网安笔记13 隔离技术

隔离技术概述

安全域

1. 以信息涉密程度划分的网络空间
2. 涉密域：涉及国家秘密的网络空间，反之就是不涉及
3. 公共服务域是指既不涉及国家秘密也不涉及工作秘密，是一个向因特网络完全开放的公共信息交换空间

网络隔离

• 两个or以上可路由网络(TCP/IP)通过不可路由协议进行数据交换，然后隔离

第一代隔离技术——完全的隔离
第二代隔离技术——硬件卡隔离
第三代隔离技术——数据转播隔离
第四代隔离技术——空气开关隔离
第五代隔离技术——安全通道隔离

没有链接的时候，内外网物理上完全分离

if(外网需要有数据到达内网)
{
    外部服务器发起（非TCP/IP协议）数据连接
    隔离设备剥离协议
    原始数据写入存储介质
}

if(数据完全写入存储介质)
{
    隔离设备 中断与外网链接
    对内网连接
}

if(内网收到数据)
{
    TCP/IP封装后
    发送APP
}
在控制台收到完整的交换信号之后，隔离设备立即切断隔离设备于内网的直接连接

内网发送外网也是一样，只不过主宾互换

交换过程

1. 数据接收
2. 存储
3. 转发

物理隔离的特征：内往往永不连接 —— 最多只有一个同隔离设备建立非TCP/IP协议数据连接

• 好处：外网损坏，内网不会被破坏

技术分类

1. 代码、内容等隔离 —— 反病毒和内容过滤技术
2. 网络层 —— 防火墙
3. 物理链路 —— 物理隔离

安全要点与发展方向

1. 安全要点
   1. 自身安全
   2. 网络之间隔离
   3. 网之间只交换应用数据
   4. 对访问进行控制，检查
   5. 隔离前提下保证网络畅通应用透明
2. 关键点
   1. 提高网间数据交换苏都
   2. APP透明支持
   3. 适应复杂、搞贷款的网间数据交换
3. 发展方向
   1. 数据提取和鉴别认证
   2. 数据交换
   3. 阻断直接TCP/IP连接
   4. 对双方身份认证 过程施以严格的身份认证、内容过滤、安全审计

隔离网闸

多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备

两个独立主机系统之间只对固态存储介质有“read write”命令

1. 第一代：用单刀双掷开关
2. 第二代：专用交换通道PET（Private Exchange Tunnel）技术
3. 第三代：隔离网闸（安全隔离与信息交换,GAP），是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术

工作原理

隔离网闸（安全隔离与信息交换,GAP），是在保证两个网络安全隔离的基础上实现安全信息交换和资源共享的技术

要点

1. 可以在任何时刻的链路层断开 —— 只提供无力控制开关
2. 集合多种技术，消除数据交换的安全隐患
3. 软硬件一体
4. 多种数据交换形式，高传输速率低延迟