系统隔离技术课件.ppt

《系统隔离技术课件.ppt》由会员分享，可在线阅读，更多相关《系统隔离技术课件.ppt（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全技术教学课件 V2010.03 系统隔离技术系统隔离技术第第 13 章章本章要点本章要点了解网了解网络络隔离隔离发发展展历历程程掌握网掌握网络络隔离的技隔离的技术术原理原理了解网了解网络络隔离的技隔离的技术术分分类类及及发发展方向展方向掌握网掌握网闸闸的基本原理的基本原理 2 213.1 13.1 隔离技隔离技术术概述概述 安安全全域域是是以以信信息息涉涉密密程程度度划划分分的的网网络络空空间间。涉涉密密域域就就是是涉涉及及国国家家秘秘密密的的网网络络空空间间。非非涉涉密密域域就就是是不不涉涉及及国国家家的的秘秘密密，但但是是涉涉及及本本单单位位，本本部部门门或或者者本本系系统统的的工

2、工作作秘秘密密的的网网络络空空间间。公公共共服服务务域域是是指指既既不不涉涉及及国国家家秘秘密密也也不不涉涉及及工工作作秘秘密密，是是一一个向因特网络完全开放的公共信息交换空间。个向因特网络完全开放的公共信息交换空间。13.1.1 13.1.1 隔离的概念隔离的概念 1 1、安全域、安全域 电电子子政政务务的的内内网网和和外外网网要要实实行行严严格格的的物物理理隔隔离离。政政务务的的外外网网和和因因特特网网络络要要实实行行逻逻辑辑隔隔离离，按按照照安安全全域域的的划划分分，政政府府的的内内网网就就是是涉涉密密域域，政政府府的的外外网网就就是是非非涉涉密密域域，因因特特网网就就是是公公共共服服务

3、域。务域。3 313.1 13.1 隔离技隔离技术术概述概述 网网络络隔隔离离（Network Network IsolationIsolation），主主要要是是指指把把两两个个或或两两个个以以上上可可路路由由的的网网络络（如如TCP/IPTCP/IP）通通过过不不可可路路由由的的协协议议（如如IPX/SPXIPX/SPX、NetBEUINetBEUI等等）进进行行数数据据交交换换而而达达到到隔隔离离目目的的。由由于于其其原原理理主主要要是是采采用用了了不不同同的的协协议议，所所以以通通常常也也叫叫协协议议隔隔离（离（Protocol IsolationProtocol Isolation）

4、。）。13.1.1 13.1.1 隔离的概念隔离的概念 2 2、网网络络隔离隔离 第一代隔离技第一代隔离技术术完全的隔离完全的隔离第二代隔离技第二代隔离技术术硬件卡隔离硬件卡隔离 第三代隔离技第三代隔离技术术数据数据转转播隔离播隔离 第四代隔离技第四代隔离技术术空气开关隔离空气开关隔离 第五代隔离技第五代隔离技术术安全通道隔离安全通道隔离 4 413.1 13.1 隔离技隔离技术术概述概述 13.1.2 13.1.2 网网络络隔离的技隔离的技术术原理原理 右图右图表示没有表示没有连连接接时时内外网的内外网的应应用状况，从用状况，从连连接特征可以看出接特征可以看出这样这样的的结结构从物理上完全分

5、离。构从物理上完全分离。5 513.1 13.1 隔离技隔离技术术概述概述 13.1.2 13.1.2 网网络络隔离的技隔离的技术术原理原理 当外网需要有数据到当外网需要有数据到达内网的达内网的时时候候，以，以电电子子邮邮件件为为例，外部的服例，外部的服务务器立器立即即发发起起对对隔离隔离设备设备的非的非TCP/IPTCP/IP协议协议的数据的数据连连接，接，隔离隔离设备设备将所有的将所有的协议协议剥剥离，将原始的数据写入存离，将原始的数据写入存储储介介质质。6 613.1 13.1 隔离技隔离技术术概述概述 13.1.2 13.1.2 网网络络隔离的技隔离的技术术原理原理 一旦数据完全写入隔

6、一旦数据完全写入隔离离设备设备的存的存储储介介质质，隔离，隔离设备设备立即中断与外网的立即中断与外网的连连接。接。转转而而发发起起对对内网的非内网的非TCP/IPTCP/IP协议协议的数据的数据连连接。接。隔离隔离设备设备将存将存储储介介质质内的内的数据推向内网。内网收到数据推向内网。内网收到数据后，立即数据后，立即进进行行TCP/IPTCP/IP的封装和的封装和应应用用协议协议的封装，的封装，并交并交给应给应用系用系统统。在控制台收到完整的交换信号之后，隔离设备立即切断在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接隔离设备于内网的直接连接 7 713.1 13.1

7、隔离技隔离技术术概述概述 13.1.2 13.1.2 网网络络隔离的技隔离的技术术原理原理 内网有内网有电电子子邮邮件要件要发发出，隔离出，隔离设备设备收到内网建收到内网建立立连连接的接的请请求之后，建立求之后，建立与内网之与内网之间间的非的非TCP/IPTCP/IP协协议议的数据的数据连连接。隔离接。隔离设备设备剥离所有的剥离所有的TCP/IPTCP/IP协议协议和和应应用用协议协议，得到原始的数，得到原始的数据，将数据写入隔离据，将数据写入隔离设备设备的存的存储储介介质质。8 813.1 13.1 隔离技隔离技术术概述概述 13.1.2 13.1.2 网网络络隔离的技隔离的技术术原理原理

8、一旦数据完全写入隔一旦数据完全写入隔离离设备设备的存的存储储介介质质，隔离，隔离设备设备立即中断与内网的立即中断与内网的连连接。接。转转而而发发起起对对外网的非外网的非TCP/IPTCP/IP协议协议的数据的数据连连接。接。隔离隔离设备设备将存将存储储介介质质内的内的数据推向外网。外网收到数据推向外网。外网收到数据后，立即数据后，立即进进行行TCP/IPTCP/IP的封装和的封装和应应用用协议协议的封装，的封装，并交并交给给系系统统 9 913.1 13.1 隔离技隔离技术术概述概述 13.1.2 13.1.2 网网络络隔离的技隔离的技术术原理原理 每一次数据交每一次数据交换换，隔离，隔离设备

9、经历设备经历了数据的了数据的接受接受、存存储储和和转发转发三个三个过过程。由于程。由于这这些些规则规则都是在内存和内核中完成的，因此速度都是在内存和内核中完成的，因此速度上有保上有保证证，可以达到，可以达到100%100%的的总线处总线处理能力。理能力。物理隔离的一个特征，物理隔离的一个特征，就是内网与外网永不就是内网与外网永不连连接，内网和外网在同一接，内网和外网在同一时间时间最多只有一个最多只有一个同隔离同隔离设备设备建立非建立非TCP/IPTCP/IP协议协议的数据的数据连连接。接。其数据其数据传输传输机制是存机制是存储储和和转发转发。物理隔离的好。物理隔离的好处处是明是明显显的，即使外

10、网在的，即使外网在处处在最坏的情在最坏的情况下，内网也不会有任何破坏，修复外网系况下，内网也不会有任何破坏，修复外网系统统也非常容易。也非常容易。101013.1 13.1 隔离技隔离技术术概述概述 13.1.3 13.1.3 网网络络隔离技隔离技术术分分类类 1 1基于代基于代码码、内容等隔离的反病毒和内容、内容等隔离的反病毒和内容过滤过滤技技术术 2 2基于网基于网络层络层隔离的防火隔离的防火墙墙技技术术 3 3基于物理基于物理链链路路层层的物理隔离技的物理隔离技术术 111113.1 13.1 隔离技隔离技术术概述概述 13.1.4 网络隔离技术要点与发展方向网络隔离技术要点与发展方向

11、1 1网网络络隔离技隔离技术术需要具有的安全要点需要具有的安全要点2 2网网络络隔离的关隔离的关键键点点 隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，以适应复杂和高带宽需求的网间数据交换。够透明支持，以适应复杂和高带宽需求的网间数据交换。要具有高度的自身安全性要具有高度的自身安全性要确保网要确保网络络之之间间是隔离的是隔离的 要保要保证证网网间间交交换换的只是的只是应应用数据用数据 要要对对网网间间的的访问进访问进行行严严格的控制和格的控制和检查检查 要在要在坚坚持隔离的前提下保持隔离的前提下保证证网网络畅

12、络畅通和通和应应用透明用透明 121213.1 13.1 隔离技隔离技术术概述概述 13.1.4 网络隔离技术要点与发展方向网络隔离技术要点与发展方向 3 3隔离技隔离技术术的未来的未来发发展方向展方向 通过专用通信设备、专有安全协议和加密验证机制及应通过专用通信设备、专有安全协议和加密验证机制及应用层数据提取和鉴别认证技术，进行不同安全级别网络之间用层数据提取和鉴别认证技术，进行不同安全级别网络之间的数据交换，彻底阻断网络间的直接的数据交换，彻底阻断网络间的直接TCP/IPTCP/IP连接，同时对网连接，同时对网间通信的双方、内容、过程施以严格的身份认证、内容过滤、间通信的双方、内容、过程施

13、以严格的身份认证、内容过滤、安全审计等多种安全防护机制，从而保证了网间数据交换的安全审计等多种安全防护机制，从而保证了网间数据交换的安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来安全、可控，杜绝了由于操作系统和网络协议自身漏洞带来的安全风险。的安全风险。131313.2 13.2 隔离网隔离网闸闸 网闸是使用带有多种控制功能的固态开关读写介质连接网闸是使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备。两个独立主机系统的信息安全设备。物理隔离网闸所连接的两个独立主机系统之间不存在通物理隔离网闸所连接的两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令、

14、信息传输协议，信的物理连接、逻辑连接、信息传输命令、信息传输协议，不存在依据协议的信息包转发，只有数据文件的无协议不存在依据协议的信息包转发，只有数据文件的无协议“摆摆渡渡”，且对固态存储介质只有，且对固态存储介质只有“读读”和和“写写”两个命令。所两个命令。所以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能以，物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接，使的一切连接，使“黑客黑客”无法入侵、无法攻击、无法破坏，无法入侵、无法攻击、无法破坏，实现了真正的安全。实现了真正的安全。1414151513.2 13.2 隔离网隔离网闸闸 13.2.1 13.2.1 网网闸闸的的发发

15、展展阶阶段段 网闸，又称安全隔离与信息交换系统，是新一代高安全度的企网闸，又称安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更业级信息安全防护设备，它依托安全隔离技术为信息网络提供了更高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，高层次的安全防护能力，不仅使得信息网络的抗攻击能力大大增强，而且有效地防范了信息外泄事件的发生。而且有效地防范了信息外泄事件的发生。第第一一代代网网闸闸的的技技术术原原理理是是利利用用单单刀刀双双掷掷开开关关使使得得内内外外网网的的处处理理单单元元分分时时存存取取共共享享存存储储设设备备来来完完成成数

16、数据据交交换换的的。安安全全原原理理是是通通过过应应用用层层数数据据提提取取与与安安全全审审查查达达到杜绝基于协议层的攻击和增强应用层安全的效果。到杜绝基于协议层的攻击和增强应用层安全的效果。第第二二代代网网闸闸正正是是在在吸吸取取了了第第一一代代网网闸闸优优点点的的基基础础上上，利利用用专专用用交交换换通通道道PETPET（Private Private Exchange Exchange TunnelTunnel）技技术术，在在不不降降低低安安全全性性的的前前提提下下能能够够完完成成内内外外网网之之间间高高速速的的数数据据交交换换，有有效效地地克克服服了了第第一一代代网网闸闸的的弊弊端端。

17、第第二二代代网网闸闸的的安安全全数数据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。据交换过程是通过专用硬件通信卡、私有通信协议和加密签名机制来实现。161613.2 13.2 隔离网隔离网闸闸 13.2.2 13.2.2 网网闸闸工作原理工作原理 隔离网闸（安全隔离与信息交换隔离网闸（安全隔离与信息交换,GAPGAP），），是在保证两个网络安是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术。全隔离的基础上实现安全信息交换和资源共享的技术。171713.2 13.2 隔离网隔离网闸闸 13.2.3 13.2.3 隔离网隔离网闸闸要点要点 1 1）专专用用硬硬件

18、件设设计计保保证证了了物物理理隔隔离离下下的的信信息息交交流流。GAPGAP均均采采用用专专用用隔隔离离硬硬件件的的设设计计完完成成隔隔离离功功能能，硬硬件件设设计计保保证证在在任任意意时时刻刻网网络络间间的的链链路路层层断断开开，阻阻断断TCP/IPTCP/IP协协议议以以及及其其他他网网络络协协议议；同同时时该该硬硬件件不不提提供供编编程程软软接接口口，不不受受系系统统控控制制，仅仅提提供供物理上的控制开关。物理上的控制开关。这样这样黑客无法从黑客无法从远远程程获获得硬件的控制得硬件的控制权权。2 2）集集合合多多种种安安全全技技术术消消除除数数据据交交换换中中的的安安全全隐隐患患。在在专

19、专用用硬硬件件基基础础上上，紧紧密密集集成成了了内内核核防防护护、协协议议转转化化、病病毒毒查查杀杀、身身份份验验证证、访访问问控控制制、安安全全审审计计等等模模块块。这这些模些模块块可以与隔离硬件可以与隔离硬件结结合形成整体的防御体系。合形成整体的防御体系。3 3）网网闸闸以以安安全全隔隔离离为为基基础础，并并集集成成多多种种防防护护技技术术，其其软软硬硬一一体体设设计计形形成成整整体多体多层层面的安全防面的安全防护护。4 4）灵活高效数据交）灵活高效数据交换换形式确保形式确保应应用需求。用需求。GAPGAP产产品都提供了多种数据交品都提供了多种数据交换换方方式以式以满满足足业务应业务应用。

20、如公安部信息通信局与天行网安公司用。如公安部信息通信局与天行网安公司联联合研制的天行安全隔合研制的天行安全隔离网离网闸闸（TopwalkTopwalk-GAP-GAP）提供了文件交提供了文件交换换、邮邮件交件交换换、数据、数据库库交交换换和提供和提供APIAPI应应用用接口的消息模接口的消息模块块，同，同时时具有具有较较高的高的传输传输速率和低延速率和低延迟迟性。性。181813.3 13.3 典型典型产品介品介绍 天御天御60006000网络物理隔离系统网络物理隔离系统 191913.3 13.3 典型典型产品介品介绍 天御天御60006000系列网系列网络络物理隔离系物理隔离系统统是由北京

21、和信网安科技有是由北京和信网安科技有限公司与中国科学院中力机限公司与中国科学院中力机电电新技新技术术有限公司有限公司联联合开合开发发的网的网络络安全安全产产品。在保品。在保证证内外网物理隔离的情况下，内外网物理隔离的情况下，实现实现安全高效的安全高效的数据交数据交换换，为为解决内网的安全解决内网的安全问题问题提供了全新的解决方案。提供了全新的解决方案。在在保保证证必必须须安全的前提下，尽可能互安全的前提下，尽可能互联联互通。互通。13.3.1 13.3.1 产产品概况品概况 13.3.2 13.3.2 安全策略安全策略 外网服务器的外网服务器的TCP/IPTCP/IP协议栈关闭，内外网服务器之

22、间采用纯数据进行传输协议栈关闭，内外网服务器之间采用纯数据进行传输内网和外网之内网和外网之间间采用采用专专有的通有的通讯协议讯协议，有效防止黑客从外网攻入内网，有效防止黑客从外网攻入内网内网向外内网向外发发起的起的连连接需接需经过经过内网服内网服务务器的身份器的身份认证认证外网主外网主动发动发起的起的连连接无法建立，只有内网接无法建立，只有内网请请求的回求的回应应数据可以数据可以进进入内网入内网 202013.3 13.3 典型典型产品介品介绍 产品的安装部署产品的安装部署 212113.4 13.4 隔离隔离产品品应用案例用案例 上网安全隔离解决案例上网安全隔离解决案例 222213.4 1

23、3.4 隔离隔离产品品应用案例用案例 重要网络数据资源保护重要网络数据资源保护 2323本章本章小结小结本章主要介绍了隔离技术的发展、现状及工作原理，重点应掌握安全隔离网本章主要介绍了隔离技术的发展、现状及工作原理，重点应掌握安全隔离网闸（闸（GAP）的工作原理：协议控制、数据转换、安全审查、身份认证等。同）的工作原理：协议控制、数据转换、安全审查、身份认证等。同时应将安全隔离网闸与传统防火墙对比地学习，理解它们间的异同，特别是在时应将安全隔离网闸与传统防火墙对比地学习，理解它们间的异同，特别是在安全机制、硬件设计、网络协议处理、遭攻击后果等方面的区别。安全机制、硬件设计、网络协议处理、遭攻击后果等方面的区别。通过案例理解网闸的作用。通过案例理解网闸的作用。2424作业：作业：p简答题简答题22525