信息安全政策(二)：网络什么处理隔离与安全监控

      在信息安全政策(一)里小编讲了安全政策当中的等级保护与分级分级保护的内容，而在软考信安通关信息安全政策当中还涉及到了网络隔离与安全监控这两个政策。在这里，小编接着讲讲这两个知识点。网络隔离主要是指把两个或两个以上可路由的网络通过不可路由的协议进行数据交换而达到隔离目的。由于其原理主要是采用了不同的协议所以通常也叫协议隔离。而安全监控则通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使管理员有效地监视、控制和评估网络或主机系统。

    网络隔离

      网络隔离是一项网络安全技术，它消除了基于网络和基于协议的安全威胁，但网络隔离技术也存在局限性，对非网络的威胁如内容安全，就无法从理论上彻成排除，就像人工拷盘一样，交换的数据本身可能带有病毒，即使查杀病毒也不一定可以查杀干净。但它不是网络安全问题，不存在攻击和入侵之类的威胁。如果用户确定交换的内容是完全可信和可控的，那么网络隔离是用户解决网络安全问题的最佳选择。

1. 网络隔离技术

　　网络隔离技术是在原有安全技术的基础上发展起来的，它弥补了原有安全技术的不足，突出了软考信安真题，自己的优势。主要目标是将有害的网络安全威胁隔离开，以保障数据信息在可信网络内在进行安全交互。经历了五代隔离技术不断的实践和理论之后，隔离产品终于开始大量的出现。这五代的隔离技术如下：

　　第一代隔离技术——完全的隔离。这个方法使得网络处于信息孤岛的状态，做到了完全的物理隔离，需要至少两套网络和系统，更重要的是信息交流的不便和成本的提高，这样给维护和使用带来了极大的不便。

　　第二代隔离技术——硬件卡隔离。在客户端增加一块硬件卡，客户端硬盘或其他存储设备首先连接到该卡，然后再转接到主板上，软考信管套餐，通过该卡能控制客户端硬盘或其他存储设备。而在选择不同的硬盘时，同时选择了该卡上不同的网络接口，连接到不同的网络。但是，这种隔离产品有的仍然需要网络布线为双网线结构，产品存在着较大的安全隐患。

　　第三代隔离技术—数据转播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义。

　　第四代隔离技术—空气开关隔离。它是通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题。

第五代隔离技术—安全通道隔离。此技术通过专用通信硬件和专有安全协议等安全机制，来实现内外部网络的隔离和数据交换，不仅解决了以前隔离技术存在的问题，并有效地把内外部网络隔离开来，而且高效地实现了内外网数据的安全交换，透明支持多种网络应用，成为当前隔离技术的发展方向。

　　2.网络隔离的关键点

　　网络隔离的关键是在于系统对通信数据的控制，即通过不可路由的协议来完成网间的软考高项套餐，数据交换。位于网络第七层的通信硬件设备工作不能感知到交换数据的可用性、可控性、完整性、抗抵赖等，因此需要通过访问控制、加密签名、身份认证等安全机制来实现。

　　由此可见，隔离的关键点就成了要尽量提高网间数据交换的速度，并且对应用能够透明支持，软考高项培训，以适应复杂和高带宽需求的网间数据交换。

　　3.网络隔离的安全要点

　　（1）要确保网络之间是隔离的。网络包不可路由到对方网络是保证网间隔离的关键，不管中间采用了什么转换方法，如果一方的网络包最后还是进入到对方的网络中，都无法做到隔离，也就是没有得到隔离的效果。很明显，如果只是对网间的包进行转发，并且允许建立端到端连接的防火墙，是起不到任何隔离效果的。另外，那些只是把网络包转换为文本，交换到对方网络后，再把文本转换为网络包的产品也是没有做到隔离的。

　　（2）要具有高度的自身安全性。隔离产品要保证自身具有高度的安全性，在技术实现上，除了对操作系统进行加固优化或采用安全操作系统外，关键在于要把外网接口和内网接口从一套操作系统中分离出来。也就是说至少要由两套主机系统组成，一套控制外网接口，另一套控制内网接口，然后在两套主机系统之间通过不可路由的协议进行数据交换，如此，即使黑客攻破了外网系统，仍然无法控制内网系统，就达到了更高的安全级别。

　　（3）要对网间的访问进行严格的控制和检查。作为一套适用于高安全度网络的安全设备，要确保每次数据交换都是可信的和可控制的，严格防止非法通道的出现，以确保信息数据的安全和访问的可审计性。所以必须施加以一定的技术，保证每一次数据交换过程都是可信的，并且内容是可控制的，可采用基于会话的认证技术和内容分析与控制引擎等技术来实现。

　　（4）要保证网间交换的只是应用数据。既然要达到网络隔离，就必须做到彻底防范基于网络协议的攻击，即不能够让网络层的攻击包到达要保护的网络中，所以就必须进行协议分析，完成应用层数据的提取，然后进行数据交换，这样就把诸如TearDrop、Land、Smurf和SYN Flood等网络攻击包，彻底地阻挡在了可信网络之外，从而明显地增强了可信网络的安全性。

　　（5）要在坚持隔离的前提下保证网络畅通和应用透明 隔离产品会部署在多种多样的复杂网络环境中，并且往往是数据交换的关键点，因此，产品要具有很高的处理性能，不能够成为网络交换的瓶颈，要有很好的稳定性;不能够出现时断时续的情况，要有很强的适应性，能够透明接入网络，并且透明支持多种应用。

　　4.网络隔离的手段

     （1）防火墙。防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，也称防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，实际上是一种隔离技术。

　　防火墙主要是通过网络的路由控制，也就是访向控制列表技术，是网络隔离最常用的手段。网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路和数据包的流向。早期的网络安全控制方面基本上是防火墙。

　　防火墙只能做网络四层以下的控制是它一个很显著的缺点，这个缺点使得它只能做初级的安全隔离却无法做要求深层次的网络隔离，比如它对应用层内的病毒、蠕虫根本没有办法。在这个时候，为了做更深层次的隔离就必须要更新防火墙的技术了，于是新一代的防火墙技术就产生了。

　　新一代防火墙技术多重安全网关通过架设更多的关卡来处理不同类别的事务。但是其基本的策略都是架桥的策略，主要是采用安全检查的方式，对应用的协议不做更改，所以速度快，流量大，从客户应用上来看，没有不同。

    （2）网闸(简称：GAP)：全称安全隔离网闸，是一种由带有多种控制功能专用硬件在电路上切断网络之间的链路层连接，软考信管视频，并能够在网络间进行安全适度的应用数据交换的网络安全设备。网闸的安全理念是:网络隔离、协议隔离。

　　网闸的设计形象的借鉴了船闸的概念，设计采用"代理+摆渡"。不在河上架桥，可以设摆渡船，摆渡船不直接连接两岸，安全性当然要比桥好，即使是攻击，也不可能一下就进入，在船上总要受到管理者的各种控制。另外，网闸的功能有代理，这个代理不只是协议代理，而是数据的"拆卸"把数据还原成原始的面貌，拆除各种通信协议添加的"包头包尾"。很多攻击是通过对数据的拆装来隐藏自己的，没有了这些"通信外衣"攻击者就很难藏身了。

    （3）交换网络。是指通过一定的设备，如交换机等，将不同的信号或者信号形式转换为对方可识别的信号类型从而达到通信目的的一种交换形式，主要是通过业务代理与双人审计的思路保护数据的完整性。

      交换网络是在两个隔离的网络之间建立一个数据交换区域，负责业务数据交换(单肉或双向)。交换网络的两端可以采用多重网关，也可以采用网闸。在交换网络内部采用监控、审计等安全技术，整体上形成一个立体的交换网安全防护体系。交换网络的核心也是业务代理。客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。网闸与交换网络技术都是采用渡船策略，延长数据通信"里程"增加安全保障措施。

安全监控

      安全监控通过实时监控网络或主机活动，监视分析用户和系统的行为，审计系统配置和漏洞，评估敏感系统和数据的完整性，识别攻击行为，对异常行为进行统计和跟踪，识别违反安全法规的行为，使用诱骗服务器记录黑客行为等功能，使管理员有效地监视、控制和评估网络或主机系统。

　　系统安全监控是指对系统的运行状况和系统中的用户的行为进行监视、控制和记录。通过系统安全监控，安全管理人员可以有效地监视、控制和评估信息系统的安全运行状况，并为进一步提高系统安全性提供参考和依据。

　　1.安全监控的内容

　　(1)网络状态监视:为了全面了解主机的网络状态可以查看受控主机当前活动的网络连接、开放的系统服务以及端口。

　　(2)网络连接监控:实现对非法主机接入的隔离和对合法主机网络行为的管控。一方面对非法接入的主机进行识别、报警和隔离;另一方面实现对合法主机网络访问行为的监控，包括网络地址端口控制、网络URL控制、邮件控制、拨号连接控制、网络共享控制以及网络邻居控制等。

　　(3)主机系统监视:想要监视和记录主机当前用户信息、系统信息、设备信息、信息安全工程师培训，系统进程、系统服务、系统事件、系统窗口、安装程序以及实时屏幕等信息就可以通过系统状态监视来实现。

　　(4)主机外设监视:可以实行对受控主机的USB 端口、串行端口、并行端口等外设接口，以及USB 盘、软驱、光驱等外设的存取控制。

　　(5)主机应用监控:控制主机中的进程、服务和应用程序窗口。

　　(6))用户操作监视:监示和记录用户的系统配置和操作、应用程序操作和文件操作等。

　　2.安全监控的分类

　　(1)主机安全监控

　　主机安全监控需要实现访问控制、系统监控、系统审计、系统漏洞检查这几种功能，从而禁止各种非法手段对主机带来的各种安全隐患。

　　(2)网络安全监控

　　网络安全监控需要实现全面的网络安全监控，细粒度的监控，网络审计，包括日志、报警、报告以及拦截等其他的一些功能。

　　通过主机安全监控和网络安全监控可以实时地监控主机或网络的活动，管理员才会更好更有效地监视、控制和评估网络或者系统，网络才会更安全。

网络隔离和安全监控也是信息安全政策当中有效的手段，与等级保护、分级保护一起作为完善信息安全政策的实行，使得网络信息安全的能力大大地提高，我国在国家信息安全保障能力和水平能逐渐追赶世界领先的信息安全保障能力和水平。

以上就是小编整理的关于几个信息安全政策的知识点了，希望这些内容可以帮助到大家。