文档项目一任务1网络管理与网络安全(419KB).ppt

4 网络物理隔离网络数据加密与认证技术 3．第三代产品 第三代产品采用基于单网线的安全隔离卡，加上网络选择器技术。客户端仍然采用类似于第二代双网线安全隔离卡的技术，所不同的是第三代产品只利用一个网络接口，通过网线将不同的电平信息传递到网络选择端，在网络选择端安装网络选择器，并根据不同的电平信号，选择不同的网络连接，这类产品能够有效利用用户现有的单网线网络环境，实现成本较低，由于选择网络的选择器不在客户端，系统的安全性有了很大的提高。 * 4 网络物理隔离网络数据加密与认证技术 4.3 网络物理隔离技术方案 1.方案一、双布线双磁盘网络隔离方案 对于某些用户（尤其是政府机构），需要同时使用两个网络，并且要对两个网络进行隔离，针对有物理隔离需求并且已经建立了双布线环境的用户，可以使用以下解决方案，如图所示。 * 4 网络物理隔离网络数据加密与认证技术 * 图1 物理隔离卡（双布线）网络结构 4 网络物理隔离网络数据加密与认证技术 用户满足双布线结构后，每位使用者只需要额外配置一套物理隔离卡和一块磁盘即可实现双网双磁盘双布线物理隔离。两块磁盘中，一块安装外网操作系统，另一块安装内网操作系统；受隔离卡控制，在同一时间，两块磁盘中只有一块处于工作状态，因此两块磁盘之间不存在物理通道，实现磁盘的物理隔离。 同时，隔离卡保障对网络状态和磁盘状态的同步，即保证选择外网磁盘（操作系统）时连通外网网络、断开内网网络，选择内网磁盘（操作系统）时连通内网网络、断开外网网络；这样在内、外网络之间，网络和非对应的磁盘之间实现物理隔离。 通过物理隔离卡实现双网双磁盘双布线，可以在达到绝对物理隔离的同时，为用户节约将近一台整机的费用。上述两块磁盘共同使用同一台计算机中所有的（磁盘之外的）配件，在节约费用的同时，节约用户空间。 * 4 网络物理隔离网络数据加密与认证技术 2.方案二，单布线双磁盘网络隔离方案 在某些企、事业单位中，需要同时使用两个网络，并且要对两个网络进行隔离，但是受早期设计或当前预算的制约，从机房到用户桌面采用的是单布线（即每个用户有一条网线连接到机房交换机）如图所示。 * 4 网络物理隔离网络数据加密与认证技术 * 图2 一般企业/机构的网络结构 4 网络物理隔离网络数据加密与认证技术 实现双网隔离的前提是机房网络设备必须有两套，因此有图所示结构的用户需要先将机房结构改造为图3所示的结构，即增加另外一套网络设备，然后通过隔离集线器和隔离卡控制网络和磁盘的状态。 * 图3 双网单布线结构 4 网络物理隔离网络数据加密与认证技术 采用单布线物理隔离卡进行双网隔离，需要配合隔离集线器，其网络结构如图4所示： * 图 4 单布线物理隔离网络结构 4 网络物理隔离网络数据加密与认证技术 每个用户占用集线器上3个端口，内网网络，外网网络由用户自己定义，通过网线连接到对应的网络交换机即可；终端通过网线连接到用户主机中安装的双网双磁盘单布线隔离卡。两块磁盘中，一块装外网操作系统，另一块安装内网操作系统。两块磁盘之间是物理隔离，可以保证绝对的安全。两个操作系统分别对应两个网络。 * 2 网络安全概述 2.5 我国计算机信息系统安全保护等级的划分 国家质量技术监督局于1999年9月13日发布，2001年1月l日起实施，标准规定了计算机信息系统安全保护能力的五个等级 ① 第一级，用户自主保护级； ② 第二级，系统审计保护级； ③ 第三级，安全标记保护级； ④ 第四级，结构化保护级； ⑤ 第五级，访问验证保护级。 * 2 网络安全概述 该标准适用于计算机信息系统安全保护技术能力等级的划分。计算机信息系统安全保护能力随着安全保护等级的增加，逐渐增强。等级划分准则具体内容如下。 （1）第一级，用户自主保护级 本级别包括以下内容。 ① 自主访问控制。 ② 身份鉴别。 ③ 数据完整性。 * （2）第二级，系统审计保护级 本级别包括以下内容。 ① 自主访问控制，控制访问权限扩散。 ② 身份鉴别。 ③ 客体重用。 ④ 审计。 ⑤ 数据完整性。 2 网络安全概述 （3）第三级，安全标记保护级。 本级别包括以下内容。 ① 自主访问控制，控制访问权限扩散。 ② 强制访问控制。 ③ 标记。 ④ 身份鉴别。 ⑤ 客体重用。 ⑥ 审计。 ⑦ 数据完整性。 * 2 网络安全概述 （4）第四级，结构化保护级。 本级别包括以下内容。 ① 自主访问控制。同安全标记保护级。 ② 强制访问控制。 ③ 标记。 ④ 身份鉴别。 ⑤ 客体重用。 ⑥ 审计。 ⑦ 数据完整性。 ⑧ 隐蔽信道分析。 ⑨ 可信路径。 * 2 网络安全概述 （5）第