计算机网络物理安全和系统隔离技术概要

物理安全和系统隔离技术第13章基本内容网络和信息安全离不开设备安全，只有确保实体的安全才能谈得上使用安全。本章介绍物理实体安全与隔离技术相关知识。13.1物理安全技术13.1概述

物理安全又叫实体安全（PhysicalSecurity），是保护计算机设备、设施（网络及通信线路）免遭地震、水灾、火灾、有害气体和其他环境事故（如电磁污染等）破坏的措施和过程。实体安全技术主要是指对计算机及网络系统的环境、场地、设备和通信线路等采取的安全技术措施。物理安全技术实施的目的是保护计算机及通信线路免遭水、火、有害气体和其他不利因素(人为失误、犯罪行为)的损坏。影响计算机网络实体安全的主要因素如下：1）计算机及其网络系统自身存在的脆弱性因素。2）各种自然灾害导致的安全问题。3）由于人为的错误操作及各种计算机犯罪导致的安全问题。13.1.2影响物理安全的因素

物理安全包括：环境安全、电源系统安全、设备安全和通信线路安全。13.1物理安全技术13.1.3物理安全的内容

1)环境安全：应具备消防报警、安全照明、不间断供电、温湿度控制系统和防盗报警。2)电源系统安全：电源安全主要包括电力能源供应、输电线路安全、保持电源的稳定性等。3)设备安全：要保证硬件设备随时处于良好的工作状态，建立健全使用管理规章制度，建立设备运行日志。同时要注意保护存储媒体的安全性，包括存储媒体自身和数据的安全。4)通信线路安全：包括防止电磁信息的泄漏、线路截获，以及抗电磁干扰。13.1物理安全技术物理安全包括以下主要内容:1）计算机机房的场地、环境及各种因素对计算机设备的影响。2）计算机机房的安全技术要求。3）计算机的实体访问控制。4）计算机设备及场地的防火与防水。5）计算机系统的静电防护。6）计算机设备及软件、数据的防盗防破坏措施。7）计算机中重要信息的磁介质的处理、存储和处理手续的有关问题。

13.1.3物理安全的内容(续)13.1物理安全技术13.1.4物理安全涉及的主要技术标准

（1）GB/T2887-2000

《电子计算机场地通用规范》

（2）GB/T9361-1988

《计算站场地安全要求》

（3）GB/T14715-1993

《信息技术设备用UPS通用技术条件》

（4）GB50174-1993

《电子计算机机房设计规范》

计算机机房建设至少应遵循国标GB/T2887-2000和GB/T9361-1988，满足防火、防磁、防水、防盗、防电击、防虫害等要求，并配备相应的设备。13.1物理安全技术13.2电磁防护与通信线路安全13.2.1电磁兼容和电磁辐射的防护

计算机网络系统的各种设备都属于电子设备，在工作时都不可避免地会向外辐射电磁波，同时也会受到其他电子设备的电磁波干扰，当电磁干扰达到一定的程度就会影响设备的正常工作。电磁辐射泄密的危险。13.2电磁防护与通信线路安全13.2.1电磁兼容和电磁辐射的防护

电磁辐射防护的措施：(1)一类是对传导发射的防护，主要采取对电源线和信号线加装性能良好的滤波器，减小传输阻抗和导线间的交叉耦合；(2)对辐射的防护可分为：

1)采用各种电磁屏蔽措施，如对设备的金属屏蔽和各种接插件的屏蔽，同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离；

2)干扰的防护措施，即在计算机系统工作的同时，利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

13.2电磁防护与通信线路安全13.2.1电磁兼容和电磁辐射的防护

抗干扰措施：（1）屏蔽（2）滤波（3）隔离（4）接地用一种种简单单（但但很昂昂贵））的高高技术术加压压电缆缆，可可以获获得通通信线线路上上的物物理安安全。。通信电电缆密密封在在塑料料套管管中，，并在在线缆缆的两两端充充气加加压。。线上上连接接了带带有报报警器器的监监示器器，用用来测测量压压力。。如果果压力力下降降，则则意味味电缆缆可能能被破破坏了了，技技术人人员还还可以以进一一步检检测出出破坏坏点的的位置置，以以便及及时进进行修修复。。距离大大于最最大长长度限限制的的系统统之间间，不不采用用光纤纤线通通信；；或加加强复复制器器的安安全，，如用用加压压电缆缆、警警报系系统和和加强强警卫卫等措措施。。Modem的安全性性。13.2电电磁防护护与通信线线路安全13.2.2通信信线路安全全技术13.3系系统隔离离技术13.3.1隔离离的概念安全域是以以信息涉密密程度划分分的网络空空间。涉密域就是涉及国国家秘密的的网络空间间。非涉密域就是不涉及及国家的秘秘密，但是是涉及本单单位，本部部门或者本本系统的工工作秘密的的网络空间间。公共服务域域是指既不涉涉及国家秘秘密也不涉涉及工作秘秘密，是一一个向因特特网络完全全开放的公公共信息交交换空间。。1、安全域域电子政务的的内网和外外网要实行行严格的物物理隔离。。政务的外外网和因特特网络要实实行逻辑隔隔离，按照照安全域的的划分，政政府的内网网就是涉密密域，政府府的外网就就是非涉密密域，因特特网就是公公共服务域域。网络隔离（（NetworkIsolation），主主要是指把把两个或两两个以上可可路由的网网络（如TCP/IP）通过过不可路由由的协议（（如IPX/SPX、NetBEUI等）进行行数据交换换而达到隔隔离目的。。由于其原原理主要是是采用了不不同的协议议，所以通通常也叫协协议隔离（（ProtocolIsolation）。。2、网络隔离第一代隔离离技术———完全的隔隔离第二代隔离离技术———硬件卡隔隔离第三代隔离离技术———数据转播播隔离第四代隔离离技术———空气开关关隔离第五代隔离离技术———安全通道道隔离13.3系系统隔离离技术13.3.1隔离离的概念右图表示没有连连接时内外外网的应用用状况，从从连接特征征可以看出出这样的结结构从物理理上完全分分离。13.3系系统隔离离技术13.3.2网络络隔离的原原理当外网需要要有数据到到达内网的的时候，以电子邮邮件为例，，外部的服服务器立即即发起对隔隔离设备的的非TCP/IP协协议的数据据连接，隔隔离设备将将所有的协协议剥离，，将原始的的数据写入入存储介质质。13.3系系统隔离离技术13.3.2网络络隔离的原原理一旦数据完完全写入隔隔离设备的的存储介质质，隔离设设备立即中中断与外网网的连接。。转而发起起对内网的的非TCP/IP协协议的数据据连接。隔隔离设备将将存储介质质内的数据据推向内网网。内网收收到数据后后，立即进进行TCP/IP的的封装和应应用协议的的封装，并并交给应用用系统。在控制台收收到完整的的交换信号号之后，隔隔离设备立立即切断隔隔离设备于于内网的直直接连接13.3系系统隔离离技术13.3.2网络络隔离的原原理内网有电子子邮件要发发出，隔离离设备收到到内网建立立连接的请请求之后，，建立与内内网之间的的非TCP/IP协协议的数据据连接。隔隔离设备剥剥离所有的的TCP/IP协议议和应用协协议，得到到原始的数数据，将数数据写入隔隔离设备的的存储介质质。13.3系系统隔离离技术13.3.2网络络隔离的原原理一旦数据完完全写入隔隔离设备的的存储介质质，隔离设设备立即中中断与内网网的连接。。转而发起起对外网的的非TCP/IP协协议的数据据连接。隔隔离设备将将存储介质质内的数据据推向外网网。外网收收到数据后后，立即进进行TCP/IP的的封装和应应用协议的的封装，并并交给系统统13.3系系统隔离离技术13.3.2网络络隔离的原原理每一次数据据交换，隔隔离设备经经历了数据据的接受、存储和转发三个过程。。由于这些些规则都是是在内存和和内核中完完成的，因因此速度上上有保证，，可以达到到100%的总线处处理能力。。物理隔离的的一个特征征，就是内内网与外网网永不连接接，内网和和外网在同同一时间最最多只有一一个同隔离离设备建立立非TCP/IP协协议的数据据连接。其数据传输输机制是存存储和转发发。物理隔隔离的好处处是明显的的，即使外外网在处在在最坏的情情况下，内内网也不会会有任何破破坏，修复复外网系统统也非常容容易。13.3系系统隔离离技术13.3.2网络络隔离的原原理1．基于代代码、内容容等隔离的的反病毒和和内容过滤滤技术2．基于网网络层隔离离的防火墙墙技术3．基于物物理链路层层的物理隔隔离技术13.3系系统隔离离技术13.3.2网络络隔离技术术分类1．网络隔隔离技术需需要具有的的安全要点点2．网络隔隔离的关键键点隔离的关键键点就成了了要尽量提提高网间数数据交换的的速度，并并且对应用用能够透明明支持，以以适应复杂杂和高带宽宽需求的网网间数据交交换。要具有高高度的自自身安全全性要确保网网络之间间是隔离离的要保证网网间交换换的只是是应用数数据要对网间间的访问问进行严严格的控控制和检检查要在坚持持隔离的的前提下下保证网网络畅通通和应用用透明13.3系统统隔离技技术13.3.4网网络隔隔离技术术要点与与发展方方向3．隔离离技术的的未来发发展方向向通过专用用通信设设备、专专有安全全协议和和加密验验证机制制及应用用层数据据提取和和鉴别认认证技术术，进行行不同安安全级别别网络之之间的数数据交换换，彻底底阻断网网络间的的直接TCP/IP连连接，同同时对网网间通信信的双方方、内容容、过程程施以严严格的身身份认证证、内容容过滤、、安全审审计等多多种安全全防护机机制，从从而保证证了网间间数据交交换的安安全、可可控，杜杜绝了由由于操作作系统和和网络协协议自身身漏洞带带来的安安全风险险。13.3系统统隔离技技术13.3.4网网络隔隔离技术术要点与与发展方方向网闸是使使用带有有多种控控制功能能的固态态开关读读写介质质连接两两个独立立主机系系统的信信息安全全设备。。物理隔离离网闸所所连接的的两个独独立主机机系统之之间不存存在通信信的物理理连接、、逻辑连连接、信信息传输输命令、、信息传传输协议议，不存存在依据据协议的的信息包包转发，，只有数数据文件件的无协协议“摆摆渡”，，且对固固态存储储介质只只有“读读”和““写”两两个命令令。所以以，物理理隔离网网闸从物物理上隔隔离、阻阻断了具具有潜在在攻击可可能的一一切连接接，使““黑客””无法入入侵、无无法攻击击、无法法破坏，，实现了了真正的的安全。。13.4隔离离网闸13.4.1网网闸闸的发展展网闸，又又称安全全隔离与与信息交交换系统统，是新新一代高高安全度度的企业业级信息息安全防防护设备备，它依依托安全全隔离技技术为信信息网络络提供了了更高层层次的安安全防护护能力，，不仅使使得信息息网络的的抗攻击击能力大大大增强强，而且且有效地地防范了了信息外外泄事件件的发生生。第一代网闸的的技术原理是是利用单刀双双掷开关使得得内外网的处处理单元分时存取共享存储储设备来完成成数据交换的的。安全原理理是通过应用用层数据提取取与安全审查查达到杜绝基基于协议层的的攻击和增强强应用层安全全的效果。第二代网闸正正是在吸取了了第一代网闸闸优点的基础础上，利用专专用交换通道道PET（PrivateExchangeTunnel）技术术，在不降低低安全性的前前提下能够完完成内外网之之间高速的数数据交换，有有效地克服了了第一代网闸闸的弊端。第第二代网闸的的安全数据交交换过程是通通过专用硬件件通信卡、私私有通信协议议和加密签名名机制来实现现。13.4隔隔离网闸13.4.2网闸的的工作原理隔离网闸（安安全隔离与信信息交换,GAP），是在保证证两个网络安安全隔离的基基础上实现安安全信息交换换和资源共享享的技术。13.4隔隔离网闸13.4.3隔离网网闸的特点1）专用硬件件设计保证了了物理隔离下下的信息交流流。GAP均均采用专用隔隔离硬件的设设计完成隔离离功能，硬件件设计保证在在任意时刻网网络间的链路路层断开，阻阻断TCP/IP协议以以及其他网络络协议；同时时该硬件不提提供编程软接接口，不受系系统控制，仅仅提供物理上上的控制开关关。这样黑客客无法从远程程获得硬件的的控制权。2）集合多种种安全技术消消除数据交换换中的安全隐隐患。在专用用硬件基础上上，紧密集成成了内核防护护、协议转化化、病毒查杀杀、身份验证证、访问控制制、安全审计计等模块。这这些模块可以以与隔离硬件件结合形成整整体的防御体体系。3）网闸以安安全隔离为基基础，并集成成多种防护技技术，其软硬硬一体设计形形成整体多层层面的安全防防护。4）灵活高效效数据交换形形式确保应用用需求。GAP产品都提提供了多种数数据交换方式式以满足业务务应用。如公公安部信息通通信局与天行行网安公司联联合研制的天天行安全隔离离网闸（Topwalk-GAP））提供了文件件交换、邮件件交换、数据据库交换和提提供API应应用接口的消消息模块，同同时具有较高高的传输速率率和低延迟性性。13.4隔隔离网闸13.5典典型产品介介绍天御6000网络物理隔隔离系统13.5典典型产品介介绍天御6000系列网络物物理隔离系统统是由北京和和信网安科技技有限公司与与中国科学院院中力机电新新技术有限公公司联合开发发的网络安全全产品。在保保证内外网物物理隔离的情情况下，实现现安全高效的的数据交换，，为解决内网网的安全问题题提供了全新新的解决方案案。在保证必须安安全的前提下下，尽可能互互联互通。13.5.1产品概概况13.5.2安全策策略外网服务器的的TCP/IP协议栈关关闭，内外网网服务器之间间采用纯数据据进行传输内网和外网之之间采用专有有的通讯协议议，有效防止止黑客从外网网攻入内网内网向外发起起的连接需经经过内网服务务器的身份认认证外网主动发起起的连接无法法建立，只有有内网请求的的回应数据可可以进入内网网13.5典典型产品介介绍产品的安装部部署物理安全在整个计算机机网络信息系系统安全体系系中占有重要要地位，也是是其他安全措措施得以实施施并发挥正常常作用的基础础和前提条件件。计算机信信息系统物理理安全的内涵涵是保护计算算机信息系统统设备、设施施以及其他媒媒体免遭地震震、水灾、火火灾等环境事事故以及人为为操作失误或或错误及各种种计算机犯罪罪行为导致的的破坏。包含含的主要内容容为机房安全全技术、电源源系统安全技技术、通信线线路安全技术术、计算机系系统设备安全全技术等。隔离技术的发展、现状状及工作原理理，重点应掌掌握安全隔离离网闸（GAP）的工作作原理：协议议控制、数据据转换、安全全审查、身份份认证等。同同时应将安全全隔离网闸与与传统防火墙墙对比地学习习，理解它们们间的异同，，特别是在安安全机制、硬硬件设计、网网络协议处理理、遭攻击后后果等方面的的区别。本章小结9、静夜四无邻邻，荒居旧业业贫。。12月-2212月-22Thursday,December29,202210、雨中中黄叶叶树，，灯下下白头头人。。。20:49:5820:49:5820:4912/29/20228:49:58PM11、以我独沈久久，愧君相见见频。。12月-2220:49:5820:49Dec-2229-Dec-2212、故人江海海别，几度度隔山川。。。20:49:5820:49:5820:49Thursday,December29,202213、乍见翻翻疑梦，，相悲各各问年。。。12月-2212月-2220:49:5820:49:58December29,202214、他他乡乡生生白白发发，，旧旧国国见见青青山山。。。。29十十二二月月20228:49:58下下午午20:49:5812月月-2215、比不不了得得就不不比，，得不不到的的就不不要。。。。十二月月228:49下下午午12月月-2220:49December29,202216、行动出出成果，，工作出出财富。。。2022/12/2920:49:5820:49:5829December202217、做前，能能够环视四四周；做时时，你只能能或者最好好沿着以脚脚为起点的的射线向前前。。8:49:58下下午8:49下下午20:49:5812月-229、没有有失败败，只只有暂暂时停停止成成功！！。12月月-2212月月-22Thursday,December29,202210、很很多多事事情情努努力力了了未未必必有有结结果果，，但但是是不不努努力力却却什什么么改改变变也也没没有有。。。。20:49:5820:49:5820:4912/29/20228:49:58PM11、成功就是是日复一日日那一点点点小小努力力的积累。。。12月-2220:49:5820:49Dec-2229-Dec-2212、世间成事，，不求其绝对对圆满，留一一份不足，可可得无限完美美。。20:49:5820:49:5820:49Thursday,December29,202213、不知香香积寺，，数里入入云峰。。。12月-2212月-2220:49:5820:49:58December29,202214、意志坚强强的人能把把世界放在在手中像泥泥块一样任任意揉捏。。29十二二月20228:49:58下下午20:49:5812月-2215、楚塞三三湘接，，荆门九九派通。。。。十二月228:49下午午12月-2220:49December29,202216、少年十五二二十时，步行行夺得胡马骑骑。。2022/12/2920:49:5820:49:5829December202217、空山