《网络安全-郑万波》网络安全(3)

• 网闸的安全思路来自于“不同时连接”。不同时连接两个网络，通 过一个中间缓冲区来“摆渡”业务数据，业务实现了互通，“不连 接”原则上入侵的可能性就小多了。网闸只是单纯地摆渡数据，通 过的内容清晰可见，这样入侵与病毒没有了藏身之地，网络就相对 安全了。但是，网闸作为网络的互联边界，必然要支持各种业务的 连通，也就是某些通讯协议的通过，所以网闸上大多开通了协议的 代理服务，于是网闸的安全性就打了折扣，在对这些通道的安全检 查方面，网闸比多重安全网关的检查功效不见得高明。
1. 信息泄密 2. 网络入侵 3. 网络病毒 4. 木马入侵
– 边界是指网络与外界互通引起的安全问题，有入侵、病毒与攻击。 – 边界防护技术
1. 防火墙技术 2. 多重安全网关技术 3. 网闸技术 4. 数据交换网技术
a
2
网络访问控制
• 边界防护技术 – 多重安全网关技术 • 如果一道防火墙不能解决各个层面的安全防护，就多上几道安全网关，如 用于应用层入侵的IPS（Intrusion Prevention System）、用于对付病毒的AV （Antivirus Programs）。它们设计在一起就是UTM（Unified Threat Management是指全功能的安全防御设备，UTM系统将多种特性和功能集成 到一个产品中，包括入侵检测与防御、网关杀毒、垃圾邮件过滤与Web内 容过滤以及防火墙等传统功能），分开就是各种不同类型的安全网关。 • 多重安全网关的安全性显然比防火墙要好些，起码对各种常见的入侵与病 毒都可以抵御。但是UTM存在一个最重要的致命伤一直阻碍它的大规模推 广，这就是性能问题。
5. 移动存储介质未从计算机取出时，不能进行内外网络切换。 6. 防止内部网络信息通过电磁辐射泄露到外部网络上。
a
10
网络访问控制
• 电磁辐射泄密
– 进入80年代以来，随着各类电子设备在军事及民用领域的普 遍应用，解决电磁辐射泄密的问题也随之被提上了日程。 就象河里的水必然有渗透漏一样，所有电子设备如计算机、 电子打字机、通信机、电话机、扩音机、投影机等在信息 传递过程中都存在不同程序的电磁辐射泄漏问题，其中尤 以带有显示器（CRT）的电子设备泄漏更为严重。据有关资 料介绍，国外接收和还原电磁辐射信息的距离已超过1000米。
a
3
网络访问控制
• 边界防护技术
– IPS与IDS
a
4
– 网闸技术
网络访问控制
GAP源于英文的"Air Gap"，GAP技术是一种通过专用硬件使两个或者两
个以上的网络在不连通的情况下，实现安全数据传输和资源共享的技术。 GAP中文名字叫做安全隔离网闸，它采用独特的硬件设计，能够显著地 提高内部用户网络的安全强度
因此，采用技术手段防止秘密信息由电磁辐射形式泄漏已 是迫切需要解决的问题。使用计算机处理涉密信息时，应 当使用低辐射计算机设备或者采取屏蔽或干扰等防辐射的 保密技术措施。就目前的技术手段讲，主要方法有降低电 子设备的电磁辐射强度、屏蔽，安装干扰器，控制安全距 离和降低电子设备安放楼层的高度等。
a
11
• 网闸的思想是先堵上，根据需要再开一些小门，防火墙是先打开大
门，对不希望的再逐个禁止，两个思路刚好相反。后来网闸设计中
出现了存储通道技术、单向通道技术等等，但都不能保证数据的
“单纯性”，检查技术由于没有新的突破，所以网闸的安全性受到
了专家们的质疑。
a
5
• GAP技术的基本原理是：切断网络之间的通用协议连接;将数据包进行 分解或重组为静态数据;对静态数据进行安全审查，包括网络协议检查 和代码扫描等;确认后的安全数据流入内部单元;内部用户通过严格的 身份认证机制获取所需数据。
a
13
网络访问控制
• 什么是物理隔离？
– 物理隔离技术实质就是一种将内外网络从物理上断开，伹保持逻辑连接的信息 安全技术。这里，物理断开表示任何时候内外网络都不存在连通的物理连接， 逻辑连接表示能进行适度的数据交换。物理隔离是指内部网不直接通过有线或 无线等任何手段连接到公共网，从而使内部网络和外部公共网络在物理上处于 隔离状态的一种物理安全技术。
5. 移动存储介质未从计算机取出时，不能进行内外网络切换。 6. 防止内部网络信息通过电磁辐射泄露到外部网络上。
a
9
网络访问控制
• 物理安全主要是指通过物理隔离实现网络安全。 • 国家保密局2000年1月1日起颁布实施的《计算机信息系统国际
联网保密管理规定》第二章保密制度第六条规定：“涉及国家 秘密的计算机信息系统，不得直接或间接地与国际互联网或其 他公共信息网络相连接，必须实行物理隔离。” 为确保物理隔 离技术和新产品的安全保密，国家保密局对物理隔离提出了明 确的保密技术要求：
网络访问控制
• 电磁辐射泄密
– 使用低辐射计算机
• 使用低辐射计算机设备是防止计算机辐射泄密的根本措施。因为这些设备 在设计和生产时，已经对可能产生电磁辐射的元器件、集成电路、连接线 等采取了防辐射措施，使计算机设备的电磁辐射降到最低限度。国外对计 算机辐射问题认识比较早，制定了一系列安全标准 ，生产厂家也严格按规 定生产符合标准的设备，但这些低辐射计算机是禁止出售给我国的。目前 我国已能生产有相对屏蔽措施的显示屏和主机箱内套有金属屏蔽柜的设备， 电磁辐射较小。
• 数据交换网技术针对的是大数据互通的网络互联，一般来说适合于 下面的场合：
1. 频繁业务互通的要求
2. 高密级网络的对外互联
a
8
网络访问控制
• 物理安全主要是指通过物理隔离实现网络安全。 • 国家保密局2000年1月1日起颁布实施的《计算机信息系统国际
联网保密管理规定》第二章保密制度第六条规定：“涉及国家 秘密的计算机信息系统，不得直接或间接地与国际互联网或其 他公共信息网络相连接，必须实行物理隔离。” 为确保物理隔 离技术和新产品的安全保密，国家保密局对物理隔离提出了明 确的保密技术要求：a Nhomakorabea15
网络访问控制
• 物理隔离从广义上分为网络隔离和数据隔离，它们都 称为物理隔离。
– 网络隔离 • 网络隔离就是把被保护的网络从开放、无边界、自由的环境中独立出来， 使得Internet上的黑客和计算机病毒都无从入手，也就谈不上入侵了。
– 数据隔离 • 不管网络隔离采用的是真正的物理隔离还是逻辑隔离，如果在使用中出现 一台计算机能够连接两个或多个网络，那么所有的网络隔离就没多大意义， 因为同一台计算机连接两个网络，而没有把存储设备隔离，使同一个操作 系统能连接不同的网络，计算机病毒很容易从一个网络流向另一个网络， 这样即使做了网络隔离，但是网络安全的威胁同样存在。所以数据的隔离 是非常重要的。
• 数据交换网技术比其他边界安全技术有显著的优势：
1. 综合使用多重安全网关与网闸，采用多层次的安全关卡。
2. 有了缓冲空间，可以增加安全监控与审计，用专家来对付黑客的入侵， 边界处于可控制的范围内。
3. 业务的代理保证数据的完整性，业务代理也让外来的访问者止步于网 络的交换区，就象是来访的人只能在固定的接待区洽谈业务，不能进 入到内部的办公区。
1. 在物理传导上使内外网隔离，确保外部网络不能通过网络连接而入侵内 部网络，同时防止内部网络的信息通过网络连接泄露到外部网络。
2. 计算机屏幕上应有当前处于内网还是外网的明显标识。 3. 内外网络的接口处应有明确的标识。
4. 内外网络切换时应重新启动计算机，以清除内存、处理器等暂存部件残 余信息，防止秘密信息串到外网上。
网络安全
第 5&6 讲
a
1
网络访问控制
• 网络边界控制 – 把不同安全级别的网络相连接，就产生了网络边界。防止来自网络外 界的入侵就要在网络边界上建立可靠的安全防御措施。
– 非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的， 主要的原因是攻击者不可控，攻击是不可溯源的，也没有办法去“封 杀”，一般来说网络边界上的安全问题主要有下面几个方面：
里内置了协议分析引擎、内容安全引擎和病毒查杀引擎等多种安全机 制，可以根据用户需求实现复杂的安全策略。SGAP系统可以广泛应
用于银行、政府等部门的内部网络访问外部网络，也可用于内部网的 不同信任域间的信息交互。
a
6
a
7
网络访问控制
•
边界防护技术
Clark-wilson integrity model）：在普通商业活动中提供
– 采取计算机电磁屏蔽技术
• 根据计算机辐射量的大小和客观环境的需要，对计算机机房或主机部件加 以屏蔽，是防止涉密计算机群体电磁辐射泄密的有效措施。将计算机房用 金属屏蔽笼(又称法拉第笼)封闭起来，并将金属屏蔽笼接地，能有效地防止 计算机和辅助设备的电磁波辐射。不具备屏蔽条件的计算机机房，也可将 计算机辐射信号的区域控制起来，避免辐射信号被截收。
a
16
网络访问控制
• 物理隔离在网络上的要求主要有3点：
– 在物理传导上使内外网络隔断，确保外部网不能通过网络连接而侵入内部网， 同时防止内部网信息通过网络连接泄漏到外部网。
– 在物理辐射上隔断内部网与外部网，确保内部信息不会通过电磁辐射或祸合方 式泄露到外部网。
– 在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，如内存、处 理器等暂存部件，要在网络转换时做清除处理，防止残留信息泄漏；对于断电 非遗失性设备(如磁带机、硬盘等存储设备)，内部网与外部网信息要分开存储。
a
14
网络访问控制
• 物理隔离的含义 – 它可以阻断网络的直接连接，即没有两个网络同时连在隔离设备上； – 隔离设备的传输机制具有不可编程的特性，因此不具有感染的特性； – 任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离 的； – 物理隔离系统具有管理和控制功能，隔离设备具有审查的功能。
1. 在物理传导上使内外网隔离，确保外部网络不能通过网络连接而入侵内 部网络，同时防止内部网络的信息通过网络连接泄露到外部网络。
2. 计算机屏幕上应有当前处于内网还是外网的明显标识。 3. 内外网络的接口处应有明确的标识。
4. 内外网络切换时应重新启动计算机，以清除内存、处理器等暂存部件残 余信息，防止秘密信息串到外网上。
–
数据交换网技术
数据完整性的方法，包括抽象数据类型、权力分离、分 配最小权力和非任意访问控制等软件工程概念。
• 数据交换网技术是基于缓冲区隔离的思想，把城门处修建了一个 “数据交易市场”，形成两个缓冲区的隔离，同时引进银行系统对 数据完整性保护的Clark-Wilson模型，在防止内部网络数据泄密的同 时，保证数据的完整性，即没有授权的人不能修改数据，防止授权 用户错误的修改，以及内外数据的一致性。
– 采取计算机电磁辐射干扰技术
• 根据电子对抗原理，采用一定的技术措施，对计算机的辐射信息进行干扰， 增加接收还原解读的难度，是防止计算机电磁辐射泄密的有效措施。目前 对电磁辐射实施干扰的方法，主要有白噪声干扰和相关干扰两种。
a
12
网络访问控制
• 为什么需要物理隔离？ – 在实行物理隔离之前，我们对网络的信息安全有许多措施，如在网络中增加防 火墙、防病毒系统，对网络进行入侵检测、漏洞扫描等。由于这些技术的极端 复杂性与有限性，这些在线分析技术无法提供某些机构（如军事、政府、金融 等）提出的高度数据安全要求。而且，此类基于软件的保护是一种逻辑机制， 对于逻辑实体而言极易被操纵。后面的逻辑实体指黑客、内部用户等。 – 正因为如此，涉密网不能把机密数据的安全完全寄托在用概率来作判断的防护 上，必须有一道绝对安全的大门，保证涉密网的信息不被泄露和破坏，这就是 物理隔离所起的作用。
• 安全隔离与信息交换系统SGAP一般由三部分构成：内网处理单元、
外网处理单元和专用隔离硬件交换单元。系统中的内网处理单元连接 内部网，外网处理单元连接外部网，专用隔离硬件交换单元在任一时 刻点仅连接内网处理单元或外网处理单元，与两者间的连接受硬件电 路控制高速切换。这种独特设计保证了专用隔离硬件交换单元在任一 时刻仅连通内部网或者外部网，既满足了内部网与外部网网络物理隔 离的要求，又能实现数据的动态交换。SGAP系统的嵌入式软件系统
a
17
网络访问控制
• 物理隔离技术原理
– 数据二极管技术
• 这是一种在物理断开的网络之间进行单向桥接的专用安全技术。这种单向 桥接技术是通过单工的连接完成的。这种连接只在数据源计算机具有一个 数据发送源，在数据目标计算机上有一个数据接收器。