安全隔离网闸基础知识介绍.pptVIP

安全隔离网闸产品原理介绍 方案营销处 2003-12 网络威胁 基于文件的病毒、恶意代码 基础知识－网络安全漏洞 可信域 非可信域 网络威胁 恶意命令:HTTP,FTP的GET,PUT POST命令等 FTP服务器 越权客户端 GET命令 基础知识－网络安全漏洞 非可信域 可信域 网络威胁 系统的BUG、后门，不稳定性 黑客 漏洞系统 攻击代码 完全控制 基础知识－网络安全漏洞 非可信域 可信域 非常低 良好 高 非常高 物理隔离 附加方式 防火墙服务器 代理服务器 NAT 文件系统安全 用户级安全 安全层 隔离协议 TCP/IP 路由安全 不限定 Internet 网关 基础知识－物理隔离 国家有关规定 中共中央办公厅第十七号文件规定 “电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。” 国家保密局制定的《计算机信息系统国际联网保密管理规定》中第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息相连接，必须实行物理隔离”。 一些组织根据自身业务的特点，在有不同安全需求的网络之间也使用了物理隔离的措施。 基础知识－物理隔离 物理隔离带来的问题 物理隔离使得正常的信息交流被阻断了 部分重要的与业务相关的数据需要在涉密网络和非涉密网络间交换 物理隔离成为电子政务、电子商务的数据传输瓶颈 基础知识－物理隔离 A网 B网 人工拷盘 基础知识－传统物理隔离解决方案 优点 保持了网络间物理隔离的特性，有效防止了对涉密网络的直接网络攻击 缺点 延时长 速度慢 可靠性低 在防病毒、内容过滤等方面效果较差 人工操作风险高 基础知识－传统物理隔离解决方案 人工拷盘 基础知识－安全隔离网闸解决方案 安全隔离网闸 安全性提高 具有较高的实时性 不改变原有业务模式 应用更丰富 基础知识－安全隔离网闸 网闸与人工拷盘相比的优越性 安全隔离网闸的指导思想与防火墙有很大的不同： 防火墙是在保障互联互通的前提下，尽可能安全； 安全隔离网闸是在保证必须安全的前提下，尽可能互联互通。 安全隔离网闸的优势在于它通过在不可信网络中牺牲自己来积极有效地应对攻击，以充分保护可信网络，避免受到基于操作系统和网络的各种攻击 。 基础知识－安全隔离网闸 网闸与防火墙的区别 * 文件性的病毒或一些恶意代码会随着邮件附件、网络上的文件共享从非可信域传到可信域，如果可信域的计算机执行该文件便会执行病毒，给可信域计算机和网络造成破坏，解决办法是在可信域的计算机上加装防病毒软件，并且不断的升级病毒库。 * 如果可信域计算机或服务器向非可信域开放某些服务，如FTP，WWW等，那么只要非可信域计算机通过欺骗或者暴力破解的方式越权获得权限就可以使用恶意命令对可信域的服务器发出指令，套取重要信息或者破坏服务器数据。 * 由于编程人员的疏忽或是考虑不周，所有的操作系统和重要的服务程序都会有BUG，这些BUG如果不及时加以修补，黑客便可以利用这些漏洞发出恶意代码攻击，如蠕虫病毒等。这些代码或是使系统无法正常运行或是获取系统管理权限，在可信域系统中部下后门程序，完全控制被攻击的计算机系统，乃至整个网络。 * 网络安全级别： 不限定的Internet网关，如ADSL直接拨号等，因为直接接入互联网络，没有任何的安全防护措施，完全暴露在公共网络环境下，安去级别非常低；如果附加了防火墙等TCP/IP路由层的安全防护，可以阻止内外网络的直接连接，可以对数据包进行过滤，但对数据的内容无法控制。隔离协议的安全性会更高一些，如代理服务器技术，他可以对数据内容进行过滤和限制，但仍然无法保证其自身的安全，容易被当着跳板；最好的安去防护手段就是物理隔离技术。 * * 人工拷盘广泛存在于对不同网络有明确级别划分的领域，如政府，电信，金融；他们用最原始也是最安全的方法来抵御网络隔离带来的数据交换瓶颈。 * 安全隔离网闸的原理是代替人工拷盘方式完成高速的内外网数据交换，在此基础上完成人工拷盘无法完成的内容过滤，病毒查杀，访问控制，提供灵活的上层应用。 * 文件性的病毒或一些恶意代码会随着邮件附件、网络上的文件共享从非可信域传到可信域，如果可信域的计算机执行该文件便会执行病毒，给可信域计算机和网络造成破坏，解决办法是在可信域的计算机上加装防病毒软件，并且不断的升级病毒库。 * 如果可信域计算机或服务器向非可信域开放某些服务，如FTP，WWW等，那么只要非可信域计算机通过欺骗或者暴力破解的方式越权获得权限就可以使用恶意命令对可信域的服务器发出指令，套取重要信息或者破坏服务器数据。 * 由于编程人员的疏忽或是考虑不周，所有的操作系统和重要的服务程