计算机网络信息安全理论与实践教程第13章
合集下载
精选计算机网络信息安全理论与实践教程
入侵检测的概念入侵是未经授权蓄意尝试访问新,篡改信息、使系统不可用的行为入侵是指违背访问目标的安全策略的行为入侵检测是通过收集操作系统、系统程序、应用程序、网络包等信息,发现系统中违背安全策略或危机系统安全的行为。具有入侵检测功能的系统称为入侵检测系统——IDS
11.1.2 入侵检测系统模型
主体
安全监控器
防火墙性能指标
最大吞吐量传输速率最大规则数并发连接数
第九章 VPN技术的原理和应用
9.1VPN 虚拟专用网(Virtual Private Networks,VPN)提供了一种在公共网络上实现网络安全保密通信的方法。
9.2VPN安全服务功能
保密性服务完整性服务认证性服务
第十章 漏洞扫描技术的原理与应用
7.5.2访问控制规则
基于用户身份的访问控制规则基于角色的访问控制规则基于地址的访问控制规则基于时间的访问控制规则基于异常事件的访问控制规则基于服务数量的访问控制规则
7.6访问控制管理过程和内容
访问控制管理过程明确访问控制的管理的资产分析管理资产的安全要求制定访问控制策略实现访问控制策略,建立用户访问身份认证系统,并根据用户的类型,授权用户访问资产运行和文虎访问控制系统,及时调整访问策略最小特权管理用户访问管理口令管理
4.பைடு நூலகம்安全协议
SSL(Secure Socket Layer)是介于应用层和TCP层之间的安全通信协议。主要目的是当两个应用层之间相互通信时,使被传送信息具有保密性和可靠性。SSL由两层协议组成1、SSL纪录协议(用途是将各种不同的较高层次的协议封装后再传送)2、SSL握手协议(为两个应用程序开始传送或接收数据前,提供服务器和客户端间的相互认证,并相互协商决定双方通信使用的加密算法及加密密钥)提供三种服务1、保密性通信2、点对点之间的身份认证3、可靠性通信
11.1.2 入侵检测系统模型
主体
安全监控器
防火墙性能指标
最大吞吐量传输速率最大规则数并发连接数
第九章 VPN技术的原理和应用
9.1VPN 虚拟专用网(Virtual Private Networks,VPN)提供了一种在公共网络上实现网络安全保密通信的方法。
9.2VPN安全服务功能
保密性服务完整性服务认证性服务
第十章 漏洞扫描技术的原理与应用
7.5.2访问控制规则
基于用户身份的访问控制规则基于角色的访问控制规则基于地址的访问控制规则基于时间的访问控制规则基于异常事件的访问控制规则基于服务数量的访问控制规则
7.6访问控制管理过程和内容
访问控制管理过程明确访问控制的管理的资产分析管理资产的安全要求制定访问控制策略实现访问控制策略,建立用户访问身份认证系统,并根据用户的类型,授权用户访问资产运行和文虎访问控制系统,及时调整访问策略最小特权管理用户访问管理口令管理
4.பைடு நூலகம்安全协议
SSL(Secure Socket Layer)是介于应用层和TCP层之间的安全通信协议。主要目的是当两个应用层之间相互通信时,使被传送信息具有保密性和可靠性。SSL由两层协议组成1、SSL纪录协议(用途是将各种不同的较高层次的协议封装后再传送)2、SSL握手协议(为两个应用程序开始传送或接收数据前,提供服务器和客户端间的相互认证,并相互协商决定双方通信使用的加密算法及加密密钥)提供三种服务1、保密性通信2、点对点之间的身份认证3、可靠性通信
计算机网络安全教程第13章简明教程PPT课件
3、扫描存活主机开放的端口
确定目标IP地址范围后,攻击者需要了解目标网络中有哪些存活 主机。目标网络中不同段会有不同的主机处于开机状态。 通常攻击者在白天扫描活动的机器,然后深夜再次查找,这样能 大致区分个人计算机和服务器,因为服务器始终都处于运行状态,而 个人计算机通常只在白天开机。 ping命令是用来测试目标主机的存活状态的基本方法。如果目标 主机上安装了防火墙,并设置不响应ping命令发出的连通性测试数据 包,则需要使用其它办法来判断目标主机是否在网络中。 为了提高扫描效率,通常使用专用的扫描工具软件来进行扫描, 并且这类工具会提供类似ping命令等多种方式来对设定的IP地址段进 行扫描。 针对目标网络中的存活主机,需要进一步了解其运行状况。首先 要掌握的就是目标主机上开放了哪些端口。根据开放的端口来判断是 否有相应的漏洞可利用,或根据端口上开放的服务来分析目标系统的 运行状况。
计算机网络安全教程
二、口令安全
1、口令破解
典型的口令破解有以下几种方法: ●暴力破解。就是利用程序自动排列字符和数字的组合,并利用 这个排列去尝试登录系统的过程。从理论上来说,这种方式能破解任 何系统的口令,但实际中这种方式往往是效率最低的。 ●字典破解。将一些网络用户所经常、习惯使用的口令,以及曾 经通过各种手段所获取的其它系统的口令,集中在一个文本文件中。 破解程序读取这个“字典”文件,针对目标系统自动逐一进行测试登 录。也就是说,只有当目标用户的口令存在于其字典文件中,才会被 这种方式找到。 ●掩码破解。所谓掩码口令是假设我们已经知道口令的某一位或 几位,此时候可以对该位设置掩码,将口令的其它各位使用字符、数 字的各种组合,通过不断尝试来猜测口令。
达到此目的的主要手段是使用traceroute命令,该命令可以知道 一个数据包在通过网络时的各段路径。利用这一信息,能判断主机是 否在相同的网络上。通常,连入Internet上的网络都会设置一个出口 路由器(或类似设备),并通过防火墙后的交换机连接其它入网计算 机。
网络安全与保密(第二版)第13章
2.逻辑炸弹(Logic bomb) 合法程序中的代码,当符合某种条件的时候就会“爆炸”。 用来触发逻辑炸弹的条件可以是某些文件的出现或缺失、某 个日期或星期几、某一特定用户运行该应用程序等。
3.特洛伊木马程序(Trojan horse) 特洛伊木马程序是一个有用的(或表面开起来很有用的) 程序或命令过程,其中包含了秘密代码。当调用的时候,这 些秘密代码将执行一些不必要的或有害的操作。
3.木马 木马其前缀是:Trojan,黑客病毒前缀名一般为Hack。 木马的公有特性是通过网络或者系统漏洞进入用户的系统并 隐藏,然后向外界泄露用户的信息;而黑客病毒则有一个可 视的界面,能对用户的电脑进行远程控制。木马、黑客病毒 往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑 客病毒则会通过该木马病毒来进行控制。现在这两种类型都 越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ3344 ,还有大家可能遇见比较多的针对网络游戏 的木马病毒如Trojan.LMir.PSW.60。这里补充一点,名中有 PSW或者什么PWD之类的一般都表示这个代码有盗取密码 的功能。
恶意代码或恶意软件(Malware)是指未经用户授权便干 扰或破坏计算机系统/网络的程序或代码。由此定义,恶意 代码有两个显著的特点:非授权性和破坏性。
恶意代码种类很多,主要有计算机病毒、网络蠕虫、特 洛伊木马、后门、DDoS程序、僵尸程序、Rootkit、黑客攻 击工具、间谍软件、广告软件、垃圾邮件和弹出窗体程序等。
1.系统恶意代码 系统病毒的前缀为:Win32、PE、Win95、W32、W95 等。这些病毒的共有特性是可以感染Windows系统的 *.exe 和 *.dl 文件,并通过这些文件进行传播。 2.蠕虫 蠕虫的前缀是:Worm。蠕虫的公有特性是通过网络或 者系统漏洞进行传播,很大部分的蠕虫都有向外发送带毒邮 件,阻塞网络的特性。比如冲击波(阻塞网络),小邮差(发带 毒邮件)等。
中职课件电脑入门实训教程:第13章 伴我纵横——玩转有线与无线局域网
13.2.2 配置无线宽带路由器
配置无线路由器的工作主要包括选择上网方式、设置上网账号与 口令、设置路由器的基本参数等。可任意选择一台已连接好网络的 电脑,然后执行如下操作配置无线路由器。
1.启动IE浏览器,在地址栏 中输入无线路由器地址: 192.168.1.1,按【Enter】 键
2.输入路由器管理员 的用户名和密码
2.输入用户名:admin,密码: admin
3.单击
4.单击
5.单击
6.选择上网方式
7.单击
8.输入网络运营 商提供的上网账 号及口令
9.单击
之后在出现的画面中单击“保存”或“完成”按钮,完成设置。
13.1.4 配置与使用共享资源
要使本计算机中的资源(文件夹或打印机)可供其他用户使用, 可右击该资源,在弹出的快捷菜单中选择“共享和安全”,然后 在打开的对话框中执行如下操作。
通过“查看工作组计算机”选项访问其他电脑。打开“网上邻居”窗口, 单击窗口左侧的“查看工作组计算机”选项,然后双击要访问的计算机名 称。
通过地址栏直接访问其他电脑。打开“我的电脑”窗口,在地址栏中输 入“\\网络计算机名”(如\\jqe),并按【Enter】键,即可访问指定电脑, 如下图所示。
13.1.5 使用网络打印机
首先双击Windows XP任务栏中的图标,打开网卡配置对话框, 然后执行如下操作。
1禁用了无线网 络的SSID广播功能, 则设置该项后,便可以 正常连接无线网
4.单击
5.设置“数据加密” 类型为WEP
7.单击
6.设置“密钥#1” 格式为ASCII,再 填写为无线网络设 置的密钥
3.单击
4.单击
5.单击
6.选择上网 方式
《计算机网络安全的理论与实践(第2版)》王杰
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年.
• 其他的用户认证方法
生物识别技术,利用生物个体的唯一性—连接生物 特征识别装置到计算机,比如指纹读写器或者视网 膜扫描器。
用身份认证技术 – 发行方给予电子认证
使用用户的密码认证是最简单的方法
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年.
第1章 网络安全概论
1.1 网络安全的任务 1.2 基本攻击类型和防范措施 1.3 攻击者类别 1.4 网络安全基本模型 1.5 网络安全信息资源网站
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年.
网络安全的任务
什么是数据?
任何可以被计算机处理和执行的对象 传输状态 存储状态
A认为自己在和B通信
攻击者解释修改了AB之 间的通信
B认为自己在和A通信
防御措施—编码或验证IP包
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年.
• 重放攻击
攻击者首次拦截了一个合法的信息,经过一段时间后,原 封不动地将此消息发给最初的接受者。
例如,攻击者可能拦截了合法用户的认证消息,并用此消息去伪 造用户身份得到系统的服务。 防御机制 –
其他形式 收集垃圾废纸,找到有用信息 在用户上网时弹出新窗口,诱使用户登录 防御措施 – 浏览器抗钓附载模块新技术可用来检测和阻止用户进 入诱饵网页
《计算机网络安全的理论与实践(第2版)》. 【美】王杰, 高等教育出版社, 2011年.
• 字典攻击
信息安全原理及应用(第3版)第13章-安全评价标准
❖ 给计算机行业的制造商提供一种可循的指导 规则,使其产品能够更好的满足敏感应用的 安全需求。
❖ 是计算机系统安全评估的第一个正式标准, 具有划时代的意义。
13.1.1 TCSEC的主要概念
❖ TCSEC首先提出了主体与客体的概念
主体(Subject),即计算机系统的主动访问者 客体(Object),被访问或被使用的对象。
保护轮廓(PP):用户的需求及满足需求的技术 实现方法与途径。
安全目标(ST):厂商对产品提供的安全功能的 声明和特定的技术实现。
CC分为三个部分
❖ 安全功能要求
信息技术的安全机制所要达到的功能和目的。 提供了表示评估对象安全功能要求的标准方法。
❖ 2.开发者
CC为开发者在准备和参与评估产品或系统以及 确定每种产品和系统要满足安全需求方面提供支 持。
❖ 3.评估者
CC为评估者提供了评估准则。
CC分为三个部分
❖ 简介和一般模型:
介绍了CC中的有关术语、基本概念和一般模型 以及与评估有关的一些框架,附录部分主要介绍 保护轮廓(PP)和安全目标(ST)的基本内容。
❖ 可记账性(Accountability)
是否能够记录所有影响系统安全的各种活动。
❖ 保障机制(Assurance)
是否提供了相应的硬件与软件的保障机制与设施
❖ 连续性保护(Continuous Protection)
实现上述策略的硬件和软件本身必须能够防止未经许可的中途修改 或损坏
13.1.2 计算机系统的安全等级
❖ 将C1级的DAC进一步细化,保护粒度达到单个用户、客体一级 ❖ 增加了审计功能,审计粒度必须能够跟踪每个主体对每个客体的
每一次访问
❖ 客体再用功能,即要求在一个过程运行结束后,要消除该过程残 留在内存、外存和寄存器中的信息,在另一个用户过程运行之前 必须清除或覆盖这些客体的残留信息。
❖ 是计算机系统安全评估的第一个正式标准, 具有划时代的意义。
13.1.1 TCSEC的主要概念
❖ TCSEC首先提出了主体与客体的概念
主体(Subject),即计算机系统的主动访问者 客体(Object),被访问或被使用的对象。
保护轮廓(PP):用户的需求及满足需求的技术 实现方法与途径。
安全目标(ST):厂商对产品提供的安全功能的 声明和特定的技术实现。
CC分为三个部分
❖ 安全功能要求
信息技术的安全机制所要达到的功能和目的。 提供了表示评估对象安全功能要求的标准方法。
❖ 2.开发者
CC为开发者在准备和参与评估产品或系统以及 确定每种产品和系统要满足安全需求方面提供支 持。
❖ 3.评估者
CC为评估者提供了评估准则。
CC分为三个部分
❖ 简介和一般模型:
介绍了CC中的有关术语、基本概念和一般模型 以及与评估有关的一些框架,附录部分主要介绍 保护轮廓(PP)和安全目标(ST)的基本内容。
❖ 可记账性(Accountability)
是否能够记录所有影响系统安全的各种活动。
❖ 保障机制(Assurance)
是否提供了相应的硬件与软件的保障机制与设施
❖ 连续性保护(Continuous Protection)
实现上述策略的硬件和软件本身必须能够防止未经许可的中途修改 或损坏
13.1.2 计算机系统的安全等级
❖ 将C1级的DAC进一步细化,保护粒度达到单个用户、客体一级 ❖ 增加了审计功能,审计粒度必须能够跟踪每个主体对每个客体的
每一次访问
❖ 客体再用功能,即要求在一个过程运行结束后,要消除该过程残 留在内存、外存和寄存器中的信息,在另一个用户过程运行之前 必须清除或覆盖这些客体的残留信息。
《计算机网络》第3版课后题参考答案(徐敬东、张建忠编著)
第1章计算机网络的基本概念一、填空题(1)按照覆盖的地理范围,计算机网络可以分为局域网、城域网、和广域网。
(2)ISO/OSI参考模型将网络分为物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。
(3)建立计算机网络的主要目的是:资源共享和在线通信。
二、单项选择题(1)在TCP/IP体系结构中,与OSI参考模型的网络层对应的是:( B )A.主机-网络层B.互联层C.传输层D.应用层<(2)在OSI参考模型中,保证端-端的可靠性是在哪个层次上完成的( C )A.数据链路层B.网络层C.传输层D.会话层三、问答题计算机网络为什么采用层次化的体系结构【要点提示】采用层次化体系结构的目的是将计算机网络这个庞大的、复杂的问题划分成若干较小的、简单的问题。
通过“分而治之”,解决这些较小的、简单的问题,从而解决计算机网络这个大问题(可以举例加以说明)。
第2章以太网组网技术一、【二、填空题(1)以太网使用的介质访问控制方法为CSMA/CD。
(2)计算机与10BASE-T集线器进行连接时,UTP电缆的长度不能超过100米。
在将计算机与100BASE-TX集线器进行连接时,UTP电缆的长度不能超过100米。
(3)非屏蔽双绞线由4对导线组成,10BASE-T用其中的2对进行数据传输,100BASE-TX用其中的2对进行数据传输。
三、单项选择题(1)MAC地址通常存储在计算机的( B )A.内存中B.网卡上C.硬盘上D.高速缓冲区(2)关于以太网中“冲突”的描述中,正确的是( D )A.冲突时由于电缆过长造成的B.冲突是由于介质访问控制方法的错误使用造成的?C.冲突是由于网络管理员的失误造成的D.是一种正常现象(3)在以太网中,集线器的级联( C )A.必须使用直通UTP电缆B.必须使用交叉UTP电缆C.必须使用同一种速率的集线器D.可以使用不同速率的集线器(4) 下列哪种说法是正确的( A )A.集线器可以对接收到的信号进行放大B.集线器具有信息过滤功能C.集线器具有路径检测功能D.集线器具有交换功能第3章交换与虚拟局域网一、填空题(1)以太网交换机的数据转发方式可以分为直接交换、存储转发交!换、和改进的直接交换3类。
计算机网络信息安全理论与实践教程第10章
计算•10.1.2 漏洞与网络安全 • 研究表明,网络系统中漏洞的存在是网络攻击成功的必 要条件之一,攻击者要成功入侵关键在于及早发现和利用目标 网络系统的漏洞。攻击者利用漏洞对网络系统安全构成的威胁 有:普通用户权限提升、获取本地管理员权限、获取远程管理 员权限、本地拒绝服务、远程拒绝服务、服务器信息泄露、远 程非授权文件访问、读取受限文件、口令恢复、欺骗等。表101是与漏洞相关的安全重大事件统计表。
计算机网络信息安全理论与实践教程 第10章
•图10-5 Nessus的使用模式
计算机网络信息安全理论与实践教程 第10章
•10.4 常用网络漏洞扫描工具
•10.4.1 COPS • 典型的主机系统扫描器是COPS(Computer Oracle and Password System),它用来检查UNIX系统的常见安全配置问题 和系统缺陷。tiger也是一个基于shell语言脚本的漏洞检测程序, 主要用于UNIX系统的漏洞检查。图10-2是tiger检测IP地址为 192.168.0.92的主机漏洞过程。
• (2) 安全配置不当,如系统和应用的配置有误,或配置 参数、访问权限、策略安装位置有误。
• (3) 测试不充分,大型软件日益复杂,软件测试不完善, 甚至缺乏安全测试。
• (4) 安全意识薄弱,如选取简单口令。
• (5) 安全管理人员的疏忽,如没有良好的安全策略及执行 制度,重技术,轻管理,从而导致安全隐患。
计算机网络信息安全理论与实践教程 第10章
• 5.CCERT • CCERT是中国教育和科研计算机网紧急响应组的简称, 它对中国教育和科研计算机网及会员单位的网络安全事件提供 快速的响应或技术支持服务,也对社会其他网络用户提供与安 全事件响应相关的咨询服务。网络地址是。
计算机网络信息安全理论与实践教程 第10章
•图10-5 Nessus的使用模式
计算机网络信息安全理论与实践教程 第10章
•10.4 常用网络漏洞扫描工具
•10.4.1 COPS • 典型的主机系统扫描器是COPS(Computer Oracle and Password System),它用来检查UNIX系统的常见安全配置问题 和系统缺陷。tiger也是一个基于shell语言脚本的漏洞检测程序, 主要用于UNIX系统的漏洞检查。图10-2是tiger检测IP地址为 192.168.0.92的主机漏洞过程。
• (2) 安全配置不当,如系统和应用的配置有误,或配置 参数、访问权限、策略安装位置有误。
• (3) 测试不充分,大型软件日益复杂,软件测试不完善, 甚至缺乏安全测试。
• (4) 安全意识薄弱,如选取简单口令。
• (5) 安全管理人员的疏忽,如没有良好的安全策略及执行 制度,重技术,轻管理,从而导致安全隐患。
计算机网络信息安全理论与实践教程 第10章
• 5.CCERT • CCERT是中国教育和科研计算机网紧急响应组的简称, 它对中国教育和科研计算机网及会员单位的网络安全事件提供 快速的响应或技术支持服务,也对社会其他网络用户提供与安 全事件响应相关的咨询服务。网络地址是。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13.2.6 双硬盘
在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连 接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬 盘,如图13-5所示。在两个硬盘上实际上安装了两个操作系统。这种技术在理论上 说可以防止内部数据流向外网,但是用户在使用时又必须不断地重新启动切换,造 成用户使用不方便,而且也不易统一管理。
第13章网络物理隔离技术的原理与应用
13.1 网络物理隔离概况 13.2 网络物理隔离技术 13.3 网络物理隔离典型应用案例 13.4 本章小结 本章思考与练习
13.1 网络物理隔离概况
13.1 网络物理隔离概况
为了实现更高级别的网络安全,安全技术专家建议,“内外网及上网计算机实 现物理隔离,以求减少来自外网的威胁。”但是,从目前网络应用来说,要想完全 避免网络连接的发生并不太现实,计算机连网是必然的趋势。因而,具有满足解决 内外网信息交换需求,又能防止安全事件出现的安全技术就出现了,这种技术称为 “物理隔离技术”。它的基本原理是保证避免两台计算机之间直接的信息交换以及 物理上的连通,以阻断两台计算机之间的直接在线网络攻击。
外网
物理隔离网闸
内网
控制开关
存储介质
图13-6 网闸原理示意图
13.3 网络物理隔离典型应用案例
13.3.1 工作机安全上网实例
国内已有不少公司掌握了网络物理隔离技术,下面以珠海伟思为例来说明。 如图13-7所示,这种方案适用于小规模上网用户,在一个局域网络中,只有部分工 作站节点机需要单独通过Modem等拨号设备接Internet网。这样可以在需要接入 Internet的工作站节点计算机上安装伟思公司的物理隔离产品,让其能够在与网络 隔离的状态下拨号上网,以确保网络的安全。
内网服务器
工作站
…
…
打印机 内部网络
隔离卡 工作站
Modem Internet
隔离卡 工作站
隔离卡 工作站
Modem
Modem
Internet
Internet
图13-7 内网工作站节点机安全隔离上网示意图
13.3.2 电子政务中网闸应用实例
电子政务系统涉及到不同安全等级的网络信息交换。传统方法是通过手工拷贝 数据方式来实现信息交换,但是对于大量的网络间数据交换,手工方式难以适应需 求,而且人工量大。虽然手工方式确保了网络的安全性,但这种信息交换机制的局 限性,造成信息流通不畅,限制了应用的发展。为此,人们普遍采用网闸技术,以 物理隔离为基础,在确保安全性的同时,解决了网络之间信息交换的困难。下面以 浪潮公司为某税务系统提供的信息交换系统方案为例来说明,如图13-8所示。Fra bibliotek上外部网
企业内部网络
上内部网
图13-1 “多PC机”物理隔离原理示意图
13.2.3 外网代理服务
在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网指定的信息, 然后把外网信息手工导入到内部网,供内部用户使用,从而实现内部用户“上网”, 又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击,如图13-2 所示。
外区
内区
外
内
图13-4 “单硬盘内外分区”物理隔离原理示意图
“单硬盘内外分区”技术的优点是: * 提供数据分类存放和加工处理; * 可有效防止外部网窃走内部网数据; * 可实现一台PC机功能多用,节省资源开支。
但是,“单硬盘内外分区”技术仍然会存在安全威胁,这些威胁来源主要有: * 操作失误,如误将敏感数据存放在对外硬盘分区中; * 驱动程序软件BUG; * 计算机病毒潜入; * 内部人员故意泄露数据; * 特洛伊木马程序。
数据库服务器 税务内网
图13-8 某税务网络网闸应用示意图
13.4 本 章 小 结
“物理隔离”是实现信息安全的重要技术方法,本章总结了各种物理隔离技术 的方法和原理,包括专用计算机上网、多PC机、外网代理服务、内外网线路切换器、 单硬盘内外分区、双硬盘、网闸等。同时,本章给出了物理隔离卡、网闸安全应用 实例。
…到 税 银 专 用 网
普通用户
Internet 防火墙
电子申报 客户端
… …
电子申报受理服务器
电 子 申 报 处 理 服 务 器 …到 市 区 县 局
浪潮网泰安全隔离 与信息交换系统
证 书 申 请 Web服 务 器
证书申请 处理服务器
…各 种 处 理 服 务 器及数据库服务器
互联网
门 户 网 站 Web服 务 器 税务外网
接外部网
接内部网
软盘等存储设备C
图13-2 “外网代理服务”物理隔离原理示意图
13.2.4 内外网线路切换器
在内部网中上外网的计算机上连接一个物理线路A/B交换盒,通过交换盒的开 关设置可以控制计算机的网络物理连接,如图13-3所示。
图13-3 “内外网线路切换器”物理隔离原理示意图
13.2.5 单硬盘内外分区
W in 9 8 外
Linux 内
图13-5 “双硬盘”物理隔离原理示意图
13.2.7 网闸
网闸通过利用一种GAP技术(源于英文的“Air Gap”),使两个或者两个以上的网 络在不连通的情况下,实现它们之间的安全数据交换和共享。其技术原理是一个 具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立 主机系统的数据交换,如图13-6所示。
“单硬盘内外分区”技术原理是把单一硬盘分隔成不同的区域,在IDE总线物 理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问:在 任一时间内,仅允许操作系统访问指定的分区,如图13-4所示。这样,“单硬盘内 外分区”技术将单台物理PC机虚拟成逻辑上的两台PC机,使得单台计算机某一时刻 只能连接到内部网或外网。当连接内部网时,就启用硬盘内部分区,用于处理内部 业务敏感数据文件,此时,计算机只能与内部LAN连接,而与外部网(因特网或不 可信网)物理开关连接断开。当连接外部网时,就启用对外的硬盘分区,与外部网 直接物理相连,但与内部LAN断开,而且不可访问内部使用的硬盘分区。
13.2 网络物理隔离技术
13.2.1 专用计算机上网 内部网络中指定一台计算机只与外部网相连,不与内部网相连。用户必须到指
定的计算机才能上网,并要求用户离开自己的工作环境。
13.2.2 多PC机
在内部网络中,上外网的用户桌面上安放着两台PC机,分别连接两个分离的物 理网络,一台用于连接外部网络,另一台用于连接内部网络,如图13-1所示。