11.1 网络物理隔离概述
11.1.1 网络物理隔离概念
既能满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术称为“物理隔离技术”,其基本原理是避免两台计算机之间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全域之间进行信息及数据交换。
11.1.2 网络物理隔离安全风险
1. 网络非法外联(私自连接互联网)
2. U盘摆渡攻击(网络攻击者利用 U 盘作为内外网络的摆渡工具)
3. 网络物理隔离产品安全隐患(网络隔离产品的安全漏洞,导致 DoS/DDoS 攻击,使得网络物理隔离设备不可用。)
4. 针对物理隔离的攻击新方法(利用各种手段,将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去,在接收端通过模数转换复原数据,从而达到窃取信息的目的。)
————
11.2 网络物理隔离系统与类型
11.2.1 网络物理隔离系统
网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换。
11.2.2 网络物理隔离类型
按照隔离的对象来分,网络物理隔离系统一般可以分为:单点隔离系统和区域隔离系统。其中单点隔离系统主要是保护单独的计算机系统,防止外部直接攻击和干扰。区域隔离系统针对的是网络环境,防止外部攻击内部保护网络。
按照网络物理隔离的信息传递方向,网络物理隔离系统可分为:双向网络物理隔离系统与单向网络物理隔离系统。
————
11.3 网络物理隔离机制与实现技术
11.3.1 专用计算机上网
在内部网络中指定 一 台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境。
11.3.2 多PC
内部网络中,在上外网的用户桌面上安放两台PC, 分别连接两个分离的物理网络,一台用于连接外部网络,另一台用于连接内部网络。
11.3.3 外网代理服务
在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户”上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击。
11.3.4 内外网线路切换器
在内部网中,上外网的计算机上连接一个物理线路 AIB 交换盒,通过交换盒的开关设置控制计算机的网络物理连接。
11.3.5 单硬盘内外分区
把单一硬盘分隔成不同的区域,单硬盘内外分区技术将单台物理 PC 虚拟成逻辑上的两台 PC, 使得单台计算机在某一时刻只能连接到内部网或外部网。
11.3.6 双硬盘
在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘。两个硬盘实际上安装了两个操作系统。【用户在使用时必须不断地重新启动切换】
11.3.7 网闸
网闸通过利用一种 GAP 技术(源于英文的 Air Gap),使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。使用一个肯有控制功能的开关读写存储安全设备【两个独立主机不存在可信的物理连接】
11.3.8 协议隔离技术
协议隔离指处千不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。
11.3.9 单向传输部件
单向传输部件是指一对具有物理上单向传输特性的传输部件。
11.3.10 信息摆渡技术
信息摆渡技术是信息交换的一种方式,物理传输信道只在传输进行时存在。【U盘在2台PC上拷贝东西】
11.3.11 物理断开技术
物理断开是指处千不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关来实现。【通常由电子开关来实现】
————
11.4 网络物理隔离主要产品与技术指标
11.4.1 网络物理隔离主要产品
1. 终端隔离产品
2. 网络隔离产品
3. 网络单向导入产品
11.4.2 网络物理隔离技术指标
1. 终端隔离产品 (访问控制、不可旁路和客体重用)
2. 网络隔离产品 (访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、容错、数据完整性和
密码支持)
3. 网络单向导入产品 (访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、配置数据保护和运行状态监测)
————
11.5 网络物理隔离应用
11.5.1 工作机安全上网实例
11.5.2 电子政务中网闸应用实例