第7章阻断与隔离试卷.ppt

* * 第七章 阻断与隔离 传统做法：网关背靠背 商用IP电话网 IP集团电话网 网关 网关 公用电话网 PSTN * * 第七章 阻断与隔离 新的做法：单协议网闸技术 商用IP电话网 IP集团电话网 网关 网关 H.323高速网闸 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * * * * 第七章 阻断与隔离 网络信息安全技术 * * 本章主要内容 第一章 概 述 基本概念 分类 案例研究 总结和讨论 * * 第七章 阻断与隔离 第一章 概 述 公网 内网 连接还是隔离，这是一个问题…… 隔离?隔绝 * * 第七章 阻断与隔离 安全域与广义隔离 安全策略上具有共性的网络互联而成的整体，叫做一个安全域 不同的安全域之间，在安全策略上有所不同，需要一种技术措施来加以维持 这种维持不同安全域之间不同安全策略“压差”的技术措施，称为广义的“隔离” * * 第七章 阻断与隔离 隔离的等级与狭义隔离 A （不设防连接） 网络之间存在不受控的即时连接 B （设防连接） 网络之间存在受控的即时连接 C （逻辑隔离） 网络之间存在受控的延时数据交换 D （物理隔离） 网络之间不存在任何数据交换 * * 第七章 阻断与隔离 隔离等级与安全域等级 隔离等级标记：ABCD 把网络视为节点，把网络之间的可能施加了某种隔离措施的连接视为边，则构成一个图（无向）G，边上的权值为隔离等级标记 一个具有隔离等级X的安全域是G的一个子图G’，满足 G’的节点与非G’的节点之间的边的隔离等级均不小于X G’的节点之间的边的隔离等级均不大于X * * 第七章 阻断与隔离 狭义隔离 定义：在同一个物理办公环境中，容纳两个（或以上）安全域，以尽可能小的成本保证它们之间不发生数据交换（等级D）或只发生受控的延时数据交换（等级C） 手段：切断或接管控制网间数据交换的一切可能的隐蔽通道 以下所称“隔离”均指狭义隔离 * * 第七章 阻断与隔离 隔离与设防连接的界限 用防火墙等对两个网络进行设防连接，在放行条件满足时，两个网络之间存在实际的网络连接，具有相当的风险 隔离更多地用于同一个物理办公环境中的两个安全策略明显不同的网 * * 第七章 阻断与隔离 隔离的典型应用 一般政务网（政务外网）办公环境：逻辑隔离（C级） 内部网获取外部网的指定信息 内部网与外部网交换指定信息 核心涉密网（政务内网）办公环境：物理隔离（D级） 一个桌面容纳两个网的办公环境，确保二者不发生数据交换 * * 第七章 阻断与隔离 隔离的分类 严格（物理）隔离系统 双机系统 单机双网卡双硬盘系统 单机单隔离卡双硬盘系统 单机单线单硬盘系统（内网为远程终端） 延迟（逻辑）隔离系统（网闸系统） 转播（安全镜像）系统 延迟代理系统 内外网互斥开关 * * 第七章 阻断与隔离 内网 外网 双机系统 * * 第七章 阻断与隔离 双机单终端系统 内网 外网 * * 第七章 阻断与隔离 单机双网系统 内网 外网 * * 第七章 阻断与隔离 单机单线系统 X 内网 外网 * * 第七章 阻断与隔离 外网 内网 网闸 对进出内 外网的信息 进行过滤 * * 第七章 阻断与隔离 问题和挑战 双网/单网成本比：极限是多少？ 什么叫“受控”？ 外来病毒、木马的过滤 外来攻击的过滤 内部涉密信息外泄的过滤 内外网之间的安全通信协议 来自管理的挑战 网线对调、软盘拷贝、笔记本电脑的控制 * * 第七章 阻断与隔离 信鸽也可以成为TCP/IP通信链路上的一环 有点极端的实验，但是说明“物理隔离”的要求可能被意想不到的数据流所破坏 另一方面，也说明某些产品的既能做到“物理隔离”，又能提供“透明连接”的虚伪和矛盾 * * 第七章 阻断与隔离 电磁泄漏 电磁辐射 一个区域内产生的电磁信号(尤其是屏幕电磁信号)可以通过辐射的方式被一定距离范围内的接受设备感应到。 电磁耦合 在一定距离范围内，两个不同安全域的信号载体之间可能产生电磁耦合，可以在耦合信号衰减到足够小之前将之捕获，导致高安全性数据向低安全性网络流动。 电磁辐射和电磁耦合都属于电磁泄漏范畴 * * 第七章 阻断与隔离 电磁辐射的防范 金属板 金属板制成封闭六面体 走线采用特殊的窗孔 屏蔽网 金属网制成的封闭笼子 屏蔽布 用具有电子屏蔽功能的特殊布料围成封闭的区域 * * 第七章 阻断与隔离 电磁耦合的防范 对不同安全域的网络布线的强制