGAP產(chǎn)品都

29、提供了多種數(shù)據(jù)交換產(chǎn)品都提供了多種數(shù)據(jù)交換方式以滿足業(yè)務(wù)應(yīng)用。如公安部信息通信局與天行網(wǎng)安公司聯(lián)合研制的天行安全方式以滿足業(yè)務(wù)應(yīng)用。如公安部信息通信局與天行網(wǎng)安公司聯(lián)合研制的天行安全隔離網(wǎng)閘（隔離網(wǎng)閘（Topwalk-GAPTopwalk-GAP）提供了文件交換、郵件交換、數(shù)據(jù)庫交換和提供）提供了文件交換、郵件交換、數(shù)據(jù)庫交換和提供APIAPI應(yīng)應(yīng)用接口的消息模塊，同時(shí)具有較高的傳輸速率和低延遲性。用接口的消息模塊，同時(shí)具有較高的傳輸速率和低延遲性。 13.4 隔離網(wǎng)閘2713.5 13.5 典型產(chǎn)品介紹典型產(chǎn)品介紹 天御天御60006000網(wǎng)絡(luò)物理隔離系統(tǒng)網(wǎng)絡(luò)物理隔離系統(tǒng) 2813.5 13.5 典型產(chǎn)品介紹典型產(chǎn)品介紹 天御天御60006000系列網(wǎng)絡(luò)物理隔離系統(tǒng)是由北京和信網(wǎng)安科技有系列網(wǎng)絡(luò)物理隔離系統(tǒng)是由北京和信網(wǎng)安科技有限公司與中國科學(xué)院中力機(jī)電新技術(shù)有限公司聯(lián)合開發(fā)的網(wǎng)絡(luò)限公司與中國科學(xué)院中力機(jī)電新技術(shù)有限公司聯(lián)合開發(fā)的網(wǎng)絡(luò)安全產(chǎn)品。在保證內(nèi)外網(wǎng)物理隔離的情況下，實(shí)現(xiàn)安全高效的安全產(chǎn)品。在保證內(nèi)外網(wǎng)物理隔離的情況下，實(shí)現(xiàn)安全高效的數(shù)據(jù)交換，為解決內(nèi)網(wǎng)的安全問題提供了全新的解決方案。數(shù)據(jù)交換，為解決內(nèi)網(wǎng)的安全問題提