??? 監(jiān)控系統(tǒng)LAN區(qū)是不對外開放的區(qū)域,它只對其它信息系統(tǒng)LAN區(qū)提供部分服務(wù),所以外部Internet用戶檢測不到它的IP地址,無法對它進行攻擊。
??? 其它信息系統(tǒng)LAN區(qū)可以對外提供服務(wù),系統(tǒng)開放的信息都放在該區(qū),由于它的開放性,就有可能成為黑客攻擊的對象,但由于與監(jiān)控系統(tǒng)是隔離開的,即使受到了攻擊也不會危及監(jiān)控系統(tǒng)。
?
3 ?技術(shù)平臺
??? 網(wǎng)絡(luò)隔離裝置的安全等級應(yīng)高于防火墻,因此應(yīng)選用目前國內(nèi)通用的Linux為基礎(chǔ)進行大幅整改的專用網(wǎng)絡(luò)安全操作系統(tǒng)。
??? 通用的Linux操作系統(tǒng)盡管能提供多種多樣的功能,但由于其開放性和本身含有安全漏洞,因此極易受到攻擊,直接導致了受其保護的網(wǎng)絡(luò)的安全危機,而且這種通用操作系統(tǒng)的漏洞是不斷被發(fā)現(xiàn)的,一經(jīng)發(fā)現(xiàn)網(wǎng)上就會公布,相應(yīng)的攻擊辦法也跟著公布,致使最終用戶和制造廠商無法應(yīng)付。因此對通用Linux應(yīng)作如下方面的修改:
??? 取消危險的系統(tǒng)調(diào)用或者截獲系統(tǒng)調(diào)用,限制命令執(zhí)行權(quán)限,取消IP轉(zhuǎn)發(fā)功能,檢查每個分組的接口,采用隨機連接序號,駐留分組過濾模塊,取消動態(tài)路由功能,采用多個安全內(nèi)核等。