返回
计算机网络信息安全理论与实践教程第13章

计算机网络信息安全理论与实践教程第13章

ID:40516329

大小:781.51 KB

页数:23页

时间:2019-08-03

计算机网络信息安全理论与实践教程第13章_第1页
计算机网络信息安全理论与实践教程第13章_第2页
计算机网络信息安全理论与实践教程第13章_第3页
计算机网络信息安全理论与实践教程第13章_第4页
计算机网络信息安全理论与实践教程第13章_第5页
资源描述:

《计算机网络信息安全理论与实践教程第13章》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第13章网络物理隔离技术的原理与应用13.1网络物理隔离概况13.2网络物理隔离技术13.3网络物理隔离典型应用案例13.4本章小结本章思考与练习13.1网络物理隔离概况13.1网络物理隔离概况为了实现更高级别的网络安全,安全技术专家建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,要想完全避免网络连接的发生并不太现实,计算机连网是必然的趋势。因而,具有满足解决内外网信息交换需求,又能防止安全事件出现的安全技术就出现了,这种技术称为“物理隔离技术”。它的基本原理是保证避免两台计算机之间直接的信息交换以及物理上的连通,以阻

2、断两台计算机之间的直接在线网络攻击。13.2网络物理隔离技术13.2.1专用计算机上网内部网络中指定一台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。13.2.2多PC机在内部网络中,上外网的用户桌面上安放着两台PC机,分别连接两个分离的物理网络,一台用于连接外部网络,另一台用于连接内部网络,如图13-1所示。图13-1“多PC机”物理隔离原理示意图13.2.3外网代理服务在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网指定的信息,然后把外网信息手工导入到内部网,供内部用户使用,从而实现内部用户“上

3、网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击,如图13-2所示。图13-2“外网代理服务”物理隔离原理示意图13.2.4内外网线路切换器在内部网中上外网的计算机上连接一个物理线路A/B交换盒,通过交换盒的开关设置可以控制计算机的网络物理连接,如图13-3所示。图13-3“内外网线路切换器”物理隔离原理示意图13.2.5单硬盘内外分区“单硬盘内外分区”技术原理是把单一硬盘分隔成不同的区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问:在任一时间内,仅允许操作系统访问指定的分区,如图13-4所示。这

4、样,“单硬盘内外分区”技术将单台物理PC机虚拟成逻辑上的两台PC机,使得单台计算机某一时刻只能连接到内部网或外网。当连接内部网时,就启用硬盘内部分区,用于处理内部业务敏感数据文件,此时,计算机只能与内部LAN连接,而与外部网(因特网或不可信网)物理开关连接断开。当连接外部网时,就启用对外的硬盘分区,与外部网直接物理相连,但与内部LAN断开,而且不可访问内部使用的硬盘分区。图13-4“单硬盘内外分区”物理隔离原理示意图“单硬盘内外分区”技术的优点是:*提供数据分类存放和加工处理;*可有效防止外部网窃走内部网数据;*可实现一台PC机功能多用,节省资源开支。但是,“单

5、硬盘内外分区”技术仍然会存在安全威胁,这些威胁来源主要有:*操作失误,如误将敏感数据存放在对外硬盘分区中;*驱动程序软件BUG;*计算机病毒潜入;*内部人员故意泄露数据;*特洛伊木马程序。13.2.6双硬盘在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘,如图13-5所示。在两个硬盘上实际上安装了两个操作系统。这种技术在理论上说可以防止内部数据流向外网,但是用户在使用时又必须不断地重新启动切换,造成用户使用不方便,而且也不易统一管理。图13-5“双硬盘”物理隔离原理示意

6、图13.2.7网闸网闸通过利用一种GAP技术(源于英文的“AirGap”),使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换,如图13-6所示。图13-6网闸原理示意图13.3网络物理隔离典型应用案例13.3.1工作机安全上网实例国内已有不少公司掌握了网络物理隔离技术,下面以珠海伟思为例来说明。如图13-7所示,这种方案适用于小规模上网用户,在一个局域网络中,只有部分工作站节点机需要单独通过Modem等拨号设备接Internet网。

7、这样可以在需要接入Internet的工作站节点计算机上安装伟思公司的物理隔离产品,让其能够在与网络隔离的状态下拨号上网,以确保网络的安全。图13-7内网工作站节点机安全隔离上网示意图13.3.2电子政务中网闸应用实例电子政务系统涉及到不同安全等级的网络信息交换。传统方法是通过手工拷贝数据方式来实现信息交换,但是对于大量的网络间数据交换,手工方式难以适应需求,而且人工量大。虽然手工方式确保了网络的安全性,但这种信息交换机制的局限性,造成信息流通不畅,限制了应用的发展。为此,人们普遍采用网闸技术,以物理隔离为基础,在确保安全性的同时,解决了网络之间信息交换的困难。下

8、面以浪潮公司为某税务系统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。