7企业网络安全隔离.ppt

1、企业网络安全隔离,通过子网掩码划分子网,网络隔离,2,通过子网掩码划分子网,3,计算机网络物理隔离技术,Internet具有巨大的优势，但是当你计划同Internet相联时，安全应是首要关心的问题。 网络入侵者的活动很难预测、发现和修正。 由于网络遭到破坏所导致时间、财政和声誉的损失是难以估量的。（如银行系统） 1996年在GAO向美国国会提交的报告中 借助Internet基于DISA企图进入军队和国防系统的入侵活动有38,000次。 65成功进入 在这些成功的入侵中仅有4被发现（988） 在被发现的入侵中只有27被报告（267）,安全隐患黑客攻击,病毒輕易滲透防火牆入侵內部網路,File S

2、erver,Mail Server,Client,Internet Gateway,Firewall,安全隐患,国家对物理隔离的有关规定,第六条 涉及国家秘密的计算机信息系统不得直接或间接地与国际互联网或其他公共信息网相连接，必须实行物理隔离,三、涉密信息网络必须与公共信息网实行物理隔离，在与公共信息网相连的信息设备上不得存储、处理和传递国家秘密信息,中共中央办公厅 国务院办公厅关于转发通知 中办发（2002）17号,(一)建设和整合统一的电子政务网络。 电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离。,关于严禁用涉密计算机上国际互联网的通知,中保委发（2

3、003）4号,一、涉密计算机信息系统必须与互联网实行物理隔离，严禁用处理国家秘密信息的计算机上互联网，违者严肃查处。,物理隔离指内部网不得直接或间接国际连网,物理隔离的含义,物理隔离与逻辑隔离,物理隔离的实现方法,10,物理隔离网闸,11,什么是网闸定义,什么是物理隔离网闸? 物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接，其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有裸数据“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏,12,1、阻断网络的直接连接，即没有两个网络同时连在隔离设

4、备上； 2、阻断网络的互联网逻辑连接，即TCP/IP的协议必需被剥离，将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递； 3、离设备的传输机制具有不可编程的特性，因此不具有感染的特性； 4、任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离的； 5、隔离设备具有审查的功能； 6、隔离设备传输的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也不会执行命令等。 7、强大的管理和控制功能。,对物理隔离的理解表现为以下几点：,13,物理隔离的技术路线,网络开关（Network Switcher） 实时交换（Real-time Switch） 单

5、向连接（One Way Link）,14,网闸的原理,15,网闸的原理,16,网闸的原理,17,网闸的原理,18,网闸的原理,19,网闸的原理,20,网闸的原理,21,中网网闸的照片,装配形式: 2台主机加上一条SCSI开关线,全部由螺钉铆上,可以由用户拆卸、验证。,22,暂住人口及网吧管理,23,移动警务,24,110接警指挥系统,25,案例:税务报税网络隔离,26,案例:税务报税网络隔离,信道物理隔离方法,传输线路物理隔离方法对单布线,重新布第二套线,一条网线同时传输两套网络信号,在终端使用集线器增加接口数,采用网络线路选择器,费用高，施工难度大周期长,物理隔离效果差，高速传输时不稳定,物

6、理隔离效果一般，费用高,成本低，网络易于改造,方 法,优 缺 点, 服务器隔离产品是一种新型的网络安全产品，应用于重要服务器和关键子网的入口处，在保持内外网络物理隔离的同时，进行适度的、可控的内外网络数据交换，提供比防火墙级别更高的安全保护，属于准物理隔离。 此类产品通常集成了安全操作系统、入侵监测、病毒查杀、身份认证、访问控制等多种安全检查措施，用软硬件一体化的安全机制转发内外网之间的数据，对需要传输的数据类型、内容等，都进行严格的检查和过滤，从而解决了隔离网络间信息安全交流的问题。,服务器端物理隔离技术,产品应用物理隔离技术在安全技术体系中的定位, TIPTOPTM网络安全隔离卡,TP-8

7、01 TP-802 TP-803,型号,功能：增加一个硬盘，使一台计算机 变成虚拟两台,切换方式：外置硬件开关,切换方式：钥匙切换,TP-801K,型号, TIPTOPTM网络安全隔离卡,TP-901 TP-902 TP-903,型号,功能：增加一个硬盘，使一台计算机 变成虚拟两台,切换方式：软件开关（鼠标切换）, TIPTOPTM 三网隔离卡,TP-806,型号,功能：增加两个硬盘，使一台计 算机变成虚拟三台,切换方式：外置硬件开关, TIPTOPTM 单硬盘隔离卡,TP-60X,型号,功能：无需增加硬盘，通过将一个硬盘进行物理分区，两个硬盘分区分别安装两个独立的操作系统，独立引导，一个分区

8、工作时另外一个分区不工作，两个分区分别对应内外网。,切换方式：软件切换,认识产品,外置开关切换,TP80X系列隔离卡,认识产品,TP90X 系列隔离卡,启动选择界面,切换选择界面,软切换方式,认识产品, TIPTOPTM网络线路选择器,LS8 LS24,型号,其主要功能是：使单布线系统变成虚拟双布线系统,产品应用TIPTOP物理隔离解决方案之一 （单机拨号上网）,产品应用TIPTOP物理隔离解决方案之二 （内部局域网，外网拨号上网）,产品应用TIPTOP物理隔离解决方案之三（单布线）,产品应用TIPTOP物理隔离解决方案之四（双布线）,产品应用TIPTOP物理隔离解决方案之五（内网之间隔离）,

9、内网服务器,子网涉密服务器,隔离卡,连接子网硬盘,连接内网硬盘,隔离卡,连接子网硬盘,连接内网硬盘,隔离卡,连接子网硬盘,连接内网硬盘,子网HUB,内网HUB,内网终端,.,内网终端,产品应用TIPTOP物理隔离解决方案之六（内部子网）,产品应用TIPTOP物理隔离解决方案之五（三网物理隔离）,- 弱物理隔离解决方案,TIPTOP 网络切换器,TIPTOP网络切换器 弱物理隔离解决方案,应用环境 教育、金融、电力等涉密程度不高但安全要求很高的部门通常利用内外两条网线将内外网服务器和线路分开，以实现基本的物理隔离。当要访问内外网，需要手动插拔网线、手动转换IP地址且重新启动系统，这样操作起来非常

10、麻烦。,使用TIPTOP网络切换器仅利用一根网线就可完成两个网络间的物理切换。 如果您想从内网进入外网，只需简单地点击Windows上的内外网转换按钮，就可自动完成内外网线和IP地址的转换，不需要重新启动系统。,终端无需安装隔离卡！,TIPTOP网络切换器工作示意图,TIPTOP网络切换器产品特点,产品特点及功能,易于操作，只需要轻轻点击内外网切换图标，就可完成内外网之间的转换。,无需重新启动系统，IP切换软件就可自动更改网络配置。,当一个网络处于工作状态时，另一个网络则处于关闭状态。,支持Microsoft Windows 9x/2000/ME/NT。,支持所有通讯协议。,不降低网络性能。,TIPTOP 内外网数据安全交换系统,一种安全的“信息