【第11章】网络物理隔离技术原理与应用

33 0 0

11.1 网络物理隔离概述

11.1.1 网络物理隔离概念

既能满足内外网信息及数据交换需求，又能防止网络安全事件出现的安全技术称为“物理隔离技术”，其基本原理是避免两台计算机之间直接的信息交换以及物理上的连通，以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动，避免敏感数据向外部泄露，保障不同网络安全域之间进行信息及数据交换。

11.1.2 网络物理隔离安全风险

1. 网络非法外联（私自连接互联网）
2. U盘摆渡攻击（网络攻击者利用 U 盘作为内外网络的摆渡工具）
3. 网络物理隔离产品安全隐患（网络隔离产品的安全漏洞，导致 DoS/DDoS 攻击，使得网络物理隔离设备不可用。）
4. 针对物理隔离的攻击新方法（利用各种手段，将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去，在接收端通过模数转换复原数据，从而达到窃取信息的目的。）

————

11.2 网络物理隔离系统与类型

11.2.1 网络物理隔离系统

网络物理隔离系统是指通过物理隔离技术，在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统，以满足不同安全域的信息或数据交换。

11.2.2 网络物理隔离类型

按照隔离的对象来分，网络物理隔离系统一般可以分为：单点隔离系统和区域隔离系统。其中单点隔离系统主要是保护单独的计算机系统，防止外部直接攻击和干扰。区域隔离系统针对的是网络环境，防止外部攻击内部保护网络。
按照网络物理隔离的信息传递方向，网络物理隔离系统可分为：双向网络物理隔离系统与单向网络物理隔离系统。

————

11.3 网络物理隔离机制与实现技术

11.3.1 专用计算机上网

在内部网络中指定一台计算机，这台计算机只与外部网相连，不与内部网相连。用户必须到指定的计算机才能上网，并要求用户离开自己的工作环境。

11.3.2 多PC
内部网络中，在上外网的用户桌面上安放两台PC, 分别连接两个分离的物理网络，一台用于连接外部网络，另一台用于连接内部网络。

11.3.3 外网代理服务
在内部网指定一台或多台计算机充当服务器，负责专门搜集外部网的指定信息，然后把外网信息手工导入内部网，供内部用户使用，从而实现内部用户”上网”，又切断内网与外网的物理连接，避免内网的计算机受到来自外网的攻击。

11.3.4 内外网线路切换器
在内部网中，上外网的计算机上连接一个物理线路 AIB 交换盒，通过交换盒的开关设置控制计算机的网络物理连接。

11.3.5 单硬盘内外分区
把单一硬盘分隔成不同的区域，单硬盘内外分区技术将单台物理 PC 虚拟成逻辑上的两台 PC, 使得单台计算机在某一时刻只能连接到内部网或外部网。

11.3.6 双硬盘
在一台机器上安装两个硬盘，通过硬盘控制卡对硬盘进行切换控制，用户在连接外网时，挂接外网硬盘，而当用内网办公时，重新启动系统，挂接内部网办公硬盘。两个硬盘实际上安装了两个操作系统。【用户在使用时必须不断地重新启动切换】

11.3.7 网闸
网闸通过利用一种 GAP 技术（源于英文的 Air Gap)，使两个或者两个以上的网络在不连通的情况下，实现它们之间的安全数据交换和共享。使用一个肯有控制功能的开关读写存储安全设备【两个独立主机不存在可信的物理连接】

11.3.8 协议隔离技术
协议隔离指处千不同安全域的网络在物理上是有连线的，通过协议转换的手段保证受保护信息在逻辑上是隔离的，只有被系统要求传输的、内容受限的信息可以通过。

11.3.9 单向传输部件
单向传输部件是指一对具有物理上单向传输特性的传输部件。