一、网络物理隔离概述

1.1 网络物理隔离概念

物理隔离技术:既能满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术

基本原理:是避免两台计算机之间直接的信息交换以及物理上的连通,以阻断两台计算机之间的直接在线网络攻击

隔离的目的:是阻断直接网络攻击活动,避免敏感数据向外泄露,保障不同网络安全域之间进行信息及数据交换

1.2 网络物理隔离安全风险

1. 网络非法外联

一旦处于隔离状态的网络用户私自连接互联网或第三方网络,则物理隔离安全措施失去保护作用

2. U盘摆渡攻击

网络攻击者利用U盘作为内外网络的摆渡工具,攻击程序将敏感数据拷贝到U盘中,然后由内部人员通过U盘泄露

3. 网络物理隔离产品安全隐患

网络隔离产品的安全漏洞,导致DoS/DDoS攻击,使得网络物理隔离设备不可用。或者,网络攻击者通过构造恶意数据文档,绕过物理隔离措施,从而导致内部网络受到攻击

4. 针对物理隔离的攻击新方法

原理是利用各种手段,将被隔离计算机中的数据转换为声波、热量、电磁波等模拟信号后发射出去,在接收端通过模数转换复原数据,从而达到窃取信息的目的。如Bitwhisper窃密技术,是利用温度升降原理

二、网络物理隔离系统与类型

2.1 网络物理隔离系统

是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离、信息交换和可信控制的系统,以满足不同安全域的信息或数据交换

2.2 网络物理隔离类型

按照隔离的对象来分,网络物理隔离系统分类:

  1. 单点隔离系统:主要是保护单独的计算机系统,防止外部直接攻击和干扰
  2. 区域隔离系统:针对的是网络环境,防止外部攻击内部保护网络

按照物理隔离的信息传递方向,网络物理隔离系统分类:

  1. 双向网络物理隔离系统
  2. 单向网络物理隔离系统

三、网络物理隔离机制与实现技术

3.1 专用计算机上网

内部网络中指定一台计算机,这台计算机只与外部网相连,不与内部网相连。用户必须到指定的计算机才能上网,并要求用户离开自己的工作环境

3.2 多PC

内部网络中,在上外网的用户桌面上安放两台PC,分别连接两个分离的物理网络,一台用于连接外部网络,另一台用于连接内部网络

3.3 外网代理服务

内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户“上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击

3.4 内外网线路切换器

内部网中上外网的计算机上连接一个物理线路A/B交换盒通过交换盒的开关设置控制计算机的网络物理连接

3.5 单硬盘内外分区

把单一硬盘分隔成不同的区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问,在任一时间内,仅允许操作系统访问指定的分区。这样,单硬盘内外分区技术将单台物理PC虚拟成逻辑上的两台PC,使得单台计算机在某一时刻只能连接到内部网或外部网

单硬盘内外分区技术优点

  1. 提供数据分类存放和加工处理
  2. 可有效防止外部窃走内部网数据
  3. 实现一台PC功能多用,节省资源开支

单硬盘内外分区技术安全威胁来源

  • 操作失误,如误将敏感数据存放在对外硬盘分区中
  • 驱动程序软件bug
  • 计算机病毒潜入
  • 内部人员故意泄露数据
  • 特洛伊木马程序

3.6 双硬盘

在一台机器上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当用内网办公时,重新启动系统,挂接内部网办公硬盘

在两个硬盘实际上安装了两个操作系统。这种技术在理论上说可以防止内部数据流向外网,但是
用户在使用时又必须不断地重新启动切换,造成用户使用不方便,而且也不易统一管理

3.7 网闸

通过利用一种GAP技术,使两个或者两个以上的网络在不连通的情况下,实现它们之间的安全数据交换和共享,两个独立主机系统与网闸的连接是互斥的

技术原理:是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换

安全风险:入侵者可以利用恶意数据驱动攻击,将恶意代码隐藏在电子文档中,将其发送到目标网络中,通过具有恶意代码功能的电子文档触发,构成对内部网络的安全威胁

3.8 协议隔离技术

处于不同安全域的网络在物理上是有连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过

协议转换的定义:是协议的剥离重建。把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另端,再将专用协议剥离,并封装成需要的格式

3.9 单向传输部件

是指一对具有物理上单向传输特性传输部件

传输部件构成:一对独立的发送和接收部件,发送和接收部件只能以单工方式工作

  • 发送部件:仅具有单一的发送功能
  • 接收部件:仅具有单一的接收功能,两者构成可信的单向通道,该通道无任何反馈信息

3.10 信息摆渡技术

信息交换的一种方式,物理传输信道只在传输进行时存在

信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接,随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与一段安全域相连

3.11 物理断开技术

是指处于不同安全域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开通常由电子开关实现

四、网络物理隔离产品与技术指标

4.1 网络物理隔离主要产品

1.终端隔离产品

用于同时连接两个不同的安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机

终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关互斥的形式同时连通安全域A所连硬盘、安全域A或安全域B所连硬盘、安全域B,从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机,以整机的形式作为产品。终端隔离产品典型运行环境如图

2. 网络隔离产品

用于连接两个不同的安全域,实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能

产品技术原理:采用“2+1”的架构,即以两台主机+专用隔离部件构成,采用协议隔离技术信息摆渡技术在网络上实现安全域安全隔离与信息交换

专用隔离部件一般采用包含电子开关并固化信息摆渡控制逻辑的专用隔离芯片构成的隔离交换板卡,或者是经过安全强化的运行专用信息传输逻辑控制程序的主机

3. 网络单向导入产品

位于两个不同的安全域之间,通过物理方式(可基于电信号传输或光信号传输)构造信息单向传输的唯一通道, 实现信息单向导入,并且保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输或反馈

网络单向导入产品以双机方式组成:即数据发送处理单元和数据接收处理单元,双机之间采用单向传输部件相连。网络单向导入产品部署在两个安全域之间,单向传输部件利用单向传输的物理特性建立两个安全域之间唯一的单向传输通道,数据在这个通道中只能沿数据发送处理单元数据接收处理单元方向的可信路径单向传输,无任何反馈信号

4.2 网络物理隔离技术指标

网络和终端隔离产品的技术指标主要有:安全功能指标、安全保障指标、性能指标

安全功能指标

产品名称 功能要求
终端隔离产品 访问控制、不可旁路和客体重用
网络隔离产品 访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、容错、数据完整性和密码支持
网络单向导入 访问控制、抗攻击、安全管理、标识和鉴别、审计、域隔离、配置数据保护和运行状态监测

安全保障指标

主要是关于产品的质量和服务保障要求,如配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定等

性能要求指标

则是对网络和终端隔离产品应达到的性能指标做出规定,包括交换速率硬件切换时间

五、网络物理隔离应用

5.1 工作机安全上网实例

为了实现既能上因特网,又能阻断内部信息泄露到因特网中,用户在需要上因特网的计算机中安装一块物理隔离卡,通过物理隔离卡,使一台工作机在上因特网时,从物理上断开与内部网的连接,因而减少内部网的安全威胁

5.2 电子政务中网闸应用实例

电子政务网络:由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离

某税务网络网闸应用示意图

税务外网和内网的数据交换只能通过安全隔离网闸,保证了内外网物理隔离并能进行实时信息交换

该网闸技术原理:是切断网络之间的通用协议连接,将数据包进行分解或重组静态数据,然后对
静态数据进行安全审查,包括网络协议检查和代码扫描等,确认后的安全数据流入内部单元

友情链接:http://xqnav.top/

信息安全-网络物理隔离技术原理与应用相关推荐

  1. 【第11章】网络物理隔离技术原理与应用 (信息安全工程师 -- 软考笔记)

    第11章 网络物理隔离技术原理与应用 11.1 网络物理隔离概述 11.1.1 网络物理隔离概念 既能满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术称为"物理隔离技术&qu ...

  2. 信安教程第二版-第11章网络物理隔离技术原理与应用

    第11章 网络物理隔离技术原理与应用 11.1 网络物理隔离概述 216 11.1.1 网络物理隔离概念 216 11.1.2 网络物理隔离安全风险 216 11.2 网络物理隔离系统与类型 217 ...

  3. 第11章 网络物理隔离技术原理与应用

    第11章 网络物理隔离技术原理与应用 11.1 网络物理隔离概述 11.1.1 网络物理隔离概述 11.1.2 网络物理隔离安全风险 网络非法外链 U盘摆渡攻击 网络物理隔离安全隐患 针对物理隔离的攻 ...

  4. 信安软考 第十一章 网络物理隔离技术与应用

       目录汇总 一.网络物理隔离概述 1.1 网络物理隔离概念   随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高.同时,内部网的用户因为安全意识薄弱,可能有意或者无意地建敏感数据泄 ...

  5. 信息安全-网络安全漏洞防护技术原理与应用

    一.网络安全漏洞概述 1.1 网络安全漏洞概念 网络安全漏洞:又称为脆弱性,简称漏洞.漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患 安全漏洞的影响:主要有机密性受损.完整性 ...

  6. 闪电网络RSMC协议技术原理----从微支付通道到RSMC(序列到期可撤销合约)

    闪电网络的RSMC协议技术原理 "if all tree falls in the forest and no one is around to hear it,does it make a ...

  7. 信息安全-网络安全应急响应技术原理与应用(二)

    一.网络安全应急响应技术与常见工具 1.1 网络安全应急响应技术概况 网络安全应急响应是一个复杂的过程,需要综合应用多种技术和安全机制 在网络安全应急响应过程中,常用到的技术如表所示 应急响应常用技术 ...

  8. 关于网络隔离技术与网闸的理解

    一.网络隔离的概念 两个或两个以上的计算机或网络,不相连,不相通,相互断开,同时在需要的时候能够做到两者间的信息交换. 概念来源:人工烤盘.轮渡.Sneakernet 二.常见的网络攻击类型 1.入侵 ...

  9. 工业网络的物理隔离与数据采集

    一.        物理隔离的消失 在企业网络中,一般会在不同密级网络间部署防火墙.入侵防御.防病毒等安全产品,但由于防火墙只能基于源IP.目的IP.端口.协议等N元组进行安全过滤,且物理层.数据链路 ...

最新文章

  1. .NET 基础 一步步 一幕幕 [注释、命名规则、访问修饰符、数据类型、常量、变量]...
  2. HTML中字体的垂直排列
  3. [Spring5]IOC容器_Bean管理_工厂Bean
  4. linux ip不设置网关,linux下ip与网关不在同一段配置
  5. Python稳基修炼的经典案例9(计算机二级、初学者必会turtle库例题)
  6. 如何编写Firefox扩展
  7. 中国航空零部件制造行业业十四五投资发展规划及发展前景预测报告2022-2028年版
  8. uniapp项目使用mescroll中mescroll-body组件记录
  9. 马云收购士兰微_马云出手!阿里36亿拿下千方科技
  10. MATLAB图像处理
  11. 链表线性表及其操作c语言代码大全,用链表兑现线性表的各种操作(C语言)
  12. 性能测试脚本用例模版
  13. 计算机教程无线路由器桥接上网,2个无线路由器桥接教程详细步骤
  14. 跳槽面试时不能说的六大离职理由
  15. viewpage无限轮播
  16. vue与C#实现自定义表单审批流程构建-后端
  17. TlBCO Jaspersoft Studio 软件根据条件设置字体颜色
  18. 【windows密码查看】在windows系统中保存的windows凭据如何方便地查看?network_password_recovery
  19. afrog的安装与使用
  20. 最简真分数 【辗转相除法】

热门文章

  1. POI在指定excel插入行java
  2. Android8.0 SystemUI 状态栏信号图标
  3. 【前端CSS】offsetLeft,Left,clientLeft的区别
  4. openGPS.cn - 关于手机号定位方面的个人理解
  5. ImGUI 1.87 绘制D3D外部菜单
  6. SOA+LDAP实现SSO单点登录思路
  7. 单词caement水泥英语
  8. 便签记事内容怎么放到手机桌面上?
  9. win10 ISO镜像下载
  10. # ffmpeg 将多幅图片压缩成视频 h264 avi