网络隔离中的数据交换技术介绍
3、网闸 本文引用地址: //m.amcfsurvey.com/article/154572.htm
网闸的设计是代理+摆渡。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有代理,这个代理不只是协议代理,而是数据的拆卸,把数据还原成原始的面貌,拆除各种通讯协议添加的包头包尾,很多攻击是通过对数据的拆装来隐藏自己的,没有了这些通讯外衣,攻击者就很难藏身了。
网闸的安全理念是:
协议隔离---禁止采用集装箱运输:通讯协议落地,用专用协议或存储等方式阻断通讯协议的连接,用代理方式支持上层业务
按国家安全要求是需要涉密网络与非涉密网络互联的时候,要采用网闸隔离,若非涉密网络与互联网连通时,采用单向网闸,若非涉密网络与互联网不连通时,采用双向网闸。
4、交换网络
交换网络的模型来源于银行系统的Clark-WilsON模型,主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个数据交换区域,负责业务数据交换(单向或双向)。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。
交换网络的核心也是业务代理,客户业务要经过接入缓冲区的申请代理,到业务缓冲区的业务代理,才能进入生产网络。
网闸与交换网络技术都是采用渡船策略,延长数据通讯里程,增加安全保障措施。
三、数据交换技术的比较
不同的业务网络根据自己的安全需求,选择不同的数据交换技术,主要是看数据交换的量大小、实时性要求、业务服务方式的要求。
评论