网络隔离技术-隔离网络技术有哪些-隔离网络技术有哪些

aizixun8

隔离技术概述：安全域是依据信息涉密程度来划分的网络空间。涉密域指的是涉及国家秘密的网络空间。非涉密域是不涉及国家秘密，但涉及本单位、本部门或本系统工作秘密的网络空间。公共服务域既不涉及国家秘密，也不涉及工作秘密，是向因特网完全开放的公共信息交换空间。隔离的概念包括：安全域的电子政务内网和外网需实行严格的物理隔离。政务的外网需与因特网络实行逻辑隔离。依据安全域的划分，政府的内网属于涉密域，政府的外网属于非涉密域，因特网属于公共服务域。隔离技术概述网络隔离，主要是指将两个或两个以上可路由的网络（如 TCP/IP）通过不可路由的协议（如 IPX/SPX 等）来进行数据交换，以达到隔离的目的。它的原理主要是运用了不同的协议，所以一般也被称作协议隔离。隔离技术概述：网络隔离有其技术原理。右图展示了在没有连接时内外网的应用状况，从连接特征能够看出，这种结构在物理上是完全分离的。

网络隔离的技术原理如下：当外网有数据要到达内网时，比如以电子邮件为例，外部服务器会立即发起对隔离设备的非 TCP - IP 协议的数据连接。接着，隔离设备会把所有的协议剥离掉，然后把原始的数据写入存储介质。网络隔离的技术原理是，当数据完全写入隔离设备的存储介质后，隔离设备会立刻中断与外网的连接，接着发起对内网的非 TCP/IP 协议的数据连接，然后将存储介质内的数据推向内网，内网收到数据后，会立即进行 TCP/IP 的封装以及应用协议的封装，并将其交给应用系统。控制台收到完整交换信号后，隔离设备立刻切断其与内网的直接连接。隔离技术概述中提到，网络隔离的技术原理是，当内网有电子邮件要发出且隔离设备收到内网建立连接的请求后，会建立与内网之间的非 TCP - IP 协议的数据连接。网络隔离的技术原理是，当数据完全被写入隔离设备的存储介质之后，隔离设备会立刻中断与内网的连接，然后开始发起对外网的非 TCP/IP 协议的数据连接，最后将存储介质内的数据推向外网。外网收到数据后，会马上进行 TCP/IP 的封装以及应用协议的封装，接着将其交给系统。网络隔离的技术原理中，每一次数据交换时，隔离设备都要经历数据的接受、存储和转发这三个过程。

这些规则是在内存和内核中完成的，所以速度有保证，能达到 100%的总线处理能力。物理隔离有一个特征，即内网与外网永不连接，在同一时间，内网和外网最多只有一个同隔离设备建立非 TCP/IP 协议的数据连接。其数据传输机制为存储和转发。物理隔离有明显的好处。外网即便处于最坏的状况，内网也不会遭到任何破坏。而且修复外网系统是非常容易的。隔离技术有相关概述。网络隔离技术可进行分类，其一为基于代码、内容等进行隔离的反病毒和内容过滤技术；其二是基于网络层隔离的防火墙技术；其三是基于物理链路层的物理隔离技术。同时，网络隔离技术还有要点与发展方向，其一为网络隔离技术需要具备的安全要点；其二是网络隔离的关键点，此关键点在于尽量提高网间数据交换的速度，且能对应用进行透明支持，以适应复杂且高带宽需求的网间数据交换。网络隔离技术要点与发展方向如下：通过专用通信设备、专有安全协议和加密验证机制以及应用层数据提取和鉴别认证技术，来实现不同安全级别网络之间的数据交换，彻底阻断网络间的直接 TCP/IP 连接，同时对网间通信的双方、内容、过程实施严格的身份认证、内容过滤、安全审计等多种安全防护机制，以此保证网间数据交换的安全与可控，杜绝因操作系统和网络协议自身漏洞而带来的安全风险。

隔离网闸是一种信息安全设备，它使用带有多种控制功能的固态开关读写介质来连接两个独立的主机系统。这两个独立主机系统之间不存在通信的物理连接、逻辑连接、信息传输命令和信息传输协议，也不存在依据协议的信息包转发。只有数据文件进行无协议的“摆渡”，并且对固态存储介质只有“读”和“写”这两个命令。物理隔离网闸在物理层面上隔离并阻断了所有具有潜在攻击可能性的连接。这样一来，“黑客”无法实施入侵行为，无法进行攻击，也无法造成破坏，从而实现了真正的安全。网闸又称安全隔离与信息交换系统，是新一代高安全度的企业级信息安全防护设备。它依托安全隔离技术，为信息网络提供了更高层次的安全防护能力。这种能力使得信息网络的抗攻击能力大大增强，同时也有效地防范了信息外泄事件的发生。第一代网闸的技术原理是：借助单刀双掷开关，让内外网的处理单元分时去存取共享存储设备，以此来完成数据交换。其安全原理为：通过对应用层数据进行提取以及安全审查，从而达到杜绝基于协议层的攻击以及增强应用层安全的效果。第二代网闸吸取了第一代网闸的优点，它利用专用交换通道 PET（  ）技术，在不降低安全性的情况下，能够完成内外网之间高速的数据交换，从而有效地克服了第一代网闸的弊端。

第二代网闸实现安全数据交换过程依靠专用硬件通信卡、私有通信协议以及加密签名机制。隔离网闸（安全隔离与信息交换，GAP）的工作原理是在确保两个网络安全隔离的前提下，实现安全信息交换和资源共享。隔离网闸的要点之一在于专用硬件设计能保证在物理隔离状态下进行信息交流。GAP 通过采用专用隔离硬件的设计来达成隔离功能。这种硬件设计能确保在任何时刻，网络间的链路层都会断开，从而阻断 TCP/IP 协议以及其他网络协议。并且，该硬件不提供编程软接口，不会受系统控制，仅仅提供物理上的控制开关。基于此，黑客无法从远程获取到硬件的控制权。另外，它还集合了多种安全技术，以消除数据交换过程中的安全隐患。专用硬件为基础，内核防护、协议转化、病毒查杀、身份验证、访问控制、安全审计等模块被紧密集成。这些模块能够与隔离硬件相结合，从而构成整体的防御体系。网闸以安全隔离作为基础，并且集成了多种防护技术，其软硬一体的设计形成了整体多层面的安全防护。灵活高效的数据交换形式能够确保应用需求。GAP 产品提供了多种数据交换方式来满足业务应用。其中，公安部信息通信局与天行网安公司联合研制的天行安全隔离网闸（-GAP），它提供了文件交换这种方式，还提供了邮件交换这种方式，也提供了数据库交换这种方式，并且提供了具有 API 应用接口的消息模块。同时，它还具有较高的传输速率以及低延迟性。

典型产品介绍天御 6000 系列网络物理隔离系统。该系统由北京和信网安科技有限公司与中国科学院中力机电新技术有限公司联合开发。它在保证内外网物理隔离的前提下，能够实现安全高效的数据交换，为解决内网的安全问题提供了全新的解决方案。在保证必须安全的前提下，尽可能互联互通。本章小结：本章主要对隔离技术的发展、现状以及工作原理进行了介绍，重点在于掌握安全隔离网闸（GAP）的工作原理，包括协议控制、数据转换、安全审查、身份认证等。需要将安全隔离网闸与传统防火墙进行对比学习，要理解它们之间的异同之处，尤其要关注在安全机制、硬件设计、网络协议处理以及遭攻击后果等方面的差异。作业 P 2021、2、3