隔離技術(shù)介紹

1、第1頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 安全域是以信息涉密程度劃分的網(wǎng)絡(luò)空間。涉密域就是涉及國(guó)家秘密的網(wǎng)絡(luò)空間。非涉密域就是不涉及國(guó)家的秘密，但是涉及本單位，本部門或者本系統(tǒng)的工作秘密的網(wǎng)絡(luò)空間。公共服務(wù)域是指既不涉及國(guó)家秘密也不涉及工作秘密，是一個(gè)向因特網(wǎng)絡(luò)完全開放的公共信息交換空間。 9.1.1 隔離的概念 1、安全域 電子政務(wù)的內(nèi)網(wǎng)和外網(wǎng)要實(shí)行嚴(yán)格的物理隔離。政務(wù)的外網(wǎng)和因特網(wǎng)絡(luò)要實(shí)行邏輯隔離，按照安全域的劃分，政府的內(nèi)網(wǎng)就是涉密域，政府的外網(wǎng)就是非涉密域，因特網(wǎng)就是公共服務(wù)域。 第2頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔

2、離技術(shù)概述 網(wǎng)絡(luò)隔離（Network Isolation），主要是指把兩個(gè)或兩個(gè)以上可路由的網(wǎng)絡(luò)（如TCP/IP）通過(guò)不可路由的協(xié)議（如IPX/SPX、NetBEUI等）進(jìn)行數(shù)據(jù)交換而達(dá)到隔離目的。由于其原理主要是采用了不同的協(xié)議，所以通常也叫協(xié)議隔離（Protocol Isolation）。 9.1.1 隔離的概念 2、網(wǎng)絡(luò)隔離 第一代隔離技術(shù)完全的隔離第二代隔離技術(shù)硬件卡隔離 第三代隔離技術(shù)數(shù)據(jù)轉(zhuǎn)播隔離 第四代隔離技術(shù)空氣開關(guān)隔離 第五代隔離技術(shù)安全通道隔離 第3頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.2 網(wǎng)絡(luò)隔離的技術(shù)原理 右圖表示沒有連接時(shí)內(nèi)

3、外網(wǎng)的應(yīng)用狀況，從連接特征可以看出這樣的結(jié)構(gòu)從物理上完全分離。 第4頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.2 網(wǎng)絡(luò)隔離的技術(shù)原理 當(dāng)外網(wǎng)需要有數(shù)據(jù)到達(dá)內(nèi)網(wǎng)的時(shí)候，以電子郵件為例，外部的服務(wù)器立即發(fā)起對(duì)隔離設(shè)備的非TCP/IP協(xié)議的數(shù)據(jù)連接，隔離設(shè)備將所有的協(xié)議剝離，將原始的數(shù)據(jù)寫入存儲(chǔ)介質(zhì)。第5頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.2 網(wǎng)絡(luò)隔離的技術(shù)原理 一旦數(shù)據(jù)完全寫入隔離設(shè)備的存儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與外網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)內(nèi)網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向內(nèi)網(wǎng)。內(nèi)

4、網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給應(yīng)用系統(tǒng)。 在控制臺(tái)收到完整的交換信號(hào)之后，隔離設(shè)備立即切斷隔離設(shè)備于內(nèi)網(wǎng)的直接連接 第6頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.2 網(wǎng)絡(luò)隔離的技術(shù)原理 內(nèi)網(wǎng)有電子郵件要發(fā)出，隔離設(shè)備收到內(nèi)網(wǎng)建立連接的請(qǐng)求之后，建立與內(nèi)網(wǎng)之間的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備剝離所有的TCP/IP協(xié)議和應(yīng)用協(xié)議，得到原始的數(shù)據(jù)，將數(shù)據(jù)寫入隔離設(shè)備的存儲(chǔ)介質(zhì)。 第7頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.2 網(wǎng)絡(luò)隔離的技術(shù)原理 一旦數(shù)據(jù)完全寫入隔離設(shè)備的存

5、儲(chǔ)介質(zhì)，隔離設(shè)備立即中斷與內(nèi)網(wǎng)的連接。轉(zhuǎn)而發(fā)起對(duì)外網(wǎng)的非TCP/IP協(xié)議的數(shù)據(jù)連接。隔離設(shè)備將存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)推向外網(wǎng)。外網(wǎng)收到數(shù)據(jù)后，立即進(jìn)行TCP/IP的封裝和應(yīng)用協(xié)議的封裝，并交給系統(tǒng) 第8頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.2 網(wǎng)絡(luò)隔離的技術(shù)原理 每一次數(shù)據(jù)交換，隔離設(shè)備經(jīng)歷了數(shù)據(jù)的接受、存儲(chǔ)和轉(zhuǎn)發(fā)三個(gè)過(guò)程。由于這些規(guī)則都是在內(nèi)存和內(nèi)核中完成的，因此速度上有保證，可以達(dá)到100%的總線處理能力。物理隔離的一個(gè)特征，就是內(nèi)網(wǎng)與外網(wǎng)永不連接，內(nèi)網(wǎng)和外網(wǎng)在同一時(shí)間最多只有一個(gè)同隔離設(shè)備建立非TCP/IP協(xié)議的數(shù)據(jù)連接。其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)

6、。物理隔離的好處是明顯的，即使外網(wǎng)在處在最壞的情況下，內(nèi)網(wǎng)也不會(huì)有任何破壞，修復(fù)外網(wǎng)系統(tǒng)也非常容易。第9頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.3 網(wǎng)絡(luò)隔離技術(shù)分類 1基于代碼、內(nèi)容等隔離的反病毒和內(nèi)容過(guò)濾技術(shù) 2基于網(wǎng)絡(luò)層隔離的防火墻技術(shù) 3基于物理鏈路層的物理隔離技術(shù) 第10頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.4 網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與發(fā)展方向 1網(wǎng)絡(luò)隔離技術(shù)需要具有的安全要點(diǎn)2網(wǎng)絡(luò)隔離的關(guān)鍵點(diǎn) 隔離的關(guān)鍵點(diǎn)就成了要盡量提高網(wǎng)間數(shù)據(jù)交換的速度，并且對(duì)應(yīng)用能夠透明支持，以適應(yīng)復(fù)雜和高帶寬需求的網(wǎng)間數(shù)據(jù)交換

7、。 要具有高度的自身安全性要確保網(wǎng)絡(luò)之間是隔離的 要保證網(wǎng)間交換的只是應(yīng)用數(shù)據(jù) 要對(duì)網(wǎng)間的訪問進(jìn)行嚴(yán)格的控制和檢查 要在堅(jiān)持隔離的前提下保證網(wǎng)絡(luò)暢通和應(yīng)用透明 第11頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.1 隔離技術(shù)概述 9.1.4 網(wǎng)絡(luò)隔離技術(shù)要點(diǎn)與發(fā)展方向 3隔離技術(shù)的未來(lái)發(fā)展方向 通過(guò)專用通信設(shè)備、專有安全協(xié)議和加密驗(yàn)證機(jī)制及應(yīng)用層數(shù)據(jù)提取和鑒別認(rèn)證技術(shù)，進(jìn)行不同安全級(jí)別網(wǎng)絡(luò)之間的數(shù)據(jù)交換，徹底阻斷網(wǎng)絡(luò)間的直接TCP/IP連接，同時(shí)對(duì)網(wǎng)間通信的雙方、內(nèi)容、過(guò)程施以嚴(yán)格的身份認(rèn)證、內(nèi)容過(guò)濾、安全審計(jì)等多種安全防護(hù)機(jī)制，從而保證了網(wǎng)間數(shù)據(jù)交換的安全、可控，杜絕了由于操作系

8、統(tǒng)和網(wǎng)絡(luò)協(xié)議自身漏洞帶來(lái)的安全風(fēng)險(xiǎn)。第12頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.2 隔離網(wǎng)閘 網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。 物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無(wú)協(xié)議“擺渡”，且對(duì)固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無(wú)法入侵、無(wú)法攻擊、無(wú)法破壞，實(shí)現(xiàn)了真正的安全。 第13頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.2 隔離網(wǎng)閘

9、 9.2.1 網(wǎng)閘的發(fā)展階段 網(wǎng)閘，又稱安全隔離與信息交換系統(tǒng)，是新一代高安全度的企業(yè)級(jí)信息安全防護(hù)設(shè)備，它依托安全隔離技術(shù)為信息網(wǎng)絡(luò)提供了更高層次的安全防護(hù)能力，不僅使得信息網(wǎng)絡(luò)的抗攻擊能力大大增強(qiáng)，而且有效地防范了信息外泄事件的發(fā)生。 第一代網(wǎng)閘的技術(shù)原理是利用單刀雙擲開關(guān)使得內(nèi)外網(wǎng)的處理單元分時(shí)存取共享存儲(chǔ)設(shè)備來(lái)完成數(shù)據(jù)交換的。安全原理是通過(guò)應(yīng)用層數(shù)據(jù)提取與安全審查達(dá)到杜絕基于協(xié)議層的攻擊和增強(qiáng)應(yīng)用層安全的效果。 第二代網(wǎng)閘正是在吸取了第一代網(wǎng)閘優(yōu)點(diǎn)的基礎(chǔ)上，利用專用交換通道PET（Private Exchange Tunnel）技術(shù)，在不降低安全性的前提下能夠完成內(nèi)外網(wǎng)之間高速的數(shù)據(jù)交

10、換，有效地克服了第一代網(wǎng)閘的弊端。第二代網(wǎng)閘的安全數(shù)據(jù)交換過(guò)程是通過(guò)專用硬件通信卡、私有通信協(xié)議和加密簽名機(jī)制來(lái)實(shí)現(xiàn)。第14頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.2 隔離網(wǎng)閘 9.2.2 網(wǎng)閘工作原理 隔離網(wǎng)閘（安全隔離與信息交換,GAP），是在保證兩個(gè)網(wǎng)絡(luò)安全隔離的基礎(chǔ)上實(shí)現(xiàn)安全信息交換和資源共享的技術(shù)。第15頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.2 隔離網(wǎng)閘 9.2.3 隔離網(wǎng)閘要點(diǎn) 1）專用硬件設(shè)計(jì)保證了物理隔離下的信息交流。GAP均采用專用隔離硬件的設(shè)計(jì)完成隔離功能，硬件設(shè)計(jì)保證在任意時(shí)刻網(wǎng)絡(luò)間的鏈路層斷開，阻斷TCP/IP協(xié)議以及其他網(wǎng)絡(luò)協(xié)議；

11、同時(shí)該硬件不提供編程軟接口，不受系統(tǒng)控制，僅提供物理上的控制開關(guān)。這樣黑客無(wú)法從遠(yuǎn)程獲得硬件的控制權(quán)。 2）集合多種安全技術(shù)消除數(shù)據(jù)交換中的安全隱患。在專用硬件基礎(chǔ)上，緊密集成了內(nèi)核防護(hù)、協(xié)議轉(zhuǎn)化、病毒查殺、身份驗(yàn)證、訪問控制、安全審計(jì)等模塊。這些模塊可以與隔離硬件結(jié)合形成整體的防御體系。 3）網(wǎng)閘以安全隔離為基礎(chǔ)，并集成多種防護(hù)技術(shù)，其軟硬一體設(shè)計(jì)形成整體多層面的安全防護(hù)。 4）靈活高效數(shù)據(jù)交換形式確保應(yīng)用需求。GAP產(chǎn)品都提供了多種數(shù)據(jù)交換方式以滿足業(yè)務(wù)應(yīng)用。如公安部信息通信局與天行網(wǎng)安公司聯(lián)合研制的天行安全隔離網(wǎng)閘（Topwalk-GAP）提供了文件交換、郵件交換、數(shù)據(jù)庫(kù)交換和提供API

12、應(yīng)用接口的消息模塊，同時(shí)具有較高的傳輸速率和低延遲性。 第16頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.3 典型產(chǎn)品介紹 天御6000網(wǎng)絡(luò)物理隔離系統(tǒng) 第17頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.3 典型產(chǎn)品介紹 天御6000系列網(wǎng)絡(luò)物理隔離系統(tǒng)是由北京和信網(wǎng)安科技有限公司與中國(guó)科學(xué)院中力機(jī)電新技術(shù)有限公司聯(lián)合開發(fā)的網(wǎng)絡(luò)安全產(chǎn)品。在保證內(nèi)外網(wǎng)物理隔離的情況下，實(shí)現(xiàn)安全高效的數(shù)據(jù)交換，為解決內(nèi)網(wǎng)的安全問題提供了全新的解決方案。在保證必須安全的前提下，盡可能互聯(lián)互通。 9.3.1 產(chǎn)品概況 9.3.2 安全策略 外網(wǎng)服務(wù)器的TCP/IP協(xié)議棧關(guān)閉，內(nèi)外網(wǎng)服務(wù)器之間采用純數(shù)據(jù)進(jìn)行傳輸內(nèi)網(wǎng)和外網(wǎng)之間采用專有的通訊協(xié)議，有效防止黑客從外網(wǎng)攻入內(nèi)網(wǎng)內(nèi)網(wǎng)向外發(fā)起的連接需經(jīng)過(guò)內(nèi)網(wǎng)服務(wù)器的身份認(rèn)證外網(wǎng)主動(dòng)發(fā)起的連接無(wú)法建立，只有內(nèi)網(wǎng)請(qǐng)求的回應(yīng)數(shù)據(jù)可以進(jìn)入內(nèi)網(wǎng) 第18頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四9.3 典型產(chǎn)品介紹 產(chǎn)品的安裝部署 第19頁(yè)，共21頁(yè)，2022年，5月20日，1點(diǎn)7分，星期四本章小結(jié) 本章主要介紹