导读:该文是关于网络隔离论文范文,为你的论文写作提供相关论文资料参考。
面对新型网络攻击手段的出现和高安全度网络对安全的特殊需求,安全防护防范理念的网络隔离技术应运而生.网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换.
随着计算机软硬件技术的发展和成熟,各电视台都相继建立或正在筹建自己的非线性编辑网络.电视台一般都是先有办公网络,先建立起自己的稿件系统,然后才建起非线性编辑网络的.
通常,大多数电视台都担心编辑网络与办公网相连后,容易受到病毒攻击,有可能造成严重的播出事故,所以一般来说电视台都将这两个网络物理隔离,但工作效率难免大打折扣.
如何将这两个网络连接起来实现稿件资源共享,同时又可以有效保障非线性编辑网络的安全呢?
目前主要的网络隔离技术
我国目前流行的网络隔离技术的方案,主要有以下几类:
方案一:建立两个独立的网络
一个是内部网络,用于存储、处理、传输涉密信息;一个是外部网络,与Internet相联.两个网络之间如果有数据交换需要,则采用人工操作(如通过软盘、U盘等)的方式.
方案二:安全隔离计算机
该方案中用户通过使用一台额外的PC设备来联接两个网络,这也是比较常见的一种应用方案.
不过该方案的缺点是采用TCP协议连接两个网络,而目前的大部分病毒都是针对这种协议设计的.一旦这台PC中毒,非编网络的安全也岌岌可危.
方案三:采用安全隔离集线器
即集线器解决方案,主要解决房间和楼层单网布线的问题.这种集线器需要和专用的安全隔离计算机相配合,只采用一个网络接口,通过网线将不同的网络选择信号传递到网络选择器,根据不同的选择信号,选择不同的网络连接.
方案四:物理隔离的远程安全传输方式
包括:使用独立铺设线路和交换设备方式,在具备相应认证和链路加密措施的前提下,使用面向连接的电路交换方式,使用永久虚电路交换方式.
方案五:网闸
网闸的外部主机连接外部网络,内部主机连接内部网络,外部主机和内部主机是完全网络隔离的,支持文件、数据或者信息的交换.
各种方案的比较
第一种方案无需另购硬件设备,应该说是最便宜的一种方案,多数电视台也是选择这种方式在两个网络之间传送数据的.
不过第一种方案受主观影响较大,非编系统的安全性主要依赖于工作人员的责任心和对待工作的认真程度.一旦工作人员疏忽,没有按照要求查杀病毒的话,就有可能使病毒趁虚而入.
使用网闸也是比较安全的一种方案.网闸使用带有多种控制功能的固态开关读写介质连接两个独立主机系统的信息安全设备,最早出现在美国、以色列等国家的军方,用以解决涉密网络与公共网络连接时的安全问题.
网闸所连接的两个独立主机系统之间,不存在通信的物理连接、逻辑连接、信息传输命令、信息传输协议,不存在依据协议的信息包转发,只有数据文件的无协议“摆渡”,且对固态存储介质只有“读”和“写”两个命令.所以,物理隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接,使“论文范文”无法入侵、无法攻击、无法破坏,实现了真正的安全.
当内网与专网之间无信息交换时,物理隔离网闸与内网,物理隔离网闸与专网,内网与专网之间是完全断开的,即三者之间不存在物理连接和逻辑连接,如图1所示.
当内网数据需要传输到专网时,网闸主动向内网服务器数据交换*发起非TCP/IP协议的数据连接请求,并发出“写”命令,将写入开关合上,并把所有的协议剥离,将原始数据写入存储介质.在写入之前,还要根据不同的应用对数据进行必要的完整性、安全性检查,如病毒和恶意代码检查等.在此过程中,专网服务器与物理隔离网闸始终处于断开状态,如图2所示.
网络隔离技术:南京电视台网络K歌秀7月23日隔离
一旦数据完全写入物理隔离网闸的存储介质,开关立即打开,中断与内网的连接,转而发起对专网的非TCP/IP协议的数据连接请求,当专网服务器收到请求后,发出“读”命令,将物理隔离网闸存储介质内的数据导向专网服务器.专网服务器收到数据后,按TCP/IP协议重新封装接收到的数据,交给应用系统,这样就完成了内网到专网的信息交换,如图3所示.
目前世界上主要有三类隔离网闸技术,即SCSI技术、双端口RAM技术(基于总线)和物理单向传输技术.
SCSI是典型的拷盘交换技术,采用的是动态开关断开技术,其特点是支持纳秒级的开关切换频率,数据负荷量大,带宽大,处理能力强,安全性高,协议剥离最彻底,是目前最为接近拷盘技术的网闸.但缺点是对硬件要求高,成本高.
双端口RAM也是模拟拷盘技术的,可以轻松实现存储转发,但其可以转发网络包,如果对协议剥离不彻底,容易存在安全漏洞.
物理单向传输技术则是二极管单向技术,采用的是固定断开技术.其在物理介质上是绝对单向的,因而彻底断开了数据链路层.其缺点是应用支持少.
虽然网闸好处很多,但其投资却比较大.鉴于我们的业务需求主要是传送文稿,对于其他资料的传送需求比较小.
考虑到文本文件没有病毒,因此我们可以借鉴网闸的工作原理,通过串口传输文本文件且限制只能传送文本文件来达到相同的目的,而投资却很小.另外,由于每个稿件的字数不能太多,所以文件不大,一般只有几KB,这种尺度的文件用串口来传输并不会有明显的延迟.
基于串口行方案
(一)系统工作原理
为了保证系统的安全性和各功能部件的独立性和灵活性,本系统在非编网和办公网都分别设置了服务器.
非编网服务器运行安全文件接收服务,接收串口传输过来的命令和文件,并把文件保存在非编网其他机器可以访问的共享目录上,供非编网各机器调用.办公网服务器配置运行Web服务和安全文件传输服务.
Web服务提供简单易用的用户界面,用户直接通过网页只能提交文本,Web服务再把这些数据存为文本文件并保存到事先设置的监控目录.
安全文件传输服务监控这个目录,如果发现该目录下有新增文本文件,则通过串口把这些文本文件发送到非编网服务器.
对于每一台服务器来说,串口资源由我们开发的软件独占,整个数据的传输过程由程序控制,这样病毒就无法通过两台服务器之间惟一的接口——串口进行传播,系统的安全性得到了保证.同时,为了进一步保证系统安全,我们在办公网服务器上都安装了正版杀毒软件并定期自动查杀、定期自动升级病毒库.
(二)系统结构与硬件设计
系统拓扑如图4所示.
串口双机互连硬件结构简单,制作连接电缆方法如图5所示.制作完成后分别连接到非编网和办公网两台服务器即可.
(三)系统软件设计
根据系统整体设计,考虑到Delphi有丰富的控件可用,并且是全可视化的RAD开发工具,因此采用Delphi 7来开发这三个程序.
(1) Web服务的设计与实现
Web服务实现用户直接通过网页提交需要传输的文稿,功能并不复杂,因此该程序采用Deiphi自带IntraWeb技术快速地实现.IntraWeb程序的AppMode即应用模式,自带Web服务器.
(2)安全文件传输服务的设计与实现
办公网络服务器运行的安全文件传输服务程序的编写采用TurboPower Async Professional系列异步串口通信组件,以及自行编制的监控文件变化的TdiskChangeNotifyEx组件. 当程序启动,则读人配置文件,设置串行端口、波特率以及监控目录等,然后开始监控.运行界面如图6所示.
(3)安全文件接收服务的设计与实现
非编网运行的安全文件接收服务的程序编写,同样也采用了TurboPower AsyncProfessional系列异步串口通信组件.
经过一段时间的测试和运行,该系统运行稳定,且安全可靠,达到了预期效果:尽管办公网始终存在着病毒,但非线性编辑网络环境始终是干净的.
网络隔离范文
网络隔离技术参考文献总结:
关于本文可作为相关专业网络隔离论文写作研究的大学硕士与本科毕业论文网络隔离论文开题报告范文和职称论文参考文献资料。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
