信息安全政策(隔離與監控)
阿新 • • 發佈:2018-06-04
其他 一個數 目標 類別 size 關卡 切換 交換技術 情況
第三代隔離技術:數據傳播隔離。利用轉播系統分時復制文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網絡應用,失去了網絡存在的意義
第四代隔離技術:空氣開關隔離。通過使用單刀雙擲開關,使得內外部網絡分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題
第五代隔離技術:安全通道隔離。通過專用通信硬件和專有安全協議等安全機制,來實現內外網絡的隔離和數據交換
防火墻
新一代防火墻技術多重安全網關通過架設更多的關卡來處理不同類別的事物。基本的策略都是架橋的策略
網閘的功能代理,這個代理不只是協議代理,而是數據的“拆卸”,把數據還原成原始的面貌,拆除各種通信協議添加的“包頭包尾”。
網閘的安全理念是:網絡隔離————“過河用船不用橋”:用“擺渡方式”萊格裏網絡。協議隔離————“禁止采用集裝箱運輸”:通訊協議落地,用專門協議或存儲等方式阻斷通訊協議的連接,用代理方式支持上層業務
按國家安全要求是需要涉密網絡與非涉密網絡互聯的時候,要采用網閘隔離。
交換網絡的模型來源於銀行系統的Clark-Wilson模型,是在兩個隔離的網絡之間建立一個數據交換區域,負責業務數據交換(單項或雙向)。交換網絡的兩端可以采用多重網關,也可以采用網閘。交換網絡的核心也是業務代理。客戶業務要經過接入緩沖區的申請代理,到業務緩沖區的業務代理,才能進入生產網絡。網閘與交換網絡技術都是采用渡船策略,延長數據通信“裏程”,增加安全保障措施。
安全監控
主要分為兩大類:
1、網絡安全監控
主要實現一下幾個功能:
1、全面的網絡安全控制
2、細粒度的控制
3、網絡審計
4、日誌、報警、報告和攔截等
2、主機安全監控
主要實現一下幾個功能:
1、訪問控制
2、系統監控
3、系統審計
4、系統漏洞檢查
網絡隔離
涉密系統不得直接或間接與國際聯網,必須實行物理隔離;2000年1月1日正式實施的《計算機信息系統國際聯網保密管理規定》中也明確規定:“凡涉及國家秘密的計算機信息系統,不得直接過間接地與國際互聯網或者其它公共信息網絡相連接,必須實行物理隔離”
隔離的本質是在需要交換信息甚至是共享資源的情況下才出現,既要信息交換或共享資源,也要隔離。
網絡隔離技術的目標是確保把有害的攻擊隔離,在可信網絡之外和保證可信網絡內部信息不外泄的前提下,完成網間數據的安全交換。
隔離的概念是在為了保護高安全度網絡環境的情況下產生的;
第一代隔離技術:完全地隔離。此方法使得網絡處於信息孤島狀態,做到了完全的物理隔離,信息至少兩套網絡和系統,更重要的是信息交流的不便和成本的提高
第二代隔離技術:硬件卡隔離
第三代隔離技術:數據傳播隔離。利用轉播系統分時復制文件的途徑來實現隔離,切換時間非常之久,甚至需要手工完成,不僅明顯地減緩了訪問速度,更不支持常見的網絡應用,失去了網絡存在的意義
第四代隔離技術:空氣開關隔離。通過使用單刀雙擲開關,使得內外部網絡分時訪問臨時緩存器來完成數據交換的,但在安全和性能上存在有許多問題
第五代隔離技術:安全通道隔離。通過專用通信硬件和專有安全協議等安全機制,來實現內外網絡的隔離和數據交換
防火墻
新一代防火墻技術多重安全網關通過架設更多的關卡來處理不同類別的事物。基本的策略都是架橋的策略
網閘的功能代理,這個代理不只是協議代理,而是數據的“拆卸”,把數據還原成原始的面貌,拆除各種通信協議添加的“包頭包尾”。
網閘的安全理念是:網絡隔離————“過河用船不用橋”:用“擺渡方式”萊格裏網絡。協議隔離————“禁止采用集裝箱運輸”:通訊協議落地,用專門協議或存儲等方式阻斷通訊協議的連接,用代理方式支持上層業務
按國家安全要求是需要涉密網絡與非涉密網絡互聯的時候,要采用網閘隔離。
交換網絡的模型來源於銀行系統的Clark-Wilson模型,是在兩個隔離的網絡之間建立一個數據交換區域,負責業務數據交換(單項或雙向)。交換網絡的兩端可以采用多重網關,也可以采用網閘。交換網絡的核心也是業務代理。客戶業務要經過接入緩沖區的申請代理,到業務緩沖區的業務代理,才能進入生產網絡。網閘與交換網絡技術都是采用渡船策略,延長數據通信“裏程”,增加安全保障措施。
安全監控
主要分為兩大類:
1、網絡安全監控
主要實現一下幾個功能:
1、全面的網絡安全控制
2、細粒度的控制
3、網絡審計
4、日誌、報警、報告和攔截等
2、主機安全監控
主要實現一下幾個功能:
1、訪問控制
2、系統監控
3、系統審計
4、系統漏洞檢查
信息安全政策(隔離與監控)