信息安全技术 第09章 隔离技术.pdf

第 9 章 隔离技术 本章学习目标： 了解网络隔离发展历程 掌握网络隔离的技术原理 了解网络隔离的技术分类及发展方向 掌握网闸的基本原理 9.1 隔离技术概述 9.1.1 隔离的概念 1、安全域 安全域是以信息涉密程度划分的网络空间。涉密域就是 涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘 密，但是涉及本单位，本部门或者本系统的工作秘密的网络 空间。公共服务域是指既不涉及国家秘密也不涉及工作秘 密，是一个向因特网络完全开放的公共信息交换空间。 电子政务的内网和外网要实行严格的物理隔离。政务的 外网和因特网络要实行逻辑隔离，按照安全域的划分，政府的 内网就是涉密域，政府的外网就是非涉密域，因特网就是公共 服务域。 2 9.1 隔离技术概述 9.1.1 隔离的概念 2、网络隔离 网络隔离（Network Isolation），主要是指把两个或 两个以上可路由的网络（如TCP/IP）通过不可路由的协议 （如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目 的。由于其原理主要是采用了不同的协议，所以通常也叫协 议隔离（Protocol Isolation）。 第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离 3 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 右图表示没有连接时 内外网的应用状况，从连 接特征可以看出这样的结 构从物理上完全分离。 4 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 当外网需要有数据到 达内网的时候，以电子邮 件为例，外部的服务器立 即发起对隔离设备的非 TCP/IP协议的数据连接， 隔离设备将所有的协议剥 离，将原始的数据写入存 储介质。 5 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 一旦数据完全写入隔 离设备的存储介质，隔离 设备立即中断与外网的连 接。转而发起对内网的非 TCP/IP协议的数据连接。 隔离设备将存储介质内的 数据推向内网。内网收到 数据后，立即进行TCP/IP 的封装和应用协议的封 装，并交给应用系统。 在控制台收到完整的交换信号之后，隔离设备立即切断 隔离设备于内网的直接连接 6 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 内网有电子邮件要发 出，隔离设备收到内网建 立连接的请求之后，建立 与内网之间的非TCP/IP协 议的数据连接。隔离设备 剥离所有的TCP/IP协议和 应用协议，得到原始的数 据，将数据写入隔离设备 的存储介质。 7 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 一旦数据完全写入隔 离设备的存储介质，隔离 设备立即中断与内网的连 接。转而发起对外网的非 TCP/IP协议的数据连接。 隔离设备将存储介质内的 数据推向外网。外网收到 数据后，立即进行TCP/IP 的封装和应用协议的封 装，并交给系统 8 9.1 隔离技术概述 9.1.2 网络隔离的技术原理 每一次数据交换，隔离设备经历了数据的接受、存储和转