天融信_TopRules售前培训.pptVIP

涉密网应用之一 ? 不同的涉秘网络之间 涉密网应用之二 ? 同一涉秘网络的不同安全域之间 涉密网应用之三 ? 与互联网物理隔离的网络与秘密级网络之间 涉密网应用之四 ? 未与涉秘网相连的网络与互联网之间 提纲 隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势 隔离产品发展趋势 目前，隔离产品主要应用于两类情况，即政策类应用和业务类应用，前者主要是应用于各级政府机关和涉密企事业单位，由于受到国家保密政策的影响，这些单位迫切需要将已建成的办公局域网同Internet或上一级专网进行安全隔离。后者主要是自身提出了在安全隔离的条件下实现数据交换的需求，相关行业包括金融、证券、税务、海事及其他。 随着电子政务建设的深化发展，随着各企业对信息安全日益看重，要求日益提高，安全隔离产品将会得到更广泛的应用。 谢谢！ * 网络卫士安全隔离与信息交换系统TopRules 省电视台都市频道项目产品介绍 北京天融信郑州分公司 提纲 隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势 隔离需求 隔离在国外，最早美国和以色列等国都存在此方面的技术应用和相关法规，例如美国早在1999年底就强制规定军方涉密网络必须与互联网断开。由于此类信息涉及国家安全问题，所以国外少有报道。 在国内，隔离要求最早是由国家保密局提出的，并且已经严格在涉密网内执行，而隔离交换技术发展至今，在技术上已经取得了实质的突破并在网络安全领域内受到了广泛关注。 提纲 隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势 隔离等级 无条件连通 在一定过滤条件下连通（防火墙、应用代理） 任何时刻不连通但有数据交换（安全隔离与交换） 无任何数据交换（物理断开） 常见的四种隔离技术 多套独立网络 单机隔离卡 传统网闸 安全隔离与信息交换系统 多套独立网络 最初，很多组织通过建立两套完全独立的网络来实现隔离，一套可对外连接，一套完全封闭于内部，两套系统间无法做到信息共享，只能借助各自部署于两套网络中的独立的计算机来分别获取内部和外部信息。 如果需要共享某些信息，通常是借助介质拷贝来进行，或者采取插拔网线的方式。 这种方法造成大量资源的浪费，操作也很不方便，最终形成信息孤岛的不利局面。 单机隔离卡 后来，业界出现了一种采用网络隔离卡的简单易行的方法，即借助专用的隔离卡，将一台设备上的硬盘物理分割为两个分区，分别与内外网络相连，并且分别安装各自的操作系统，形成两个完全独立的环境，操作者每次只能进入其中一个系统，要进行系统切换时，必须重新启动。 这种方法的成本还是相当高的，因为它是针对单机系统的隔离，并不适用于整个网络，如果网络中众多主机都有上网需求，需要为每个主机都安装一套隔离卡。 如果用户有内外网络信息交换的需求，一般还需要通过介质拷贝在两套网络系统之间传递信息。 传统网闸 再后来，在安全隔离方面也曾出现过其他多种技术方案，大量类似网闸（Gap）的概念涌现出来： 在隔离卡建立起的两套系统间设立数据缓冲区，进行分时连接和切换，类似于河道通过船闸，任何时候数据缓冲区只能和关键业务网或是非关键业务网当中的其中一个网络有物理相连，从而实现关键业务网和非关键业务网的隔离 基于电子开关的方式进行隔离系统两端网络通断的控制 这些技术一定程度上能够解决信息交换和隔离的需求，但在安全功能实现和系统性能上仍存在一定问题，并不能完全满足电子政务建设所提出来的安全要求。 安全隔离与信息交换系统 这是国家保密局认定的一类专门的产品 是在吸取了以前多种隔离技术的优点并解决了各自存在的问题的基础上开发的 针对网络隔离，是多用户系统，节省了开支，方便了实施和操作 采用多机系统结构，对内外部网络进行有效隔离 阻断网络直接连接，阻断通用协议贯通 具有内容过滤和审计的功能 提纲 隔离需求 隔离技术的发展 TopRules介绍 应用案例 隔离产品的发展趋势 三机三系统架构 技术实现－内外端机 将应用信息从网络协议中剥离 通过专用协议发送应用信息到仲裁机 技术实现－仲裁系统 对流经仲裁系统所有信息进行检查 确保内外网络的信息交互置于可控范围内 审计信息记录在案 技术实现－访问控制 安全隔离与信息交换系统通常都采用基于用户的访问控制 只对合法用户开放信息交换的受控通道 事先应设定允许使用特定受控通道的用户 用户要使用受控通道时，需提交并验证自己的真实身份 支持多种身份验证方式 技术实现