安全网关技术.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 9.4.3 单向网闸 * 单向网闸——具体的技术 数据二极管技术（Data Diode） 低密级 高密级 控制通道 数据通道 一方只管发送，另一方只管接收，至于数据是否有错误、是否完整都不会去理会，反向没有数据通道，也没有控制通道，完全处于盲状态 9.4.3 单向网闸 * 单向网闸——具体的技术 数据二极管技术（Data Diode）——如何控制出错？ 收方及时向“上层”汇报 发送方增加冗余校验 间隔地把一份数据重复地再发送两次，三取二 在数据中增加校验码 直接重复数据 定期插入固定检测码 基于数据二极管技术实现的单向导入技术，是目前单向导入技术发展的主流，用于非涉密网络向涉密网络的数据传送或者低密级网络向高密级网络的数据传送 本章小结 边界防护是应用于网络边界的一项访问控制技术 逻辑隔离：防火墙，入侵检测技术，安全网关技术，UTM技术 物理隔离：网络隔离技术、终端隔离技术、远程传输隔离技术 安全隔离和信息交换技术：双向网闸、单向网闸 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 9.2.3 安全网关技术 基于密级标志的保密网关 * “防高密低传”策略 禁止高密级的文件传输到低密级或非保密的区域 允许不带密级的一个用信息能够正常流转 保密网关技术 安全域密级标志的定义与识别技术 文档密级的提取和文档传输的控制技术 9.2.3 安全网关技术 基于密级标志的保密网关 * 控制涉密文档传输范围的一个重要依据是安全域 IP地址作为安全域密级标志识别的基础 需要防范IP欺骗 9.2.4 UTM技术 2004年，互联网数据中心（IDC）首度提出“统一威胁管理”的概念 防病毒、入侵检测和防火墙安全设备，划归同意威胁管理（Unified Threat Management，简称UTM） UTM为由硬件、软件和网络技术组成的具有专门用途的设备 提供一项或多项安全功能，同时将多种安全特性集成于一个硬件设备理，形成标准的同意威胁管理平台 UTM基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒 * 9.2.4 UTM技术 UTM基本组成 * 统一威胁管理（UTM） VPN 防火墙 防病毒 内容过滤 入侵防御 入侵检测 统一威胁管理平台 9.2.4 UTM技术 UTM的三个要素 * 面对的威胁 UTM部署在网络边界的位置 针对2-7层所有种类的威胁 包括对网络自身与应用系统进行破坏的威胁、利用网路咯进行非法活动的威胁和网络资源滥用的威胁 9.2.4 UTM技术 UTM的三个要素 * 处理的方式 在传统网关设备的基础上 拥有防火墙、入侵防御、防病毒，VPN等多种功能 在统一安全策略下相互配合、协同工作 9.2.4 UTM技术 UTM的三个要素 * 达成的目标 保持网络畅通、业务正常运转 保持较高的性能，性能不能明显下降 管理方便、配置简单 UTM：通过安全策略的统一部署，融合多种安全能力，针对网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁，实现精度防控的高可靠、高性能、易管理的网关安全设备。 9.2.4 UTM技术 UTM的优缺点 * UTM的优点 多种安全产品得到整合，在网络边界建立了强大的立体防线 UTM的安全防护性能比单一的网络防护设备要好些，可以抵御常见的入侵与病毒 9.2.4 UTM技术 UTM的优缺点 * UTM的缺点 UTM不能解决所有的安全问题 通过特征识别入侵，更新要及时 UTM对抵御“正常”通讯分散迂回攻击能力有限 UTM对于处于被保护内部网络的攻击者没有作用 “道高一尺，魔高一丈”，为彻底杜绝来自外部网络对重要网络的直接威胁，需要采取物理隔离的措施 涉密信息系统容易遭受攻击 CPU, 操作系统，网络设备等关键技术受制于人 对于运行涉密信息系统的网络，必须与其他非涉密网络实施物理隔离 * 9.3 物理隔离技术 2000年1月1日实施的《计算机信息系统国际联网保密管理规定》 2008年发布的《涉密国家秘密的信息系统保密管理规定》 涉密信息系统的物理隔离应把握两点 物理隔离是相对于涉密信息系统与公共信息网络的隔离 物理隔离是相对于使用防火墙等设备进行逻辑隔离 在物理传输上使涉密网络与非涉密网络隔断 在物理存储上隔断涉密网络与非涉密网络 物理隔离技术包括 终端隔离技术 远程传输隔离技术 网络隔离技术 * 9.3 物理隔离技术 9.3.1 终端隔离 * 双布线双用户终端 BMB5-2000《涉密信息设备使用现场的电磁泄露发射防护要求》 涉密信息终端与公共信息网络彻底分开 在信息传输、存储和