信息安全政策（隔离与监控）

网络隔离
　　涉密系统不得直接或间接与国际联网，必须实行物理隔离；2000年1月1日正式实施的《计算机信息系统国际联网保密管理规定》中也明确规定：“凡涉及国家秘密的计算机信息系统，不得直接过间接地与国际互联网或者其它公共信息网络相连接，必须实行物理隔离”

　　隔离的本质是在需要交换信息甚至是共享资源的情况下才出现，既要信息交换或共享资源，也要隔离。

　　网络隔离技术的目标是确保把有害的攻击隔离，在可信网络之外和保证可信网络内部信息不外泄的前提下，完成网间数据的安全交换。

隔离的概念是在为了保护高安全度网络环境的情况下产生的；
　　第一代隔离技术：完全地隔离。此方法使得网络处于信息孤岛状态，做到了完全的物理隔离，信息至少两套网络和系统，更重要的是信息交流的不便和成本的提高

　　第二代隔离技术：硬件卡隔离。在客户点增加一块硬件卡，客户端硬盘或其他存储设备首先链接到该卡，然后再转接到主板上，通过该卡能控制客户端硬盘或其他储存设备，但是这种隔离产品需要网络布线为双网线结构，存在着较大的安全隐患

　　第三代隔离技术：数据传播隔离。利用转播系统分时复制文件的途径来实现隔离，切换时间非常之久，甚至需要手工完成，不仅明显地减缓了访问速度，更不支持常见的网络应用，失去了网络存在的意义

　　第四代隔离技术：空气开关隔离。通过使用单刀双掷开关，使得内外部网络分时访问临时缓存器来完成数据交换的，但在安全和性能上存在有许多问题

　　第五代隔离技术：安全通道隔离。通过专用通信硬件和专有安全协议等安全机制，来实现内外网络的隔离和数据交换

防火墙是最常用的网络隔离手段，主要是通过网络的路由控制，也就是访问控制列表技术，网络是一种包交换技术，数据包是通过路由交换到达目的地的，所以控制了路由，就能控制通讯的线路和数据包的流向。防火墙有一个很显著的缺点，就是防火墙只能做网络四层以下的控制，对应用层内的病毒、蠕虫都没有办法

新一代防火墙技术多重安全网关通过架设更多的关卡来处理不同类别的事物。基本的策略都是架桥的策略

网闸的功能代理，这个代理不只是协议代理，而是数据的“拆卸”，把数据还原成原始的面貌，拆除各种通信协议添加的“包头包尾”。
网闸的安全理念是：网络隔离————“过河用船不用桥”：用“摆渡方式”莱格里网络。协议隔离————“禁止采用集装箱运输”：通讯协议落地，用专门协议或存储等方式阻断通讯协议的连接，用代理方式支持上层业务

按国家安全要求是需要涉密网络与非涉密网络互联的时候，要采用网闸隔离。

交换网络的模型来源于银行系统的Clark-Wilson模型，是在两个隔离的网络之间建立一个数据交换区域，负责业务数据交换（单项或双向）。交换网络的两端可以采用多重网关，也可以采用网闸。交换网络的核心也是业务代理。客户业务要经过接入缓冲区的申请代理，到业务缓冲区的业务代理，才能进入生产网络。网闸与交换网络技术都是采用渡船策略，延长数据通信“里程”，增加安全保障措施。

安全监控
主要分为两大类：

　　1、网络安全监控
　　　　主要实现一下几个功能：
　　　　1、全面的网络安全控制
　　　　2、细粒度的控制
　　　　3、网络审计
　　　　4、日志、报警、报告和拦截等
　　2、主机安全监控
　　　　主要实现一下几个功能：
　　　　1、访问控制
　　　　2、系统监控
　　　　3、系统审计
　　　　4、系统漏洞检查