计算机网络安全隔离之网闸、光闸

这篇具有很好参考价值的文章主要介绍了计算机网络安全隔离之网闸、光闸。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

1、网闸、光闸的产生

2、网闸和光闸的定义

1、网闸-GAP

2、光闸-FGAP

1、网闸、光闸的产生

目前的市场上的安全隔离类产品主要有3类:网络隔离产品就是俗称的网闸,网络单向导入产品就是俗称的光闸,终端隔离产品形态为硬件隔离主板或者专用计算机,目前的网闸和光闸仍保存着数亿元的市场规模,而终端隔离产品逐渐消失。

2000年的国内网闸市场发展起源于2000年,由于当时政府信息化和电子政务系统建设步伐加快,在电子政务内外网和专网间交换信息就是基本需求,但是在政府内网的安全性与对外提供的电子政务外网存在显著不同,我们需要保证内网和专网的资源安全,构建民众方便快捷的信息资源共享服务平台是电子政务系统建设中需要解决的技术问题,有相关规定:“涉及到国家机密的计算机信息系统,不得直接或者间接地与国际互联网或者其他公共信息网络相连接,必须实现物理隔离。”于是,我国的物理隔离和网络隔离技术在我国快速的兴起发展,也是我过信息安全产业早期发展中的一个新的产品领域。

隔离技术发展经历了多个阶段的发展,不管是早期以人工拷盘方式的绝对物理隔离机制,还是中间时期的硬件隔离卡或专用隔离计算机形式以及现在主流的双隔离主机+专用隔离部件的网络隔离形式,隔离产品的安全性被认为是远远高于防火墙等网关类型产品的,其主要作用就是切断不同安全域之间实时的逻辑链接和协议链接,内外网间的信息的交换格式不再依据传统TCP/IP协议而是采用数据文件读写形式的无协议(或者私有协议)按需摆渡,减小TCP/IP网络环境下的受攻击面,从而实现最后一道防线的效果。

网闸技术“它解决了电子政务兴起带来的政务内网和外网之间安全隔离、适度可控的数据交换的需求。

网闸技术是基于双向的,即通过配置,是允许高安全网络和低安全网络之间双向数据交换的。

光闸则是在网闸基础上对专用隔离部件进行改造和加强,建立发送端向接收端的绝对单向传输路径,保证反方向上无任何反馈信息,通过构造这种物理固化、软件不可修改的单向传输特性切断内外网间的数据流双向交互实现数据由外网向内网的可靠单向流动,起到对内网更高级别的防护。

目前的市场上的隔离类产品具备较强的行业属性,公检法、政府、军工、医疗、能源等行业因为对内部专网的防护要求较高,是产品应用最为广泛的行业,并且随着客户场景的不断细分和变化。例如:公安视频专网、工业控制系统等场景下专用型网闸/光闸细分产品也在不断增多,尤其对于一些涉密等级较高的客户,为了在保证交互性的前提下提高安全性,已经逐步采用两台关闸替代一台网闸的方案。由于独特的物理架构和功能特性,隔离类产品在边界防护场景下具备较强的不可替代性。

2、网闸和光闸的定义

1、网闸-GAP

1、安全隔离网闸(GAP),简称”网闸“技术。其中包含硬件和软件。

2、组成部分:外部处理单元、内部处理单元、隔离硬件(存储单元、数据交换)

内部<--->隔离硬件<---->外部

3、数据安全:切分链路层、实现内外网安全隔离+适度可控数据交换

4、特点:高效、可靠、高安全

5、GAP使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备,在电路上切断网络之间的链路层连接,并且能够在网络之间进行安全交换的网络安全设备。

6、由于物理隔离所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令。所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“黑客”无法入侵、无法攻击、无法破坏,实现了真正的安全。

7、第二代网闸是在吸取了第一代网闸优点的基础上,创造性地利用全新理念的专用交换通道PET技术,通过专用硬件通信卡、私有通信协议和加密签名机制来实现的。 不过还是通过应用层数据提取与安全审查达到杜绝基于协议层的攻击和增强应用层安全效果的,但是比第一代网闸多了更多网络应用支持。其中的专用高速硬件通信卡,提高了处理能力;而私有通信协议和加密签名机制保证了内外处理单元之间数据交换的机密性、完整性和可信性,在保证安全性的同时,提高了更好的处理性能,并且能够适应复杂网络对隔离应用的需求。

8、安全隔离网闸是由软件和硬件组成的额。隔离网闸分为两种架构,一种为双主机的2+1结构,另一种为主机的三系统结构。2+1的安全隔离网闸的硬件设备由三部分组成:外部处理单元、内部处理单元、隔离安全数据交换单元。

9、安全数据交换单元不同时与内外网处理单元连接。隔离网闸采用SU-Gap安全隔离技术,创建一个内、外网物理断开的环境。

三系统的安全隔离网闸的硬件由三部分组成:外部处理单元(外端机)、内部处理单元(内端机)、仲裁处理单元(仲裁机),各单元之间采用了隔离安全数据交换单元。

2、光闸-FGAP

1、光闸是一种由安全隔离网闸(GAP)基础上发展而成的、基于光的单向性的单向隔离软硬件系统

计算机网络安全隔离之网闸、光闸

2、定义:光闸用于对安全性要求极高的网络的数据交换场景。如涉密网络中,按照信息保密的技术要求,涉密网络不能与互联网直接连通;涉密网络与非涉密网络连接时,若非涉密网络与互联网物理隔离,则采用双向网闸隔离涉密网络与非涉密网络;若非涉密网络与互联网是逻辑隔离时,则采用单向网闸隔离涉密网络与非涉密网络,保证涉密数据不从高密级网络流向低密级网络。

图解为:

计算机网络安全隔离之网闸、光闸

光闸技术(FGAP)的产生即为满足这一类单向隔离场景的需求。图解为:

计算机网络安全隔离之网闸、光闸

物理隔离:可以简单理解为两个网络安全域在硬件(网线、系统主机)和软件(系统)方面都是单独部署,两套系统之间没有物理连接(或网线连接);同时物理隔离分为强物理隔离和弱物理隔离两种类型。强物理隔离举例: 两个系统之间没有任何物理线连接;弱物理隔离就是如网闸、光闸类产品。举例:就比如在一个办公室里面,分为两个组,两个组之间各自连接着网线,他们用各自的网络上网,之间不是互通的。

逻辑隔离:两个安全域之间是有物理连接的,只是在路由上或者协议上进行阻断,让两者不能互通。就比如在两个组之间由一条网线连接着,通过路由、防火墙等的配置,使两个组之间不能通信,就像在一个局域网内不同网段之间不能进行通信。

物理隔离和逻辑隔离的区别:

  • 逻辑隔离是通过虚拟化技术实现的。
  • 物理隔离技术为信息网络提供了更高层次的安全防护能力,不仅使信息网络的抗攻击能力大大增强,也可以有效地防范了信息外泄事件的发生;而逻辑隔离特点在于使用的便利性,在同一台计算机上进行窗口切换即可实现不同安全级别网络的访问,同时也不降低安全性。
  • 物理隔离因需单独部署系统,因此整体部署成本较高。

如涉密网络与非涉密网络之间,行业内网与公共网络之间安全隔离网闸,它解决了电子政务兴起带来的政务内网和外网之间安全隔离、适度可控的数据交换的需求。

3、光闸是基于单向的,建立发送端向接收端的绝对单向传输路径,一般是数据单向进入。

      网闸技术是基于双向的,就是通过配置,是允许高安全网络和低安全网络之间双向数据交换的。

4、单向隔离光闸由三个部分组成:内网单元、外网单元、分光单向传输单元。

  • 内网单元和外网单元所实现的安全功能是一致的,只是连接不同的网络,以内网单元为例,其包括内网接口单元与内网数据缓冲区。
  • 接口部分负责与内网的连接,并终止内网用户的网络连接,对数据进行病毒检测、防火墙、入侵防护等安全检测后剥离出”纯数据“,做好交换的准备,也完成来自内网对用户身份的确认,确保数据的安全通道;数据缓冲区是存放并调离剥离后的数据,负责与隔离交换单元的数据交换。

分光单向传输单元工作原理:分光单向传输单元能够实现从一个主机系统向另外一个主机系统单向传输数据主要是通过:光传输的单向性,在光纤通道设备内,连接光纤的两端分别为光发生器、光接收器,在光纤通道设备内不允许也不能实现光纤两端都具有光发生器以及光接收器;光传输的可复制性,利用分光设备(如多棱镜)可将一束光复制为两束或更多束光线,利用这一特性,我们可将在一个系统内部传输的数据以光的方式复制一个副本供使用。

5、单向隔离技术

单向隔离技术的发展经过了三个阶段:物理单向技术、电气单向技术、光单向技术

  • ① 物理单向技术:光盘
  • ② 电气单向技术:程序控制
  • ③ 光的单向技术:光纤:单向隔离光闸

根据业务场景需求,单向隔离光闸一般支持数据库传输、文件传输功能。

① 文件传输的功能特点:

  • FTP、SAMBA协议支持
  • 专用客户端实现文件主动获取
  • 文件安全性检查:IP地址、用户认证信息、用户权限以及缓冲区空间大小等。
  • 高优先级文件优先处理。

图解为:

计算机网络安全隔离之网闸、光闸

② 数据库传输的功能特点:

  • 基于文件传输功能实现
  • 三种传输方式:全表复制、触发同步、标记同步
  • 四种数据库:Oracle、MS SQL Server、DB2、Sybase.

图解为:

计算机网络安全隔离之网闸、光闸

6、特点

  • 高效率:光单向技术效率高,延迟可控制在纳秒级。

    高可靠性:使用高可靠性硬件设计,数据传输模板内置差错校验机制。

    完善的业务功能:在单向文件传输基础上实现了数据库内容的单向同步,极大丰富单向光闸设备功能,具有更好的应用适应性。

    高安全性:网络间的单向隔离,设备不接受任何未知来源的主动请求;应用层数据获取后进行落地还原处理;通过可进行扩展定义的内容检查机制为白名单策略提供进一步的保障机制。

    单向隔离光闸即是基于光的单向技术的安全产品

7、物理结构

最新的光闸硬件采用上下层结构。

计算机网络安全隔离之网闸、光闸

 8、逻辑结构

光闸通过C引擎和iptables规则来传输TCP、UDP协议数据,中间通过单向光模块走UDP协议进行数据摆渡。文章来源地址https://www.toymoban.com/news/detail-409797.html

到了这里,关于计算机网络安全隔离之网闸、光闸的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 0121-1-计算机网络安全

    1.Get 和 Post 的区别 结构 :get 有请求体,post没有请求体 应用场景 :get 用于获取数据,post用于提交数据; 缓存 :get 的缓存保存在浏览器和web服务器日志中; 传输方式 :get 使用明文传输,post请求保存在请求体中; 请求长度 :get 长度限制在2kb以内。 2.常见的HTTP请求 get、

    2024年01月24日
    浏览(51)
  • 计算机网络安全的背景

    虽然传统的计算机发展和当今的电子商务不同,但是不可否认网络已经成 为非常重要的信息和数据互换交换的平台。但是随着网络不断发展渗透到人们的日 常生活、手机终端、交易支付等环节时,网络安全已经成为一个焦点和不可逾越的 发展鸿沟。尽管目前网上支付安全方

    2024年02月10日
    浏览(39)
  • 【网络安全】1.2 计算机网络基础

    计算机网络是一个非常大的主题,但在我们开始深入探讨网络安全之前,我们需要理解一些基本的概念和原理。本章将涵盖计算机网络的基本概念,包括网络的类型,网络的工作原理,以及一些常用的网络技术和协议。 计算机网络是由两台或更多的计算机组成的系统,这些计

    2024年02月07日
    浏览(51)
  • 【吃透网络安全】2023软考网络管理员考点网络安全(三)计算机系统安全评估

    计算机系统安全评估准则,计算机系统安全评估历史,软考网络管理员常考知识点,软考网络管理员网络安全,网络管理员考点汇总。 后面还有更多续篇希望大家能给个赞哈,这边提供个快捷入口! 第一节网络管理员考点网络安全(1)之安全基础 第二节网络管理员考点网络

    2024年02月13日
    浏览(48)
  • 计算机网络安全——密码学入门

            网络安全是指在网络领域、专业领域的网络安全包括在基础计算机网络基础设施中所做的规定,网络管理员采取的策略来保护网络及网络可访问资源免受未经授权的访问,以及对其有效性(或缺乏)的持续不断的监控和测量的结合。 1.1.1 保密性         只有授

    2024年01月19日
    浏览(48)
  • 计算机网络安全基础知识复习

    计算机安全: 对于一个自动化的信息系统,采取措施确保信息系统资源(包括硬件、软件、固件、信息数据和通信)的完整性,可用性和保密性。 目标/服务: 认证;访问控制;数据保密性;数据完整性,不可否认性,可用性. 安全攻击 :任何危及信息系统安全的行为。 安全机

    2024年02月09日
    浏览(45)
  • 网络空间安全及计算机领域常见英语单词及短语——网络安全(一)

    Cybersecurity 网络安全 Network security 网络安全 Information security 信息安全 Data protection 数据保护 Threat analysis 威胁分析 Risk assessment 风险评估 Intrusion detection system (IDS) 入侵检测系统 Intrusion prevention system (IPS) 入侵防御系统 Malware detection 恶意软件检测 Vulnerability assessment 漏洞评估 Ac

    2024年02月07日
    浏览(42)
  • SZU计算机安全导论(网络安全)线下期末考试复盘

    刚刚考完计算机安全导论,之前复习的时候发现网上几乎没有找到复习的内容,而且考试内容又很杂(差点复习不完啦),所幸这次考试内容比较简单,现在凭借印象把大题内容分享出来。 比较基础,就不细说啦(可以看看uooc里面的题目) (1)求欧拉函数值 (2)已知e,求

    2024年02月02日
    浏览(46)
  • 网络安全入门学习第九课——计算机网络基础

    1.1、公网地址的范围 A类:地址范围1.0.0.0~127.255.255.255,主要分配给主机数量多、局域网数量少的大型网络; B类:地址范围为128.0.0.0至191.255.255.255,一般为国际大公司及政府机构使用; C类:地址范围为192.0.0.0至223.255.255.255,为一般小型公司校园网研究机构; 1.2、私网地址的范围 A类

    2024年02月08日
    浏览(52)
  • 《计算机系统与网络安全》 第八章 操作系统安全基础

    🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁 🦄 个人主页——libin9iOak的博客🎐 🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~🌺 🌊 《IDEA开发秘籍》学会IDEA常用操作,工作效率翻倍~💐 🪁🍁 希望本文能够给您带来一定的帮助🌸文章粗浅,敬

    2024年02月11日
    浏览(49)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包