《保密技术概论:第9章 边界防护》由会员分享,可在线阅读,更多相关《保密技术概论:第9章 边界防护(63页珍藏版)》请在金锄头文库上搜索。
1、第第9章章 边界防界防护1内容提要基本概念基本概念逻辑隔离技术逻辑隔离技术物理隔离技术物理隔离技术安全隔离与信息交换安全隔离与信息交换29.1基本概念9.1.1边界与边界防护网络面临的不安全因素网络面临的不安全因素信息泄密信息泄密入侵入侵者的攻击者的攻击网络病毒网络病毒“木马木马”入侵入侵3如何应对这些威胁?如何应对这些威胁?把不同安全需求的网络分开,划地而治把不同安全需求的网络分开,划地而治不同安全级别的网络相互连接,网络与网络之间不同安全级别的网络相互连接,网络与网络之间的分界线称为的分界线称为“网络边界网络边界”安全域之间的分界线也称为边界安全域之间的分界线也称为边界4什么叫边界防护?什
2、么叫边界防护?对边界进行安全防护,保证网络间和安全区域间对边界进行安全防护,保证网络间和安全区域间必要的信息交流安全可靠,同时防止非法访问者对必要的信息交流安全可靠,同时防止非法访问者对被保护网络的攻击、入侵和资源窃取等。被保护网络的攻击、入侵和资源窃取等。5边界并不是一个逻辑上没有宽度的空间概念。边界是边界并不是一个逻辑上没有宽度的空间概念。边界是实现一个网络与外部网络连接的经过安全加固的区域,实现一个网络与外部网络连接的经过安全加固的区域,起到对网络内部系统和设备的防护作用。边界一般是起到对网络内部系统和设备的防护作用。边界一般是由多种系统构成的纵深网络安全防御体系由多种系统构成的纵深网络
3、安全防御体系9.1.2网络边界的分类不同网络间边界不同网络间边界根据网络的不同安全级别,实施边界防护根据网络的不同安全级别,实施边界防护同同一网络不同安全域间边界一网络不同安全域间边界不同安全域可以确定不同的等级,并依据标准进行相应的保护不同安全域可以确定不同的等级,并依据标准进行相应的保护69.2逻辑隔离技术9.1.3边界防护技术相关概念逻辑隔离逻辑隔离拥有相同传输介质系统的两个网络之间,通过硬件设备或软件拥有相同传输介质系统的两个网络之间,通过硬件设备或软件措施实现的某种隔离措施实现的某种隔离物理隔离物理隔离两两个网络通过各自拥有独立的传输介质系统实现的隔离。个网络通过各自拥有独立的传输介
4、质系统实现的隔离。安全隔离安全隔离由安全设备和安全线路组成的系统,用于涉密网络与外网之间、由安全设备和安全线路组成的系统,用于涉密网络与外网之间、涉密网之间、安全域之间的隔离涉密网之间、安全域之间的隔离79.2.1防火墙技术1)防火墙的概念)防火墙的概念运行运行在一台或多台计算机之上的一组特别的服务软件,在一台或多台计算机之上的一组特别的服务软件,用于对网络进行防护和通信控制,有时也以专用的硬件用于对网络进行防护和通信控制,有时也以专用的硬件形式出现形式出现8网络防火墙的主要功能有控制对网站的访问网络防火墙的主要功能有控制对网站的访问和封锁网站信息的泄露,限制被保护子网的和封锁网站信息的泄露,
5、限制被保护子网的暴露,具有审计功能,强制安全策略,对出暴露,具有审计功能,强制安全策略,对出入防火墙的信息进行加密和解密等。入防火墙的信息进行加密和解密等。9.2.1防火墙技术防火墙必须做到如下几点防火墙必须做到如下几点所有进出被保护网络的通信必须通过防火墙所有进出被保护网络的通信必须通过防火墙所有通过防火墙的通信必须经过安全策略的过滤或者防所有通过防火墙的通信必须经过安全策略的过滤或者防火墙的授权火墙的授权防火墙本身是不可被入侵的防火墙本身是不可被入侵的9防火墙是一种逻辑隔离部件防火墙是一种逻辑隔离部件9.2.1防火墙技术2)防火墙体系结构)防火墙体系结构(1)包过滤型防火墙)包过滤型防火墙
6、包过滤防火墙允许或拒绝所接收的每个数据包。路由器包过滤防火墙允许或拒绝所接收的每个数据包。路由器审查每个数据包以便确定其是否与某一条包过滤规则匹审查每个数据包以便确定其是否与某一条包过滤规则匹配。过滤规则基于可以提供给配。过滤规则基于可以提供给IP转发过程的包头信息。转发过程的包头信息。包头信息中包括包头信息中包括IP源地址、源地址、IP目标地址、协议类型和目目标地址、协议类型和目标端口等。标端口等。109.2.1防火墙技术2)防火墙体系结构)防火墙体系结构(2)双宿网关防火墙)双宿网关防火墙双双宿网关是一种拥有两个连接到不同网络上的网络接口宿网关是一种拥有两个连接到不同网络上的网络接口的防火
7、墙的防火墙IP层的通信被阻断,两个网络之间的通信可通过应用层层的通信被阻断,两个网络之间的通信可通过应用层数据共享或应用层代理服务来完成数据共享或应用层代理服务来完成两种服务方式两种服务方式用户直接登录到双重宿主主机上提供服务用户直接登录到双重宿主主机上提供服务在双重宿主主机上运行代理服务器在双重宿主主机上运行代理服务器119.2.1防火墙技术2)防火墙体系结构)防火墙体系结构(3)屏蔽主机防火墙)屏蔽主机防火墙屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相屏蔽主机防火墙强迫所有的外部主机与一个堡垒主机相连接,而不让它们直接与内部主机相连连接,而不让它们直接与内部主机相连屏蔽主机防火墙由包过
8、滤路由器和堡垒主机组成屏蔽主机防火墙由包过滤路由器和堡垒主机组成提供的安全等级比包过滤防火墙要高提供的安全等级比包过滤防火墙要高129.2.1防火墙技术2)防火墙体系结构)防火墙体系结构(4)屏蔽子网防火墙)屏蔽子网防火墙屏蔽子网防火墙屏蔽子网防火墙用用了两个包过滤路由器和一个堡垒主机了两个包过滤路由器和一个堡垒主机最最安全的防火墙系统安全的防火墙系统定义了定义了“非军事区非军事区”网络网络支持网络层和应用层安全功能支持网络层和应用层安全功能139.2.2入侵检测技术用于检测损害或企图损害网络系统的机密性、完整性或可用于检测损害或企图损害网络系统的机密性、完整性或可用性等行为的一类安全技术用性
9、等行为的一类安全技术IDS需要解决三个问题需要解决三个问题需要充分并可靠地采集网络和系统中的数据,提取描述需要充分并可靠地采集网络和系统中的数据,提取描述网络和系统行为的特征网络和系统行为的特征必须根据以上数据和特征,高效并准确地判断网络和系必须根据以上数据和特征,高效并准确地判断网络和系统行为的特征统行为的特征需要对网络和系统入侵提供入侵相应手段需要对网络和系统入侵提供入侵相应手段149.2.2入侵检测技术入侵检测系统结构入侵检测系统结构15配置库配置库检测支检测支持库持库结果结果存储存储分析检测分析检测响应响应数据源数据源其他系统结果报警9.2.2入侵检测技术(1)基于主机的)基于主机的I
10、DS16基于主机型的简单入侵检测系统结构基于主机型的简单入侵检测系统结构9.2.2入侵检测技术(2)基于网络的)基于网络的IDS17基于基于网络网络型的简单入侵检测系统结构型的简单入侵检测系统结构9.2.2入侵检测技术分析检测方法分析检测方法18p误误用用检检测测。这这类类分分析析检检测测技技术术首首先先建建立立各各类类入入侵侵的的行行为为模模式式,对对它它们们进进行行标标识识或或编编码码,建建立立误误用用模模式式库库;在在运运行行中中,误误用用检检测测方方法法对对来来自自数数据据源源的的数数据据进进行行分分析检测,检查是否匹配已知的误用模式。析检测,检查是否匹配已知的误用模式。误用模式的缺陷
11、在于只能检测出已知的攻击误用模式的缺陷在于只能检测出已知的攻击9.2.2入侵检测技术分析检测方法分析检测方法19p异异常常检检测测。无无论论是是程程序序还还是是系系统统用用户户的的行行为为,各各自自表表现现上上均均存存在在一一些些特特性性。这这些些带带有有一一致致性性的的特特性性与与正正常常的的基基本本模模式式相相对对应应,而而异异常常行行为为不不具具有有这这些些特特征征。异异常常检检测测指指通通过过对对系系统统异异常常行行为为的的检检测测,发发现现攻攻击击的的存存在,甚至识别相应的攻击。在,甚至识别相应的攻击。误用模式的优点在于能检测出未知的攻击,但系统或误用模式的优点在于能检测出未知的攻击
12、,但系统或用户的行为模式可能发生变化或增加用户的行为模式可能发生变化或增加9.2.2入侵检测技术分析检测方法分析检测方法20p其其他他检检测测。生生物物免免疫疫IDSIDS,一一个个特特定定程程序序的的系系统统调调用用序序列列是是比比较较稳稳定定的的,使使用用这这一一序序列列识识别别自自身身或或外外来来的的操操作作,能能够够获获得得抵抵御御入入侵侵的的能能力力。基基因因的的特特点点是是可可以以进进行行组组合合和和变变异异,因因此此存存在在天天然然的的表表征征不不同同生生物物遗遗传传特特性性的的能能力力,该特性可以用于构造系统特征或异常特征。该特性可以用于构造系统特征或异常特征。9.2.2入侵检
13、测技术入侵响应入侵响应21p被被动动响响应应。是是指指IDSIDS在在检检测测到到攻攻击击后后进进行行报报警警,为为网网络络管管理理者者或或用用户户提提供供信信息息,由由它它们们决决定定要要采采取取的的措措施施。在在被被动动响响应应中中,攻攻击击按按照照其其危危害害成成都都,一一般般分分为为不不同同的的级级别。级别是别。级别是IDSIDS极其用户重要的决策依据。极其用户重要的决策依据。9.2.2入侵检测技术入侵响应入侵响应22p主主动动响响应应。IDSIDS按按照照配配置置策策略略阻阻断断攻攻击击过过程程或或者者以以其其他他方方式式影影响响、制制约约攻攻击击过过程程或或攻攻击击的的再再次次发发
14、生生。主主动动响响应应采采取取的的主主要要措措施施包包括括人人工工或或自自动动地地针针对对入入侵侵者者的的措措施施及及修正系统。修正系统。9.2.3安全网关技术安安全全网网关关一一般般部部署署在在内内部部网网络络与与外外部部网网络络的的边边界界,主主要要用用来来抵抵御御来来自自外外部部网网络络的的安安全全威威胁胁。这这里里所所指指的的安安全全网网关关是是传统意义上的单一功能安全网关。常见的安全网关包括:传统意义上的单一功能安全网关。常见的安全网关包括:23p VPN VPN网关网关p 入侵防御网关入侵防御网关p 防病毒网关防病毒网关p 基于密级标志的保密网关基于密级标志的保密网关9.2.3安全
15、网关技术VPN网关网关24p 外外部部用用户户访访问问内内部部主主机机或或服服务务器器时时,为为了了保保证证用用户户身身份份的的合合法法性性、确确保保网网络络的的安安全全、一一般般在在网网络络边边界界部部署署VPNVPN(虚虚拟拟网网)网网关关,主主要要作作用用就就是是利利用用公公共共网网络络把多个网络节点和私有网络连接起来把多个网络节点和私有网络连接起来远程访问虚拟网远程访问虚拟网企业内部虚拟网企业内部虚拟网企业扩展虚拟网企业扩展虚拟网远程访问网远程访问网企业内部企业内部Internet网网企业网络企业网络9.2.3安全网关技术入侵防御网关入侵防御网关25p 入入侵侵防防御御网网关关以以在在
16、线线方方式式部部署署,实实施施分分析析链链路路上上的的传传输输数数据据,对对隐隐藏藏在在其其中中的的攻攻击击行行为为进进行行阻阻断断,关关注注的的是是深深层层防防御御、精精确确阻阻断断,以以解解决决用用户户面面临临的的边边界界入入侵威胁,进一步优化网络边界安全侵威胁,进一步优化网络边界安全与旁路的与旁路的IDS相比,入侵防御网关可以进行实时防御相比,入侵防御网关可以进行实时防御与基于静态规则进行边界防护的防火墙相比,入侵防御与基于静态规则进行边界防护的防火墙相比,入侵防御可以实现动态深层次的、精确的防御可以实现动态深层次的、精确的防御9.2.3安全网关技术防病毒网关防病毒网关26p 网网络络成
17、成为为病病毒毒传传播播的的重重要要渠渠道道,网网络络边边界界也也成成为为阻阻止病毒传播的重要前沿,防病毒网关应运而生止病毒传播的重要前沿,防病毒网关应运而生p 防病毒网关技术包括两个部分:防病毒网关技术包括两个部分:p对进出网关的数据进行查杀对进出网关的数据进行查杀p对查杀的数据进行检测和清除对查杀的数据进行检测和清除防病毒网关着眼于在网络边界就把病毒拒之门外,可以提高防病毒网关着眼于在网络边界就把病毒拒之门外,可以提高网络防病毒查杀效率网络防病毒查杀效率9.2.3安全网关技术基于密级标志的保密网关基于密级标志的保密网关27p BMB17-2006BMB17-2006涉涉及及国国家家秘秘密密的
18、的信信息息系系统统分分级级保保护护技技术术要要求求中中对对安安全全域域边边界界防防护护部部分分明明确确提提出出,对对于于不不同同等等级级的的网网络络或或安安全全域域间间通通信信,应应禁禁止止高高密密级级信信息息由由高等级网络或安全域流向低等级网络或安全域。高等级网络或安全域流向低等级网络或安全域。p 基基于于密密级级标标志志的的保保密密网网关关,将将融融合合安安全全设设备备功功能能的的基础上,提供涉密信息流向的细粒度控制。基础上,提供涉密信息流向的细粒度控制。9.2.3安全网关技术基于密级标志的保密网关基于密级标志的保密网关28保密网关部署图保密网关部署图9.2.3安全网关技术基于密级标志的保
19、密网关基于密级标志的保密网关29p “防高密低传防高密低传”策略策略p 禁止高密级的文件传输到低密级或非保密的区域禁止高密级的文件传输到低密级或非保密的区域p 允许不带密级的一个用信息能够正常流转允许不带密级的一个用信息能够正常流转p 保密网关技术保密网关技术p 安全域密级标志的定义与识别技术安全域密级标志的定义与识别技术p 文档密级的提取和文档传输的控制技术文档密级的提取和文档传输的控制技术9.2.3安全网关技术基于密级标志的保密网关基于密级标志的保密网关30p 控制涉密文档传输范围的一个重要依据是安全域控制涉密文档传输范围的一个重要依据是安全域p IP IP地址作为安全域密级标志识别的基础
20、地址作为安全域密级标志识别的基础p 需要防范需要防范IPIP欺骗欺骗9.2.4UTM技术2004年年,互互联联网网数数据据中中心心(IDC)首首度度提提出出“统统一一威威胁胁管管理理”的概念的概念防防病病毒毒、入入侵侵检检测测和和防防火火墙墙安安全全设设备备,划划归归同同意意威威胁胁管管理理(Unified Threat Management,简称,简称UTM)UTM为由硬件、软件和网络技术组成的具有专门用途的设备为由硬件、软件和网络技术组成的具有专门用途的设备提提供供一一项项或或多多项项安安全全功功能能,同同时时将将多多种种安安全全特特性性集集成成于于一一个个硬硬件设备理,形成标准的同意威胁
21、管理平台件设备理,形成标准的同意威胁管理平台UTM基基本本功功能能包包括括网网络络防防火火墙墙、网网络络入入侵侵检检测测/防防御御和和网网关关防防病毒病毒319.2.4UTM技术UTM基本组成基本组成32统一威胁管理(统一威胁管理(UTM)VPN防火墙防火墙防病毒防病毒内容过滤内容过滤入侵防御入侵防御入侵检测入侵检测统一威胁管理平台统一威胁管理平台9.2.4UTM技术UTM的三个要素的三个要素33p面面对的威的威胁pUTM部署在网部署在网络边界的位置界的位置p针对2-7层所有种所有种类的威的威胁p包包括括对网网络自自身身与与应用用系系统进行行破破坏坏的的威威胁、利利用用网路咯网路咯进行非法活行
22、非法活动的威的威胁和网和网络资源源滥用的威用的威胁9.2.4UTM技术UTM的三个要素的三个要素34p处理的方式理的方式p在在传统网关网关设备的基的基础上上p拥有防火有防火墙、入侵防御、防病毒,、入侵防御、防病毒,VPN等多种功能等多种功能p在在统一安全策略下相互配合、一安全策略下相互配合、协同工作同工作9.2.4UTM技术UTM的三个要素的三个要素35p达成的目达成的目标p保持网保持网络畅通、通、业务正常运正常运转p保持保持较高的性能,性能不能明高的性能,性能不能明显下降下降p管理方便、配置管理方便、配置简单UTM:通过安全策略的统一部署,融合多种安全能力,针对:通过安全策略的统一部署,融合
23、多种安全能力,针对网络自身与应用系统进行破坏、利用网络进行非法活动、网网络自身与应用系统进行破坏、利用网络进行非法活动、网络资源滥用等威胁,实现精度防控的高可靠、高性能、易管络资源滥用等威胁,实现精度防控的高可靠、高性能、易管理的网关安全设备。理的网关安全设备。9.2.4UTM技术UTM的优缺点的优缺点36pUTM的的优点点p多多种种安安全全产品品得得到到整整合合,在在网网络边界界建建立立了了强强大大的的立体防立体防线pUTM的的安安全全防防护性性能能比比单一一的的网网络防防护设备要要好好些些,可以抵御常可以抵御常见的入侵与病毒的入侵与病毒9.2.4UTM技术UTM的优缺点的优缺点37pUTM
24、的缺点的缺点pUTM不能解决所有的安全不能解决所有的安全问题p通通过特征特征识别入侵,更新要及入侵,更新要及时pUTM对抵御抵御“正常正常”通通讯分散迂回攻分散迂回攻击能力有限能力有限pUTM对于于处于被保于被保护内部网内部网络的攻的攻击者没有作用者没有作用p“道道高高一一尺尺,魔魔高高一一丈丈”,为彻底底杜杜绝来来自自外外部部网网络对重重要要网网络的直接威的直接威胁,需要采取物理隔离的措施,需要采取物理隔离的措施p 涉密信息系涉密信息系统容易遭受攻容易遭受攻击pCPU, 操作系操作系统,网,网络设备等关等关键技技术受制于人受制于人p对于于运运行行涉涉密密信信息息系系统的的网网络,必必须与与其
25、其他他非非涉涉密密网网络实施物理隔离施物理隔离389.3物理隔离技术2000年年1月月1日实施的日实施的计算机信息系统国际联网保密管理规定计算机信息系统国际联网保密管理规定2008年发布的年发布的涉密国家秘密的信息系统保密管理规定涉密国家秘密的信息系统保密管理规定p涉密信息系涉密信息系统的物理隔离的物理隔离应把握两点把握两点p物理隔离是相物理隔离是相对于涉密信息系于涉密信息系统与公共信息网与公共信息网络的隔离的隔离p物理隔离是相物理隔离是相对于使用防火于使用防火墙等等设备进行行逻辑隔离隔离p在物理在物理传输上使涉密网上使涉密网络与非涉密网与非涉密网络隔断隔断p在物理存在物理存储上隔断上隔断涉密
26、网涉密网络与非涉密与非涉密网网络p物理隔离技物理隔离技术包括包括p终端隔离技端隔离技术p远程程传输隔离技隔离技术p网网络隔离技隔离技术399.3物理隔离技术9.3.1终端隔离40p双布双布线双用双用户终端端pBMB5-2000涉涉密密信信息息设备使使用用现场的的电磁磁泄泄露露发射防射防护要求要求p涉密信息涉密信息终端与公共信息网端与公共信息网络彻底分开底分开p在在信信息息传输、存存储和和处理理上上,实现与与公公共共信信息息网网络的物理隔离的物理隔离9.3.1终端隔离41p隔离卡(隔离卡(Network Security Separated Card)p将将一一台台计算算机机虚虚拟为两两台台计算
27、算机机,实现工工作作站站的的双双重重状状态,从从而而使使一一部部分分工工作作站站可可在在完完全全安安全全的的状状态下下连接内外网接内外网p构构造造在在物物理理层上上,对上上提提供供接接口口服服务,这些些服服务中中包包括了安全功能括了安全功能p要求采用关机、重启操作系要求采用关机、重启操作系统的方式来切的方式来切换工作状工作状态9.3.1终端隔离42p隔离卡(隔离卡(Network Security Separated Card)9.3.2远程传输隔离43p 远程数据程数据传输技技术分分类p电路交路交换方式方式p分分组交交换方式方式p帧交交换方式方式p信元交信元交换方式方式9.3.2远程传输隔离
28、44p 独立独立铺设线路和交路和交换设备p是涉密网是涉密网络最安全的最安全的传输方式方式p造价偏高,造价偏高,实施困施困难p 面向面向连接的接的电路交路交换p通通过不不同同时隙隙进行行数数据据传输,一一个个连接接中中所所有有数数据据都都要要经过固定的路由固定的路由传递数据数据p存存在在搭搭线窃窃听听的的威威胁,需需配配合合认证和和链路路加加密密措措施施确确保安全保安全9.3.2远程传输隔离45p 虚虚电路分路分组交交换p是面向是面向连接的交接的交换方式方式p同同一一业务的的不不同同分分组在在网网络中中可可经过不不同同路路由由达达到到目目的地的地p传输线路不可控,有一定的泄密路不可控,有一定的泄
29、密隐患患p永久虚永久虚电路:路:类似于似于专线的效果的效果p交交换虚虚电路路:VPI/VCI表表通通过网网络状状况况随随机机建建立立,传输线路不可控,有一定的泄密路不可控,有一定的泄密隐患患9.3.2远程传输隔离46p 多多协议标记交交换方式方式p 多多协议标记交交换方方式式(MPLS)通通过预先先设置置好好的的路路由由标记,可可以以使使数数据据包包快快速速地地从从一一个个边缘路路由由器器通通过固固定定的的路路由由,到到达达另另一一个个边缘路路由由器器,做做到到了了传输线路的可控性路的可控性p在在MPLS核核心心网网没没有有与与Internet连接接,且且运运营商商可可信信和和配置正确的情况下
30、,也可以达到配置正确的情况下,也可以达到专线的效果的效果9.3.2远程传输隔离47p 数据数据报文文组交交换p 非非连接的分接的分组交交换方式方式p 各各个个分分组利利用用各各自自分分组头中中的的选路路信信息息,独独立立地地完完成成交交换,同一同一业务的不同分的不同分组,在网,在网络中可中可经过不同路由到达不同路由到达p由由于于传输线路路的的不不可可控控性性,存存在在一一定定的的安安全全隐患患,不不宜宜用用于涉密网于涉密网络传输9.3.2远程传输隔离48p 无无线通信通信p 通通信信信信道道开开放放,任任何何具具有有无无线通通信信能能力力的的设备,都都有有可可能能连入网入网络或或对空中信号空中
31、信号进行行拦截,具有很大截,具有很大风险p容易造成失泄密容易造成失泄密p不宜使用无不宜使用无线技技术构建涉密信息系构建涉密信息系统的的远程网程网络传输9.3.3网络隔离49p 网网络物物理理隔隔离离是是指指涉涉密密信信息息系系统与与公公共共信信息息网网络彼彼此此断断开,两个网开,两个网络之之间不存在数据通路不存在数据通路p在在技技术上上,必必须从从网网络设备与与布布线、终端端、远程程传输等等方面,确保物理隔离的方面,确保物理隔离的实现p 网网络设备与布与布线:符合符合BMB5-2000规定的方式定的方式p 终端:隔离卡,端:隔离卡,不能通不能通过网网络拨号、无号、无线联网等技网等技术p 远程程
32、传输:单独独部部署署专用用传输线路路,并并经过密密码管管理理部部门批准的加密技批准的加密技术,对传输数据数据实施保施保护50p 在在隔隔离离网网络间建建立立“逻辑连接接”,在在保保障障网网络安安全全的的同同时进行可控的数据交行可控的数据交换p 安安全全隔隔离离与与信信息息交交换技技术在在保保证安安全全保保密密的的前前提提下下,尽尽可能地可能地实现互互联互通互通9.4安全隔离与信息交换安全隔离与信息交安全隔离与信息交换处理单元换处理单元外外网网处处理理单单元元内内网网处处理理单单元元安全隔离与信息交换系统体系结构安全隔离与信息交换系统体系结构51p 安全隔离与信息交安全隔离与信息交换技技术主要有
33、两个特点主要有两个特点p协议终止止:指指安安全全隔隔离离与与信信息息交交换系系统在在网网络链路路层断断开开连接接,网网络间通通信信协议“落落地地”,完完全全终止止。不不允允许信信息息以以数数据据包包的的方方式式进出出网网络,必必须在在内内、外外网网处理理单元元完完全全“落落地地”组装装、还原原成成文文件件后后,以以纯文文件件的的方式方式进行交行交换。9.4安全隔离与信息交换52p 安全隔离与信息交安全隔离与信息交换技技术主要有两个特点主要有两个特点p数数据据摆渡渡:在在任任何何一一个个时刻刻都都不不与与内内、外外网网处理理单元元同同时连接接,而而是是在在完完全全终止止通通信信协议的的基基础上上
34、,以以“摆渡渡”的的方方式式将将外外网网数数据据传送送到到内内网网,或或者者将将内内网网数数据据传送送到到外外网网,确确保保从从链路路层上上断断开开网网络连接接的的同同时实现内外网数据安全交内外网数据安全交换。9.4安全隔离与信息交换安全隔离与信息交换技术是介于逻辑隔离和物理隔离之间的新型技术53p 国家保密局国家保密局对安全隔离与信息交安全隔离与信息交换产品的使用品的使用规定定p 涉涉密密电子子政政务网网络与与非非涉涉密密电子子政政务网网络之之间使使用用安安全全隔隔离离与与信信息息交交换系系统时,必必须保保证该非非涉涉密密电子子政政务网网络与互与互联网是物理隔离的关系网是物理隔离的关系p 涉
35、涉密密电子子政政务网网络与与非非涉涉密密电子子政政务网网络之之间使使用用安安全全隔隔离离与与信信息息单向向传输系系统时,该非非涉涉密密电子子政政务网网络与与互互联网网虽然然可可以以是是逻辑隔隔离离的的关关系系,但但必必须报经国家保密局批准后才能使用国家保密局批准后才能使用9.4安全隔离与信息交换54p安全隔离与信息交安全隔离与信息交换技技术分分类p 安全隔离与信息交安全隔离与信息交换技技术(数据双向交(数据双向交换)p 代表技代表技术:网:网闸p数据双向交数据双向交换的双向网的双向网闸p实现数据数据单向向导入的入的单向网向网闸p 安全隔离与信息安全隔离与信息单向向传输技技术(数据(数据单向向导
36、入)入)9.4安全隔离与信息交换9.4.1网闸技术55p 涉密网涉密网络与非涉密网与非涉密网络连接接p若非涉密网若非涉密网络与互与互联网是物理隔离,可采用双向网网是物理隔离,可采用双向网闸p若非涉密网若非涉密网络与互与互联网是网是逻辑隔离,可采用隔离,可采用单向网向网闸安全隔离网闸是一种由带有多种控制功能专用硬件、在电路安全隔离网闸是一种由带有多种控制功能专用硬件、在电路上切断网络之间的链路层连接,并能够在网络间进行安全适上切断网络之间的链路层连接,并能够在网络间进行安全适度的应用数据交换的网络安全设备。度的应用数据交换的网络安全设备。网闸的安全思路来自于网闸的安全思路来自于“不同时连接不同时
37、连接”。不同时连接两个网。不同时连接两个网络,通过一个中间缓冲区来络,通过一个中间缓冲区来“摆渡摆渡”业务数据,业务实现了业务数据,业务实现了互通,互通,“不连接不连接”原则上降低了入侵的可能原则上降低了入侵的可能9.4.2双向网闸56p 双向网双向网闸是指允是指允许数据双向流数据双向流动的网的网闸双向网闸部署双向网闸部署9.4.2双向网闸57p 双向网双向网闸的隔离作用基于的隔离作用基于“摆渡渡”数据数据p 网网闸切切断断了了上上层业务的的通通讯协议,看看到到了了原原始始的的数数据据,为了了达达到到“隔隔离离”的的效效果果,采采用用私私有有通通讯协议或或采采用用存存储协议p每每次次摆渡渡可可
38、能能不不再再是是一一个个完完整整数数据据内内容容。攻攻击者者可可以以 把把一一个个“蠕蠕虫虫”分分成成若若干干片片段段分分别传递,不不恢恢复复原原状状很很难知知道它是什么道它是什么p若若传递“可可执行行代代码”的的二二进制制文文件件,网网闸很很难区区分分数数据据与攻与攻击9.4.3单向网闸58p 高高密密级数数据据不不能能流流向向低低密密级网网络,单低低密密级数数据据可可以以流流向高密向高密级网网络单向网向网闸单向网闸部署单向网闸部署9.4.3单向网闸59p 单向网向网闸具体的技具体的技术p数数据据泵技技术(Data Pump):1993年年, Myong H. Kang等等提提出出泵技技术,
39、通通过反反向向的的确确认,限限制制由由内内向向外外的数据的数据传输,实现从外向内的从外向内的单向数据流向数据流低密级低密级高密级高密级控制通道控制通道数据通道数据通道9.4.3单向网闸60p 单向网向网闸具体的技具体的技术p数据数据泵技技术(Data Pump)p基基于于通通讯的的基基础上上,只只允允许单向向的的传送送数数据据,反反方向只有控制信息可以通方向只有控制信息可以通过p数数据据单向向传递,单协议控控制制信信息息是是双双向向传递,若若协议有有漏漏洞洞,则有有可可能能利利用用协议的的漏漏洞洞达达到到反反向向发送数据的目的送数据的目的9.4.3单向网闸61p 单向网向网闸具体的技具体的技术
40、p数据二极管技数据二极管技术(Data Diode)低密级低密级高密级高密级控制通道控制通道数据通道数据通道一方只管发送,另一方只管接收,至于数据是否有错误、是否完整都不一方只管发送,另一方只管接收,至于数据是否有错误、是否完整都不会去理会,反向没有数据通道,也没有控制通道,完全处于盲状态会去理会,反向没有数据通道,也没有控制通道,完全处于盲状态9.4.3单向网闸62p 单向网向网闸具体的技具体的技术p数据二极管技数据二极管技术(Data Diode)如何控制出如何控制出错?p收方及收方及时向向“上上层”汇报p发送方增加冗余校送方增加冗余校验p间隔地把一份数据重复地再隔地把一份数据重复地再发送
41、两次,三取二送两次,三取二p在数据中增加校在数据中增加校验码p直接重复数据直接重复数据p定期插入固定定期插入固定检测码基于数据二极管技术实现的单向导入技术,是目前单向导入技术发展的主流,用于基于数据二极管技术实现的单向导入技术,是目前单向导入技术发展的主流,用于非涉密网络向涉密网络的数据传送或者低密级网络向高密级网络的数据传送非涉密网络向涉密网络的数据传送或者低密级网络向高密级网络的数据传送本章小结边界防护是应用于网络边界的一项访问控制技术边界防护是应用于网络边界的一项访问控制技术逻辑隔离:防火墙,入侵检测技术,安全网关技术,逻辑隔离:防火墙,入侵检测技术,安全网关技术,UTM技术技术物理隔离:网络隔离技术、终端隔离技术、远程传物理隔离:网络隔离技术、终端隔离技术、远程传输隔离技术输隔离技术安全隔离和信息交换技术:双向网闸、单向网闸安全隔离和信息交换技术:双向网闸、单向网闸63
