- 1、本文档共62页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
a * 内、外网单布线物理隔离解决方案 《网络安全-郑万波》网络安全(3)全文共62页,当前为第32页。 a * 隔离网闸在公安行业中的应用 《网络安全-郑万波》网络安全(3)全文共62页,当前为第33页。 a * 数据交换网 数据交换网的思路是在需要隔离的两个网络之间构建一个数据交换的平台,一个双方交互的隔离区,在这个安全区域上,不仅可以设置多道安全关卡,而且可以通过业务代理保护“内网”数据的完整性,同时安全监控与审计手段的加入,大大弥补了防护网关对“慢性”攻击行为的防护不足。 《网络安全-郑万波》网络安全(3)全文共62页,当前为第34页。 a * 在两个网络间建立一个可监控的、安全的、专用的网络,来负责交换业务数据、抵御外部的攻击、阻止入侵与病毒的通过,通过业务代理隔离直接访问,通过审计验证业务安全,这个网络称为数据交换网,也可称为数据交换平台、数据交换隔离区。 《网络安全-郑万波》网络安全(3)全文共62页,当前为第35页。 a * 《网络安全-郑万波》网络安全(3)全文共62页,当前为第36页。 a * 从数据交换网的设计模型中,可以把数据交换网分成两个区域:1.接入缓冲区(接入平台):负责业务的申请代理,完成对非安全网络中的用户接入。 外网的接入是安全第一道关,采用多重安全网关(FW+IPS+AV+防攻击+流量管理+内容过滤),实行多重关卡防护,主要是针对入侵、病毒的防护与设备自身的抗攻击性。另外一个考虑是不影响用户接入的速度,多重安全网关一般采用硬件过滤技术,重点是常见的、特征型的病毒与入侵的过滤,相当于安全网络的“大门”。 在接入缓冲区内采用IDS对网络入侵行为监控、对网络的异常流量监控,该处主要是针对高级黑客的攻击行为与未知攻击的监控。 在接入缓冲区主要是收集客户的业务代理,有些类似TP把UDI转换为CDI1,接管用户业务的控制权。 2.业务缓冲区(业务平台):负责对业务申请的审核,并完成数据交换。 与内网连接是数据交换网安全的最后一道门,采用网闸隔离,利用网闸的摆渡特性来隔离网络,同时网闸保证“协议落地”,减少服务的支持,降低入侵的“门路”。若对业务的实时性要求较高,也可以考虑多重安全网关,但尽量不与接入缓冲区的安全策略相一致。 在业务缓冲区内部采用“花瓶模型”的安全保障建设思路,IDS入侵监控、行为审计系统、SOC安全管理平台,形成事前防护、事中监控、事后审计的立体安全保障体系。 在业务缓冲区完成业务的代理,对业务的审计,完成TP的生成CDI2、CDI3的功能与IVP的功能。 非安全网络的客户接入是通过接入缓冲区进来的,但对大客户(专线客户)的接入,由于客户是固定接入的,是可控的,所以可以直接接入到业务缓冲区的接入防火墙上,提高业务访问的效率。 另外,作为数据交换的平台,还可以根据安全的需要,增加“蜜罐”类的安全技术,把攻击引导到对系统无害的区域,一方面减少可能的损失,一方面分析攻击行为的新变化,为安全防护技术的提高提供依据。 数据交换网技术是把“花瓶模型”的安全保障机制与Clark-Wilson模型的数据保障机制有机地结合起来,从网络安全、业务安全的角度审视与非安全网络的业务互联,其安全性大大加强。 《网络安全-郑万波》网络安全(3)全文共62页,当前为第37页。 a * 数据交换网技术的利与弊 数据交换网技术的利与弊 豪无疑问,数据交换网技术适合于业务量大、实时性要求高,安全要求也高的两个网络之间的数据交换,并且由于网络分为两个区域,形成两个对付攻击的缓冲地带,用户可以根据自己面临攻击的特点,再增加安全的措施。但是,数据交换网技术作为与非安全网络的互联也有它一些固有的缺陷: 1、用网络替代传统意义上的网关,安全保障系数增加了,成本也增加了,所以一般是业务非常需要的时候采用此设计,同时也可以根据业务安全性的需要,把两个区域合并在一起,减少总投资。2、业务的代理与验证部分需要客户针对业务做一定的开发,Clark-Wilson模型用于银行系统,银行的业务本身就是专用的,自行开发不是问题。但其他行业的业务系统可能采取的是通用系统,代理开发需要中间件或加壳方式。3、数据交换网综合了“花瓶模型”保障机制与Clark-Wilson模型安全机制,安全系数比较高,但总体上对入侵与病毒的识别与当今的安全技术发展是一致的,所以从理论上讲,数据交换网仍然具有被攻破的可能,最安全的办法还是物理的不连接,就是所谓的人工交换数据。所以,安全保障还是离不开管理制度的建设、人的参与,“技术不够用人补”仍然是数据交换领域的重要安全手段。 数据交换网技术不是万能的,但还是不错的方案选择。在使用该技术的同时,也要注意几点,确保该技术的安全、有效地发挥作用:1、“花瓶模型”中的防护、监控、审计是有机结合的安全技术,相互补充、相互
您可能关注的文档
- 《计算机网络安全技术》-02排除网络安全故障.ppt
- 《网络安全法》解读(1).pptx
- 《网络安全法》解读(3).pptx
- 2云计算在GIS中的应用.ppt
- 《网络安全与管理(第二版)》-网络安全试题3.doc
- 《网络安全与管理(第二版)》-网络安全试题4.doc
- 《网络安全-郑万波》网络安全(4).ppt
- 《网络安全知识》答案.doc
- 《网络安全注意事项》.doc
- 《网络道德与网络安全》教学设计(1).doc
- 某某单位2024年党建工作总结及2025年工作计划.doc
- 某某市发改委关于2024年度落实党风廉政建设工作责任制情况的报告.doc
- 某某局2024年全面从严治党和党风廉政建设工作总结.doc
- 某某区财政局2024年法治政府建设总结及2025年工作谋划.doc
- 2024年党管武装工作述职报告2篇.doc
- 2024年度国企党委书记抓基层党建工作述职报告3篇.doc
- 公司党委书记2024年述职述廉报告.docx
- 2024年度乡镇党委领导班子民主生活会(四个带头)对照检查材料.doc
- 市医疗保障局关于2024年法治政府建设工作情况的报告.docx
- 市民政局党组2024年巡察整改工作情况报告.docx
文档评论(0)