網(wǎng)絡隔離中的數(shù)據(jù)交換方式
3、網(wǎng)閘
網(wǎng)閘的設計是代理+擺渡。不在河上架橋,可以設擺渡船,擺渡船不直接連接兩岸,安全性當然要比橋好,即使是攻擊,也不可能一下就進入,在船上總要受到管理者的各種控制。另外,網(wǎng)閘的功能有代理,這個代理不只是協(xié)議代理,而是數(shù)據(jù)的拆卸,把數(shù)據(jù)還原成原始的面貌,拆除各種通訊協(xié)議添加的包頭包尾,很多攻擊是通過對數(shù)據(jù)的拆裝來隱藏自己的,沒有了這些通訊外衣,攻擊者就很難藏身了。
網(wǎng)閘的安全理念是:
網(wǎng)絡隔離---過河用船不用橋:用擺渡方式來隔離網(wǎng)絡
協(xié)議隔離---禁止采用集裝箱運輸:通訊協(xié)議落地,用專用協(xié)議或存儲等方式阻斷通訊協(xié)議的連接,用代理方式支持上層業(yè)務
按國家安全要求是需要涉密網(wǎng)絡與非涉密網(wǎng)絡互聯(lián)的時候,要采用網(wǎng)閘隔離,若非涉密網(wǎng)絡與互聯(lián)網(wǎng)連通時,采用單向網(wǎng)閘,若非涉密網(wǎng)絡與互聯(lián)網(wǎng)不連通時,采用雙向網(wǎng)閘。
4、交換網(wǎng)絡
交換網(wǎng)絡的模型來源于銀行系統(tǒng)的Clark-WilsON模型,主要是通過業(yè)務代理與雙人審計的思路保護數(shù)據(jù)的完整性。交換網(wǎng)絡是在兩個隔離的網(wǎng)絡之間建立一個數(shù)據(jù)交換區(qū)域,負責業(yè)務數(shù)據(jù)交換(單向或雙向)。交換網(wǎng)絡的兩端可以采用多重網(wǎng)關(guān),也可以采用網(wǎng)閘。在交換網(wǎng)絡內(nèi)部采用監(jiān)控、審計等安全技術(shù),整體上形成一個立體的交換網(wǎng)安全防護體系。
交換網(wǎng)絡的核心也是業(yè)務代理,客戶業(yè)務要經(jīng)過接入緩沖區(qū)的申請代理,到業(yè)務緩沖區(qū)的業(yè)務代理,才能進入生產(chǎn)網(wǎng)絡。
網(wǎng)閘與交換網(wǎng)絡技術(shù)都是采用渡船策略,延長數(shù)據(jù)通訊里程,增加安全保障措施。
三、數(shù)據(jù)交換技術(shù)的比較
不同的業(yè)務網(wǎng)絡根據(jù)自己的安全需求,選擇不同的數(shù)據(jù)交換技術(shù),主要是看數(shù)據(jù)交換的量大小、實時性要求、業(yè)務服務方式的要求。
評論