扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
3、网闸
网闸的设计是“代理+摆渡”。不在河上架桥,可以设摆渡船,摆渡船不直接连接两岸,安全性当然要比桥好,即使是攻击,也不可能一下就进入,在船上总要受到管理者的各种控制。另外,网闸的功能有代理,这个代理不只是协议代理,而是数据的“拆卸”,把数据还原成原始的部分,拆除各种通讯协议添加的“包头包尾”,很多攻击是通过对数据的拆装来隐藏自己的,没有了这些“通讯管理”,攻击的入侵就很难进入。
网闸的安全理念是:
网络隔离---“过河用船不用桥”:用“摆渡方式”来隔离网络
协议隔离---“禁止采用集装箱运输”:通讯协议落地,用专用协议、单向通道技术、存储等方式阻断业务的连接,用代理方式支持上层业务
网闸是很多安全网络隔离的选择,但网闸代理业务的方式不同,协议隔离的概念不断变化,所以在在选择网闸的时候要注意网闸的具体实现方式。
4、交换网络
交换网络的模型来源于银行系统的Clark-Wilson模型,主要是通过业务代理与双人审计的思路保护数据的完整性。交换网络是在两个隔离的网络之间建立一个网络交换区域,负责数据的交换。交换网络的两端可以采用多重网关,也可以采用网闸。在交换网络内部采用监控、审计等安全技术,整体上形成一个立体的交换网安全防护体系。
交换网络的核心也是业务代理,客户业务要经过接入缓冲区的申请代理,到业务缓冲区的业务代理,才能进入生产网络。
网闸与交换网络技术都是采用渡船策略,延长数据通讯“里程”,增加安全保障措施。
三、数据交换技术的比较
不同的业务网络根据自己的安全需求,选择不同的数据交换技术,主要是看数据交换的量大小、实时性要求、业务服务方式的要求。
数据交换技术 |
安全性 |
适合场合 |
人工方式 |
安全性最好,物理隔离 |
适合临时的小数量的数据交换 |
数据交换网 |
物理上连接,采用完整安全保障体系的深层次防护(防护、监控、审计),安全程度依赖当前安全技术 |
适合提供大数据服务或时时的网络服务,支持多业务平台建设 |
网闸 |
物理上不同时连接,对攻击防护好,但协议的代理对病毒防护依赖当前技术 |
适合定期的批量数据交换,但不适合多应用的穿透 |
多重安全网关 |
从网络层到应用层的防护 |
不适合涉密网络与非涉密网络数据交换。适合办公网络与互联网的隔离,也适合涉密网络之间的隔离 |
防火墙 |
网络层的安全防护 |
适合网络的安全区域的隔离,适合同安全级别的网络隔离 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。