论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 物理隔离有没有好的技术和产品
帖子发表于 : 2006-05-18 15:38 
离线
中级用户

注册: 2006-04-04 10:55
最近: 2015-10-10 19:38
拥有: 1,180.00 安全币

奖励: 352 安全币
在线: 1468 点
帖子: 94
在政府、军工等保密级别很高的部门都明令要求实现网络物理隔离,但从目前的网闸技术来看,很难满足物理隔离要求,不知道有没有更好的办法来实现,不会再回到以前靠人工方式来实现和外网(Internet)的数据交互吧。大家有没有好的解决方法,一起来探讨下。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-12 18:25 
离线
新手

注册: 2006-06-12 18:03
最近: 2007-04-11 17:53
拥有: 15.00 安全币

奖励: 0 安全币
在线: 363 点
帖子: 6
南京联创科技的T_GATE安全接入控制网关,我觉得不错,有兴趣可以了解一下
www.lianchuang.com


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-13 09:04 
离线
高级用户

注册: 2005-09-15 11:35
最近: 2014-01-09 17:07
拥有: 1,510.80 安全币

奖励: 348 安全币
在线: 3830 点
帖子: 214
lbbox2003 写道:
南京联创科技的T_GATE安全接入控制网关,我觉得不错,有兴趣可以了解一下
www.lianchuang.com


你可能不知道物理隔离的要求,现在可以称为“物理隔离”产品必须是国家保密局检测中心通过的产品,你认为是物理隔离或大家都认为物理隔离都不是国家认可,就是不可能在涉密单位使用。
现在物理隔离的产品,只有“隔离卡”和“隔离计算机”,网闸被明确为“逻辑隔离”,不是物理隔离产品。
国家认定的物理隔离产品“隔离卡”和“隔离计算机”,由于没有很好地解决bios上的USB盘的控制,实际上军工保密单位也不能使用“隔离卡”和“隔离计算机”。
现在,从保密局及网站上了解到,易思克的“隔离卡”和“隔离计算机”已经解决了bios上的USB盘的控制,但不知军工保密单位能不能使用这种“隔离卡”。
另外,“隔离计算机”几年前有宏网的,实际上就是两台计算机。易思克的“神郁”也是“隔离计算机”,好象有“方正”的品牌。
否则,只有双网双机的解决方案,最多加个KVM。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-15 15:18 
离线
中级用户

注册: 2005-10-12 11:24
最近: 2012-06-27 16:10
拥有: 96.40 安全币

奖励: 6 安全币
在线: 1540 点
帖子: 65
既想实现数据交换,又要达到物理隔离,目前市面上没有这样的产品,我想也很难实现。如果说要安全隔离或逻辑隔离,网闸就是一类。而且,网闸又分很多系列,主要是根据安全性和可应用性来分的,分为:1、高安全,低可用性的;2、中等安全和应用性的;3、低安全的、高可用性的;


最后由 suky78 编辑于 2006-06-26 17:29,总共编辑了 1 次

回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-16 14:40 
离线
高级用户

注册: 2005-09-15 11:35
最近: 2014-01-09 17:07
拥有: 1,510.80 安全币

奖励: 348 安全币
在线: 3830 点
帖子: 214
suky78 写道:
既想实现数据交换,又要达到物理隔离,目前市面上没有这样的产品,我想也很难实现。如果说要安全隔离或逻辑隔离,网闸就是一类。而且,网闸又分很多系列,主要是根据安全性和可应用性来分的,分为:1、高安全,低可用性的;2、中等安全和应用性的;3、低安全的、高可用性的;

给你介绍一家网闸做的好的公司,www.topwalk.com,据说还是网闸的首创者呢。


物理隔离是绝对安全(除了电磁辐射),绝对安全是不分高中底。你的说法就是网闸有不安全的可能。有没有安全厂家说“自己的产品在什么情况下不安全,其他的情况没有不安全”。
就象著名科学哲学家波普尔对科学的定义,给出反例我们就认为该科学理论不成立。
网闸的逻辑是,我说自己安全,如果发现不安全的情况我们改进。这是“物理隔离,绝对安全?”
当然网闸被木马攻击发生泄密事件的“走麦城”都不告诉用户。地点:江苏某市。不然如何有国家保密局明确网闸是“逻辑隔离”不是“物理隔离”的说法,和明确网闸只能用于两个涉密网之间,不能用于“涉密网”与因特网之间,甚至不能用于“办公内网”与因特网之间。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-19 09:09 
离线
中级用户

注册: 2005-10-12 11:24
最近: 2012-06-27 16:10
拥有: 96.40 安全币

奖励: 6 安全币
在线: 1540 点
帖子: 65
我觉得你得观点有些不妥,首先:安全靠得就是七分管理,三分技术。没有谁敢说通过技术就可以保证安全。

网闸是一种安全隔离设备或逻辑隔离设备,没有哪位厂家敢宣称它能够绝对保证安全。它用于两个网络之间进行隔离保护,这两个网络可能是两个不同安全级别得涉密网,也可以是两个需要保护得非涉密网络,例如办公网与因特网。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-19 09:16 
离线
中级用户

注册: 2005-10-12 11:24
最近: 2012-06-27 16:10
拥有: 96.40 安全币

奖励: 6 安全币
在线: 1540 点
帖子: 65
而至于安全分不分级别,都是人为的,没有固定的标准。网闸最为典型的特点就是“白名单策略”,即在保证隔离的前提下,只允许有限的数据交换。安全策略的多少,直接影响网闸的安全性,所以很多网闸厂家根据策略的多少、等级等、以及其他保证安全的措施的多少,来认为的划分网闸的安全等级和可用性等级。这完全是根据用户的市场需要,来考虑的,各用户对安全性和可用性的要求都有所不同。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 抛开技术
帖子发表于 : 2006-06-19 16:15 
离线
中级用户

注册: 2006-04-04 10:55
最近: 2015-10-10 19:38
拥有: 1,180.00 安全币

奖励: 352 安全币
在线: 1468 点
帖子: 94
从技术上是不可能实现的,还是通过手工吧。但解铃还得系铃人,还是有办法的


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-21 12:43 
离线
初级用户

注册: 2006-06-20 16:37
最近: 2006-09-07 08:53
拥有: 50.00 安全币

奖励: 0 安全币
在线: 289 点
帖子: 21
地址: 江苏江阴
物理隔离不是王道,给工作带来的影响先不说,但你能禁止象PS2这些必须要使用的端口吗?要靠封堵端口来实现信息保密不大现实,还是换一种思路,就算文件泄漏了,人家也无法打开。这方面可以看看我们公司的产品,http://www.itensoft.com。也可以搜索一下我的发言


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-26 14:37 
离线
高级用户

注册: 2005-09-15 11:35
最近: 2014-01-09 17:07
拥有: 1,510.80 安全币

奖励: 348 安全币
在线: 3830 点
帖子: 214
suky78 写道:
我觉得你得观点有些不妥,首先:安全靠得就是七分管理,三分技术。没有谁敢说通过技术就可以保证安全。

网闸是一种安全隔离设备或逻辑隔离设备,没有哪位厂家敢宣称它能够绝对保证安全。它用于两个网络之间进行隔离保护,这两个网络可能是两个不同安全级别得涉密网,也可以是两个需要保护得非涉密网络,例如办公网与因特网。


你把技术问题与政策问题混淆了,安全产品的定义是政策问题。检测过的物理隔离产品可能还有问题,但是可以卖。没有检测过的产品哪怕以后事实表明绝对安全,那还是不能卖。
网闸可以用于办公网与因特网,这里的办公网是办公外网。如果用于办公内网与因特网之间,保密局检察是通不过的。不能混淆办公外网与办公内网的差别。另外,办公网与因特网之间可以用防火墙解决,符合国家政策,不需要网闸。
实际上,从国家政策的角度,凡是可以用网闸的地方,都可以使用防火墙。
当然,我个人认为网闸还是比放火墙好一点(操作系统是自己的),但是价钱比放火墙贵太多,又没有政策优势,只有价格不透明的优势,可能比做防火墙利润大好控制,大家有利。
如果哪一天,网闸能卖给普通民运企业,哪说明他有独到的技术优点,卖给不花自己钱的机构不能说明技术好,那是销售好。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-26 17:25 
离线
中级用户

注册: 2005-10-12 11:24
最近: 2012-06-27 16:10
拥有: 96.40 安全币

奖励: 6 安全币
在线: 1540 点
帖子: 65
其实,政策终归是政策,政策也是人定的,也会存在很多不合时宜的问题。目前的安全产品政策,大家谁见过很规范的?对安全产品的发展有很大的促进作用吗?我是没有见过。很多时候都是死搬硬套,合不合适不管,有不用不管,形式主意。我觉得政策应该灵活些,不能太死,如果一个政策对安全产品起不到很大的推动和促进作用,而只是一味的测试、发证等,是不行的。所以我们不能老谈政策,老拿政策压人。应该想想怎样才能使产品为用户创造更大的安全效益,怎样为用户的应用铺路做保障,想想这些吧。。。。


--------本帖迄今已累计获得20安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-27 22:09 
离线
新手

注册: 2004-08-26 11:38
最近: 2011-12-05 18:05
拥有: 202.00 安全币

奖励: 0 安全币
在线: 909 点
帖子: 16
这里有个误区,之所以要物理隔离,就是主管部门觉得现有的技术无法保障在物理有连接的情况下能够做到万无一失,这个我想各位也应该明白。而对于涉密系统来说,由于涉及到国家秘密,百万分之一的可能性都不应该有,所以只能采用这种限制,保证没有任何途径让数据自动流转。
至于网闸,只要它能够自动的把数据从一个网络传到另一个网络,就违背的物理隔离的初衷,因为它为信息流提供了一条路。经过这条路会有很多技术手段把关,但只要是技术,就可能有漏洞,就有人钻空子。

至于所谓原始的手工拷贝的方式,其实正是安全需要靠管理的体现。因为在这里的管理,依靠行政制度,职责分离原则,是能够保证人工的可靠性,绝对会比任何产品更加可靠。

所以,我认为,除非实现一种技术,能够替代人的智能,也有一定的政治头脑,能够智能的判断信息的密级。否则物理隔离的政策是不会被取代的。

当然,我这里说的是涉及国家秘密。其他的系统其实是没有物理隔离这个强制政策的。这时候用用隔离卡、网闸之类的也无伤大雅。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-06-28 11:33 
离线
初级用户

注册: 2004-08-20 16:12
最近: 2012-06-11 20:08
拥有: 20.60 安全币

奖励: 0 安全币
在线: 1863 点
帖子: 44
gubin 写道:
这里有个误区,之所以要物理隔离,就是主管部门觉得现有的技术无法保障在物理有连接的情况下能够做到万无一失,这个我想各位也应该明白。而对于涉密系统来说,由于涉及到国家秘密,百万分之一的可能性都不应该有,所以只能采用这种限制,保证没有任何途径让数据自动流转。
至于网闸,只要它能够自动的把数据从一个网络传到另一个网络,就违背的物理隔离的初衷,因为它为信息流提供了一条路。经过这条路会有很多技术手段把关,但只要是技术,就可能有漏洞,就有人钻空子。

至于所谓原始的手工拷贝的方式,其实正是安全需要靠管理的体现。因为在这里的管理,依靠行政制度,职责分离原则,是能够保证人工的可靠性,绝对会比任何产品更加可靠。

所以,我认为,除非实现一种技术,能够替代人的智能,也有一定的政治头脑,能够智能的判断信息的密级。否则物理隔离的政策是不会被取代的。

当然,我这里说的是涉及国家秘密。其他的系统其实是没有物理隔离这个强制政策的。这时候用用隔离卡、网闸之类的也无伤大雅。

同意G说的物理隔离是国家保密局在现有技术无法解决信息安全传输的情况下作出的决定,但是个人觉得不用等到AI有重大突破吧才可以解决这个问题吧!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-07-05 17:12 
离线
高级用户

注册: 2005-09-15 11:35
最近: 2014-01-09 17:07
拥有: 1,510.80 安全币

奖励: 348 安全币
在线: 3830 点
帖子: 214
suky78 写道:
其实,政策终归是政策,政策也是人定的,也会存在很多不合时宜的问题。目前的安全产品政策,大家谁见过很规范的?对安全产品的发展有很大的促进作用吗?我是没有见过。很多时候都是死搬硬套,合不合适不管,有不用不管,形式主意。我觉得政策应该灵活些,不能太死,如果一个政策对安全产品起不到很大的推动和促进作用,而只是一味的测试、发证等,是不行的。所以我们不能老谈政策,老拿政策压人。应该想想怎样才能使产品为用户创造更大的安全效益,怎样为用户的应用铺路做保障,想想这些吧。。。。


如果软件没有安全漏洞(不可能),INTEL的VT技术加VPN技术从理论上说已经达到物理隔离的要求。
但是,OS有漏洞(无意)、有木马(有意),硬件有后门(隐藏一个特权指令,直接进入0环),谁敢保证逻辑隔离的安全性?如果不能从理论上说清楚安全性,凭什么国家保密局改变政策?出了问题谁负责?枪毙谁?听说军方在讨论物理隔离卡的应用时,有人问“说能用自己的党籍军籍保证物理隔离卡没有安全问题”,结果没有人保证。联隔离卡都不能保证,徨论其他安全产品。但是,我个人认为这是一个正确的选择。没有100%的把握能把国家安全当儿戏?所以政策一定滞后技术,所以不要有意见。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-07-05 17:12 
离线
高级用户

注册: 2005-09-15 11:35
最近: 2014-01-09 17:07
拥有: 1,510.80 安全币

奖励: 348 安全币
在线: 3830 点
帖子: 214
suky78 写道:
其实,政策终归是政策,政策也是人定的,也会存在很多不合时宜的问题。目前的安全产品政策,大家谁见过很规范的?对安全产品的发展有很大的促进作用吗?我是没有见过。很多时候都是死搬硬套,合不合适不管,有不用不管,形式主意。我觉得政策应该灵活些,不能太死,如果一个政策对安全产品起不到很大的推动和促进作用,而只是一味的测试、发证等,是不行的。所以我们不能老谈政策,老拿政策压人。应该想想怎样才能使产品为用户创造更大的安全效益,怎样为用户的应用铺路做保障,想想这些吧。。。。


如果软件没有安全漏洞(不可能),INTEL的VT技术加VPN技术从理论上说已经达到物理隔离的要求。
但是,OS有漏洞(无意)、有木马(有意),硬件有后门(隐藏一个特权指令,直接进入0环),谁敢保证逻辑隔离的安全性?如果不能从理论上说清楚安全性,凭什么国家保密局改变政策?出了问题谁负责?枪毙谁?听说军方在讨论物理隔离卡的应用时,有人问“说能用自己的党籍军籍保证物理隔离卡没有安全问题”,结果没有人保证。联隔离卡都不能保证,徨论其他安全产品。但是,我个人认为这是一个正确的选择。没有100%的把握能把国家安全当儿戏?所以政策一定滞后技术,所以不要有意见。


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 19 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012