论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 24 篇帖子 ]  前往页数 上一页  1, 2
作者 内容
 文章标题 :
帖子发表于 : 2008-12-10 22:45 
离线
版主

关注按钮

注册: 2008-05-16 23:34
最近: 2012-05-18 18:41
拥有: 10,303.40 安全币

奖励: 12822 安全币
在线: 9152 点
帖子: 490
其实,问题的焦点还是集中在这些概念的不明确性,物理隔离、网闸、安全隔离、逻辑隔离、协议隔离等。

物理隔离:保密局在1998 年10月27日发布的《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》中,最早提出了“物理隔离”的概念,其中第十六条规定:涉密系统不得直接或间接国际联网,必须实行物理隔离。
保密局在2000 年1月1日正式实施的《计算机信息系统国际联网保密管理规定》中正式明确了“物理隔离”的要求,其中第六条规定:“凡涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或者其他公共信息网络相连接,必须实行物理隔离。”这是我国关于“物理隔离”概念的最早提出,这里虽然没有明确“物理隔离”的具体技术含义,但作为规定意义还是明确的。
在《端设备隔离部件安全技术要求》GA370--2001中,给出了这样一个定义,物理隔离physical isolation:公共网络和专网在网络物理连线上是完全隔离的,且没有任何公用的存储信息。显然这个定义是不完善的,物理连线上完全隔离,但如果两个网络之间存在无线网络连接,是不是还算物理隔离呢?显然,物理隔离应该是物理上不但要完全隔离,而且不存在网络层的连接。

网闸:这个概念应该是从whale公司e-Gap产品引进来的,e-Gap系统共由三个部分组成,分别为外部主机、内部主机和空气开关,其中空气开关内置一个基于SCSI总线的内存,空气开关由专用电路控制分时切换到外部主机和内部主机,从而使得外部主机和内部主机都能够访问到内存中的数据,而又不可能同时访问。这种产品被引入国内后,用于网络中进行物理隔离,由于e-Gap的原理类似于轮渡,其中的关键部件Air Gap Switch相当于船闸,因此,就被称作“网闸”了。
在GBT 20279中,给了网闸这样一个定义:该信息安全部件位于两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被信息明确要求传输的信息可以通过,其信息流一般是网络服务。

安全隔离:这个是国家保密局将隔离产品统一定义为“安全隔离与信息交换系统”以后出现的概念,其主要强调在确保安全隔离的前提下为不同安全级别的网络之间提供适度可控的信息交换。

逻辑隔离:这个在17号文件有明确要求:“电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。”从这个意义上看,一般的网关型访问控制设备属于逻辑隔离。

协议隔离:指处于不同安全域的内部网与外部网在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,能且只能有被系统要求传输的、内容受限的信息通过(GBT 20279)。

在网闸和协议隔离的定义中,都有协议转换的要求。协议转换是指:协议的剥离和重建。即在所属某一安全域的隔离部件的一端,把基于网络中的公共协议中的应用层数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离部件另一端,再将专用协议剥离,封装成需要的格式。

这些概念即相互联系,又有区别。主管部门也试图从技术层面逐渐进行明确,但到目前为之,有些概念还是没有给出明确的定义,如物理隔离,但丛技术操作层面已经有相关的指导意见出台。但归结起来,不管这些概念怎么提,最终的目的都是保证关键信息系统的安全性,确保涉密信息的保密性。


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-10 23:08 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
来由说明的比较清晰。
实际上最关键的是“物理隔离”的概念及其相关的保密局规定的涉密系统要求。

涉密系统的物理隔离,其实就本意来说,是好理解的,简单说就是要时空上是完全隔离的,这就要符合3个方面要求:物理上断开;不存在其他通过空间传播的途径(解决空间传递的问题,如无电磁辐射包括光等。简单说网络层似乎不够,如显示器的辐射);不存在可携带数据到另外一边的公共存储(解决空间外的时间问题)。在分级保护中,对涉密系统这些方面都做了要求。

也不知道这些做标准的专家们,是推理能力有问题,还是故意留点尾巴, :D

建议版主将物理隔离和网闸适用性的部分做一个置顶的讨论。避免不断重复一个话题。


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-10 23:28 
离线
版主

关注按钮

注册: 2008-05-16 23:34
最近: 2012-05-18 18:41
拥有: 10,303.40 安全币

奖励: 12822 安全币
在线: 9152 点
帖子: 490
这里给出的物理隔离的三个要求基本上对其进行了比较好的界定:无物理连接、无传播途径、无公共存储介质。

另外,对于网闸,原来建议过在本版设一个细分讨论区或专版,将原来的一些好贴整理,避免同样的话题不断重复的讨论。

walk0r 写道:
涉密系统的物理隔离,其实就本意来说,是好理解的,简单说就是要时空上是完全隔离的,这就要符合3个方面要求:物理上断开;不存在其他通过空间传播的途径(解决空间传递的问题,如无电磁辐射包括光等。简单说网络层似乎不够,如显示器的辐射);不存在可携带数据到另外一边的公共存储(解决空间外的时间问题)。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-10 23:31 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
非常赞同,也提过


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-11 19:36 
离线
站长

关注按钮

注册: 2003-11-11 19:30
最近: 2018-05-23 15:51
拥有: 10,299.00 安全币

奖励: 878692 安全币
在线: 107628 点
帖子: 3276
walk0r 写道:
非常赞同,也提过


我设置网闸分栏目,请楼上两位做本版和新栏目版主两位意下如何?另外这个新栏目是不是还有更合适的名字请各位发表意见。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-11 22:00 
离线
版主

注册: 2008-09-01 08:52
最近: 2017-06-11 10:30
拥有: 24,773.80 安全币

奖励: 15810 安全币
在线: 13686 点
帖子: 1236
地址: 福建/浙江
等级保护/电子政务等有兴趣。

网闸部分个人建议采用保密局正式名称,同时挂网闸和其他安全隔离技术。
这样可以包括讨论,中间件,交换区这类在等级保护3-4级别以上边界需要的隔离技术实现。

这个栏目如果仅仅是讨论设备,放在边界设备中做子栏目归类似乎更合适。

phrack 写道:
walk0r 写道:
非常赞同,也提过


我设置网闸分栏目,请楼上两位做本版和新栏目版主两位意下如何?另外这个新栏目是不是还有更合适的名字请各位发表意见。


--------本帖迄今已累计获得22安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 一般应该反过来说
帖子发表于 : 2008-12-12 10:36 
离线
中级用户

注册: 2008-10-08 13:54
最近: 2016-06-29 15:22
拥有: 98.30 安全币

奖励: 0 安全币
在线: 3055 点
帖子: 103
walk0r 写道:
应该是同属逻辑隔离措施.所以通常是防火墙可以替代网闸.

网闸似可以被用来替换两个安全域中间的数据推/拉方式传递中间设备.
但由于目前的市场网闸设备厂商(所有的网闸设备厂商均存在)已经背离了原始网闸的安全考虑,迎合对速度的要求和部分防火墙功能化,以及采取偷换物理隔离概念的方法等,个人认为已经使得其不可信任.

实际在做安全设计时,安全域间的数据传递的方式,宜按照安全要求采用推或拉的方式,才能真正达到设计的安全需求.




chinadoors 写道:
同属隔离措施
非常同意!!!!!!

一个是物理隔离 另一个是逻辑隔离

按理说 外部边界有时候会需要两层隔离措施构成纵深防御

内部区域边界1层就够了


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-12-12 13:34 
离线
版主

关注按钮

注册: 2008-05-16 23:34
最近: 2012-05-18 18:41
拥有: 10,303.40 安全币

奖励: 12822 安全币
在线: 9152 点
帖子: 490
恭贺 安全隔离与信息交换/网闸 子版块开版。

对安全隔离技术比较感兴趣。
phrack 写道:
walk0r 写道:
非常赞同,也提过


我设置网闸分栏目,请楼上两位做本版和新栏目版主两位意下如何?另外这个新栏目是不是还有更合适的名字请各位发表意见。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 有了网闸,可以不要防火墙?
帖子发表于 : 2009-04-08 16:13 
离线
新手

注册: 2008-09-02 15:21
最近: 2012-07-12 17:41
拥有: 172.60 安全币

奖励: 0 安全币
在线: 188 点
帖子: 15
ciscoaix 写道:
现在网闸有很多功能,可不可以用来代替防火墙啊,或者说有网闸了,怎么样才能把防火墙做到项目中去?


网闸不可能完全替代防火墙。网闸的设计是基于应用层代理机制的,它所能承载的并发连接数受制于软件算法和计算机的最大端口数,其并发连接数在目前不可能超越系统的最大端口数,也就是单机系统65535端口。而防火墙是基于包过虑转发技术的,它能承载的连接数由软件算法和硬件性能决定,目前百万并发连接的防火墙已是常见,因此在大访问流量的系统中,只能用防火墙做访问控制而不能用网闸。


--------本帖迄今已累计获得24安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 24 篇帖子 ]  前往页数 上一页  1, 2

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012