网络物理隔离技术原理与应用
1、网络物理隔离概述
网络物理隔离概念:既能满足内外网信息及数据交换需求,又能防止网络安全事件出现。
- 原理:避免两台计算机之间直接的信息交换以及物理上的联通。
- 目的:阻断直接网络攻击活动,避免敏感数据向外泄露。
网络物理隔离安全风险
- 网络非法外联:处于隔离状态的网络用户私自连接互联网或第三方网络;
- U盘摆渡攻击:利用U盘传病毒;
- 网络物理隔离产品安全隐患:网络隔离产品(防火墙)的安全漏洞;
- 针对物理隔离的攻击新方法:将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去。
2、网络物理隔离系统与类型
网络物理隔离系统:通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统。
网络物理隔离类型:按照隔离的对象来分
- 单点隔离系统:保护单独的计算机系统;
- 区域隔离系统:针对的是网络环境,防止外部攻击内部保护网络。
按照物理隔离的信息传递方向,网络物理隔离系统可分为:双向网络物理隔离系统与单向网络物理隔离系统。
3、网络物理隔离机制与实现技术
专用计算机上网:在内部 网络中指定一台计算机,这台计算机只与外部网相连,不与内部网相连,用户必须到指定的计算机才能上网。
多PC:两台PC,分别连接两个分离的物理网络,一台连接外网,一台连接内网。
外网代理服务:内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的制定信息,然后把外网信息手工导入内部网 ,供内部用户使用。
内外网线路切换器:在内部网中,上外网的计算机上连接一个物理线路A/B交换盒,通过交换盒的开关设置控制计算机的网络物理连接。
单硬盘内外分区:把单一硬盘分隔成不同的区域,控制磁盘通道的访问,在任一时间 内,仅允许操作系统访问指定的分区。单硬盘内外分区技术讲单台物理PC虚拟成逻辑上的两台PC,使得单台计算机在某一时刻只能连接到内部网或外部网。
双硬盘:在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制。在两个硬盘上实际安装了两个操作系统。缺点是需要不断地重启系统,不易统一管理。
网闸:通过利用一种GAP技术,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享。
- 原理:使用一个具有控制功能的开关读写存储安全设备,通过开关连接或切断数据交换。
- 安全风险:入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中。
协议隔离技术:指处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。协议转换的定义是协议的剥离和重建。
单向传输部件:指对一对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发送和接收部件构成,发送和接收的部件只能以单工方式工作。
信息摆渡技术:是信息交换的一种方式,物理传输信道只在传输进行时存在。
物理断开技术:处于不同安全域的网络之间不能以直接或间接的方式相连接。实施不同安全域的网络2物理断开,在技术上确保信息在物理传导、物理存储上断开
4、网络物理隔离产品与技术指标
网络物理隔离主要产品
- 终端隔离产品
- 网络隔离产品
- 网络单向导入产品
网络物理隔离技术指标:安全功能指标、安全保障指标、性能指标。
安全功能指标
安全保障指标:关于产品的质量和服务保障要求,如配置管理、交付和运行。
性能要求:对网络和终端隔离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间。
5、网络物理隔离应用
工作机安全上网实例:在需要上因特网的计算机中安装一块物理隔离卡。从物理上断开与内部网段连接。
电子政务中网闸应用实例:电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。