课件：CH系统隔离技术.ppt

第 * 页 / 13.2 隔离网闸 13.2.3 隔离网闸要点 1）专用硬件设计保证了物理隔离下的信息交流。GAP均采用专用隔离硬件的设计完成隔离功能，硬件设计保证在任意时刻网络间的链路层断开，阻断TCP/IP协议以及其他网络协议；同时该硬件不提供编程软接口，不受系统控制，仅提供物理上的控制开关。这样黑客无法从远程获得硬件的控制权。 2）集合多种安全技术消除数据交换中的安全隐患。在专用硬件基础上，紧密集成了内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块。这些模块可以与隔离硬件结合形成整体的防御体系。 3）网闸以安全隔离为基础，并集成多种防护技术，其软硬一体设计形成整体多层面的安全防护。 4）灵活高效数据交换形式确保应用需求。GAP产品都提供了多种数据交换方式以满足业务应用。如公安部信息通信局与天行网安公司联合研制的天行安全隔离网闸（Topwalk-GAP）提供了文件交换、邮件交换、数据库交换和提供API应用接口的消息模块，同时具有较高的传输速率和低延迟性。 第 * 页 / 13.3 典型产品介绍 天御6000网络物理隔离系统 第 * 页 / 13.3 典型产品介绍 天御6000系列网络物理隔离系统是由北京和信网安科技有限公司与中国科学院中力机电新技术有限公司联合开发的网络安全产品。在保证内外网物理隔离的情况下，实现安全高效的数据交换，为解决内网的安全问题提供了全新的解决方案。在保证必须安全的前提下，尽可能互联互通。 13.3.1 产品概况 13.3.2 安全策略 外网服务器的TCP/IP协议栈关闭，内外网服务器之间采用纯数据进行传输 内网和外网之间采用专有的通讯协议，有效防止黑客从外网攻入内网 内网向外发起的连接需经过内网服务器的身份认证 外网主动发起的连接无法建立，只有内网请求的回应数据可以进入内网 第 * 页 / 13.3 典型产品介绍 产品的安装部署 第 * 页 / 13.4 隔离产品应用案例 上网安全隔离解决案例 第 * 页 / 13.4 隔离产品应用案例 重要网络数据资源保护 第 * 页 / 本章小结 本章主要介绍了隔离技术的发展、现状及工作原理，重点应掌握安全隔离网闸（GAP）的工作原理：协议控制、数据转换、安全审查、身份认证等。同时应将安全隔离网闸与传统防火墙对比地学习，理解它们间的异同，特别是在安全机制、硬件设计、网络协议处理、遭攻击后果等方面的区别。 通过案例理解网闸的作用。 第 * 页 / 作业： 简答题 2 THANK YOU SUCCESS * * 可编辑 《信息安全技术》教学课件 V2010.03 可编辑 可编辑 系统隔离技术 第 13 章 第 * 页 / 本章要点 了解网络隔离发展历程 掌握网络隔离的技术原理 了解网络隔离的技术分类及发展方向 掌握网闸的基本原理 第 * 页 / 13.1 隔离技术概述 安全域是以信息涉密程度划分的网络空间。涉密域就是涉及国家秘密的网络空间。非涉密域就是不涉及国家的秘密，但是涉及本单位，本部门或者本系统的工作秘密的网络空间。公共服务域是指既不涉及国家秘密也不涉及工作秘密，是一个向因特网络完全开放的公共信息交换空间。 13.1.1 隔离的概念 1、安全域 电子政务的内网和外网要实行严格的物理隔离。政务的外网和因特网络要实行逻辑隔离，按照安全域的划分，政府的内网就是涉密域，政府的外网就是非涉密域，因特网就是公共服务域。 第 * 页 / 13.1 隔离技术概述 网络隔离（Network Isolation），主要是指把两个或两个以上可路由的网络（如TCP/IP）通过不可路由的协议（如IPX/SPX、NetBEUI等）进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议，所以通常也叫协议隔离（Protocol Isolation）。 13.1.1 隔离的概念 2、网络隔离 第一代隔离技术——完全的隔离 第二代隔离技术——硬件卡隔离 第三代隔离技术——数据转播隔离 第四代隔离技术——空气开关隔离 第五代隔离技术——安全通道隔离 第 * 页 / 13.1 隔离技术概述 13.1.2 网络隔离的技术原理 右图表示没有连接时内外网的应用状况，从连接特征可以看出这样的结构从物理上完全分离。 第 * 页 / 13.1 隔离技术概述 13.1.2 网络隔离的技术原理 当外网需要有数据到达内网的时候，以电子邮件为例，外部的服务器立即发起对隔离设备的非TCP/IP协议的数据连接，隔离设备将所有的协议剥离，将原始的数据写入存储介质。 第 * 页