热门标签 | HotTags
当前位置:  开发笔记 > 后端 > 正文

信安软考第十一章网络物理隔离技术与应用

目录汇总一、网络物理隔离概述1.1网络物理隔离概念随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。同时,内部网的用户因为安全意识薄




   目录汇总


一、网络物理隔离概述


1.1 网络物理隔离概念

  随着网络攻击技术不断增强,恶意入侵内部网络的风险性也相应急剧提高。同时,内部网的用户因为安全意识薄弱,可能有意或者无意地建敏感数据泄露出去。因此,就有专家提建议,“内外网及上网计算机实现物理隔离,以求减少来自外网的威胁”。《计算机信息系统国际联网保密管理规定》第二章第六条规定,“涉及国家秘密的计算机系统不得直接或间接的与国际互联网或其他公共信息网络相连接,必须实行物理隔离”。尽管物理隔离能够强化保障涉密信息系统的安全,却不便于不同安全域之间的信息交换,尤其是低级别安全域向高级别安全域导入数据。

  目前,网络和大数据应用日益普及,国家和企事业单位重要信息系豌之间的数据交换日趋频繁,各单位机构对信息和数据的时效性要求越来越高,完全切断不同安全城之间的信息及数据交换已不太现实。因而,能满足内外网信息及数据交换需求,又能防止网络安全事件出现的安全技术就应退而生了,这种技术称为“物理隔离技术”,其基本原埋是避免两台计算机之间直接的信息交换以及物理上的连通。以阻断两台计算机之间的直接在线网络攻击。隔离的目的是阻断直接网络攻击活动,避免敏感数据向外部泄露,保障不同网络安全城之间进行信息及数据交换。


1.2 物理隔离安全风险

  网络物理隔离有利于强化网络安全的保障,增强涉密网络的安全性,但是不能完全确保网络的安全性。采用物理隔离安全保护措施的网络仍然面临以下网络安全风险。


  • 网络非法外联
  • U盘摆渡攻击。攻击者将敏感数据拷贝到U盘中,然后由内部人员通过u盘泄露。
  • 网络物理隔离产品安全隐患。网络物理隔离产品的安全漏洞,导致Dos/DDos攻击,使得网络物理设备不可用。或者攻击值通过构造恶意数据文档,绕过物理隔离措施,从而导致内部网络受到攻击
  • 针对物理隔离的攻击新方法。

二、网络物理隔离系统与类型


  • 网络物理隔离系统是指通过物理隔离技术,在不同的网络安全区域之间建立一个能够实现物理隔离,信息交换和可信控制的系统,以满足不通安全区域的信息或数据交换
  • 网络物理隔离类型
      (1)按照隔离的对象来分:网络物理隔离系统一般可以分为单点隔离系统区域隔离系统。其中单点隔离系统主要是保护单独的计算机系统,防止外部直接攻击和干扰。区域隔离系统针对的是网络环境,防止外部攻击内部保护网络。
      (2)按照网络物理隔离的信息传递方向,网络物理隔离系统可分为双向网络物理隔离系统与单向网络物理隔离系统。

三、网络物理隔离机制与实现技术



本章的重点,主要记忆这些机制和技术



3.1 网络物理隔离机制


  • 专用计算机上网:在内部网络中指定一台计算机,这台计算机只与外网连接,不与内网相连。用户必须到指定的计算机上才能上网,并要求离开自己的工作环境
  • 多PC:内部网中,在上外网的用户桌面上安放两台PC,分别连接两个分离的物理网络一台用于连接外部网络,另一台用于连接内部网络。

在这里插入图片描述


  • 外网代理服务:在内部网指定一台或多台计算机充当服务器,负责专门搜集外部网的指定信息,然后把外网信息手工导入内部网,供内部用户使用,从而实现内部用户“上网”,又切断内网与外网的物理连接,避免内网的计算机受到来自外网的攻击,如图所示。

在这里插入图片描述


  • 内外网路线切换器:在内网中,上外网的计算机上连接一个物理线路A/B交换机,通过交换盒的开关控制计算机的网络物理连接,如图

在这里插入图片描述


  • 单硬盘内外分区:把单一 硬盘分隔成不同的区域,在IDE总线物理层上,通过一块IDE总线信号控制卡截取IDE总线信号,控制磁盘通道的访问,在任何一时间内,仅允许操作系统访问指定的分区。

在这里插入图片描述


  • 双硬盘:pc上安装两个硬盘,通过硬盘控制卡对硬盘进行切换控制,用户在连接外网时,挂接外网硬盘,而当内网办公时,重新启动系统,挂接内部网办公硬盘。(这样很不方便,而且不易统一管理)

在这里插入图片描述


  • 网闸:通过利用一种GAP技术(Air Gap),使两个或两个以上的网络在不连通的情况下,实现安全的数据交换和共享。其技术原理就是使用一个具有控制功能的开关读写存储安全设备,通过开关的设置来连接或切断两个独立主机系统的数据交换

在这里插入图片描述



单硬盘内外分区技术的优点是:


  • 根据数据分类存放和加工处理
  • 可有效防止外部窃走内网数据
  • 实现一台pc功能多用,节省资源开支

但是,该技术任然存在安全威胁


  • 操作失误,如误将敏感数据存放在对外硬盘分区中
  • 驱动程序软件bug
  • 计算机病毒潜入
  • 内部人员故意泄露数据
  • 特洛伊木马程序


3.2 网络物理隔离技术


  • 协议隔离技术:协议隔离技术指处于不同安全域的网络在物理上是由连线的,通过协议转换的手段保证受保护信息在逻辑上是隔离的,只有被系统要求传输的、内容受限的信息可以通过。

  • 单向传播部件:指一对具有物理上单向传输特性的传输部件,该传输部件由一对独立的发收和接收部件构成,发送和接收的部件只能以单工方式工作,发送部件仅具有单一的接收功能,两者构成可信的单向信道,该信道无任何反馈信息。其中,协议转换的定义是协议的剥离和重建。把基于网络的公共协议中的应用数据剥离出来,封装为系统专用协议传递至所属其他安全域的隔离产品另一端,再将专用协议剥离,并封装成需要的格式。

  • 信息摆渡技术:是信息交换的一种方式,物理传输信道只在传输时存在。信息传输时,信息先由信息源所在安全域一端传输至中间缓存区域,同时物理断开中间缓存区域与信息目的所在安全域的连接;随后接通中间缓存区域与信息目的所在安全域的传输信道,将信息传输至信息目的所在安全域,同时在信道上物理断开信息源所在安全域与中间缓存区域的连接。在任何时刻,中间缓存区域只与一端安全域相连。

  • 物理断开技术:指处于不同安全区域的网络之间不能以直接或间接的方式相连接。在一个物理网络环境中,实施不同安全域的网络物理断开,在技术上应确保信息在物理传导、物理存储上的断开。物理断开常由电子开关来实现


四、网络物理隔离主要产品与技术指标


4.1 主要产品


  • 终端隔离产品

  终端隔离产品用于同时连接两个不同的安全域,采用物理断开技术在终端上实现安全域物理隔离的安全隔离卡或安全隔离计算机。

  终端隔离产品一般以隔离卡的方式接入目标主机。隔离卡通过电子开关以互斥的形式同时连通安全域A所连硬盘、安全域A或安全域B所连硬盘、安全域B,从而实现内外两个安全域的物理隔离。该类产品也可将隔离卡整合入主机,以整机的形式作为产品。终端隔离产品典型运行环境如图所示。

在这里插入图片描述


  • 网络隔离产品

  网络隔离产品用于连接两个不同安全域,实现两个安全域之间的应用代理服务、协议转换、信息流访问控制、内容过滤和信息摆渡等功能。产品技术原理采用“2+1”的构架,即以两台主机+专用隔离部件构成,采用协议隔离技术和信息百度技术在网络上实现安全域安全隔离与信息交换。

在这里插入图片描述


  • 网络单向导入产品

  网络单向导入产品位于两个安全与之间,通过物理方式(可基于电信号传输或光信号传输)构造信息单向传输的唯一通道,实现信息单向导入,并且保证只有安全策略允许传输的信息可以通过,同时反方向无任何信息传输反馈。

在这里插入图片描述


4.2 物理隔离技术指标

  网络和终端隔离产品的技术指标主要有安全功能指标、安全保障指标、性能指标。

在这里插入图片描述


  • 安全功能指标主要是关于产品的质量和服务保障要求,如配置管理、交付和运行、开发和指导性文档、测试、脆弱性评定等
  • 性能要求则是对网络和终端隔离产品应达到的性能指标做出规定,包括交换速率和硬件切换时间

五、网络物理隔离应用


5.1 工作机安全上网实例

  为实现既能上因特网,又能阻断内部信息泄露到因特网中,在用户计算机中安装一台物理隔离卡,使工作机在上因特网上因特网时,从屋里上断开与内部网的连接,因而减少内部网的安全威胁。

在这里插入图片描述


5.2 电子政务中网闸应用实例

在这里插入图片描述
在这里插入图片描述







推荐阅读
  • 深入解析TCP/IP五层协议
    本文详细介绍了TCP/IP五层协议模型,包括物理层、数据链路层、网络层、传输层和应用层。每层的功能及其相互关系将被逐一解释,帮助读者理解互联网通信的原理。此外,还特别讨论了UDP和TCP协议的特点以及三次握手、四次挥手的过程。 ... [详细]
  • 深入解析 Apache Shiro 安全框架架构
    本文详细介绍了 Apache Shiro,一个强大且灵活的开源安全框架。Shiro 专注于简化身份验证、授权、会话管理和加密等复杂的安全操作,使开发者能够更轻松地保护应用程序。其核心目标是提供易于使用和理解的API,同时确保高度的安全性和灵活性。 ... [详细]
  • 本文探讨了如何在日常工作中通过优化效率和深入研究核心技术,将技术和知识转化为实际收益。文章结合个人经验,分享了提高工作效率、掌握高价值技能以及选择合适工作环境的方法,帮助读者更好地实现技术变现。 ... [详细]
  • 访问一个网页的全过程
    准备:DHCPUDPIP和以太网启动主机,用一根以太网电缆连接到学校的以太网交换机,交换机又与学校的路由器相连.学校的这台路由器与一个ISP链接,此ISP(Intern ... [详细]
  • 本文深入探讨了MAC地址与IP地址绑定策略在网络安全中的应用及其潜在风险,同时提供了针对该策略的破解方法和相应的防御措施。 ... [详细]
  • 深入解析SSL Strip攻击机制
    本文详细介绍了SSL Strip(一种网络攻击形式)的工作原理及其对网络安全的影响。通过分析SSL与HTTPS的基本概念,探讨了SSL Strip如何利用某些网站的安全配置不足,实现中间人攻击,以及如何防范此类攻击。 ... [详细]
  • 探索Squid反向代理中的远程代码执行漏洞
    本文深入探讨了在网站渗透测试过程中发现的Squid反向代理系统中存在的远程代码执行漏洞,旨在帮助网站管理者和开发者了解此类漏洞的危害及防范措施。 ... [详细]
  • 随着网络安全威胁的不断演变,电子邮件系统成为攻击者频繁利用的目标。本文详细探讨了电子邮件系统中的常见漏洞及其潜在风险,并提供了专业的防护建议。 ... [详细]
  • 本文介绍如何在现有网络中部署基于Linux系统的透明防火墙(网桥模式),以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明,确保内部网络的安全性和稳定性。 ... [详细]
  • 科研单位信息系统中的DevOps实践与优化
    本文探讨了某科研单位通过引入云原生平台实现DevOps开发和运维一体化,显著提升了项目交付效率和产品质量。详细介绍了如何在实际项目中应用DevOps理念,解决了传统开发模式下的诸多痛点。 ... [详细]
  • 本文详细介绍了网络存储技术的基本概念、分类及应用场景。通过分析直连式存储(DAS)、网络附加存储(NAS)和存储区域网络(SAN)的特点,帮助读者理解不同存储方式的优势与局限性。 ... [详细]
  • 本文深入探讨了SQL数据库中常见的面试问题,包括如何获取自增字段的当前值、防止SQL注入的方法、游标的作用与使用、索引的形式及其优缺点,以及事务和存储过程的概念。通过详细的解答和示例,帮助读者更好地理解和应对这些技术问题。 ... [详细]
  • 如何使用 CleanMyMac X 2023 激活码解锁完整功能
    本文详细介绍了如何使用 CleanMyMac X 2023 激活码解锁软件的全部功能,并提供了一些优化和清理 Mac 系统的专业建议。 ... [详细]
  • 百度安全应急响应中心(BSRC)与补天漏洞响应平台共同举办2021年暑期挑战赛,提供丰厚奖励、联名证书及更多惊喜。活动时间从7月12日至7月31日。 ... [详细]
  • 本指南详细介绍了金仓数据库KingbaseES的安全威胁及应对措施,旨在帮助用户更好地理解和实施数据库安全保护。 ... [详细]
author-avatar
月獠_189
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有